PANDAさんより教えてもらう。 http://journal.mycom.co.jp/news/2006/05/31/344.html 2.0アナウンス前だが、フライング(?)で紹介されたみたい。 Linux Worldで誰か説明してくれたのかしら。 ちなみに、GUIはまだです（汗

Kaigaiさんの日記より。 http://kaigai.sblo.jp/article/794921.html （そしてhimainuさんにトラックバック）とあったので、早速反応します。 SELinuxに関して言えば、日本のコミュニティがイニシアチブを取って本流にコミットして行くのはなかなか難しい。…

日本はLinux Worldか。私はこちらで黙々と開発。。 sourceforge.netのshellサーバが昨日からずっと落ちてて、seedit.sourceforge.netの更新ができないorzさて、またも、ハードリンクの扱いが気になる。 http://d.hatena.ne.jp/himainu/20060519#1148069594 …

Linux Worldに出れないので、私の思いを少し書いてみる。。 根本的にSELinuxの設定方法を変えないと、 軍事な人以外には、SELinuxは使いものにならないと私は思っている。 SELinuxの研究を始めた2001年以来、ずっと思っている。 2001年当時のLIDSを見て，SEL…

色々ありますね。行けないのが本当に残念!! セキュアOS BOF @ Linux Conference(6/2, 11:00-) http://lc.linux.or.jp/lc2006/02.html JOSAOブースでの展示＆ミニ講演(5/31-6/2) SELinux Policy Editorの話もありますよ！！ 6/2 16:00-17:00 中村 雄一/才所 …

Linux World前最後のバージョンか。ちゃんと動くか不安だ。 ダウンロード、ドキュメントは、以下から。 http://selpe.sourceforge.jp/download_jp.html b4では、RBACサポートを追加した。 FC5のSELinuxでは至難なRBACの設定が楽にできる。 seeditでのRBACの…

ドキュメント SELinux Policy Editor RBAC Guideを準備中。 変更点 seedit-template ロール用テンプレートを出力するオプション(-r,-u）を追加 -oを出力ディレクトリに変更。ファイルの名前は自動生成。 ラベル付け /home自体のラベルは、home_tだったが、ho…

Linux Kernel Watch 5月版 「LSM不要論」に揺れるSELinux＆AppArmor http://www.atmarkit.co.jp/flinux/rensai/watch2006/watch05b.html lkml的にも目立った議論だったんだなぁ。その後どうなったんだろ。

今のところの途中経過。自分で後日まとめるためのメモ。ロール設定内での、~/ の意味： 1) ロールを使えるユーザのホームディレクトリ を現す。 例： role webmaster_r; user web1; user web2; allow ~/** → webmaster_rは、/home/web1, /home/web2以下を読…

上で、POSIX capabilityを使うと、 「なんというか、DACをMandatoryにすることができる。」 と書いた。 一見矛盾してるようだが。。。以下のようなこと。uid=rootのプロセスが、 所有者ynakam, パーミッション600のファイルにアクセスするとすると、 通常のD…

いままで、ホームディレクトリは ~/public_html のような指定しかできない。 /home/ynakam/public_html のようなことはできなかった。 これだと、RBACを有効にした場合とても困る。 全てのロールに 全ユーザのホームディレクトリの書き込み権限を与えること…

今日の変更 ホームディレクトリにデフォルトで適切なタイプがついてなかった。。 ~/に対するルールをダミードメインに登録して強制ラベル付け seedit-restoreconの修正 ホームディレクトリのルートとの親子判定がうまくいくように修正。 RBACテスト newrole…

そういや、FC5になってRBAC忘れてた。。 修正した点 いきなりcheckpolicyのコンパイルがとおらない converterのuser文の出力順を修正 role system_r types sysadm_tがあるせいで、user_u:system_r:sysadm_tでログインできちゃう role system_r types ドメイ…

English : http://seedit.sourceforge.net/doc/2.0/tutorial/ 日本語 : http://seedit.sourceforge.net/doc/2.0/tutorial_jp/ seedit 本体 http://prdownloads.sourceforge.net/seedit/seedit-converter-2.0.0.b3-FC5.i386.rpm?download http://prdownloads.…

ひそかにアップ。2.0はいつ？ seedit-converter http://prdownloads.sourceforge.net/seedit/seedit-converter-2.0.0.b3-FC5.i386.rpm?download seedit-policy http://prdownloads.sourceforge.net/seedit/seedit-policy-2.0.0.b3-FC5.noarch.rpm?download …

http://d.hatena.ne.jp/himainu/20060520 の、PANDAさんのコメントへの返答を。私の立場は、 「情報フロー分析の必要性を明らかにしたい」、だけです。 特定のセキュアOSの欠点を見つけてSELinuxの優位性を主張したいわけじゃないです。PANDAさん > 「そもそ…

