あまり有効に活用されているとは言い難いSELinuxのRBACだが、最近は地味にロールの種類が増えてきているようだ。Reference Policy の policy/modules/roles 以下を見てみると、こんな感じで結構盛りだくさん。 $ ls *.te [kaigai@ayu roles]$ ls *.te audita…

久々の更新ｗ今日と明日は、PostgreSQL Conference 2009 Japan （主催： 日本PostgreSQLユーザ会） に参加 私の発表は明日なので今日は聞くだけ。 Bruce Momjian氏のPg_migratorの話題と、三三株式会社さんの名刺データ管理を提供する SaaSソリューションの…

転載。 10月21日〜23日に開催のJapan Linux SymposiumのEarly Registration期間が〜9/15まで延長になったようだ。特に学生さんは３日間通しのパスが$50USなので、この値段なら身銭切って申し込んでもいいと思う。 内容は英語でプロ向けだけど、お仕事として…

虎ノ門、金沢工業大学のサテライトキャンパスをお借りして開催された、まっちゃ445勉強会に行ってきた。 自分としてはあまり馴染みのない分野なので、結構よい勉強になった。体感的には、一日に100〜200通の迷惑メールを受け取っているような気がする。 まぁ…

以下の日程で、４回目のセキュアOS塾を開催します。今回は、SELinuxを用いたデータベースのセキュリティ強化機能である SE-PostgreSQL と、Oracleで類似機能を提供する Oracle Label Security を比較しつつ、データベースにおける強制アクセス制御機能の紹介…

採択の連絡が来た。 From: Japan Linux Symposium Subject: Your Submission Has Been AcceptedHello,We are pleased to let you know that your submission for the 2009 Japan Linux Symposium (JLS) has been accepted.The conference will be taking pla…

そして、懇親会へ移動。 特にお世話になった人に対して、id:haradatsさんから一人一人、 捻りの聞いたお礼の言葉と共に感謝状を贈っていた。会場では、日本SELinuxユーザ会の草創期に活躍されていた懐かしい人にもお会いする。そしてまぁ、次にメインライン…

本日は恵比寿のSGIホールでTOMOYO Linuxメインライン化記念勉強会＆懇親会。まっちゃだいふくさんから、本日の進行についての説明と、 日本各地のセキュリティ勉強会コミュニティの紹介 ちなみに、タイムテーブルはこんな感じ。 16:30〜16:30／全国で開催さ…

数日前にTOASTメカニズムで書いたように、PostgreSQLの現在のLargeObjectの実装とTOASTメカニズムの仕組みは非常に似通っている。まず、テーブル定義。TOASTテーブルとpg_largeobjectは非常に似通った構造を持っている。 pg_toast_%u ( chunk_id oid, chunk_…

PostgreSQL雑記―透過的なデータ暗号化 (案)についてコメント。少し長くなるので、別個にエントリーを作ってみた。 セキュリティ、監査、改竄防止、アクセス制御、情報漏洩防止、暗号化……この辺りはデータベースでどうすれば良いかを聞かれることは多いものの…

SE-PostgreSQLの類似機能を調べてたら面白いモノを見つけた。 ■ Oracle Database Enterprise Edition 製品ライセンス/価格 http://www.oracle.com/lang/jp/corporate/pricing/dbee.html Oracle Label Security ライセンス価格 ... \1,250,000/CPU サポート費…

PostgreSQLで可変長データ型を扱う時、内部的にはTOASTと呼ばれる機構を利用して、別の隠しテーブルに可変長のデータを格納するようになっている。この時、可変長のデータは適正な長さに分割されて格納されるので、タプル一個あたりのデータ長がブロックサイ…

v8.4の開発サイクルで指摘された、pg_securityシステムカタログのエントリを回収する機能を実装してみた。security_reclaim_label()というSQL関数を実行すると、もう参照されていないセキュリティコンテキストを探し出して削除する。 postgres=# SELECT secu…

今までさくらのブログを使って『KaiGaiの俺メモ』を書いていたが、はてなダイアリーに引っ越す事にした。自分のメモは、性質上、ソースコードを引用することが多いが、さくらのブログではそういう場合、<pre>〜</pre>タグを使わなくちゃいけなかったり、HTMLタグを直打…

そろそろ Fodora Project への提案を考えている mod_selinux モジュールであるが、地味に改善を進めている。 設定ディレクティブの見直し 従来は、以下の２つの設定項目のみを用意していた。 selinuxMappingFile ユーザ/IPアドレスとドメインの対応関係を記…

Apache/httpdから起動される web application インスタンスに個別のセキュリティコンテキストを付与するため、ここ１年くらい、色々なアイデアを試している。前のアイデアでは、httpdの標準MPM(Multi Processing Module)である prefork から派生した実装で、…

目下のところ、PHPにはSELinux関連のAPIを呼び出す方法がないので、libselinuxへのバインディングを自作した。http://code.google.com/p/sepgsql/source/browse/misc/php-selinux/使い方は以下の通り。% svn checkout http://sepgsql.googlecode.com/svn/mis…

なぜ私はこの記事を日本で書いているのだろう。ヽ（゜∀゜）ノ結局、タスマニアで開催中の Linux Conf Au 2009 への出張は、折からの不況による出張予算の削減によってぽしゃってしまった。一応、私は Database miniconf SE-PostgreSQL 〜 "System wide consi…