SELinux部の質問タイムで、次のような質問をさせていただいた。

現状のSELinuxは、remote exploit 対策としての使用が主になると思うが、

• chrootなら、jail内のファイル以外はアクセスされないと管理者が確信できる
• 一方、SELinuxは、保護範囲がいまいちわからない
  • ディストリビューターは、自分たちの設定を神として信じろというスタンスみたいだし
  • 信じられない場合は解析するしかないが現実的には難しいし

「rootならchroot環境を脱出できてしまう」という話以外で、chroot環境よりSELinuxのほうが（・∀・）イイ！という例があったら教えて欲しい

回答は、

1. chroot環境を整えるのは面倒
   1. ファイルのコピーが必要なのはちょっと
   2. chroot環境内に脆弱性のあるファイルがあったら?
2. chrootはrootなら脱出できる。rootでなくとも脱出できてしまうOSが多いという話を聞いたことがある

というものだった。1.1については、"stackable filesystem" を使えばコピーしなくてもOKなのではないか？というツッコミもあったが詳細はよくわからず。2については、rootでなくとも脱出可能な環境は、あるらしい*1。なるほど。

と、このあたりで時間切れ。これ以上はお伺いできなかった。

>