AppArmorを使ってみて、どんな場面にSELinux/AppArmorが適するか考えてみた。 # 目新しくはないですが SELinuxのほうがよい場面 a)Redhat Linux/Turbo Linux/Asianux/Fedora CoreでOSSのセキュアOSを使う b)カスタマイズが、ほとんどいらないシステム c)カス…

ちょっとAppArmorのprofileを作ってみた。 genprofコマンド Profileを作る場合は、genprofというコマンドを使うと便利。 genprofは、audit2allowとか、藤原さんのsegatexみたいなもの。 例えば、apacheのprofileを作る場合。 1) genprof起動 # genprof /usr/…

やっとOpenSuse10.1 b8が入ったのでAppArmorを実際に触れた。 ネットワークインストールだと途中でフリーズしたため、結局CD5枚焼くはめに。 デフォルトAppArmor有効 AppArmorは以下のスクリプトで有効にされる。 /etc/init.d/boot.apparmorどんなサービスに…

ネットワークパーミッション統合の考察から、 Simplified Policyのallownet設定要素を根本的に作りなおした。 次のような設定項目を実装した。 これで、ネットワーク制御が、かなり使えるものになっている。 refpolicyのマクロより全然使いやすいはず。 audi…

To design permission network integration in Simplified policy, I considered what kind of macros should exist in SELinux. Whan kind of network object exists in SELinux? socket SELinux labels sockets(TCP,UDP,RAW). The type of socket is domai…

野球が盛り上がっているようだが、テレビで見れんので、 ネットワークパーミッション統合の設計。 ソケット、IPアドレス(node), NIC(netif)というオブジェクトが存在 「サーバー」「クライアント」というふるまいがある という点から(詳細は省略)、以下のよ…

FC5をゲットした。 test3からの違いとして、 auditdが標準で入ってないことに気づく。 これには驚いた。まぁ、こっちのほうがいいと思うが。 いつもauditdは切ってたしw auditdが欲しい人は、yum install auditする必要。以下selinux-usersに投稿したメモ。 …

本場のMLより。seeditにも使えそうなデーモン。 消去・生成が繰り返されるファイル（例えばresolve.conf,mtab,fstab) や、設定時に存在しないファイル（HOME/public_html)などのラベル付けは 今まで、手作業で行う必要があった。 restorecondは、こういった…

休暇から戻った。 SELinux vs AppArmorな雰囲気な今日この頃。 両者を比較するには、まず使わないと話にならない。 なので、AppArmorを試してみようと思う。 まずは文書を勉強。 情報源 NovelのAppArmorのホーム http://en.opensuse.org/Apparmor AppArmorの…

大学が春休みのため、数日オフラインになります。ご注意ください＞関係者の方々

http://www.ossfj.org/ slashdot.jpを見てたら出てた。 ネタだと思うけど,面白い。 近頃、貢献というのにこだわりすぎていた気がする。 フリーライダーであっても、ユーザーが沢山いれば、 「なんとなく沢山使われている空気」が形成され、力になるわけです…

My thought after SELinux Symposium SELinux Symposium was great place to know what's happening to SELinux. I learned a lot of progress has been made in one year. It was the biggest year since SELinux was released. And I thought I have to do…

本場の人と話していたら、 SELinuxの普及のためには、これが必要だ、となってきました。 日本の皆様、どう思いますか？ 誰かやりたい人いますか^^;)私には難しい気が… 下手すると、他のセキュアOSを排除するアプローチになる。 #もしかしたら、本場の人は他…

I noticed that my page is registered to Planet SELinux(http://www.selinuxnews.org/planet/). Thanks. I would like to try to write English article to let international people know Japanese SELinux/Secure OS. Situation about Japanese(includin…

allowprivで設定できるcapability(特権)の設定を表示するところまで。 設定の反映はまだ。

再びよしおかさんのところ http://d.hatena.ne.jp/hyoshiok/20060307#p1OSS開発者の一週間のOSS開発時間をhttp://oss.mri.co.jp/floss-jp/にて 調査したそうだ。 5時間以下が61.7%と大半をしめる。0時間も8.5%である。むむむ？開発時間が0時間の人は普通開発…

日本高信頼システムさんのページをひさびさに見てみたら, safeprotectorなるものを発見。 http://www.jtsl.co.jp/japanese/trusted/safeprotector.html どこが作ったんだ？と思ってみたら、どうも自社開発らしい。 秘文とかとの相性ってどうなのかしら。

Symposiumに参加して、SELinux Policy Editor的に必要と思ったこと。 位置付けの変更？？ 本場の人々は、「パス名ベースの設定」は、セキュリティ的に根本的に駄目だと思っているようだ。 なので、本場に媚びるならば、位置付けを 1)将来的にはみんなラベル…

お互い顔見知りになるってのも重要な気がしてきた。 そうだ、selinux planetなんてものができたし、 英語でblogつけようかな。開発日誌も英語にして…

よしおかさんの日記 http://d.hatena.ne.jp/hyoshiok/20060304#p1 を見て。 どこのコミュニティに行っても（とはいうもののわたしの見聞きして範囲は日本のPostgreSQLとか、Samba-jpとか、MySQLとか、OpenOffice.orgとか先日のMozilla-Japanとか限られた範囲…

Symposium, Developer Summitを通じて思ったこと。 「厳密で完璧なポリシーを書く」方向(Tresys,Redhat中心)と、 「LSPPでEAL4取る」方向(TCS,IBM,HP中心)の二方向に本場の人々の開発は集約されている。 そして、ある意味閉鎖的に感じる。 なぜそう感じるの…

SELinux Developer Summitが3月3日に開催された。 招待された人だけで、濃い議論を行うのが趣旨。 NSA,Tresys,Redhat,IBM,HPなどを中心に、約30人が参加。 日本からも、中村、海外組が出場。以下、今後まとめるため&皆様の参考のためのメモ。 まずは、注意事…

日本代表選手団は時差ボケで大変そう。けどもう帰国なんだよなぁ。Daniel Walsh氏を直撃した。パス名ベース vs Labelの話を聞いてみたが、やっぱりパス名ベースなセキュアOSは嫌いなようだ。とはいえ、Simplified PolicyのようにSELinuxの上で動くパス名ベー…

http://www.selinuxnews.org/wp/ を発見。 写真 私の発表。 発表開始したにも関わらず、ピーーーーと大音量がなっているところ。 セッション最初だったせいか、マイクの調子が悪かった。 右下が、SELinuxの神の後姿。ありがたや(笑

詳細は後日で、SELinux Policy Editorに関連した出来事を。 発表 発表終わった…疲れた。 マイクがハウリングしまくりだった。 今回は、発表時間が短かったせいか、前回発表して知っているせいか、 それとも、飛ばしすぎたせいか、 会場から質疑応答がなかっ…

kaigaiさんより意見を頂く。 以下の２つの機能があったらどうか、とのこと。 (1)globalでallowしたものを拒否できる機能 SELinuxでは、 「デフォルト緩めのものをきつくしていく」 という設定ができない(デフォルトdenyだから)ので、 あったほうがいい、との…

OMOさん、zchanさん、kaigaiさんと合流。 色々話す。ああ、楽しい。 時差ボケで疲れているところ、本当にありがとうございました＞皆様 さあ、明日は発表だ。以下、色々出来事を。 移動 我が家(Arlington, VA)→会場(Baltimore, MD) まで3時間かかった。 交通…