Tetsuo Handa
from-****@i-lov*****
2005年 11月 20日 (日) 12:50:12 JST
To: 原田さん > honey, candy, groovyは、auth1, auth2, auth3のような > 名前が本来ふさわしいのです。実際、Linux Kernel Conference 2005で > 講演を行った際には、デモの中でauth1, auth2, auth3の名前で > 操作、ポリシーの説明をしています。 Linux Conference 2005 のデモや WiNF 2005 の論文とデモで honey candy というプログラムファイル名を使用しました。 それなのに、公開された tar ball の中で別の名前になっていると ソースコードを知りたいと思った人が混乱すると思い、そのままにしました。 (ある人のブログでは auth1(.c) auth2(.c) auth3(.c) という記述がされていました。 これは、 honey.c candy.c groovy.c と混同されたのだと思います。) C言語を知らない人でも理解できるようにシェルスクリプトとして記述したのには auth で始まる連番を、実際に適用する場合の参考になるようにC言語で 記述したものには honey.c candy.c groovy.c のように個別のファイル名を 与えるというのが私の考え方です。 一度デモや論文で使用したプログラムの名前は 特別な理由が無い限り改変すべきではないと思っています。 これが問題なら次回 tar ball 更新時に削除します。 To: 長迫さん > > しかし、逆を言えばTOMOYOでは、「プログラムを実行するたびにドメイン遷移を行なう」ので、 > > 「su」コマンドは、事実上使えないと言う事でいいんですよね? > > (まぁ、それぐらいの制約があっても不便だとは思いませんが) 実際に su を使うことは可能ですが、 su を使う必要性は低いと思います。 > SELinuxでは、一部ユーザランドのプログラムをSELinux対応に > 置き換えていますが、TOMOYO Linuxについては特にそのような必要が > ありません(これもTOMOYO Linuxの特徴のひとつです)し、特に制約も > 存在していません。「suコマンドが事実上使えない」という意味が > よくわからないのでもう少し説明いただけませんか? 世間では、 「誤操作などによる被害を抑える為に管理者であっても一般ユーザ権限で作業」し、 「必要なときだけ root 権限を行使する為に su を使用する」ように言われています。 でも、 TOMOYO では、ドメインがアクセスできる資源はポリシーで制限されており、 強制アクセス制御が有効な状態であれば rm -fR /* のような誤操作をしたとしても 被害はポリシーで許可された範囲に限定されます。 「最初から root 権限で作業しても問題無い」ようなポリシーを作成できるのです。 つまり、「TOMOYO では、 su コマンドを使って root 権限を入手する必要が無い」と 私は考えています。もちろん、 su コマンドを使うのは自由です。 ( sshd は root 権限で動いているのだから、たとえ PermitRootLogin を no にした所で バッファオーバーフローとかで侵入されれば root でログインされるわけです。 だったら、最初から root でログインしてもらっても大丈夫なようにポリシーを 策定すればいいと私は考えています。そのために CERBERUS と YUE が居るのですから。 実際に導入する場合に PermitRootLogin をどうするかはお任せしますが。)
TOMOYO
Fork