LSM, AppArmorのスレがLKMLで延々と延びている。以前より、建設的な気がする。Linusが、LSMのメンテナを募集して、Arjan van de Ven氏が名乗りを上げた。 http://lkml.org/lkml/2007/10/24/613 http://lkml.org/lkml/2007/10/24/650 LSMモジュール提出のポイ…

普通のSELinuxでフルパス情報出力 SELinuxのログにフルパスが出ない問題だが、 Fedoraの普通のSELinuxにも当てはまることが判明。フルパスのログは、context->dummyが1だと、取らないようにされている。 auditのルールを何も登録しないと、context->dummyが…

LKMLへの提案が来た。今度は、SELinuxの人からも、普通のレビューのコメントがついている。 これが、真・友情パワーというものか？？

2.6.23だが、いくつか独自のパッチが当たっていた。 その中には、先日提案したSELinuxのオーバーヘッド削減も入ってた！

Linux2.6にはauditが入っている。 SELinuxなどのセキュアOSでは、これを使ってログ取ってるが、あまり知られていない。 組込み種ITやってたら、auditを直す必要に迫られたので、解析してみよう。 auditの構成 カーネル部分 kernel/audit.c audit本体。kaudit…

http://www.ipa.go.jp/about/press/20071023.html KaiGaiさんがいる。すげー！おめでとうございます！！

開発中の種IT 2.2.0のこと。通称、μ（みゅー）種IT。 はっきりいって、私しかユーザはいないかもしれないが、 マニュアルができてきた。 種ITで、ポリシ書いて、家電でSELinux動かそうぜ！ 利用イメージ まず、「組込みではrefpolicyじゃポリシは書いとれん…

lkmlのsubjectを眺めてたら、LSM関係でLinusが降臨してるのを発見。後でみよ。 http://marc.info/?t=119267292400005&r=1&w=2

Ubuntu7.10にAA(AppArmor)が入ったらしい。 http://www.atmarkit.co.jp/news/200710/18/ubuntu.html セキュリティモジュールの「AppArmor」を標準インストールで提供 AAエバンジェリスト(?)の私としては嬉しいが、微妙だ。実はSEEditを入れて、UbuntuにSELin…

以前出した、read/writeパフォーマンス向上と、 avtabのメモリ消費節約が、カーネル本体にマージされた。すばらしい。 http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=3232c110b56bd01c5f0fdfd16b4d695f2e05b0a9 http://git.…

AppArmorなどが大量に釣れたスレ。 http://lkml.org/lkml/2006/4/17/82 よく見ると、凄いこと言ってるなぁ。。。 要約すると SELinuxだけで十分 LSMがあると、駄目なセキュアOS（セキュリティ機能）がマージされてしまう危険が残る ってことか。喧嘩売りすぎ…

id:haradatsさんにMLで教えてもらった。 http://www.selinux.gr.jp/selinux-users-ml/200710.month/2019.htmlCrispin Cowanが、 AppArmor技術を中核とした会社を作ったらしい。 原因としては、 Novellが、AppArmor開発陣をレイオフしたらしい。。。 http://w…

第四回SELinux Symposiumが開催されるかどうか、聞いている人がいた。 どうやら、第四回は開催されないようだ。 http://marc.info/?t=119205281800016&r=1&w=2表向きの理由は、 SELinuxネタは他のカンファレンスに出すべきだから 本当は、スポンサーなど大人…

こんなスレが立っているAre the reference policy abstractions the right ones? http://marc.info/?t=119194317700002&r=1&w=2Refpolicyについての問題点とその改善方法について議論している。 昔のポリシよりは体系だっているけど、 依然問題も多いのは確…

chrootは、昔から穴が見つかったりしていたが、 (exploitコード見てると、chrootをbreakしてから云々というのがあったりした） やっぱり、セキュリティ用途でchrootは駄目っぽい。 http://kerneltrap.org/Linux/Abusing_chroot http://blog.gcd.org/archives…

金曜土曜とOSCに出してきた。 今回は、来客対応というより、 他コミュニティとの交流がメインだった。 一つの部屋に全コミュニティ集合というのは、なかなかよい試みだったと思います。 タダで機会を提供してくださったOSC事務局様、ありがとうございました…

