« はにゃ~んLinux | メイン | 名証のシステム障害 »
2005年11月13日
真面目にTOMOYO Linux
まぁなんていうかもう名称だけで実装大 歓 迎 なんだけど、真面目にこのコンセプトはいいんじゃないかにゃ、ということ。
具体的資料についてはこのあたりからかな。
Snowy Night/Event 2005.6.2 Linux Conference 2005
SAKURA Linuxはrootkitのインストールなどシステムの改ざんを防ぐために、
「そもそも重要なファイルやコマンドは変更できないようにすればいいんじゃね?」って発想が基盤になったシステムで、
システムパーティションへの書き込みを出来なくしたり、/tmpでプログラムの実行を出来なくしたりなど、
こまごまとした調整ではなく、ざっくりと禍根を断つ方向。
TOMOYO Linuxはそれに加えて、動作しているプログラムが必要な権限を
その場でプログラムに与えるような実行システムをとっている。
具体的には、例えばkernelが起動させたプログラムでは、ネットワークの接続やファイルの読み書きが出来るけど、そのプログラムと同じものをbashなどから起動させた場合は、実行者は同じrootだったとしてもファイルの読み書きしか出来なくなる、どいったよう。
この概念自体は恐らく目新しいものではなく、SELinuxなんかにも搭載されているんだろうと思うのですが、
TOMOYOのすごいところはこれ、実行パターンから権限を逆算できるってところでしょう。
このへんは動作を見ていないから分からないんだけど、きっと「学習期間」にソケット接続していたりファイルの読み書きをしていたプログラムは、そのまま「運用期間」に切り替えても接続や読み書きが出来るけど、
「学習期間」にファイルの読み書きしかしていなかった奴は「運用期間」に入ってもファイルの読み書きしか出来ない。
で、通常はこちらから「このプログラムはネットワーク接続しちゃ駄目」って指定してやるところを、TOMOYOたんは「このプログラムは接続しなくてもいいんだ」って自分で判断してくれるという感じでしょうか。
すばらしい。同時にランニングテストも出来る。これ。
まぁテストっていうより調整期間ですけどね。厳密には変化してるからテストとして正しくない
NTTの発表によると、もうNTT社内、社外で動いているマシンがあるようです。
TOMOYO Linuxは,ファイアウォールとして導入されている。「通常と異なる操作はすべてエラーとして記録されるため異常の検出が容易」
このあたりに学習機能の強さが伺えるかもしれない。
「こちらで想定したアクセス」という括りじゃない、「通常と異なる操作」を検知。
必要なファイルを調査して纏めて設定しなくても、
「この操作は正しいですよ」って教えてやればOK。
セキュアなやつっていうのは結局こっちから指定してやることが主になって、
それが実は動作に必要だったところまで〆ちゃって
(ノ∀`)ウゴカナイヨーナンデー??
ってなっちゃうことが主に開発してるときですよ? 無いわけでもない。
意外とそういうのは気が付かなくて人が組んだプログラムなら尚更ですね、そこでまた填るわけですよ。
権限関係ってのはただでさえウザい節がある。それは仕方のない範疇ではあるけど、
セキュアなやつ、SELinuxなんかはどうも、その締め付けをさらに厳しくすることで、
よりセキュアな方向を目指しているような感じみたい。
いや、それは理想としては正しいとは思います。ただ、
自由とトレードオフされた安全は窮屈このうえなしという状態でもある。
結局、出来ることは減っているし、それを行うために余計なステップを踏むことになるしで、小さいストレスや負荷は掛かってしまうんじゃないか。
で、その点について。さくら&ともよLinuxは、
両者とも「安全、かつ使いやすく」というところが念頭に置かれている点が凄くステキなんです。
後者が非常に重要。俺的に。
実際論文を見ていると、「設定や憶えることはありそうだな」とは思っても、
めんどくさいなとはあまり思わない。
それは理想から逆算した現実を実装しているのではなく、
現実から理想に近づくための実装をしているからなんじゃないだろうか。
設定は簡潔に。かつ精細に。でも自動生成だからTOMOYOにおまかせ。
自分たち作業者が作業するときは、そのセキュリティが適用されないように指定して振り分け。
しかし変更してはいけないもの、変更されるべきでないものは「いっそ変更させない」という潔さ。
もしかしたら、セキュアなもの=めんどいものという俺の固定観念を変えてくれるんじゃないだろうか。
論文の最後には、こう記されている。
SELinuxを、「あるべきアクセス制御」を整然とLinuxの上に実現したものとすれば、筆者らが開発したTOMOYO Linuxは、最初から「使いやすさ」を意識し、運用可能な状態を維持しながらOSに余計なことをさせないように模索した結果である
このポリシーはよく現れていると思う。
そして、億劫にならずにセキュアな環境を採用できるようになるんじゃないか、
というところに期待です。
まだ、例えば自分が仕事で提案できるかと云われたら一寸困る段階だが、
早く何処かのディストリビューションが採用して積んでくれたりしないかしらん。
基本的にカーネルにパッチ充てるくらいのレベルで業務サーバつくりたくないのですよ……
というわけで最初からあたっている、または機能として周知になっていること希望。
やりそうなのはDebianかTurboかなぁ? あとPlamo。
赤帽子用のカーネルパッチリリースとOracleサポートがあれば完璧。
でも一番良いのはNTTがTOMOYO Linuxパッケージ出してサポートもすると。
そして講談社・角川書店・NHK教育と提携。
あーgnomeまたはkdeの壁紙が超たのしみですよ!
