nsIWebBrowserPersistのsaveURIで，ｈｔｍｌを保存するとき， preferenceの network.http.accept-encodingが，「gzip,deflate」 となってる（デフォルト）と，保存されたページが圧縮されてて読めないハマリ。

SELinux Symposiumの返答があった。メインセッションは落選orz 去年と一緒じゃんと言われてしまった。 明らかな新機能がないと駄目らしい。 確かに，ネタなくて論文書くのが大変だった；） で，Mayer氏からメールが来て， 「work in progress」というセッシ…

息子からうつされた風邪が悪化＆試験勉強のため， 一週間ぐらい？あまり更新がないと思います*1 *1:試験勉強の現実逃避で突如何か始めるかもしれませんが…

アクセスベクタprocess:siginhについて。 「シグナルハンドラの継承」を許可したりするものだが， そもそも「シグナルハンドラの継承」はどうなってたっけ？ と検証。 一見すべての場合継承されるように思えたが… ●結論：exec時には，シグナルハンドラは継承…

↑に書いたこと取り消し。試験勉強してたら，すぐ現実逃避したくなった。 FC5-test1を入れたので，reference policyおよび semodule(ポリシのバイナリモジュールサポート）をちょっと調べてみる。 semodule 書式は：http://sepolicy-server.sourceforge.net/i…

LIDS解析 http://www.selinux.gr.jp/LIDS-JP/document/beginner_lids_1_2_2/index.html 今後が楽しみ。OMOさん頑張ってください。 最近になってようやく分かったのは，OSSの動作を理解するには，ドキュメント探すより，ソース読むほうが早いことも多いこと*1…

Fedora Core5 test1をインストールした。yum updateしてreference policy使おうとしたら，再起動後固まったorzランレベル３にしたら起動した。 で，「selinux-policy-targeted-sources」パッケージがなくなっていることに気づく。 どうやってポリシ編集する…

XPCOMのattributeに配列を入れたい場合， nsIArrayなどでラップしないといけない。めんどくせー 読み込みのみの配列の場合は、nsIArrayを使い，削除追加をする場合は nsIMutableArrayを使う。 例えば, nsIURIの配列を作る場合 初期化 var com = Components.c…

所属する研究室の先生とSELinux Policy Editorについて議論。色々ためになった。 dir: searchについて 当初これを飛ばす（サポートしない）予定だったが，よくないのではと言われた。 例：アカウントの有無を推測できる 攻撃者が"cd /home/"で，「成功」が帰…

あれ？SELinux SymposiumのAgenda11月18日のはずだが… 何も出てない…ついでに私にも何も来てないことに気づいた。 フォローしなきゃか？

JavascriptでXPCOMを作ってるが，cygwinからだと，デバッグがやりにくい。 dump使ってもなぜかコンソールにメッセージが出てこない。 なので，VMWare+FC4で， ソースからコンパイルしたFirefox1.5を使うことにした。 VMWare+FC4自体は遅いけど，こちらのほう…

もう少しみてみる。インストールしてないですが；） 面白さが分かってきた。 「ポリシーは，動作テストを繰り返して勝手に作成」 「ドメイン全部分けるから，自動生成でも権限の与えすぎが起きにくい」 「なので，ポリシの書き方，設計を何も考えないでも使…

JavascriptでXPCOMを作る(Firefox1.5) http://nanto.asablo.jp/blog/2005/06/13/20665 http://books.mozdev.org/html/mozilla-chp-8.html の方法でおおむね大丈夫。mozillaのソース無しでもいける。ただし，一箇所ハマった。 componentを，xpiの置き場だけで…

「sethostname」の調査。 知りたいのは，「sethostname」の制限が/proc/sys/kernel/hostname へのアクセス制御で実現できるか。以下が，sethostnameのソース。 1513 asmlinkage long sys_sethostname(char __user *name, int len) 1514 { 1515 int errno; 15…

FC5で，Reference Policy が採用されそう… 既存のドキュメントが役に立たなくなっちゃう。 「SELinux徹底ガイド」もついに寿命か？ TresysがRSA Conferenceで「本出す」と言ってて全然でないのは， まさかReference Policy待ち？黒い^^;) Reference Policy本…

