CE Linux Forum 第28回テクニカルジャンボリー(Japan Technical Jamboree)に参加中
今日来ている、CE Linux Forumのやつ、熊猫さんが出られるそうだ
15名くらい参加しているが、ちょっとアウェイ感抜群!
セッション1
天野さんの東京のものを、ビデオ上映、天野さんとSkypeで繋いで、質疑応答
天野さん自己紹介
- MoblinはATOMベースで最適化されたディストリビューション
- Moblinの紹介(天野さん)
- Miracle Linuxで勤務
- Moblinプロジェクトには1年ほど前から参加
- ATOMベースの開発
Moblinが日本では知られていないので紹介する
Moblinとは?
Moblin v1
- GNOME Mobileをベースに考えられている
- Kernel-2.6.24
- Poulsbo(US15W)パッチが適用されていた
- ベースになっていたのは、Ubuntu8.0
Moblin v2
- 一つのディストリビューションとして動くように開発されている
- ソフトウエアスタックを定義して開発していく予定
- Kernel-2.6.29
- FASTBOOTを有効にして提供している
- 新しいバージョンを使っている
その他
- BugzillaやGIT、ML、IRC等もある
1年くらい続けて、去年くらいから一部しか盛り上がっていなかった、MLも1日数件だったが、ベータリリース後1日20件くらい流れるようになってきている(注目を浴びてきていると感じる)
Linux FoundationのBoFでMoblinが紹介
Moblinに関しては盛り上げるために人がたくさんいた
3日間で1日目と2日目にセッションがあった
- 1日目:State of Union(Imad Sousou)
- 2日目:大部屋で1日セッション、7つのセッション
Intelのエンジニアがセッションを設けていた- レセプションパーティもあった
Face2Faceで会えたのが一番であった、ビデオよりも実際会うことが重要だと感じたlibrest/mojito
いわゆるTwitterなどのSNSとGUIアプリケーションを統合しようとする昨日
FlickreやLast.FMやTwitterなどからDBUSからアプリケーションに受け取っって連携できるものConnection Manager
- Ubuntuにはネットワークマネージャがあるが、モバイルシステムに特化したネットワークマネージャ
現状のネットワークマネージャの問題点や歴史がある- 現状の問題
- カスタマイズや拡張が難しい
- ネットワークマネージャ自体が機能しないバグがあったりする、ディストリビューションが調整したりしている
- GNOMEやKDEに偏った形で提供したくない
- この中一から作ることになった
Clutter(OpenGLを簡単に使えるようにする仕組み)
Moblin SDK
将来的に・・・
日本の状況
- 日本ではゆるーく、日経Linux2008年09月号にMoblin 1.0ででている
日経Linux 2009年7月号より連載予定- ITPRO LFCS現地レポートもあるので見てほしい
質疑応答
大阪質疑応答
- ATOMを搭載しているとのことだが32Bitだけか?
- Core2と同じ命令セットを使っている、64Bitが出たら対応する形になると思う、現状は32Bitのみ提供
- Moblin v2から、DebianからRPMに変わったそうだが、詳細を教えてほしい
- ちゃんとした変更した利用が帰ってきていない、彼らにとってはRPMの方が使いやすいと判断したみたいだ
- 開発ツールの機種展開やアーキテクチャーを選べたり、機能的に使えたりとかのスケーラビリティが大事になるが、開発ツールに対するコンフィグへの自由度とかで工夫されているか?
- イメージを作る段階でカスタマイズができるが、コンフィグについてはパッケージしなおして組み込んだりとか、ImageCreater2にLoopbackイメージが作れるので、Converterで起動イメージに変換する形で持っていくことができると思う
- Loopbackイメージは、開発イメージではなくターゲットのイメージか?
- アーキテクチャーごとのFSのイメージになる
- 2009年10月でKernelSummitやJapan Linux Symposiumも同様のコラボレーションになるのか?