投稿者 kagerou : 2005年11月13日 01:28
コメント
こんにちは。
ここは熊猫先生に教えてもらいましたが、TOMOYO Linuxについてとてもよくご理解いただけており、ありがたく思っています。でも・・・、結局壁紙期待ですか?(涙)
投稿者 原田 : 2006年06月17日 14:30
って、え、ちょっww
一体どんな話が……すみません。好き勝手なこと云っててすみません。
チキンハートなのでとりあえずうろたえてます<何
実際セキュアなものについては、今の(俺の)業務じゃ
そこまで云われていないけど、時間の問題だとは思うので……
そうなったときに、提案できるといいです。
あー、もち、壁紙はTOMOYO標準で。
インストールしたらそうなるようにしておいていただけると「デフォルトです」って言い訳できるのでありがたいです? <何
投稿者 かげろ : 2006年06月18日 00:30
かげろ様、
中途半端なコメントですみませんでした。
「壁紙」の件は単なる冗談です。でもTOMOYO Linuxに
「インスパイア」されてこんな絵を描かれた方も
いらっしゃいます。
http://kirino.s14.xrea.com/index.php?itemid=82
ブログを拝見させていただき、TOMOYO Linuxの狙い、
目指していることについて、ご理解いただけている
ことがわかり、本当にうれしく思いました。仕事で
開発したものですが、ある意味熊猫さんも私も
仕事を超えた気持ちをもって、意志と願いをもって
取り組んでいます。
まだまだTOMOYO Linuxはあまり知られていませんし、
使われているとは言えませんが、使い始めた方々
からは、かげろ様と同様に「最初から使えるように」と
いうご希望をいただいています。いつの日か
それを実現したいと思っています。
TOMOYO Linuxをお使いになり、ご意見、ご要望が
ありましたらどうぞお気軽にご連絡下さい。
ありがとうございました。
TOMOYO Linux関連のイベントと資料一覧
http://d.hatena.ne.jp/keyworddiary/TOMOYO%20Linux
私が個人的にまとめているリンク集
http://d.hatena.ne.jp/haradats/20051113
http://b.hatena.ne.jp/haradats/
TOMOYO Linuxプロジェクトホーム
http://tomoyo.sourceforge.jp/
投稿者 原田 : 2006年06月18日 07:43
原田様
ご丁寧なコメントありがとうございます。
全然、中途半端なんてことはないです。
こちらこそ、つい少々軽薄なノリで返してしまい申し訳ありません。
最初から使えるように……という点は、ほんとそうであるといいですね。
既にSELinuxがあるけれど、本文中にあるようなコンセプトの違いが大きいですし、何より日本発ですから。
しかしWebはおそろし……いや、素晴らしいですね。
まさかコメントいただけるとは(汗
投稿者 かげろ : 2006年06月18日 09:51
かげろ様、
このページは熊猫さんに教えてもらいました。
TOMOYO Linuxは多分皆さんが思われているよりは
(かなり)小さなプロジェクトです。
使っていただいたり、意見を書いていただけるのを
見ると、元気が出て励まされます。
これからも頑張りますので、どうぞよろしくお願い
致します。
投稿者 原田 : 2006年06月18日 10:57
中の人はお二人だけだとか・・・驚きました。
それは大変ですよね、名前が通るのはいいことですが<何
テストがきつそう・・・
がんばってくださいー
投稿者 かげろ : 2006年06月19日 07:59
コンパイル済みカーネル、お試しあれ。
http://lists.sourceforge.jp/mailman/archives/tomoyo-users/2006-June/000069.html
投稿者 原田 : 2006年06月26日 22:02
むむ……ELまであるのが流石ですね。
うちの現役マシンはFC3だから……一応あるか。
おうちに早く帰ってこれるようになったら試してみます……
でもいっそ、この機会にFC5にあげちまったほうがいいのかな。最近サボり気味だし。
投稿者 かげろ : 2006年06月27日 00:55
こんにちは。TOMOYOのリンク集にのせても良いですか?(って言うか、もうのせました)
http://tomoyo.sourceforge.jp/tomoyo-links.html
投稿者 原田 : 2006年07月01日 16:39
ふふふ、どうなっても知りませんよ……っ!
