hito
hitoh****@gmail*****
2007年 7月 31日 (火) 14:08:00 JST
> そもそも、彼らが/etc/shadowにリンクが張れない場合を考えていないのは何で > でしょう? 原因はよくわかりませんが、何かしらブレークスルーが足りないか、 あるいはモデル的に想定していないのだと思います。 # TCSECどっぷりだと(割と想定外な感じなので)発想できないかもとは思います。 あとは↓あたりを見ると(ちょっと初出が探せないのでアーカイブで失礼……)、 http://www.ussg.iu.edu/hypermail/linux/kernel/0706.1/0805/techdoc.pdf ロジックの流れとしては、 ・label basedだと、shadowをバックアップして新しいものを作った時に追従できない。 ・pathname basedなら、新しいものに対しても同じ制御がかかる。 という主張に対して、 ・でもlinkのたぐいで別のパスを作られてしまうとpathnameは役立たずじゃん。 てな感じでしょうか。 ただ、将来実装するとAppArmor陣営が言っている回避実装も、動的に (linkが 作られたら) pathnameを拡張していく、とか変なアイデアになっていて、 どうも文化・因習的なレベルで「リンクさせない」というのはモデルの埒外に ありそうです。
TOMOYO
Fork