[connect24h:9294] Re: SELinux関係リンク集

["KONDOU, Kazuhiro" <kazuhiro@xxxxxxx>]

こんにちは、近藤＠古代図書館です。

hamamoto wrote:
> SElinux関係のリンク集を集めてみました。
> こうしてみると、あるようで情報がありません。
> 特に、一般エンドユーザのメモがすくない。

根本的に、DAC ベースのセキュリティしか知らない人にはレイヤーが
異なる話となるため、まずその辺りを理解してからでないと全く使えない
ものになりますから、一般エンドユーザの人でそこまで使ってみたい/
使っているという人自体が少ないのではないでしょうか。


> まだまだGUIによる設定ツールや、ゆるい自動設定ツールなどがない(発展途上？)
> ことなどが、普及を妨げているような気がします。
> ここら辺を克服するのが普及の鍵ですかね？＞識者の方々

ツールも必要ですが、まずは知識の方だと思われます。
この辺りはもともとアメリカ国防総省の調達要件などに絡む話から来てますから、
根本的に日本語での資料の絶対数が不足していますので、その辺りで英語サイトを
漁らないと入手できないのが辛いというのはあるかと思われます。


> 某犬のSecureOSのドライバ型のやつは、現在の稼働環境を読み取って設定してく
> れますが、それほどセキュリティレベルが強固なわけでもなく、利便性とセキュ
> リティの現実的な落しどころである設計だと思います。
> 
> SELinuxをパッチ適用などのコスト削減策ソリューションにするには、SELinuxの
> 中央集中型Policy Serverが出てきてからかな、という感触も得ました。

Secure OS という呼び方自体は個人的に Trusted OS (認定されているレベルのもの)
に対して、同レベルのセキュリティレベルを持ち (目指し) つつも、認定を受けた
ものではない OS (SELinux とか PitBull とか) という感じを受けます。

それと、パッチ適用などのコスト削減には根本的に利用できないと思われます。
そこからの情報漏洩を防ぐなどといった点では利用できても、緊急性を緩和すると
いったレベルまでしかできないでしょう。
これは MAC でアクセス制限をかけたファイルに cat とかしてみるとわかると思います。

# 個人的には SELinux ではなく FreeBSD(TrustedBSD module) しか使ってませんが。;)
# ps auxww しても他人のプロセスが見えなくなるようなモジュールなんかは、
# 共用サーバなんかでは嬉しいんじゃないのかな、とか思います。


-- 
KONDOU, Kazuhiro @ Ancient library
site top URL : http://www.alib.jp/
mail address : kazuhiro@xxxxxxx
fingerprint = 18CA 90A9 FDEE FBE1 F69A  D124 9F95 9289 E665 4D2B

--[PR]------------------------------------------------------------------
┏━━━━┓━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃◎大注目┃ ≪山本KID徳郁≫所属ジム『KILLER BEE』公式サイトオープン★
┣━━━━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃★KID選手のBLOGも公開!!ナマの声がリアルタイムで見れるのはココだけ!!
┗　　　　　　　　　　 ＜ http://killerbee.jp/ ＞
------------------------------------------------------------------[PR]--
■GMO INTERNET GROUP■ GMO INTERNET www.gmo.jp