寝る前に、関係者のコメントをみて、seeditのアンインストールテスト。 確かに、問題が発生。アンインストールしたのに、ラベルがseeditのラベルのままだった。色々調べたら、今日の版のFC5 targeted policyで、 fixfiles restoreがエラーになった。これが原…

昨日の記事について、PANDAさんより早速トラックバックをいただく。 http://kumaneko-sakura.sblo.jp/article/700401.html ありがとうございます。 > AppArmor, TOMOYO Linuxにはこの弱点が当てはまると思う(間違ってたら教えてください) これはその通りです…

関係者用にアップ> 関係者様（汗 RPM http://prdownloads.sourceforge.net/seedit/seedit-converter-2.0.0.b2-1.i386.rpm?download http://prdownloads.sourceforge.net/seedit/seedit-policy-2.0.0.b2-FC5.noarch.rpm?download マニュアル http://seedit.so…

上記考察を元に、seeditのハードリンクの扱いを見直すことに。 今のseeditはまずいことが分かった。 restoreconが設定の反映のたびに走るので、 ハードリンク経由で変なラベルがつく可能性がある。 備忘録。 seedit-restorecon ってのを作った。 ハードリン…

http://d.hatena.ne.jp/himainu/20060419#1145484710 の続き。 ラベル vs パス名論争で、ラベルのほうがいい根拠として、 パス名は、情報フロー分析が不可能（ハードリンクがあるから） というのがある。 seedit的にも分からなくなってきたので、ここでじっ…

オリジナルSELinux のマクロ/パーミッションの数 refpolicy(serefpolicy-2.2.25)で使われているマクロの数を数えてみた。 interface: 1800個。 template: 124個 普通マクロ: 88個 合計2008個 orz 数え方は、 grep "interface(\`" * -r |cat -n のようにした…

チュートリアルの和訳に着手。 http://seedit.sourceforge.net/test/tutorial_jp/ に作業中の物を。 「和訳」と言ってるが、やっぱ日本語のほうが書きやすく、色々加筆もしてしまう。

Russell Cokerが、本場MLにSELinux, AppArmorの検索トレンドを出してた。 面白いですね。 SELinuxの検索傾向。。 http://www.google.com/trends?q=selinux&ctab=1&geo=all&date=all言語を見ると、 日本語がトップ。次にロシア、韓国語。 意外と英語が少ない…

新マシンのビープ音うるさすぎ。 http://oshiete1.goo.ne.jp/kotaeru.php3?q=1189896 では消えなかった。 で、下の方法にたどり着いた。これなら確実。 http://www.freeml.com/message/vmware-j@freeml.com/0003282;jsessionid=wrpn04sah3 http://www.vmware…

seedit 2.0b1をAsianux2.0（Miracle4.0)で動かしてみる。 genhomedirconの書式が違ったので /etc/seedit/converter/Makefileの修正が必要だった。 (seedit/seedit-policy/src/Makefile.ax2とした） また、/usr/lib/python2.3だった(FC5だと/usr/lib/python2.…

rpm -Uは、 rpm -i rpm -e の順番で動くらしい。やられた。 インストールしてからアンインストールしてたとは。。 http://vinelinux.org/MakingRPM/node17.html 密かに2.0.0.b1をアップ http://seedit.sourceforge.net/ ほとんど個人テスト用だが。。 test4…

ひそかにseedit-1.4.0-test4 http://seedit.sourceforge.net/ なんてものをアップしてるのだが（ちょろっとバグ直しただけ） なぜか数件ダウンロードがある。誰がダウンロードしてるんだろう。 さて、バージョンも2.0.0b1にしようかな。前とは別物だし。 1.4…

卒業レポートの現実逃避。。。 OpenSUSE10.1が出たので、インストール。AppArmorも入ってる。 プロファイル(SELinux語でポリシ)は相当緩い。 ネットワーク接続を待ってるサービスのプロファイル適用状況を見てみる。 # unconfined 3206 /usr/sbin/mdnsd conf…

大学の卒業レポートの仕上げをしている中で気づいた。。。 allownet のuse allownet -protocol tcp|udp|raw -domain ドメイン use; これは、ソケットの利用権限を与えるための書式。 しかし、 allownet -protocol tcp|udp -domain self use; に相当する権限(…