SELinux vs AppArmor on LSM list
朝になってもおさまる気配がない。。
参戦
野次馬に徹してたが、ひとつだけ投稿してみた。
SELinuxでAppArmorライクなことできるじゃないの?
と言ってる人がいたので、seeditを紹介しておいた。
下手するとSELinuxとAppArmorの両方に嫌われるな(笑
本当は、AppArmorも好きなので感謝を言っておきたかったが、うまく伝わらない気がしたのでやめた。
AppArmorのパスアクセス制御不十分
LSMを使っている限り、パス名アクセス制御はできないだろ、って話。
先日kaigaiやPANDAさんが言ってたやつですな。inode->名前変換がどっかのフックでうまくいかないって話。
LSMの歴史について
LSMは、SELinuxでつかうのに適するために作られたものなんでしょ?
という発言について、SELinux開発者から猛反発。
「もともとAppArmorの人たちが作ったんだよ!」と怒り気味。
「コミュニティは、駄目なアイデアを取り込むためにあるんじゃない」
という過激発言も。こわいよーー
LSMの懸念
商用ソフトに,GPLを回避するために使われ始めてるのが嫌だとか。
にしても、今後SELinuxとAppArmorの関係はどうなるんだろう。今現在(US東部時間14:00)、SELinuxサイドは全ての質問に答えており、ディベートとしては、SELinux有利。だが、ディベートの勝敗で解決できる問題とは思えない。双方の溝の深さは深刻だ。
seeditについて返答
おお!AppArmorのネ申から、seeditについて返答がきた。うれしいな。
fascinating piece of workと言ってくれた。
けど、AppArmorネ申の返答を見てると、
AppArmorをセキュリティ強化すると、seeditになる気がしてくる。
結局のところ,LSMを使ってるので。
AppArmorの反撃
私の投稿で、SELinuxはsysfsなどxattrをサポートしないファイルシステムのアクセス制御がうまくいかない、
動的に生成されるファイルのアクセス制御がうまくいかない
って話を書いた。
これが,AppArmor→SELinuxへの反撃に使われている。。
AppArmorの人に、私の感じている文句を言わせている感じだ(汗
まさに論戦だなぁ。
まぁ、お互いけなしあっても、技術論である限りいいのか?
おかげで、SELinux/AppArmor双方の問題点が洗い出されてきている。
アーカイブ
lkmlにもCCされてたので以下にアーカイブが。ということは、私もlkmlデビューしてしまったのか。
- Time to remove LSM
http://marc.theaimsgroup.com/?t=114530170700005&r=1&w=2
- implementation of LSM hooks
http://marc.theaimsgroup.com/?t=114504528400001&r=1&w=2
- AppArmorのlkmlへのsubmit