読者です 読者をやめる 読者になる 読者になる

SE-PostgreSQL 1.0β リリース

OSS/Linux ANN

以下の通り、リリースアナウンスを出しました。

http://code.google.com/p/sepgsql/wiki/NEWSRELEASE_20070701

============================================================
SE-PostgreSQL 1.0β版 リリース (2007/07/01)
============================================================

2007年7月1日、SE-PostgreSQL開発チームは SE-PostgreSQL1.0β版 及び
「The security guide of Security-Enhanced PostgreSQL β(日本語/英語)」を
リリースしました。

これらのパッケージ群は、以下のURLより取得することができます。
http://code.google.com/p/sepgsql/downloads/list

o SE-PostgreSQL 1.0 β版
sepostgresql-8.2.4-0.391.beta.fc6.i386.rpm
sepostgresql-8.2.4-0.391.beta.fc7.i386.rpm
sepostgresql-8.2.4-0.391.beta.fc7.src.rpm
sepostgresql-8.2.4-0.391.beta.fc7.patch
o Fedora 7 向け ベースセキュリティポリシー
selinux-policy-2.6.4-14.sepgsql.fc7.noarch.rpm
selinux-policy-targeted-2.6.4-14.sepgsql.fc7.noarch.rpm
selinux-policy-devel-2.6.4-14.sepgsql.fc7.noarch.rpm
o Fedora core 6 向け ベースセキュリティポリシー
selinux-policy-2.4.6-74.sepgsql.fc6.noarch.rpm
selinux-policy-targeted-2.4.6-74.sepgsql.fc6.noarch.rpm
selinux-policy-devel-2.4.6-74.sepgsql.fc6.noarch.rpm
o "The security guide of Security-Enhanced PostgreSQL" β版
sepgsql_security_guide.20070701.jp.beta.pdf
sepgsql_security_guide.20070701.en.beta.pdf

インストールの詳細は以下のURLを参照してください。
o SE-PostgreSQL installation memo (Fedora 7)
http://code.google.com/p/sepgsql/wiki/install_memo_Fedora7
o SE-PostgreSQL installation memo (Fedora core 6)
http://code.google.com/p/sepgsql/wiki/install_memo_FC6

■ SE-PostgreSQL の特徴
SE-PostgreSQL (Security Enhanced PostgreSQL) は PostgreSQLにビルトイン
されたセキュリティ拡張機能で、SELinuxとの連携により、オペレーティング
システムとデータベース管理システムを統合されたセキュリティポリシーの下で
一元的に管理することを可能にします。加えて、SE-PostgreSQLは、行レベル/列
レベルを含む細粒度のアクセス制御機能と、特権DBユーザに対しても回避不可能
な強制アクセス制御機能を提供しています。

このような SE-PostgreSQL の特徴は、データベース管理システムをオペレーティ
ングシステムと一体化した情報フロー制御の枠組みに組み込むことを可能にし、
情報資産を漏えいや改ざんといった脅威から保護します。

■ 本バージョンの位置づけ
本バージョンは、SE-PostgreSQL1.0正式版のリリースに向けたテスト及び評価を
目的としています。従って、テスト/評価以外の目的で SE-PostgreSQL1.0β版
を利用することは推奨しません。

SE-PostgreSQL開発チームは、SE-PostgreSQL1.0正式版のリリースに向けた機能
フリーズを宣言します。これは、1.0正式版のリリースまでの期間、バグ修正を
除く新規機能の追加を行わないことを意味します。

バグの報告やSE-PostgreSQLの動作に関する質問、ドキュメントに対する疑問点
など、SE-PostgreSQL開発チームはOSSコミュニティからの全てのフィードバック
を歓迎します。

■ ロードマップ
SE-PostgreSQL開発チームは、約1ヶ月のベータ評価期間の後にSE-PostgreSQL1.0
正式版のリリースを予定しています。
また、将来的にはPostgreSQL本流へのPGACE/SE-PostgreSQL機能のマージを目標と
しています。

■ SE-PostgreSQL 1.0 α版からの変更点
SE-PostgreSQL1.0β版は、2007年3月5日にリリースされた SE-PostgreSQL1.0α版
から以下のような修正を加えています。

o PGACEフレームワークの採用
PostgreSQL Access Control Extension (PGACE) は、セキュリティ拡張機能が利
用できる多数のフック関数と、DBオブジェクトのセキュリティ属性の管理を軸と
するフレームワークで、PostgreSQLにビルトインのセキュリティ拡張機能の共通
基盤となるものです。

o バックアップ/リストア
pg_dump及びpg_dumpallコマンドに --enable-security オプションを追加しまし
た。これによって、セキュリティコンテキスト付きのバックアップ/リストアを
行うことが可能になりました。

o SQL構文の拡張
CREATE TABLE/FUNCTION/DATABASE および ALTER TABLE/FUNCTION/DATABASE の
拡張により、システムカタログを直接操作することなくDBオブジェクトのセキュ
リティコンテキストを設定することが可能になりました。

o 新しいパーミッションの追加
table, column, tuple の各オブジェクトクラスに対して、{use}パーミッション
が追加されました。これは、WHERE条件句やGROUP BY句でカラムを参照した場合な
ど、クライアントが直接にデータを読み出さないタイプのDBオブジェクトの参照
に対して評価されます。

o セキュリティポリシーの改善
新たに、テーブルに対して sepgsql_ro_table_t(読込み専用) 及び
sepgsql_fixed_table_t(読込み/挿入専用) タイプを付与することが可能になりま
した。
ユーザ定義関数に対して sepgsql_user_proc_t タイプが付与されるようになりま
した。管理者はこのタイプの関数を実行できないため、素性の明らかでない関数を
誤って高い権限で実行することを避けることができます。

o 多くのバグの修正
αリリース以降の4ヶ月間に多くのバグが発見・除去されています。

■ 謝辞
SE-PostgreSQLの開発は、IPA/未踏ソフトウェア創造事業(2006年度/下期)の支援を
受けています。