Rawhideに入ったばっかりだが、早速解析。 これは、昨日の「レベル４」の設定方法に該当する。 selinux-policy-develパッケージをまずインストール。 yum install selinux-policy-develyum install selinux-policy-devel # rpm -ql selinux-policy-devel /us…

こいつは、昨日の「レベル２」に相当する。 yum updateしたら、なんかオプションが増えてる。 できること： ファイルのラベル付け変更 ポートのラベル付け変更 ネットワークインターフェースのラベル付け変更 ユーザのロール設定,MLS/MCSのラベル設定 いまの…

さて、昨日の日記で、 http://d.hatena.ne.jp/himainu/20060130 「5段階」の設定方法があると書いた。 レベル３、レベル5は以前書いた(過去ログみてね） レベル１はFC４といっしょ。 今日は残るレベル２、４。

某サイトで、思い出した。そういえば、こんな論文があった。 http://www.nsa.gov/selinux/info/ かつては、昼寝の供?でした。ここに出てる背景知識と文献リスト、論文書くときすごく役立ちそうだ。また読まねば… この論文に出ている人たち、NSAのMLで見かけ…

XML版Simplified PolicyのDTD作成

selinux-policy-develパッケージが出来ていることを発見。 /usr/share/refpolicy/include に，reference policyのマクロが配置されるようだ。むむむむ… ポリシの開発スタイルがみえた。 以下の５段階のレベルに分かれるに違いない。 レベル１（デスクトップ…

GUIは、Gtk (pygtk)を使おうと思う。 理由は, 多くのディストリに入っているので。 あと大昔GtkをCから使ったことがあるので。 で、ドキュメントを探す。以下をおさえればOKか？ 総本山：http://www.pygtk.org/ チュートリアル: http://www.pygtk.org/pygtk2…

報告があった。 matchpathcon_filespec_add: conflicting specifications for /usr/sbin/named and /usr/sbin/lwresd, using system_u:object_r:usr_sbin_named_t. のようなエラーが出るらしい。これは、ハードリンクの問題。 以下の出力を見ると、 [ynakam@…

SELinuxで定義されているパーミッションの数を数えてみた。 なんと合計で「６８６個！」*1 数え方は，各オブジェクトクラスについて定義されているパーミッションを単純に足していった。commonなものはちゃんと継承させて。 *1:ユーザ空間のアクセスベクタ定…

さて、GUIを開発したいが， 言語はPythonを使うとして，ツールキットを見てみる。長所と短所を分析 GTK(pygtk) ○Fedora, Turbo, Asianux,debianに収録 ×昔Gtkでプログラム書いたが、使いにくかった Qt(pyQt) ○オブジェクト指向をなので使いやすそう ×Turbo L…

最近、AppArmor(http://www.opensuse.org/Apparmor)のニュース記事をよく見かけますね。 本場の人とちょっとメールしてると、 なんとなく、AppArmorのことを意識しているような気がしてきます。 SuSE vs Redhatの戦いになるんかな？AppArmorは「パス名ベース…

Simplified Policyの、 デバイスファイルのアクセス制御について、本場の人からよく突っ込まれる。 SYAORANファイルシステム PANDAさんのページのSYAORAN ファイルシステムの解説 http://kumaneko-sakura.sblo.jp/article/291615.html なるほど、「/dev以外…

XML対応 とりあえず、動くものはできた気がする。 Simplified Policy -> XML変換 seedit-export (C言語) seedit-export -i |Simplified Policy型式のファイル(allファイル)| -b |base_policyディレクトリ| -o 変換後のファイル名 XML→Simplified Policy変換 …

Simplified policy XML化 seedit-exportというプログラムを作成開始。 simplified policy → XML変換を行う seedit-converterのパーサを使いまわし。意外と簡単にできるかも。

Simplified policyのXML対応 (1) Simplified Policy→XML変換 (2) XML→Simplified Poilcy変換 を考え始める。 (2)は，pytyonで，１日２日でサクッとできる（はず）問題は（１）だ。 流れはたぶん以下か。 lex/yaccのパーサを使う。パターンにマッチしたルール…

Russellより、ファイルパーミッション統合について問題を指摘される。 Simplified policyでは， ファイル関連のオブジェクトクラスをひとつとして扱っている。 デバイスファイル（chr_file,blk_file）をも普通のファイルと同じとして 扱うことについて問題を…

msgid "test %d" msgstr ""という行を発見。msgstr ""に翻訳を書く。 msgid "test %d" msgstr "テスト %d です" msgfmt.pyでmoファイルを生成。 $ msgfmt.py ja ja.moファイルが生成。アプリはこいつを読み込む。 これを以下のようにコピー # cp ja.mo /usr/…

gettextという仕組みを使えるようになってる。gettextはC言語などでも利用可。日本語化の例を追って見ていく*1 日本語化対象アプリ test.py import sys import gettext gettext.install("test","/usr/share/locale") i=1 sys.stdout.write(_("test %d") % i)…

allowcom msgqの統合パーミッションが変。修正。

をアップした。audit2spdlを加えた。 http://seedit.sourceforge.net/ MLにもアナウンス。気軽に試してみてください。

http://www.atmarkit.co.jp/fsecurity/rensai/lids03/lids01.html capabilityの歴史が分かった。 ftp://www.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.4/capfaq-0.2.txt を見ればいいのか… こちらでは、 構成が大きく変わったセキュリティポ…

test2が出た。reference policy正式採用。 この日記で前書いたのとあまり変わってない模様。

src のような比較で、srcが文字列の場合は比較がうまくいかない。 int(src)のようにしてあげなければいけない。 微妙に厳格なところがあるようだ。このへんの挙動はちゃんと勉強しないと駄目そう。

audit2spdlとは、Simplified Policy用のaudit2allow相当のもの。 最低限のものはできた気がする。 あとは実際に使ってバグ取りとか細かいところかな。 XMLの処理は重そうなので，処理速度はやっぱり遅い。 500個で9秒ぐらい(audit2allowだと0.6秒ぐらい) ま…

Simplified Policy版audit2allowの作成。 ファイルのallowを吐き出すそれっぽいのができてきた。 XML仕様書ファイルがすごく役立っている。 またpythonで書いてます。pythonは楽です。 if 変数 in リスト という文がとても便利。 #Cで言うところの、変数が、…

audit2allow相当のツールを作り始めている。 ファイルのフルパスの推測とか、統合パーミッションの提示が結構面倒。 Simplified Policyの仕様書spdl_spec.xmlの中で 「all_file_class」のようにマクロを使ってるが、ポリシ生成のときに不便。 マクロを展開し…

IPA、情報処理技術者試験に情報セキュリティエンジニア向け試験を追加 また面倒なものが増えたなぁ。 この業界の試験はまるで賽の河原のようだ。 わが国では、 企業，ユーザ、エンジニア全て資格商法に騙されている気がするのだが、 なんとかならないのだろ…

SELinux Policy Editor 1.3.0をアップロードした。 開発版という位置付け。今回はGUIは無しで、Simplified Policyのみ。 http://seedit.sourceforge.net/ を見てください。 変更点 セキュリティの向上がおもな仕事。 (1) Simplified Policyでどんなパーミッ…

SELinuxパーミッションドキュメントについてコメントがきた。 netlink_audit_socketに関するパーミッションはLauSのためにあると書いてたが、CAPP auditing systemのためのものと指摘された。修正。 Linux Auditing Systemについての勘違い LauSとLinuxカー…

休暇から帰った。フロリダのディズニー行ってきました。いいところでした。 さて、メールが山のように…