Capability CAP_SYS_ADMIN lxrでCAP_SYS_ADMINを改めて検索(これは，普通のLinuxにもありますよ）。 やっぱ分からん。 色んなドライバにまで入っている。 「ドライバまたはカーネルサブシステムの開発者」が，「なんとなくこの操作は危険だ（ioctlの中に入っ…

TOMOYO Linux 現実逃避にTOMOYO Linuxのソースを見てみる。 ファイルのアクセス制御をどうしているのか激しく気になったので見てみる。 ラベルは使ってないみたい。 CheckFilePerm,CheckWritePermission→CheckFileACLという関数でチェックしているようだ。 …

Capability そういえば，TOMOYO Linuxをみてて思ったのだが， 「capability」って用語は，一般的に何を意味するんだろう？ 「ファイル以外のアクセス制御」のことをそう呼んでいるようだけど。 何かのセキュアOS，(hpのやつだったかも？）では， 「特権」と…

TOMOYO Linux TOMOYO Linuxが公開されている。面白い。 http://sourceforge.jp/projects/tomoyo/ Capabilityを独自にしているのが，気に入りました。SELinuxは，POSIX capabilityを 細かく分割した特権を持っているが，分割の検討が十分でない気がする。 こ…

自分用メモ…ノートPCにLinuxデュアルブートしなきゃ。 ノートPCは文書書き用だったのが，開発のメインマシンにもなっちゃいそう。1) デフラグ，パーティション縮小: KnoppixでQTPartedする http://www.thinkpad-lover.org/knoppix/QTParted.htm http://www.g…

ITmedia +D GamesF’jŽq‚½‚é‚à‚̏í‚É“¬‚¢‚Ì’†‚Å’j‚𖁂«A’jm°‚ð‚»‚Ì‹¹‚ɍ‚ނׂµ (1/2) ほしい… むぅ、この技はもしや？ 知っているのか？雷電！ とか好きでした。 関係するとこだと， http://www.2dbattle.jp/ とか，非常によく出来てました。1200万パワ…

http://www.mozdev.org/ なんてサイトがあるらしい。Sourceforgeのmozilla版みたいなものだとか。 授業で，これを使って簡単な拡張を作らなければいけない。大げさだなぁ。 ちょっと見た感じ，sourceforgeと使い方がだいぶ違う気がする。 Ajax 課題のテーマ…

id:himainu:20051104の続き SELinuxには意味が重なるアクセスベクタ定義が沢山ある。 これらをうまく整理すれば，設定要素を減らせる。 旧バージョンのPolicy Editorでは， 私の経験と勘に基づき，設定要素を減らしてましたが（適当だ…)， 今改めて考え直し…

昨日のコメントに書いた「Object manager」は，アクセス制御エンジンにアクセス制御の可否を問い合わせ，その結果によって，実際にリソースにアクセスしたりしなかったりすることを決める部分です（日本語が分からなくなってきた） FLASKというアーキテクチ…

http://www.nsa.gov/kids/ なんだこりゃ？

Rawhide(Fedoraの開発版）への切り替え方メモ FC5-test1のリリースが延び，MCSが待ちきれなくなったので， FC4をRawhideにしてみた。 なんとかRawhide化に成功。 0) FC4を「最小」でインストール（yum update時間削減のため） *1 1) /etc/yum.repoのファイル…

capability sys_tty_config capabilityのsys_tty_config(CAP_SYS_TTY_CONFIG)が気になるので，もう少し調べる。 man capabilitiesによると， vhangupシステムコールの利用を制限するとのことだった。 man 2 vhangupを見てもよく分からんので，実際に検証コー…

結局以下のアクセスベクタ定義が使われてないことが判明。 file関連共通: swapon 復活の可能性低 socket関連共通: relabelfrom relabelto 将来IPSec+SELinuxが本格化すれば復活の可能性あり unix_stream_socket: newconn, acceptfrom tcp_socket: connectto,…

あれ，FC5のリリーススケジュールが遅れてるぞ。 そろそろMCSとPolicy Moduleを詳しく調べたいのだけど，Rawhide使わなきゃかなぁ…

日経BP社、3誌を年内休刊に | スラド タイトルをみて一瞬ドキッとしたけど，日経Linuxは入ってなかった… とりあえず，よかった。Linux magazineがなくなったりしたので，心配しました。 日経Linuxさんは，SELinuxがマイナーかつインストールしずらく，ポリシ…