SELinux,AppArmorの適用場面
AppArmorを使ってみて、どんな場面にSELinux/AppArmorが適するか考えてみた。
# 目新しくはないですが
- SELinuxのほうがよい場面
if(a & (b|c|d)) then SELinux有効
という条件です(わかりにくい。。
つまり、Redhatのようなdistroを使う場合で、b-dの条件が揃わないと、
「セキュアOSはオフにする」決断をせざるをえない。
b-dの条件は,結構難しい条件だ。だからSELinuxをみんなオフにしている。
seeditの存在意義も見えてきた。
「SELinuxしかセキュアOSの選択肢がないdistro(Redhatなど)
で a)-c)にかかる予算を下げ、セキュアOSをより多くの人に使って頂くためのツール」か。
- AppArmorのほうがよい場面
- a) SuSEでセキュアOSを使う
- b) とりあえずファイルだけ守れればいい
a & bという条件。
SELinuxをオンにさせるより敷居が低い気がする。
一方、SuSEで堅いセキュアOSが欲しい場合は、どうにもならない。
ベンダから見たSELinux vs AppArmor
★注意★以下、半分冗談です。
ベンダーの視点から見てみると、
SELinuxが広まってくれたほうがありがたい気がする。
理由は、AppArmorでユーザーからお金をとれる気がしないから(笑
- AppArmorでお金をとるには?
- カスタマイズ
- カスタマイズの手間はかからないので、作業費とれない。
- 製品
- ツールを作って製品化するにも、ツールが必要なほど難しいものではない。
- 教育
- 1、2日あれば教えれちゃうかも。
- カスタマイズ
- 一方SELinuxが広まったら??
- カスタマイズ
- がっぽり取れそう。さらに、LSPP対応システムなんてものが広まってくれれば、システムのコンサル、構築から始まって,お金とれそう。
- 製品
- ツールも、色々ネタが考えられる。TresysもRazor,BrickWallなんてものを売ろうとしてる。AppArmorにはそんなものは必要ない。
- 教育
- MLS,LSPPまで含めたら2週間は受講者をカンヅメにできるな。
- カスタマイズ
うーん。SELinuxが広まりまくってくれれば、
ベンダにとっては都合がいい。すばらしい。
さらに、セキュリティレベルが高まるので、
ユーザーにとっても、社会にとっても万々歳だ。