Linux Symposium 最終日
Smackの発表
Smackネ申が、Smackのシンプルっぷりを力説。途中、SELinux軍団からツッコミが何度も入る。
以下話の内容を列挙。
- Smackは、MAC(データへのアクセス制御)のみを提供。settimeofdayなど特権は範囲外。特権はcapabilityを使ってくれとのこと
- Smackのアクセス制御モデル。図解だと一目で分かった。
- システムラベル3種類_、^、*。
- _は、全てのsubjectからreadonly, ^は全てのobjectにreadアクセス、*は、全てのsubjectからr,wアクセス
- ユーザ定義ラベルの定義とr,wアクセス制御
- ファイルには、何も設定しないと_ラベルがつく(つまりreadonly)
- システムラベル3種類_、^、*。
- ルール数はほとんどなし。ユーザランドもなし(securityfsへのアクセスで管理)
- このシンプルさゆえに、組込みには適しているハズである、と言っていた。組込みは機能は単純、サイズが小さいのが好まれるので。
シンプルさは理解できた。
ただ、組込みに本当に適してるかどうかは、実例を見てみないと分からない。
SELinuxも、機能がえらくふえてるけど、これは用途が広がってしまったためであって、本来もっと単純。
最小セットのSELinuxを作りたいが(以下自粛