SELinux vs TOMOYO Linux? 組込みSELinuxのディスカッションスレが、少し横道にそれた。 Yuichi: http://marc.info/?l=selinux&m=117495719908393&w=2 ↑に、組込みSELinuxの将来像について提言しているが、ついでに煽り(w However, what if devices are poor…

本場からの重い議論を少しまとめ。 別スレが立ち出したりして、ついていけなくなりそうなので。 booleanについての議論 組込み機器におけるbooleanの扱いはどうすべきか。Karl曰く： http://marc.info/?l=selinux&m=117492730703345&w=2 What if the boolean…

私の頭の中にある、イメージを本場MLに送ってみた。 ↓のスレで議論中。。 http://marc.info/?t=117491881400003&r=1&w=2私の意見を日本語で要約。 組み込み機器の幅は広く、機器のスペック、用途によって、必要な機能は違う モジュールを使いたい人もいるけ…

SELinuxネ申から、重いメールが来てた。 考えて返事をせねばならない。組み込みSELinuxを今後どうすべきかという話を考える必要があると思う。 彼の話を見てると、我々の選択肢は２つあるっぽい 1) 軽いSELinuxを作って、そこから機能を追加していく これは…

セキュアOS再入門 第一回 必要な理由と基本的な仕組み セキュアOSに挫折した人向け＆知らない人向けの連載です。今まではSELinux一本やりで来ました。が、SELinuxを題材にすると、実際に「セキュアOSを使いこなす」ところまで達するのは非常に大変でして(ref…

http://www.linux-foundation.jp/modules/tinyd3/index.php?id=15 SELinux Policy Editorも載ってた。 ☆：実績は少ないが、複数のベンダー・SIerが評価を完了、採用が始まる見込み となっている。「複数」ってどこでしょ？ 気になる。。

ちょっと思いつくまま列挙してみよう。 比較対象は、TOMOYO Linux, AppArmor。 以下は、政治的な議論はおいといて、技術論。 利点案１：アクセス粒度の細かさ 昨日のKaiGaiさんのコメント >組み込み分野では私はSELinuxだと考えています。なぜかと言うと、そ…

土曜日に出たせいか、結構体力的に疲れた。 が、とても楽しいイベントだった。皆様お疲れ様でした。 セキュアOSユーザ会のセッション資料は以下にアップしてあります。 http://www.selinux.gr.jp/topic.htmlThinkITに「セキュアOS開発BOF」のレポートが出て…

hshinjiさん、講演お疲れ様でした。久しぶりに、人と話しすぎた。いきなり声が枯れ気味。 ぽつぽつと人が来ていた。SEEditを知っている人も数名いた。 TOMOYO Linuxも、ファンの方が来ていた。 一番嬉しかったのは、himainuさんのブログを見て来たという学生…

Windows版 SEEditを作りたかったのだが、 組み込みやってたら、全く時間がないので、 Shaneさんに丸投げしてみたら、どうやら彼のやりたかったことのようで、乗り気だ。 GUIを再設計して、modularityを高めたいそうだ。 GUIレイヤーがあって、その下に抽象化…

今頃、SELinux Symposiumか〜 今年は、ディスカッションネタがあったのだが。 来年は、色々手回ししていけるようにしたいなぁ。。。 BusyBox BusyBoxのpsが未だ-cを使っていたので、-Zに置き換えるだけのパッチを提出。 一箇所見落としてたが、まぁマージ。 …

ELC2007でSELinux/AppArmor話 4/16-18に，シリコンバレーに進出して、SELinux/AppArmor話をしてきます。 http://www.celinux.org/elc2007/ 内容は、両極端なセキュアOSとしてSELinux/AppArmorを取り上げ、 モデル面の比較、実際にOpen Zaurusに移植した実験…

sebusyboxプロジェクトの成果がBusyBoxのsubversionツリーにマージされた！ cp,mv,install,mkdir,mkfifo,mknod,ls,stat のSELinuxサポートのパッチ（by Yuichi Nakamura and Yoshinori Sato)がマージされた。 ＃まだ細かい修正を送ってくれと言われているが …

refpolicyもちょっと試してみた。 refpolicy refpolicyで ntpd,named,klogd,syslogd,httpd,sshd用のポリシモジュールだけを作って、 （実際には依存関係上、他のモジュールを含めざるをえなかった。頑張れば削れるかも） targetedにして、モジュールオフにし…

動的ドメイン遷移を使うよう拡張するアプローチをとっていたが、 安全性の証明が困難な予感がしてきた。せっかく頑張ったのだが、 今は、こちら http://d.hatena.ne.jp/hshinji/20070221#1172004315 の方式に傾いている。 上の方式を試してみたら、SELinuxの…

KaiGaiさんがリリース お疲れ様です！ http://kaigai.sblo.jp/archives/200703.html自分は、国家認定のDBスペシャリストですが、 DBのことは、全然わかりません。 DBもちょっとは勉強しなきゃかなぁ。

BusyBoxのドメイン分け 先日からやっているbusyboxのドメイン分け。 結局、 busybox_contextsファイルにアプレットのラベルを付与する方式を採用。 /etc/selinux/seedit/contexts/busybox_contextsに ＜アプレット名＞ ＜ラベル＞ という書式で書くように。…