全アクセスベクタ解析続き。

寝る前の日課

ソケット関連アクセスベクタの注意

昨日今日はソケット関連。昔MLで書いたが,TCP,UDPソケットを使ったドメイン間通信の制御はできないのに注意。TCP,UDPソケットの利用を全部禁止,はできるのだが。UNIX ドメインソケットの場合「connect」のドメイン間通信の制御だけはできる。受信の制御はできない。
昔は，もっとドメイン間通信の制御ができたのだが,Linux カーネル本家に入る時に落とされたとか。ポート番号やNICを指定した制御はある程度できるので,今はそちらで妥協するしかない（詳細はまとめ中…）ただ，このへんの機能は，情報フロー制御に不可欠な気がするのだが。LSPPの中にも，ドメイン(コンパートメントですかね）間の通信制御の用件は入ってないのだろうか。
Simplified Policyでの, この辺りのアクセスベクタ統合は,大昔のSELinuxをベースにしているので，抜本的に見直す必要がある。おそらく,設定項目大幅削減の方向に行くのだろう。

ソケット関連で使われてないアクセスベクタ

ioctl, append, lock, relabelfrom, relabelto, recvfrom
が使われてないことを発見した。recvfromは昔は使われてた気がするのだが。こう考えると，仕様上は昔のSELinuxのほうがセキュアだったりして。