lids-2.2.3rc2-2.6.22公開に向けて
lids-2.2.3rc2-2.6.22がソースベースではほぼ完成した。
今回の目玉は
LIDS_SOCKET_XXX機能の復活
LIDS_SOCKET_NF_MARK機能の復活
の二点なのだけれど、公開に向けて一つ問題が。
LIDS_SOCKET_NF_MARKを使う時には、netfilter側にMARK値を引き渡す必要があるため、
net/netfilter/xt_MARK.c
にパッチをあてる必要がある。
これをやってしまったら、LSMの枠内からはみ出した事になっちゃう気がする。
しかし、SELinuxでは
net/netfilter/xt_SECMARK.c
で「config_selinux_enabled()」
みたいな関数を平気で使っているので、あっちはハミ出しているじゃないかと思ったりもする。
SECMARKをうまく使ってMARK値を引き渡せれば良いんだけれど、やっぱりnetfilter側に
パッチをあてざるを得ないんだよねぇ。ただ、NF_MARKの機能は面白い物なので、
個人的には外したくは無いし。
OMO
systemcallssecurity functions mapping sheet
2.6.20カーネルを元に、どのsystemcallが、どのsecurity(),
cap()関数を呼び出しているかの表を作成してみました。
http://www.selinux.gr.jp/LIDS-JP/systemcalls.html
からダウンロードできます。Excel(OOoで作ったから、フォントずれてるかも)
のファイルになっています。サンプルとしてHTMLもあります。
なにせ手作業でやりましたので、間違いがきっとあると思います。
間違いを見付けましたら、アップデートしますので御連絡ください。
そもそも、某人の言葉がきっかけになって、LIDSのためにこの表を
作成したのですが、LIDSだけに留まらずに色々使えそうです。
#実際、調べてみるとpipe関連とかメモリ関連、Clock周りなど、
#セキュリティ関数が殆んど呼ばれていなかったりします。
#だからと言って一概にどうこうは言えないとは思いますが、
#本当にきちんとLSMによりセキュリティが担保されるのか
#(利便制だけの問題ではなく)辺りの議論が出来ると良いかなと
#思います。
日本のCIO、最優先課題は「人材育成」と「セキュリティ技術」
日本のCIO、最優先課題は「人材育成」と「セキュリティ技術」
http://www.computerworld.jp/news/trd/60549.html
だそうだ。
もう少しセキュリティへの関心が高まってもらいたいポジションの人なので、
こういう記事は興味深い。
OMO