v8.4に向けた最後のCommitFestでSE-PostgreSQLに関する議論もボチボチ進んでいる。その中で、インターフェースに関する修正もいくつか行った。正直な所、この手の自明なリクエストなら何でもっと早い段階で言わないんだ！と言いたくもなるが、非生産的なので…

SE-PostgreSQLで行を参照する際にチェックされるパーミッションには{use}と{select}の２種類がある。 例えば、以下のSQL構文の場合SELECT name,price FROM drink WHERE id in (2,3,4);nameおよびprice行には{select}パーミッションのチェックが適用されるが…

水曜日は、日本セキュアOSユーザ会に改称してから初めての勉強会となる「セキュアOS塾-01」を、港勤労福祉会館で開催した。ちなみに、"塾"と付けたのは、cram school（詰め込み式の学校）の意味ではなく、主として江戸時代末期に、社会に有為な人材を育成す…

SE-PostgreSQL 8.4devel (r1063) つまり開発版の最新版でパフォーマンスを計測してみた。userspace AVCの改良を加えただけあって、結構イケてる気がする。トライアル回数が少ないので、多少のばらつきが存在するが、性能上のペナルティは最大のケースでも 8%…

ITpro辺りでも取り上げられていますが、日本SELinuxユーザ会を、 日本セキュアOSユーザ会へと改称しました。http://lists.sourceforge.jp/mailman/archives/jsosug-users/2008-September/000013.html 「日本SELinuxユーザー会」が「日本セキュアOSユーザー会…

CELinux Forum Japan Technical Jamboreeで、ルネサスの岩松さんから git についてのお話。ちょうど、前の日に James Morris が俺のパッチを security-testing-2.6 ツリーの next ブランチにマージしたと言ってきたものの、リモートのリポジトリのブランチを…

SELinux: add boundary support and thread context assignment先月から議論を続けていたパッチがカーネルにマージされた。 linux-next経由2.6.28行きという形になるだろう。 このパッチの目的は、WebサーバやAPサーバがクライアントのリクエストを処理する…

というワケで、TLFJシンポジウムの併設BoFで発表したアイデアを、SELinux-MLに投げてみた。http://marc.info/?l=selinux&m=121611666013230&w=2階層化ドメインを利用して、子ドメインへの遷移に限り、スレッドが異なるドメインを持てるようにするというアイ…

昨日/今日と、The Linux Foundation Japan Symposium#8 に出かけてきた。 今回のテーマは『カーネル開発とセキュリティ』という事で、SELinux開発の中心人物である James Morris や Paul Moore を招いて、SELinuxプロジェクトの全体像と、最新のトピックにつ…

前回のエントリで書いた mod_selinux について、以下のような問題があるようだ。 １．ビルド環境の selinux-policy が最新すぎて、Fedora 9に入らない。 ２．SRPMをインストールすると以下のようなメッセージが表示される。~]# rpm -ihv mod_selinux-0.1-r90…

ApacheのBASIC認証と、SELinuxのsetexeccon()を組み合わせるモジュールを作成してみた。以下からダウンロードできる。 http://sepgsql.googlecode.com/files/mod_selinux-0.1-r906.i386.rpm http://sepgsql.googlecode.com/files/mod_selinux-0.1-r906.src.r…

SE-PostgreSQLについて講演したりすると、確実に質問されるのは 「じゃあ、webのユーザ毎に見えないデータを設定できたりできるんですか？」理屈の上では可能だが、現状ではCGIに手を入れたりしなければならず、色々と面倒ではある。そこで、その辺を解決す…

前回、pgsql-hackersに投稿したパッチに対して、Tom Laneから非常に多くのコメントが付いたが、ようやくその全てに対して修正を終えた。 （最も手間がかかったのは『ドキュメント添付してよ』というリクエストだったが…。）コーディングスタイルや、コンパイ…

かねてより提案していた SE-PostgreSQL のパッチに関して、Commit Fest:May の開始に伴い、開発チームリーダの１人である Tom Lane から物凄い勢いでレビューが返ってきた。 http://wiki.postgresql.org/wiki/CommitFest:May http://archives.postgresql.org…

