Linux Kernel Watch LIVE! - うさぎ文学日記

6月3日（水）に＠IT主催で開催された
『Linux Kernel Watch LIVE!』という勉強会に参加してきました。

@IT主催だけど今回は取材じゃないのでだらだらとレポート。

内容は以下の3本立て

Linux Kernelの作られ方（小崎資広氏）
TOMOYO Linuxマージに至る道（原田季栄氏＆半田哲夫氏）
日本のセキュリティコミュニティ活動の現状（海外浩平氏）

どのお方もどこかで名前を目にしたことがある有名人という方々ですが、
参加するまでは彼らの活動の内容まではあまり知りませんでした。

会議室の都合から、定員はわずか15名で3日ほどで埋まったようです。
私はワッサーで情報を仕入れて即申込でした。

＠IT編集部より、勉強会「Linux Kernel Watch LIVE!」開催のお知らせ - ＠ITクラブ Cafe

@ITさんが主催ですが、手弁当といった感じの勉強会でいい雰囲気。
スタッフの方はみんなPokenをぶら下げていました。

参加者の方は、15人しかいない中に知った面々が何人も。
思わずセキュリティ＆プログラミングキャンプの打ち合わせかと思ったぐらい。

Linux Kernelの作られ方（小崎資広氏）

資料は公開予定だそうなので、詳細はそちらに。
Kernelにパッチを投げ続けるメンテナーの人たちの話がおもしろい。
（遅刻していったので前半は聞き逃し。）

LKML（Linux Kernel Mailing List）というメーリングリストにパッチの案やソースを送るのが
通常の流れだそうですが、流量が多くて、読み飛ばされてる可能性があるらしい。

担当の人、個人にCc入れたりとか、サブジェクトに嘘でも『[PATCH]』とか入れるとか
メールを読まれるための工夫が必要とのこと。

パッチが適用される決まった手順はないそうで、
「これマージしといて！」「おｋ」なときもあるそうです。
パッチを採用する人も人間だということ。

勉強会の動画がこちらで公開されています。

6/3 ＠IT編集部勉強会「Linux Kernel Watch LIVE!」 atmarkit_benkyoukai - 動画共有サイトzoome

TOMOYO Linuxマージに至る道（原田季栄氏＆半田哲夫氏）

メインラインおめでとう！なTOMOYO Linuxの
上司に「独自にセキュアなLinuxを開発しなさい」といわれて始まった物語。
半田さんは、開発当初はLinuxのrootにすらなったことなかったらしい。

TOMOYO Linuxといえば、NTTデータなわけですが、
講演資料などもすべて公開するという許可を取っているのだそうです。
なので、この資料も公開予定だそうです。
すばらしいですね。

最初はCDブートでReadOnlyで安全！という思想で
SAKURA Linuxというのを開発していたけれども、
2004年（？）のセキュリティスタジアムで防御側で出したら
ネットエージェントの人にこてんぱんにやられたそうです。

ヤラレ方は詳しく聞いていませんが、
Javaか何かの添付ファイルを送りつけて、
それを外部から読まれて起動されるとか何とか。

そこからポリシー自動生成を試みたりして、
TOMOYO Linuxへの道に至っているそうです。

TOMOYOは、メーリングリストよりも2ちゃんねるの方が活況だそうです。
すごい詳しい人がいて、質問にも答えてくれたりするのですが、
「２ちゃんなのでどこの誰かわからない、けど、ありがとう」だそうです。ｗ

企業がやってるからなのか、プレゼン資料にやたら力が入っていました。
独自のイラスト多様、アニメーション多様だったり。
世の中に広めるためには、人に興味を持たせるための技は重要ですね。

小崎さんは、講演は頼まれると断ったことがないそうです。
聞きたい人は勉強会などにお誘いしてみてはいかがでしょうか。

日本のセキュリティコミュニティ活動の現状（海外浩平氏）

日本から発信されたセキュアOSというテーマで主に以下の2つのお話。

組み込みSELinux
Webシステムに対するSELinuxの適用

組み込みでSELinux

組み込みでSELinuxを使いたい場合の課題として下記があるそうです。

リッチなファイルシステムがない
SELinuxの専用コマンドが使えない
セキュリティポリシーを自作しないといけない

私は組み込みはよくわかりませんが、busyboxがよく使われているそうです。
実はこれにSELinuxのコマンドが使えるパッチが当たっているそうです。

でも、組み込みの人はセキュリティを気にしてくれないことが多いらしい。
そこにいた組み込み系の人は、「使えるなんて知らなかったYO！」って言っていました。
布教活動はこれからか。

Webシステムに対するSELinuxの適用

もう1つのWebシステムに対するSELinuxの適用という話では以下に焦点が。

データベースへのアクセス制御ができない
- SELinuxはユーザー空間で動いているものは関知しないのでDBオブジェクトへのアクセスを補足できない
Webアプリケーションの権限の問題
- Apacheサーバーの権限ですべて処理してしまう

データベースの問題を解決するために、
利用者の権限はOSとDBで同じものを使うという発想のSE-PostgreSQLを作った。

私はこのSE-PostgreSQLの存在を知りませんでした…。
これから勉強。

SELinuxのアクセス制御をデータベースでも − ＠IT

MySQLじゃなくて、あえてPostgreSQLなのは
日本ではそっちの方がシェアが多いと考えてのことだそうです。
私個人の周りにはMySQLの人の方が多いなぁ。

Webアプリケーションの権限の問題を解決するためには、
Apache/SELinux Plusを作ったとのこと。
Fedora11でmod_selinuxパッケージに統合されているそうです。

利用者に代わってシステム資源にアクセスするエージェントには、
利用者に応じた権限の付与が必要という思想から、
HTTP認証に応じて権限をスイッチする仕組みだそうです。

あと、最後に全国のセキュリティ勉強会を紹介されていました。
詳しくはWebで「情報セキュリティ勉強会ポータル - Google 検索」

フォトレポート

セキュリティ＆プログラミングキャンプな人たち

杏仁豆腐

"tomoyo thankyou"

ThankYou - TOMOYO Wiki

太っ腹なNTTデータさんが、メインラインおめでとう！ということで
懇親会費用を出してくれるそうです。
7月3日開催で「100人まで入れます！」だそうです。

ちなみに第一部は勉強会で
YLUG カーネル読書会、セキュアOSユーザ会、まっちゃ445合同勉強会との協賛だそうです。