YLUG カーネル読書会 (2)
SELinux部の質問タイムで、次のような質問をさせていただいた。
現状のSELinuxは、remote exploit 対策としての使用が主になると思うが、
- chrootなら、jail内のファイル以外はアクセスされないと管理者が確信できる
- 一方、SELinuxは、保護範囲がいまいちわからない
- ディストリビューターは、自分たちの設定を神として信じろというスタンスみたいだし
- 信じられない場合は解析するしかないが現実的には難しいし
「rootならchroot環境を脱出できてしまう」という話以外で、chroot環境よりSELinuxのほうが(・∀・)イイ!という例があったら教えて欲しい
回答は、
というものだった。1.1については、"stackable filesystem" を使えばコピーしなくてもOKなのではないか?というツッコミもあったが詳細はよくわからず。2については、rootでなくとも脱出可能な環境は、あるらしい*1。なるほど。
と、このあたりで時間切れ。これ以上はお伺いできなかった。
>