ラベルの良さについて
http://securityblog.org/brindle/2006/04/19/security-anti-pattern-path-based-access-control/
必見です。
なぜパス名ベースのアクセス制御が駄目なのかを語ってます。
policy is not analyzable
パス名ベースだと
「Policy is not analyzable」って言ってるけど、なんでかな。
考えてみよう。
「パスワードを格納したファイルに誰がアクセスできるか」
を分析したいとする。
- パス名ベースの場合
- /etc/shadowにハードリンクされたファイルを全探索(全ファイルシステム検索)
- ハードリンクされたファイルにアクセスできるプログラムを検索(ポリシ検索)
となる。
- ラベルベースの場合
- パスワードファイルに付与するラベルにどんなドメインがアクセスできるか検索(ポリシ検索)
で終わりか。なるほど。ラベルベースのほうが楽だ。
- seeditだとどうなるんだ?
- ラベルはパス名から生成されるから、パス名ベースと一緒になるのか。なるほど。
「Shared directories」の部分は、seeditはラベルベースの良さを受け継いでるな。
セキュアOSコミュニティは、パス名 vs ラベルで大騒ぎですな。
内紛に明けくれて、外を見ることを忘れないようにせねばです。