＠茅場町のNTTデータさんのビルで。お題はSELinuxとLIDS。講師は中村さんと面さん。中村さんは、「SELinux徹底ガイド」の著者の方で、日本で多分一番SELinuxに詳しい方です。宴会にも参加して沢山飲んで帰宅。SELinux話も面白かったし、LIDSについては何も知らなかったので新鮮でした。

SELinuxについてのメモ：

• SELinux Policy Editor は、まだkernel2.6用は無い。また、既存ポリシーの逆コンパイルはできない。
• USENIXでIBMがPolicyのverification toolを出した。が、多分実用的ではない。

LIDSについてのメモ：

• LIDS とは Linux Intrusion Detection System の略。
• IDSではなく、SecureOSの１つ。中国のXieさんを中心に開発。
• MAC。ACLを設定。
• ACLの記述が簡単。LSMに取り込まれている。カーネルモジュールとして提供されるかも？現在はパッチ。
• lidsconfというコマンドで設定する
  • lidsconfではファイル名で設定するが、実際にはすべてinodeでチェックされる
  • /var はきつめのアクセス制御、/var/log/message はゆるめ、のように、きつい→ゆるいの順で書く
• LIDSでは、Linuxの29個のケーパビリティを、デフォルトで全てoffで、与えていく形になる。
  • ケーパビリティは、LinuxJapan.com で連載があった。
  • ex) httpdの場合は port80と443を使用できるというケーパビリティを与える。
• lidsconfは、ACLの設定ファイルをブート時にメモリに展開する。
• 使うには、カーネルにパッチして、lidstoolsを入れる。vanillaカーネルにパッチするように。
• LIDS搭載ディストリビューションは、多分"Advantex (debian based)" だけ？
• LIDSは2.4カーネルも2.6カーネルもOK.
• 「for 2.2カーネル」のころからの進化。
  • Stateful ACL の採用。
  • ACL Discovery mode. (SELinuxのパーミッシブモードのようなもの?)
• LIDSにはRoleがない。
  • 組み込みではRoleは不要なのでLIDSでいいかも
• LIDSはACLの記述が楽。
• LIDSはプロセスACL*1の管理がイマイチ？
• ITProのSecureOS連載にLIDSが載っている