[plamo:23642] Re: SELinux

[KOJIMA Mitsuhiro]

From: FUJII Hiroyuki <hfujii@auecc.aichi-edu.ac.jp>
Subject: [plamo:23640] SELinux
Date: Tue, 21 Sep 2004 19:44:56 +0900

> なんてことはないのですが、単に興味から質問です。
> kernel2.6以降は、SELinuxが使えますよね？
> Plamoで利用しているひとはいるんでしょうか？

多分いないと思ふ．

> 使っているとすればなぜ？
> 使っていないとすればなぜ？

SELinux は，root に集中している従来の UNIX の管理権限を細分化して，細
かくアクセス制御することでセキュリティを強化しようというアプローチだか
ら，カーネルレベルの対応だけでなく，各種基本ユーティリティのレベルでも
対応(SELinux 用のパッチをあてて再構築)が必要になってかなり面倒．

加えて，上記のように SELinux では root に集中していた管理権限を分割(例
えば新規ユーザ登録用の権限とかパスワード管理用の権限とか)してセキュリ
ティを高めるアプローチだけど，どのユーザやどのプロセスにどういう権限を
与えるか，というのを定義(ポリシー設定)する必要が必要になって，この設定
が極めて繁雑．

# 日立ソフトだったかが GUI な設定ツールを出してたと思う

カーネル 2.6 が出たころに，しばらくこのあたりの機能も調べてみたけど，
セキュリティ管理が金になるエンタープライズレベルならば使えるかも知れな
いけど，個人がサーバ立てて遊んでいるレベルではそこまでする必要はないの
では，というのが印象．

# まぁ，最近は Firewall のような性善説(内部には悪人はいない)なアプロー
# チだけではなく，組織内部にも悪人がいるという性悪説が前提になりつつあ
# るから，そういう世界では SELinux のアプローチも必要になる気もしては
# いる．

-------
こじま