SELinux,AppArmorの適用場面

セキュアOS

AppArmorを使ってみて、どんな場面にSELinux/AppArmorが適するか考えてみた。
# 目新しくはないですが

  • SELinuxのほうがよい場面
    • a)Redhat Linux/Turbo Linux/Asianux/Fedora CoreOSSのセキュアOSを使う
    • b)カスタマイズが、ほとんどいらないシステム
    • c)カスタマイズをプロにやらせる予算がある
    • d)SELinuxを使いこなせる技術陣を持っている

if(a & (b|c|d)) then SELinux有効
という条件です(わかりにくい。。
つまり、Redhatのようなdistroを使う場合で、b-dの条件が揃わないと、
「セキュアOSはオフにする」決断をせざるをえない。
b-dの条件は,結構難しい条件だ。だからSELinuxをみんなオフにしている。

seeditの存在意義も見えてきた。
SELinuxしかセキュアOSの選択肢がないdistro(Redhatなど)
で a)-c)にかかる予算を下げ、セキュアOSをより多くの人に使って頂くためのツール」か。

  • AppArmorのほうがよい場面
    • a) SuSEでセキュアOSを使う
    • b) とりあえずファイルだけ守れればいい

a & bという条件。
SELinuxをオンにさせるより敷居が低い気がする。
一方、SuSEで堅いセキュアOSが欲しい場合は、どうにもならない。

ベンダから見たSELinux vs AppArmor

★注意★以下、半分冗談です。

ベンダーの視点から見てみると、
SELinuxが広まってくれたほうがありがたい気がする。
理由は、AppArmorでユーザーからお金をとれる気がしないから(笑

  • AppArmorでお金をとるには?
    • カスタマイズ
      • カスタマイズの手間はかからないので、作業費とれない。
    • 製品
      • ツールを作って製品化するにも、ツールが必要なほど難しいものではない。
    • 教育
      • 1、2日あれば教えれちゃうかも。
  • 一方SELinuxが広まったら??
    • カスタマイズ
      • がっぽり取れそう。さらに、LSPP対応システムなんてものが広まってくれれば、システムのコンサル、構築から始まって,お金とれそう。
    • 製品
      • ツールも、色々ネタが考えられる。TresysもRazor,BrickWallなんてものを売ろうとしてる。AppArmorにはそんなものは必要ない。
    • 教育
      • MLS,LSPPまで含めたら2週間は受講者をカンヅメにできるな。

うーん。SELinuxが広まりまくってくれれば、
ベンダにとっては都合がいい。すばらしい。
さらに、セキュリティレベルが高まるので、
ユーザーにとっても、社会にとっても万々歳だ。