SELinuxの勉強再開
SELinuxの世界に実に7,8年ぶりぐらいに復帰する気が起きたので、リハビリ開始。久しぶりにメモを書いてみる。
CIL
私の最も興味があるセキュリティポリシがどうなってるかだけど、ここ何年かでは、CILが一番大きな変更点の模様。
- CIL:
https://github.com/SELinuxProject/cil
- 面さんのリファレンスガイド翻訳
https://oss.sios.com/security/CIL_Reference_Guide_ja.html
どうやら、従来のポリシ記述言語を整理しなおしたもののよう。
refpolicyを置き換えるのではなくて、共存しようとしているように見える。
従来のrefpolicy -- CIL -- カーネルが読めるポリシ言語
のようになっている。
CILのメリット
ポリシ操作効率向上
2015 Linux Security Summitで,
http://kernsec.org/files/lss2015/lss-state_of_selinux-pmoore-082015-r1.pdf
2015- The Year of CIL
"Policy operations can be 50% ~ 75% faster than before"
と大きく語られている。一見するとポリシの記述がそれくらい簡単になるように勘違いしがちだが、そうではない。以下のRedhatの人のブログが恐らくソース。
https://mgrepl.wordpress.com/2015/07/30/cil-part1-faster-selinux-policy-rebuild/
これによると、ポリシモジュールの追加の速度が倍以上早くなるとのデータが出ている。
高級言語の実装が簡単になる
高級言語の例として、例として、lobsterというのが上がっていた
https://github.com/invincealabs/lobster
SEEditの言語もCILの上に書けるようになるんだったら素晴らしいのだけど。
CILが実際にrefpolicyとどう共存しようというのかは、これから調べなくては。。