- たぶんそうなる、私(天野)も参加したい、Moblinのみのイベントも計画しているみたい(深い部分で話ができると思う)
TOMOYO Linuxのメインラインマージおめでとうございます。
詳細は、ZDNetに経緯と記事がありますので読んでください
7月3日にTOMOYO ThankYouパーティ+勉強会を開催します!是非参加ください。
2バージョンある
- メインライン版
- フル機能版(LSM使っていない)
特徴
- パス名ベースのアクセス制御
- ポリシーの記述内容が理解しやすい
- 自動学習
- システム起動から停止まで動かすだけでポリシーを解析して適用できる
組み込み機器とTOMOYO Linux
使うまでの流れ
導入:インストール、ユーティリティも
学習:ポリシーを自動生成 ↑繰り返す
解析:ポリシーの確認を実施、修正 ↓
運用:TOMOYO Linuxの制御機能を有効にして運用を開始TOMOYOのポリシー
デモ
- TOMOYOの動き
- tail /etc/passwdを学習
- head /etc/passwdが動作しないことをデモ
QandA
- 学習を簡単にさせる方法はあるのか?
- 今のところ良い案はないが、用途が決まっていれば、動作が決まってくる、製品試験の網羅のところで動作を決めて行くのがスタンダードだと思う
- 一から手で打つのは大変
- 必要なものはできないのでポリシーを自分で実行してやるしかない
- POS向け設定一覧とかテンプレートとかインターフェースとかないのか?
- いまのところない
- テスト段階でポリシーを入れるのが良いのか、ポリシーを投入後にもテストが必要になると思うが、、、
- 試験のやり方次第だが、普通のやり方ではそうなると思う。2度手間になるので、開発スタイルを変える必要があるので、アイデアを出してほしい
ようやく使う人の事を考え始めたので、意見をいただきたい- 学習でハードが壊れかけたとかFailSafeとかの処理が漏れていたときに、大惨事になるとおもうが・・・どのような運用を想定しているか?
- 2006年に商用システムで導入しているが、正副でのサーバを切り替えまでやったことがある
- クラスタの切り替えをするだけで学習が働くと思うが・・・ハード壊れた系は学習ができないと思う
- なにかが壊れた系は、ない
- ポリシーは事前に配布できるのか?
- ポリシーKnowHowがたまれば、配ることができる(半田)
- ディストロ毎に動きが変わってくる、細かくするのはユーザがカスタマイズになる(原田)
- ポリシーのKnowHowが配布できるということだが、ポリシーの受け口があればやるのか?
- Wiki上にポリシーを教えてほしいと書いてある(半田)
- バージョン管理サーバで精査してリリースとか考えているか?
- 今のところ、特にシステムは考えていない、ポリシーはもらえるものならもらいたい
TOMOYO Linux on Android(Giuseppe La Tona)
イタリアからキタ━━━━━━( ゜∀゜)━━━━━━!!!!英語発表w
- SecureOSグループでTOMOYO Linuxプロジェクトで働いている
- TOMOYOLinuxでAndroidへのポーティングを研究している
起動からのユーザモードまで
- Kernel→Init→ BinderやMediaServerやDaemons、Zygote(Userアプリのボックス)
Dalvik and Zygote
- Dalvik:VirtualMachine for mobile Device
- Zygote:リソースやペイロードクラスをロードする
- zygoteがプロセスをフォークする
Zygote→Dalvik→アプリ
システムサービスや、GUIやアプリを実行するAndroidのセキュリティモデル
- 各々のアプリは自分のプロセスで動作する
- 各々のプロセスがセキュアサンドボックスを備えている
- アプリケーションがユニークなUIDを持っている
- uid:100000から増えて行くIDを持っているApp_0 App_1なんかである
- UIDでフォルダが分けられてUIDでしか使えない
TOMOYO LinuxのAndroidへのポーティング
TOMOYOのPolicy
ブラウザだと
デモ
- csspolicy-edit-Agentのポートに接続するとポリシーが確認可能
- ネットワークコネクションで、UIDが入ってくるので、それで制御
- Operaが接続できない
- 標準ブラウザでは接続できる
- psコマンドをネットワーク経由で止めたり、ローカルのターミナルから許可したりできる
システムへの影響
- Kernel イメージサイズの変更点43キロバイト
- KernelMemoryの84KB
- ポリシ・・・
QandA
- 開発者がポリシーごとに設定するのか?
- Androidの動きがわからないが、TOMOYO Linuxを入れて使うと、セキュリティなのか制限なのかわからなくなる
- Androidを触った時にブラウザのページを開くときにこのアプリを呼びなさい(Intent)ってのがあるそうで、どんなアプリが起動されるかわからないが、どうやって制御するのか?
