■
Symposiumに参加して、SELinux Policy Editor的に必要と思ったこと。
- 位置付けの変更??
本場の人々は、「パス名ベースの設定」は、セキュリティ的に根本的に駄目だと思っているようだ。
なので、本場に媚びるならば、位置付けを
-
- 1)将来的にはみんなラベルベースの設定をすべき
- 2)とはいえ、現在は、教育不足でパス名を好む人がいる
- そう、つまりパス名ベースの設定をする人は、「セキュリティの勉強不足な人々」という位置付けに本場的にはなってしまう!!!!!うへー
- file_contextsへの設定は、セキュリティの初期状態の設定にすぎないそうです。
- そう、つまりパス名ベースの設定をする人は、「セキュリティの勉強不足な人々」という位置付けに本場的にはなってしまう!!!!!うへー
- 3)現在は、パス名→ラベルの過渡期にあり、seeditは、その橋渡しを手伝うツールである
のようにすべき??
「退かぬ、媚びぬ、省みぬ」と行きたいところだけど、私のほうが本場の人より頭が良いとは全く思えない。つまり、パス名ベースの設定を、理論的、学問的に正当化はできないです。なので、柔軟な対処が必要だな。
- LSPPの勉強
ラベル名ベースの良さを勉強するためにも、LSPPの勉強が必要。
- Redhat Magzineへの投稿
Redhat Magzineの編集に近い人は、path-named configurationは別に悪いとは思ってなさそう。とはいえ、 本場の人たちがpath-named configurationを嫌うので、本場の人を怒らせない配慮が必要そうだ。
- Appendable Simplified Policy
これが本場的に非常に重要な気がしてきた。つまり、Simplified Policyを「既存ポリシーに追加できるテンプレート作成」に使えるようにする。時間が…
あまりに日米の価値観が根本的に違うことを改めて実感。
本場の理想は、
- 「パス名ベースのセキュリティは根本的に間違っている」
- 「ラベルベースのセキュリティ(SELinux)を万民に教育して、それを使わせるべきである」
とか思っているようだ。
万民に教育して押し付けるなんてできるわけないだろ!と思う。
軍隊ならまだしも。
どうすりゃいいんだ…
やっぱり、パス名ベースのセキュアOSの隆盛は絶対必要!!
と強く思う。
AppArmor,LIDS,TOMOYOを焚き付けて、そこから攻めるか?
