YANO's digital garage

Copyright ©YANO All rights reserved. https://www.bravotouring.com/~yano/

Last-modified: 2024-03-20 (水)


[一語一絵/IT系]

電子自治体つくるは素人ばかり / 2004-10-20 (水)

[External]つくば市の電子申請・届出システムでは、Javaアプレットのインストール時に「信頼できない団体によって発行されています」という[External]警告メッセージが表示されるらしく、あろうことか手動で「常に信頼する」ように操作するように指示されている。

自治体の電子入札システムにして公開鍵基盤(PKI)における信頼関係の根幹を蔑ろにする有り様というのは、ベンダーたる[External]NTT東日本お粗末と言えるのではなかろうか。片や理由もわからずやらされてる職員にも気の毒だと思う面もあるが、これでいいと思ってしまってはマズ過ぎる。電子自治体に携わる人間としては少なくともPKIの基盤くらい理解しておいてもらわないと困るんだけど。

[External]日経IT Proの記事[External]「大規模サイトに潜むアクセシビリティの落とし穴」でも

多くの電子申請サイトでは,利用者が電子証明書を取得しようとすると,多くの人にとっては意味不明な英語の警告ダイヤログが出てくる。
と書いてある。英語って、そりゃあんたが英語版のブラウザを使っているからだろう…

確かに電子証明書を取得するというイリーガルな操作は、電子自治体のWebアクセシビリティにおいて一つの壁に成り得るのだが、記者はPKIのわかりにくさとごっちゃにしてないだろうか。

相変わらず[External]Internet Explorerだけで動けばいい」みたいなWebサイトも多いし、今を時めくIT業界と言えどもその実態はなかなかうすら寒いものがある。

【参照】
●高木浩光@茨城県つくば市の日記 http://d.hatena.ne.jp/HiromitsuTakagi/
電子政府つくるは素人ばかり 2004年10月17日
●@IT http://www.atmarkit.co.jp/
5分で絶対に分かるPKI 2001年2月17日
PKI基礎講座 2000年11月2日
〜インターネットセキュリティの切り札〜 連載:PKI再入門 2003年4月5日
●日経IT Pro http://itpro.nikkeibp.co.jp/
IT技術者の2人に1人は“プロ未満” 2004年10月7日
大規模サイトに潜むアクセシビリティの落とし穴 2004年10月14日
●ITmedia http://www.itmedia.co.jp/
ユーザーは「IE以外」に、開発者はまだ「IEオンリー」 2004年10月18日


[一語一絵]

台風23号トカゲ襲来 / 2004-10-20 (水)

風速マップ
[External]気象庁のAMEDAS観測値

風速15m以上の強風域がちょっとだけ小さくなったものの依然大型で強い台風23号は20日13時頃高知県土佐清水市付近に上陸。

福岡でも朝から横殴りの風雨に見舞われ、11時過ぎには暴風波浪警報が発令。台風の中心から400km以上離れててもこの強さというのは予想以上で、今年一番と言って過言ではないだろう。前線による雨も多かったし、くれぐれも暴風圏内から離れているからと言って油断無き様に。

[External]九州のりものinfo.comは全然繋がらず。


[一語一絵/IT系]

続:Fedora Core 2 〜 ポリシーの追加 / 2004-10-20 (水)

7月に躓いた「sudo: unable to exec /usr/sbin/sesh: Permission denied」への反撃で、ポリシーの追加を行う。言うまでもなくここがSELinuxの根幹であり、正念場だ。

ひとまず

[root@fedora yano]# setenforce 0
でenforcingモードをpermissiveモードに切り替えて、ポリシーのソース・ファイルをインストール。http://download.fedora.redhat.com/pub/fedora/linux/core/2/i386/os/Fedora/RPMS/から、checkpolicy-1.10-1.i386.rpm と policy-sources-1.11.3-3.noarch.rpm をダウンロードし、
[root@fedora yano]# rpm -ivh checkpolicy* policy-sources*
を叩く。もしmake reloadのとこで
Can't open '/etc/security/selinux/policy.18': そのようなファイルやディレクトリはありません
というエラーが出る場合は、下記教えに従って /etc/security/selinux/src/policy/Makefile を修正。
/etc/security/selinux/src/policy/Makefile を次のようにすれば回避できます。
       $(LOADPOLICY) $(INSTALLDIR)/policy.`cat /selinux/policyvers`
という行を
       $(LOADPOLICY) $(INSTALLDIR)/policy.17
とします。
http://www.selinux.gr.jp/documents/FC2-SELinuxmemo.html より引用

ここからが設定のメイン。"audit2allow -d -l"の出力から必要そうな行をコピーして、policy/domains に拡張子"te"のテキストファイルを作成し、make reloadが完了すれば終りだ。

[root@fedora yano]# audit2allow -d -l
    :
allow user_sudo_t shell_exec_t:file { execute_no_trans };
allow user_sudo_t ls_exec_t:file { execute execute_no_trans read };
allow user_sudo_t var_log_t:dir { getattr search };
allow user_sudo_t var_log_t:file { append getattr lock read };
    :
[root@fedora yano]# cd /etc/security/selinux/src/policy/domains
[root@fedora domains]# cat > sudo.te
allow user_sudo_t shell_exec_t:file { execute_no_trans };
allow user_sudo_t ls_exec_t:file { execute execute_no_trans read };
allow user_sudo_t var_log_t:dir { getattr search };
allow user_sudo_t var_log_t:file { append getattr lock read };
[root@fedora domains]# cd ..
[root@fedora policy]# setenforce 1
[root@fedora policy]# make reload

但しこれだけ何にでもsudoが使えるわけではなく、コマンドや目的に応じてallow行にポリシーを追加していかなければならない。う〜ん、なかなかどうして面倒だ。

【参照】
●日経IT Pro http://itpro.nikkeibp.co.jp/
セキュアOS SELinux入門
●日本SELinuxユーザー会 http://www.selinux.gr.jp/
┗Fedora Core2でSELinux利用メモ http://www.selinux.gr.jp/documents/FC2-SELinuxmemo.html 2004年10月16日