OpenSuseにSELinux
http://selinuxnews.org/wp/index.php/2008/08/21/opensuse-111-to-enable-selinux/
SuSEもSELinuxサポートを入れるらしい。
AppArmor、本格的に活動低下なのだろうか。。。。
レッドハットやFedora Projectのサーバに不正侵入
http://www.atmarkit.co.jp/news/200808/25/redhat.html
targetedポリシだったら、SSHのアカウント取られてログインされたら、SELinux使ってようと意味無かったりするし。。。
カーネル読書会
先日のオタワの土産話をしてきた。国際会議にチャレンジしたい気分な人が増えればと思います。
会場の楽天さんはとても立派かつスタッフの方々も沢山手伝ってくれていた。楽天さん凄い。
KaiGaiさんの話
ピザの前後、KaiGaiさんが話をしていたが、お腹が空いていて、
かれいにスルーしてしまいました。ごめんなさい。
PHPのスレッドごとにドメインを割り当て、SQLインジェクションの被害を防げるらしい。
KaiGaiさんの話を試せるサイト:
http://kaigai.myhome.cx/index.php
>Three users are set up (curry, sushi and noodle) with same password
>of "selinux", to confirm they have individual security context.
とのこと。で、ログインユーザによってセキュリティコンテキストがかわっているのを確認できる。
勉強会の楽しさ
最近ご無沙汰していた人々にも会えてよかった。id:ripjyrさんにも数年ぶりにお会いした。関西のセキュリティ勉強会は盛んらしい。
勉強会の楽しさを思い出した夜でした。id:hyoshiokさん、呼んでくれてありがとうございました。
オタワの話
LWN.netにSMACKの話が載っている。
http://lwn.net/Articles/292291/
ついでに組込みSELinuxとかμ種ITの話も載っている。
よい記念になった。
Linux Symposium 最終日
Smackの発表
Smackネ申が、Smackのシンプルっぷりを力説。途中、SELinux軍団からツッコミが何度も入る。
以下話の内容を列挙。
- Smackは、MAC(データへのアクセス制御)のみを提供。settimeofdayなど特権は範囲外。特権はcapabilityを使ってくれとのこと
- Smackのアクセス制御モデル。図解だと一目で分かった。
- システムラベル3種類_、^、*。
- _は、全てのsubjectからreadonly, ^は全てのobjectにreadアクセス、*は、全てのsubjectからr,wアクセス
- ユーザ定義ラベルの定義とr,wアクセス制御
- ファイルには、何も設定しないと_ラベルがつく(つまりreadonly)
- システムラベル3種類_、^、*。
- ルール数はほとんどなし。ユーザランドもなし(securityfsへのアクセスで管理)
- このシンプルさゆえに、組込みには適しているハズである、と言っていた。組込みは機能は単純、サイズが小さいのが好まれるので。
シンプルさは理解できた。
ただ、組込みに本当に適してるかどうかは、実例を見てみないと分からない。
SELinuxも、機能がえらくふえてるけど、これは用途が広がってしまったためであって、本来もっと単純。
最小セットのSELinuxを作りたいが(以下自粛
Linux Symposium 3日目
私の発表
終わった!!質問がいくつかあった。
- μ種ITはLabeled Networkをサポートしてるのか?
- Labeled networkのほうがパフォーマンス出ると思うよと言っていた気がするのだが。。。
- Androidの仕事はオープンなのか?
- Montavistaのmicro SELinuxとの関係は?
など。micro SELinuxは、他でも聞かれる。micro SELinuxは中身は不明だが、SELinuxの布教としては良かったようだ。
Joshua Brindle氏に、呼び出され、SPDLでやってる、
パーミッションを省くことについて興味があるといわれた。
だいぶ以前は、本場の人々はパーミッションを省く事を嫌っていたのだが、時代は変わった。
Ubuntu(だったか?)や組込み用の小さなポリシ、というのがモチベーションだそうだ。
今回のSymposiumで感じたこととして、種ITの破門が解けた気がした。SELinuxの適用分野を組込みに広げたというのが、本場的に好感触だったよう。この道を奨めてくれたKaiGaiさんありがとうございます。
さて、次はどうするか?が大課題。。
MAC (Mandatory Access Control)のBoFの前座
id:haradatsさんのBoFがもうすぐ。
HPのOSS CTOという方が前座(?)なのだが、なんだかすごい。
オープンなロケット用ボードとソフトウェア、という発表。こういう発表があるところがお祭りっぽい。
このサイトを見てみると、どうやら、こういったロケットを作って遊ぶのが趣味として成り立ってるらしい。
MAC BoF
終わった。id:haradatsさんとたけださんお疲れ様でした。
魔闘気を感じる。じ、地面がない!
新機能のメインラインへの提案って、なんと大変なことか。