SELinuxな人のAppArmorへの思い
TresysのBrindle氏のblog
http://securityblog.org/brindle/2006/08/20/on-apparmor/
勝手に要約すると以下かな
(★注:間違ってるかもしれません!)
- AppArmorはごく一部の脅威しか防げない。使いやすくはできるが、セキュアじゃない。
- AppArmorはその思想上、これ以上のセキュリティ向上は望めない。
- SELinuxは、由緒あるアーキテクチャで作られており、柔軟である。したがって、努力しだいで簡単にできるはず
- 頑張ってSELinuxを簡単にすれば、AppArmorの対象領域もカバーできる。
- 使いやすくもでき、セキュアにもできるSELinuxこそが最高
私がLIDSとSELinux両方やってた4,5年前、
LIDSを追うのはあきらめて、SELinuxを続けることにした理由と一緒かも。
Brindle氏の議論を言い換えると、
SELinux, AppArmorのスタートポイントは、
- セキュア、設定至難:SELinux
- セキュアじゃない、設定簡単: AppArmor
だけど、
「セキュア、設定簡単」の領域に先にたどり着けるのは、
果たしてどちらか、
そう、SELinuxにしかできないだろう!という話
昔懐かしいあった、サッチー騒動で、
サッチーと喧嘩することで、かえって名が売れたタレントがいたけど、
そんな感じで、SELinux vs AppArmorも、喧嘩で名が売れて、
市場も増えればいいのだけど。。。
が、Brindle氏のblogを見てると、
氏は議論に疲れたようで、開発に専念したいっぽい。
「パーミッションの意味をちゃんと分かっている人だけがポリシーを書くべき」
っぽいこともコメントで言ってるなぁ。
もっともだけど。。。
国際的には、反SELinuxはAppArmorしか表にでてないけど、
TOMOYO Linuxの中の人とか、LIDSの中の人に通訳つけて、
SELinux軍団と徹底的に技術討論してもらいたいなぁ。
#私はseedit陣営(汗
とりあえず、SELinuxが無効にされまくっている現実を早急に
なんとかせねば、私は生きていけないな orz