RSA Conference 2009 JAPAN:不正アクセスによるサービス停止――事例から学ぶセキュリティ対策 (1/2) - ITmedia エンタープライズ(情報元のブックマーク数)
ゴルフダイジェスト・オンラインのSQLインジェクションの被害についての報告がRSAであったみたいです。
ゴルフ愛好者向けに情報やゴルフ場予約、通信販売などのサービスを提供するゴルフダイジェスト・オンライン(GDO)は、不正アクセス攻撃が原因となって、2008年10月に8日間のサービス停止を行った。同社の最高執行責任者(COO)の大日健氏が、事件対応の詳細とそこから学んだセキュリティ対策について紹介した。
不正アクセスによるサービス停止――事例から学ぶセキュリティ対策 (1/2) - ITmedia エンタープライズ
GDOは2000年に設立され、3月末現在で約141万人の会員を抱える。同社サイトは月間約1億5000万ページビューを持つ国内有数のオンラインメディアでもあり、特にゴルフ場予約サービスなどにおける会員向けメールは、月間約200万通が送信されている。
同社は2008年9月30日にサーバへの不正アクセス攻撃を受け、10月2日からサービスを全面停止せざるを得ない事態になった。10月8日に一部サービスを復旧したが、完全復旧は10月10日だった。連結売上高が約127億円(2008年12月期)の同社にとって、8日間に及ぶサービス停止は数億円規模の売り上げ損失という大きなダメージにつながった。
システムの改修・追加・改修で肥大化していて、全部確認が大変、緊急避難でIPSで対応するしか方法がなかったとのこと。現場の苦労が見えるなぁ。
同氏によれば、サービス停止につながった不正アクセス攻撃の以前にも、3月と8月にサーバ上での不審な文字列が埋め込まれるSQLインジェクション攻撃を受けた。この時点では脆弱性を解消するためにシステム改修も検討したが、事業への影響や多額のコストがかかるために、IPS(不正侵入防止)システムの導入で対処した。
不正アクセスによるサービス停止――事例から学ぶセキュリティ対策 (1/2) - ITmedia エンタープライズ
「実際にはソースコードを見直そうにも、改修の積み重ねでシステム全体を把握している人間がいなかった。時間的対応も含めてほかに選択肢がなかった」(同氏)
それ以外も体制を作って監視とのこと。2年かけて再構築か、、、大変なシステムなんですねぇ。
緊急対応では、これら以外にも事件発覚につながったメールの監視や、不正なJavaScriptが埋め込まれないかを監視する体制を構築。緊急レベルの脆弱性の修正も進めた。大日氏は、現在の状況を「集中治療室から出たばかり」といい、システムサービス会社やセキュリティベンダーと共同で対策計画を練った。今後2年ほどかけて、障害対応に強いシステムへ全面的に再構築する。
不正アクセスによるサービス停止――事例から学ぶセキュリティ対策 (2/2) - ITmedia エンタープライズ
Firefox 3.0.11 is available(情報元のブックマーク数)
わぁ、FireFox3.0.11出てるよ!!!それも今適用始ったよ!
One thing is for sure! Our ISC readers love their Firefox.
InfoSec Handlers Diary Blog - Firefox 3.0.11 is available
We have received a number of emails telling us that Firefox version 3.0.11 is now in the update pipeline. Firefox 3.0.11 provides a number of fixes for security vulnerabilities.
