本が届いた

Amazonで注文していた「SELinux by Example: Using Security Enhanced Linux」が届いた。
http://www.amazon.co.jp/gp/product/0131963694/

とはいえ、全然読む時間が取れそうにないので、ちょこちょこ読み進めていくしかなさそう。

目次と中身をぱらぱらっと眺めてみたところ、10章でObject Labelingという独立した章が用意されていて、ファイルやプロセスへのセキュリティコンテキストが、どういった手順で付与されるのかが(ざっくりと)書いてあった。
ソケットとかIPCオブジェクト(共有メモリ)のセキュリティコンテキストが、作成したプロセスのものを継承するってちゃんと書いてあって偉い偉い。

時期的に当然と言えば当然だけども、MLS, semodule, Reference Policyなども当然入っている。字が大きくてそれほど厚くないので、まぁ何とか完読したいものだ。

章立てでちょっとイケテナイのは、Object Class and Permissionの章。
ざっくり見たところ、表を書いてそれに添った形で説明が順に添えてある形だった。網羅的に書こうとすると、どうしてもこういう形になると思うけども、これだとどうしても分かりにくいと思う。
なぜかと言うと、execve()とかrename()とか、複数のパーミッションが評価される操作とイメージを結びつけにくくなるから。read()みたいに単純な操作でも、内部的には複数のパーミッションを評価してるし、『read()の時はこういう流れで判定して、rename()の時は…』みたいな書き方をして、付録にアクセスベクタの一覧でもいい気がする。
それに、Object Class and Permissionって常に増加してるしw