SELinux vs AppArmor on LSM list

朝になってもおさまる気配がない。。

参戦

野次馬に徹してたが、ひとつだけ投稿してみた。
SELinuxでAppArmorライクなことできるじゃないの?
と言ってる人がいたので、seeditを紹介しておいた。
下手するとSELinuxとAppArmorの両方に嫌われるな(笑
本当は、AppArmorも好きなので感謝を言っておきたかったが、うまく伝わらない気がしたのでやめた。

AppArmorのパスアクセス制御不十分

LSMを使っている限り、パス名アクセス制御はできないだろ、って話。
先日kaigaiやPANDAさんが言ってたやつですな。inode->名前変換がどっかのフックでうまくいかないって話。

パス名ベースのアクセス制御をカーネルでやるのはやめてくれ

と、SELinux開発者が相当強硬に主張。
すでにlmklなどで、パス名ベースで何かやることの駄目さが議論されたらしい。

LSMの歴史について

LSMは、SELinuxでつかうのに適するために作られたものなんでしょ？
という発言について、SELinux開発者から猛反発。
「もともとAppArmorの人たちが作ったんだよ！」と怒り気味。
「コミュニティは、駄目なアイデアを取り込むためにあるんじゃない」
という過激発言も。こわいよーー

LSMの懸念

商用ソフトに，GPLを回避するために使われ始めてるのが嫌だとか。

にしても、今後SELinuxとAppArmorの関係はどうなるんだろう。今現在(US東部時間14:00)、SELinuxサイドは全ての質問に答えており、ディベートとしては、SELinux有利。だが、ディベートの勝敗で解決できる問題とは思えない。双方の溝の深さは深刻だ。

seeditについて返答

おお！AppArmorのネ申から、seeditについて返答がきた。うれしいな。
fascinating piece of workと言ってくれた。
けど、AppArmorネ申の返答を見てると、
AppArmorをセキュリティ強化すると、seeditになる気がしてくる。
結局のところ，LSMを使ってるので。

AppArmorの反撃

私の投稿で、SELinuxはsysfsなどxattrをサポートしないファイルシステムのアクセス制御がうまくいかない、
動的に生成されるファイルのアクセス制御がうまくいかない
って話を書いた。
これが，AppArmor→SELinuxへの反撃に使われている。。
AppArmorの人に、私の感じている文句を言わせている感じだ（汗
まさに論戦だなぁ。
まぁ、お互いけなしあっても、技術論である限りいいのか?
おかげで、SELinux/AppArmor双方の問題点が洗い出されてきている。

himainuの日記