OSCで、PANDAさんに色々教えてもらった。 SELinuxは、 ファイルopen -> read/write というときに、open, read,write両方の時にパーミッションチェックを行う。 TOMOYO Linuxとかはopen時にしかチェックを行わない。SELinuxのようにread/write時にもチェック…

OSC会場だけど、まだ人の入りが悪くて退屈なので、 暇つぶしに。。。よく、一般ユーザーで実行すると、ポップアップが出てきて、 root認証が促されることがある。 system-config-networkとか。 隣のintrajpさんに聞かれたので、書いてみる。例として、 /usr/…

今までになく、大量に人が来ている。 http://www.st.ryukoku.ac.jp/~kjm/security/memo/2007/10.html#20071004__SELinux からリンクされたみたい。 予想されるネタ: NSA 陰謀説 な、なんだってー！ MMR緊急出動だ！ 彼らは、SELinux以外のセキュアOSを全て潰…

金曜、土曜と、OSC2007 Fall/Tokyo のセキュアOSユーザ会(SELinuxユーザ会のエイリアス) のブースにいます。 私の担当は、組込みSELinuxです。 L-BoxというSH4が入っているデバイスにSELinuxを入れてます。 組込みでもSELinuxが使えるようになってきました。…

KaiGaiさんのパッチがマージされた。 SELinuxのアクセスチェック時、 AVCをミスしたときは、直接ポリシの構造体を見に行くが、 その探索は遅い。 KaiGaiさんパッチは、 その速度を２．５倍ぐらい速くしている。スレ： http://marc.info/?t=119078657600002&r…

今朝も、lkmlにLSM無くす議論の続きが色々流れている。 今日もLinus氏はキレている。http://lkml.org/lkml/2007/10/2/315 you're simply FULL OF SH*T. 実は、このような表現は、US人の間では、 日常的に使われているものなのだろうか？？ 日本でも、漫画な…

lkml見てたら、セキュアOS関係で大きな動きがあった。 発端はこの発言 http://lkml.org/lkml/2007/10/1/110SmackというLSMモジュールが提案されてて、 それに対し、James Morrisが、LSMやめてSELinuxだけにしようと言っている。 が、これはLSMの趣旨に反して…

Awww という英語(?)を始めてみた。なにやら唸り声を表現しているように思えるが。 WRRYYYYYとかも、世界のどこかで、普通に使われていそうだ。

OSC2007 Tokyo Fallが来週開催されます。 http://www.ospn.jp/osc2007-fall/ SELinuxユーザ会のaliasである セキュアOSユーザ会名義で参加します。セキュアOSユーザ会ブースでは、 SE-PostgreSQL、LIDSやセキュアOS運用管理関係、 組込みSELinux、segatexと…

SELinuxサポートが新しいBusyBoxに入ってる。 色々と組込み機器を見てみると、BusyBoxのバージョンが古いことが多い(0.xとかも多い)。こういう環境では、新版にアップグレードするのは怖いかもしれない。 # 今日もバグフィックスを送った(汗 古いBusyBoxを使…

ライブラリ、コマンド群などのSELinuxユーザーランドの最新版が 久々に出た。 http://www.nsa.gov/selinux/news.cfm#R070925 以前やった、libselinux/libsepolの分離とかmake EMBEDDED=yも入った。 stableとdevelopementのバージョンに分かれているようだ。 …

すっかり忘れてた存在。 libattrは、xattrを扱うAPI。 libselinuxもこれに依存してる？

SELinuxのread/write高速化パッチが、↓のスレにてようやくマージ。 長かった。。。。 http://lkml.org/lkml/2007/9/13/373 Jamesのgitに入った。次は、mmに入れるのだろう。 以前のメモリ削減パッチも、mmに入っている。パッチ適用後のlmbenchの値は以下。 1…

@IT【息抜きコラム：最終回 Type Enforcement（TE）】 http://www.atmarkit.co.jp/fsecurity/rensai/secureos04/secureos03.html 禁断のMMRネタ。SELinuxを使わないと人類は瞬時のうちに滅亡する！ な、なんだってー