いや、どうもならないですけどw
もちろんOKです、っていうかむしろ、いいのかな……<何
そしてサーバにFC5入れようとしたら入れる以前にマシンがヤバイ件について……どうすれば_| ̄|○
投稿者 かげろ : 2006年07月02日 01:32
私とkumanekoさんは、TOMOYO Linuxに関するwebやblogを不定期に巡回しています(2005年11月にオープンソースとして公開する以前から)。疑問があれば答えられるものは答え、間違った認識があればそれを訂正するという活動をしてきました。中には何年も前で書いたご本人も忘れていそうなものもありましたが、後からそこにたどり着いた方のためにもと思って可能な範囲でレスをつけています。
これまで多くの記事を見ましたが、かげろさんはTOMOYO Linuxの本質を理解いただけていると感じました。講演を聞いて興味を持ったとか、自分で動かしてみた、という方はありますが、知る限り論文まで読んで感想を書かれた方はありませんでした。TOMOYO Linuxは理解して欲しい、使って欲しいという気持ちをもって取り組んでいます。講演、論文、雑誌の記事といったあらゆる部分について、平均以上の時間と手間をかけて取り組み、「何故TOMOYO Linuxをつくったか」だけでなく、「どのような道のりを経て、何を考えてTOMOYO Linuxに至ったか(Linux Kernel Conference 2005、「TOMOYO Linuxへの道」)まで公開しています。TOMOYO Linuxを使う上では論文に書かれている内容は必要ないのですが、より深く理解し、その上で使って欲しいという気持ちは正直いってあります。
Script Life 千夜一夜を拝見し、かげろさんが広範にわたる知識と高い技術力をお持ちであることがわかりました。色々お忙しく大変のようですが、是非かげろさんのような方に使っていただき、そのノウハウをTOMOYO Linuxに興味を持った人達に共有させていただきたいと思っています。どうぞよろしくお願い致します。
PS
2006年06月18日 07:43の私の書き込みの「個人的にまとめているリンク集」の上のほうは、http://d.hatena.ne.jp/keyword/TOMOYO%20Linux の間違いでした。失礼しました。
投稿者 原田 : 2006年07月02日 08:00
ううむ、嬉しいですが恐縮です(汗 いやほんと褒めすぎですよぅ。
のんべんだらりとパチスロ打っている奴が正体ですよ、ほんとすいません、最近ハマってます、ていうか泥沼ですよどういうことですか!? <何
むしろこちらこそ、こんな辺境まで巡回されたりとか、熊猫先生のブログの詳細さなどの熱意が凄いと思います。
自鯖、いっそFC5に上げるつもりだったけれどいろいろ考えてデータを移しつつFC3でもう少し凌いでみる方向。
っていうかエラーが再現しなくなった……
さてどうしたものか……<何
投稿者 かげろ : 2006年07月03日 04:24
>やりそうなのはDebianかTurboかなぁ? あとPlamo。
Turboさんが第1号やりました♪
投稿者 PANDA : 2007年05月12日 16:13
> Turboさんが第1号やりました♪
おお……おめでとうございます!
ご無沙汰しているウチにTOMOYOたんは着々と進化している……
Turbo10にはまだのようですけど、次リリースからかなぁ?
ディストリとしては随分懐かしい。
投稿者 かげろ : 2007年05月12日 23:57