日本セキュアOSユーザ会主催の、セキュアOS塾 – 02へ行ってきました。
1 つめのセッション
僕的大本命、 TOMOYO Linux に関してのもの。
SELinux はまず基本全部禁止のところから順次許可していくスタイルのため、ポリシの記述等、非常にめんどくさそうで敬遠してたのですが、TOMOYO Linux はまずは非武装(?)な状態で振る舞いを学習させてから、実際に保護モードにするというアプローチで、より運用に向いてると個人的には思っていました。
が、なかなか試すチャンスがなく1 、使ってみる機会が有りませんでした。
今回、実際に実装している人たちからの声を聞けたりして非常に参考になりました。
解ったこと。
- オーバーヘッドは数%で、SELinux と大して変わらない
- TOMOYO Linux の TOMOYO とは、 kernel
(の事を “さくら” と呼称するらしい)を絶えず見守る姿が、 “ともよ” が “さくら” を見守る姿と重なったため 命名された OS だということ2 3 - Linux Main Tree への導入がすすみつつあること(凄い!!)
- 実は “ともよ” と “さくら” は漫画が元ネタであること(これまた凄い!!)
- gentoo へのポーティング作業もすすんでいるらしいということ (ハッピー過ぎる!)
- 設定ファイルは /etc/ccs/ に置くらしい。そして、 CCS というのが元ネタの漫画 カードキャプターさくら の略称であるという凄い事実!!4
gentoo-portage に sys-kernel/tomoyolinux-sources sys-kernel/ccs-sources が出来たらがっつり Kernel 入れ替えることをここに誓います。
2 つめのセッション
OS (Linux) Capability について。
現行の Linux を初め、 UNIX の流れを受けてる OS がどれもが持ってるジレンマ、「 ROOT だったら何でも出来る。」 を、いかに押さえるかというテーマのお話でした。
解ったこと。
- Capability は現在34種。 64bit フラグで管理されている
- Capability を設定しても、fork して exec すると Capability はリセットされてしまう (Capability 制限前のプロセス初期化状態になる) ということ
これに対して、Capability を引き継ぐ exec を新たなシステムコールとして作る動きとかはないんですかね。 と意見してしまいました。
おそらく、Capability すらコピーする fork5 と、その Capability を引き継いだ exec の合わせ技になると思うので、素直に、 spawn_inherit_capability 的なシステムコールがあると幸せになれるんじゃないかな。
個人的には今の UNIX(POSIX) ベースではなくて全く新しい Capability ベースの OS が欲しいなと思います6 。
なんか、大学の UNIX の仕組みの授業を受けてるような雰囲気が新鮮でした。
きっと MINIX の授業とかはこんな感じなんだろうなあ。
3 つめのセッション
segatex についてのライトニングトーク。
えすいー・げーと・えっくす と発音します(重要)。
すいません、脳内パーサが sega – tex とパージングしてしまって、歴代のセガのゲームやゲーム機のロゴがマクロで生成出来る TeX を脳内イメージしてしまいました。
以降、まともに聞いてられませんでした。
\{SEGA}
\{SEGA-SATURN}
\{SEGA-MARK2}
\{DAYTONA-USA}
\{SONIC}
\{FANTASYZONE}
\{AFTER-BURNER}
\{GALAXY-FORCE}
とかやると、ベクタベースで無茶苦茶綺麗にレンダリングされる TeX 。 欲しいかも。
ちょっと自分でもテンションをコントロールできない位にハイテンションだったため、質疑応答に無茶苦茶質問してしまいました。反省。
今回は仕事の都合で参加できるかすら危うい状態だったので懇親会はパス。
行きたかった。
以上、インターネット・エンターテナー yugmix が現場の興奮冷めやらぬままに書き殴りました。
- gentoo-linux に標準サポートで入ってないのです。 [↩]
- Gentoo みたいにペンギンの一種だと思ってました。トモヨペンギン みたいな。 ちなむと、 “Too Object More Object Yetanother Object” とかも考えていました。 [↩]
- 実際の動作をひとつ残らず記録に残すという様子が、いつもさくらちゃんとともに行動し、さくらちゃんの様子を録画している知世ちゃんによく似ていたので、 TOMOYO Linux という名前になりました。
この名前は、「知世ちゃんが録画してぴったりのバトルコスチュームを製作する」という設定と、「 TOMOYO ちゃんが記録してぴったりのポリシーを生成する」という機能を重ねたものでもあります。
Linux「はにゃ~ん♪」化計画より引用。
[↩] - こんなの Main Tree に入れて良いの!? ホントに!? [↩]
- fork は Capability を維持する(らしい) [↩]
- 実はそれは NT kernel だったりするんですが。 [↩]
Related posts:
:
3 users commented in " セキュアOS塾 – 02 へ行ってきました "
コメントをフィードする comment rss / トラックバックする>kernel (の事を “さくら” と呼称するらしい)
それはちょっと違いますわ。
http://I-love.SAKURA.ne.jp/tomoyo/
既に Gentoo 向けのカーネルがありますわ。
http://tomoyo.sourceforge.jp/ja/1.6.x/compile.html#Gentoo
ごめんなさい。古いキャッシュを見て投稿されてないと勘違いしたので、片方削除してください。
熊猫さくら様:
まさか中の人の偉い人からコメントいただけるとは思ってもみませんでした。修正させていただきます。
gentoo は ccs-sources なのですね。 portage で stable がついたら使わせていただきます。
SPAM 防止のためにモデレートさせていただいてます。
コメントする