たまには、技術系以外の話題も。 家族が増えまくり、仕事だけをやってればいいという時期は過ぎてしまったこの頃。 一昔前の日本は、「男は仕事だけやってればいい、男の人生は仕事である」という空気だった気がするが、 最近はそんなことを言っていると、あ…

Linux Kernel Watch番外編：LinusもキレたセキュアOS論争 セキュリティをやってるやつらは狂っている？！ 凄いタイトルですが、LKMLの最近の議論をまとめてみました。

設定生成コマンドと設定生成GUIを動くようにした。 これで、ログ→設定生成も簡単。 これらのコマンドも、開発ホストで動かす、クロス開発対応。現在のところの組込みSEEditのREADME。 http://seedit.svn.sourceforge.net/svnroot/seedit/trunk/README.cross …

LSM, AppArmorのスレがLKMLで延々と延びている。以前より、建設的な気がする。Linusが、LSMのメンテナを募集して、Arjan van de Ven氏が名乗りを上げた。 http://lkml.org/lkml/2007/10/24/613 http://lkml.org/lkml/2007/10/24/650 LSMモジュール提出のポイ…

普通のSELinuxでフルパス情報出力 SELinuxのログにフルパスが出ない問題だが、 Fedoraの普通のSELinuxにも当てはまることが判明。フルパスのログは、context->dummyが1だと、取らないようにされている。 auditのルールを何も登録しないと、context->dummyが…

LKMLへの提案が来た。今度は、SELinuxの人からも、普通のレビューのコメントがついている。 これが、真・友情パワーというものか？？

2.6.23だが、いくつか独自のパッチが当たっていた。 その中には、先日提案したSELinuxのオーバーヘッド削減も入ってた！

Linux2.6にはauditが入っている。 SELinuxなどのセキュアOSでは、これを使ってログ取ってるが、あまり知られていない。 組込み種ITやってたら、auditを直す必要に迫られたので、解析してみよう。 auditの構成 カーネル部分 kernel/audit.c audit本体。kaudit…

http://www.ipa.go.jp/about/press/20071023.html KaiGaiさんがいる。すげー！おめでとうございます！！

開発中の種IT 2.2.0のこと。通称、μ（みゅー）種IT。 はっきりいって、私しかユーザはいないかもしれないが、 マニュアルができてきた。 種ITで、ポリシ書いて、家電でSELinux動かそうぜ！ 利用イメージ まず、「組込みではrefpolicyじゃポリシは書いとれん…

lkmlのsubjectを眺めてたら、LSM関係でLinusが降臨してるのを発見。後でみよ。 http://marc.info/?t=119267292400005&r=1&w=2

Ubuntu7.10にAA(AppArmor)が入ったらしい。 http://www.atmarkit.co.jp/news/200710/18/ubuntu.html セキュリティモジュールの「AppArmor」を標準インストールで提供 AAエバンジェリスト(?)の私としては嬉しいが、微妙だ。実はSEEditを入れて、UbuntuにSELin…

以前出した、read/writeパフォーマンス向上と、 avtabのメモリ消費節約が、カーネル本体にマージされた。すばらしい。 http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=3232c110b56bd01c5f0fdfd16b4d695f2e05b0a9 http://git.…

AppArmorなどが大量に釣れたスレ。 http://lkml.org/lkml/2006/4/17/82 よく見ると、凄いこと言ってるなぁ。。。 要約すると SELinuxだけで十分 LSMがあると、駄目なセキュアOS（セキュリティ機能）がマージされてしまう危険が残る ってことか。喧嘩売りすぎ…

id:haradatsさんにMLで教えてもらった。 http://www.selinux.gr.jp/selinux-users-ml/200710.month/2019.htmlCrispin Cowanが、 AppArmor技術を中核とした会社を作ったらしい。 原因としては、 Novellが、AppArmor開発陣をレイオフしたらしい。。。 http://w…

第四回SELinux Symposiumが開催されるかどうか、聞いている人がいた。 どうやら、第四回は開催されないようだ。 http://marc.info/?t=119205281800016&r=1&w=2表向きの理由は、 SELinuxネタは他のカンファレンスに出すべきだから 本当は、スポンサーなど大人…

こんなスレが立っているAre the reference policy abstractions the right ones? http://marc.info/?t=119194317700002&r=1&w=2Refpolicyについての問題点とその改善方法について議論している。 昔のポリシよりは体系だっているけど、 依然問題も多いのは確…

chrootは、昔から穴が見つかったりしていたが、 (exploitコード見てると、chrootをbreakしてから云々というのがあったりした） やっぱり、セキュリティ用途でchrootは駄目っぽい。 http://kerneltrap.org/Linux/Abusing_chroot http://blog.gcd.org/archives…

金曜土曜とOSCに出してきた。 今回は、来客対応というより、 他コミュニティとの交流がメインだった。 一つの部屋に全コミュニティ集合というのは、なかなかよい試みだったと思います。 タダで機会を提供してくださったOSC事務局様、ありがとうございました…

OSCで、PANDAさんに色々教えてもらった。 SELinuxは、 ファイルopen -> read/write というときに、open, read,write両方の時にパーミッションチェックを行う。 TOMOYO Linuxとかはopen時にしかチェックを行わない。SELinuxのようにread/write時にもチェック…

OSC会場だけど、まだ人の入りが悪くて退屈なので、 暇つぶしに。。。よく、一般ユーザーで実行すると、ポップアップが出てきて、 root認証が促されることがある。 system-config-networkとか。 隣のintrajpさんに聞かれたので、書いてみる。例として、 /usr/…

今までになく、大量に人が来ている。 http://www.st.ryukoku.ac.jp/~kjm/security/memo/2007/10.html#20071004__SELinux からリンクされたみたい。 予想されるネタ: NSA 陰謀説 な、なんだってー！ MMR緊急出動だ！ 彼らは、SELinux以外のセキュアOSを全て潰…

金曜、土曜と、OSC2007 Fall/Tokyo のセキュアOSユーザ会(SELinuxユーザ会のエイリアス) のブースにいます。 私の担当は、組込みSELinuxです。 L-BoxというSH4が入っているデバイスにSELinuxを入れてます。 組込みでもSELinuxが使えるようになってきました。…

KaiGaiさんのパッチがマージされた。 SELinuxのアクセスチェック時、 AVCをミスしたときは、直接ポリシの構造体を見に行くが、 その探索は遅い。 KaiGaiさんパッチは、 その速度を２．５倍ぐらい速くしている。スレ： http://marc.info/?t=119078657600002&r…

今朝も、lkmlにLSM無くす議論の続きが色々流れている。 今日もLinus氏はキレている。http://lkml.org/lkml/2007/10/2/315 you're simply FULL OF SH*T. 実は、このような表現は、US人の間では、 日常的に使われているものなのだろうか？？ 日本でも、漫画な…

lkml見てたら、セキュアOS関係で大きな動きがあった。 発端はこの発言 http://lkml.org/lkml/2007/10/1/110SmackというLSMモジュールが提案されてて、 それに対し、James Morrisが、LSMやめてSELinuxだけにしようと言っている。 が、これはLSMの趣旨に反して…