ウイルスの脅威から教育の場を守る!「エフセキュア小中高パック」 期間限定値下げ実施 :F-Secure株式会社 - プレスリリース(情報元のブックマーク数)
F-Secureが小中高向けのセキュリティ対策パックを販売とのこと。
エフセキュア株式会社(本社: 横浜市、日本法人代表: 桜田仁隆)は、文部科学省より発表された「学校ICT環境整備事業」への取り組みに対応し、教育機関向けに販売しているアンチウイルスソフト「エフセキュア小中高パック」シリーズを、6月11日(木)より10%のディスカウント価格にて販売いたします。「教育委員会向けの導入校数別の数量割引」として、業界でもいち早く展開している「エフセキュア小中高パック」は、2004年から発売を開始し、現在1000校以上の教育機関に導入いただいています。同ディスカウント適用は、2010年3月31日までの販売分の予定です。
F-Secure | Cyber Security Solutions for your Home and Business
OpenSolaris ARM版登場、組み込み進出 | エンタープライズ | マイコミジャーナル(情報元のブックマーク数)
OpenSolaris For ARMプラットフォームらしい。
ARM Platform Port at OpenSolaris.orgは8日(米国時間)、同プロジェクトの初の成果物となるOpenSolaris ARMプラットフォーム版の公開を発表した。ARM Platform Port at OpenSolaris.orgはOpenSolarisをARMに移植するプロジェクト。
http://journal.mycom.co.jp/news/2009/06/11/057/index.html
iPhoneもARMですしね。
ARMは組み込みプロダクトで採用されることが多く、ARMで動作するようになるとOpenSolarisを使ったアプライアンスの開発や構築がやりやすくなる。
http://journal.mycom.co.jp/news/2009/06/11/057/index.html
9割以上がID・パスワードを複数サイトで併用、野村総研調べ(情報元のブックマーク数)
野村総研の調査では、9割の人がIDとパスワードを複数サイトで併用とのこと、まぁしょうがないと言えばしょうがない
サービスごとにパスワードを変えるのも大変だしな。
野村総合研究所は11日、インターネットで使用するIDとパスワードに関する意識調査の結果を公表した。全国の16〜69歳の男女1000人を対象に3月、インターネット上でアンケート調査を実施した。
9割以上がID・パスワードを複数サイトで併用、野村総研調べ
ID・パスワードの設定方法では、「いくつかのID・パスワードの中から選んで設定する」が66.7%を占め、「ひとつに統一する」(25.8%)と合わせると、9割以上の回答者がID・パスワードを複数のサイトで併用していることがわかった。
学生さんの特権です:高橋晶子のセキュリティ漂流記:ITmedia オルタナティブ・ブログ(情報元のブックマーク数)
高橋さん宣伝ありがとうございます!!!!!!!!!!!!!!!!!!!!!!!
みなさまは、セキュリティ&プログラミングキャンプをご存知でしょうか?
学生さんの特権です:高橋晶子のセキュリティ漂流記:オルタナティブ・ブログ
学生さんを対象とした、4泊5日の合宿形式のワークショップです。実際に参加したことはないのですが、講義内容が魅力的な上に、そうそうたる講師陣で、ほぼマンツーマンでトレーニングを受けられるとか。社会人でも、セキュリティ関係のお仕事をされている方は、参加したい方がたくさんいらっしゃるのではないかと思います。
NHKニュース WHO フェーズ6に引き上げ(情報元のブックマーク数)
南半球は冬、そこでパンデミックで。フェーズ6への引き上げとのこと。
新型インフルエンザをめぐって、WHO=世界保健機関のチャン事務局長は緊急の記者会見を行い、南半球を含めた世界的な感染の広がりを受け、警戒レベルを今の「フェーズ5」から世界的な大流行=パンデミックの宣言を意味する最も高い「フェーズ6」に引き上げると宣言しました。
http://www3.nhk.or.jp/news/t10013581551000.html
日本では特にレベル上げによっての対応変更は無しとのこと。
厚生労働省は、すでに必要な対策は取っているので国内の対応に大きな変更はないとしています。
http://www3.nhk.or.jp/news/t10013581591000.html
Best of Show Award | 展示会情報 | Interop Tokyo 2009(情報元のブックマーク数)
ありゃ残念、まぁしょうがないな・・・・
【特別賞】
http://www.interop.jp/exhibition/bsa.html
【ノミネート】
ネットエージェント(株) Counter SSL Proxy
勉強会カンファレンスに行った効果というか何と言うか - sakukaの日記(情報元のブックマーク数)
勉強会カンファレンスに参加してミラクル!!!社内勉強会に発展!
会社の後輩(特に社外勉強会等には参加してません)が、
勉強会カンファレンスに行った効果というか何と言うか - sakukaの日記
社内勉強会には興味を示していたので、勉強会カンファレンスに誘ってみました。
午後から参加していたのですが、やたら影響を受けたらしく
『読書会がしたい』という事を言い出しました。
ぉーーー!すげぇーーー!
後輩は『詳解 Linuxカーネル』が読んでみたいとの事だったので、
勉強会カンファレンスに行った効果というか何と言うか - sakukaの日記
多分それを読む事になりそうです。
勉強会カンファレンスの力は偉大だなあ・・・。
パターンアップ-6.191.00
Trendmicroのパターンがアップしました。
パターン番号:6.191.00
イエローアラートJP/US:JP 迷惑メールがイエロー:5月のPPTパッチ対応、5月のDirectShowのアドバイザリ、5月のAdobe製品脆弱性、2月のFlash脆弱性警告/US 特筆無し アップデート理由:定期アップデート 新規対応 特筆無し 亜種対応 特筆無し