2.6.x系のLinuxでストレージの暗号化を行うには、大きく２つの方法がある。 一つはdm-cryptを使うのもので、これはFileSystemとBlockDeviceの間に仮想的なレイヤを挟み、ここをI/Oが通過する間にデータの暗号化／復号化を行うもの。ディスク全体を暗号化する…

YLUGのカーネル読書会で、POSIX capabilityについて話してきた。 http://www.ylug.jp/modules/pukiwiki/index.php?plugin=attach&pcmd=open&file=YLUG080328_POSIX_Capabilities.pdf&refer=%5B%5BYLUG%5D%5D capability自体は 2.4.x カーネルの頃から存在し…

v8.3 ベースの SE-PostgreSQL を公開 SE-PostgreSQL 開発チームは、v8.3 ベース SE-PostgreSQL を 公開しました。 http://download.fedora.redhat.com/pub/fedora/linux/development 上記のURLより、セキュリティポリシーモジュールを含む、SE-PostgreSQLの…

SE-PostgreSQL向けのポリシーを、selinux-policyパッケージ（Fedoraの標準）に入れ込むための議論をしている。 http://marc.info/?t=120289541400001&r=1&w=2従来の SE-PostgreSQL のポリシーでは、SQL関数(db_procedure)に対してちょっとした小細工をしてい…

日常・カーリング・その他、非技術系の記事はmixiの方に移行しています。こちらでは、技術系エントリーだけという事で。http://tree.celinuxforum.org/CelfPubWiki/JapanTechnicalJamboree19 CELinux Forum "Super" Technical Jamboree#19に出かけてきた。今…

首を長くして待っていた PostgreSQL-8.3.0 がリリースされた。「PostgreSQL 8.3」が正式リリース、性能は最大30％向上(@IT) 約1年ぶりの新版，PostgreSQL 8.3リリース「トランザクション性能が最大30%向上」(ITpro) など、性能向上に主眼を置いて報じられて…

The latest vesion of SE-PostgreSQL fixes the following bug, we recommend you to update any legacy package.DESCRIPTION: We can associate an explicit label with newly inserted tuples using SELECT ... INTO statement, like as:SELECT security_c…

PostgreSQL-8.3.x ベースの SE-PostgreSQL を作成した。 (本家のPostgreSQLも今は8.3.0のリリース作業で大わらわの様子)http://koji.fedoraproject.org/koji/packageinfo?packageID=4967ベースとなるPostgreSQLを8.3(beta)に変更した際に、データベースのフ…

SE-PostgreSQLとPostgreSQLでは、データベースのデータ形式に互換性がない上に、DLLで提供されている拡張SQL関数群も専用のものを用意しなければならない。これは、8.2.xベースのSE-PostgreSQLを設計した際に HeapTuple のデータ形式について私の理解が十分…

東京都選手権・予選Ｂブロックの最終戦は、昨年度チャンピオンの樋熊打線。樋熊打線 vs みくたま チームの名前から受ける印象を比較しただけでも ま る で 勝 て る 気 が し な い。昨日、軽井沢から帰る道すがら、チームのメンバーと決めたこの試合の目標…

カーリングの東京都選手権は後半に突入、予選Ｂブロックは残り２日間で３試合を戦うことになる。 まず、今日はそのうちの２試合、かなタイムとＶ-２とのゲームを行う。明日は昨年度チャンピオンの樋熊打線との試合なので、白星を付けておく上では落とせない…

昨日からカーリングの東京都選手権大会が始まった。 事前の抽選の結果、我々チームみくたまは予選Ｂブロックで４ゲームを戦うこととなっており、今日はその初戦であるチームEDGE(エッジ)との試合になる。Ｂブロックを再度振り返ってみると、以下の６チームが…

http://marc.info/?t=119872761000002&r=1&w=2Linuxにおいてケーパビリティを扱うには、libcapというライブラリを用いるのが最も可搬性のある賢いやり方だが、現状、一つ問題点がある。libcapはケーパビリティの名前（"cap_net_raw"など）を、値（12など）に…