07/11/18 08:34:07 IAOb6Rgb
>>529
そう。tomoyo-usersへのアナウンスを見て、外の人?には、1系と2系の違いがわかりにくいだろうなと
思いました。長文で(笑)説明します。
位置づけ的には、実際の利用を想定し安定化させようとしているのが1系で、
2系はメインライン提案版の「スナップショット」と考えてもらうと良いです。
2.0は、OLSに間に合わせられたのは良かったのですが、期間的な関係で
MACがファイルアクセスのみになったため、「アップアーマーとどこが違う?」
という印象をうえつけてしまう結果になり今もそれをひきずっています。
また、この板にも書き込みがあったようにオーディットに問題がありました。
2.1では、「現状のLSMでできる範囲」で1系の機能が取り込まれており、
1.5.2に比べてもあまり遜色なくなっていますし、オーディットも
ユーザが多様な使い方を選択できるようになっています。
「欠陥」については、因縁付きのvfsmountがらみです。熊猫氏によると、
「openSUSE 10.1 および 10.2 に搭載されている(ディストロにはいって
ユーザのついている)AppArmor」で、「マウント/アンマウントなどの操作要求と
その操作が行われるディレクトリ(マウントポイント)に対するファイルの作成/削除などの
操作要求が同時に発生した場合にデッドロックが発生する」ことが、
原理、および実験により確認されており、LKMLに問題提起しましたが、
Crispinや関係者からの返答はまだありません。この問題は、AppArmorの
提案中のvfsmountのパッチがあたっていれば解消しますが、まだ採用
されていません。TOMOYOの5回目のLKML提案では、違う方法でこれを
回避するパッチを添えて提案していますが、2.1ではそれは含まれていません。
2系は、標準カーネルを前提としているからです。(続く)