2004/10/20 on Yano's digital garage

台風23号トカゲ襲来

Wed, 20 Oct 2004 00:00:00 +0900

気象庁のAMEDAS観測値

風速15m以上の強風域がちょっとだけ小さくなったものの依然大型で強い台風23号は20日13時頃高知県土佐清水市付近に上陸。

福岡でも朝から横殴りの風雨に見舞われ、11時過ぎには暴風波浪警報が発令。台風の中心から400km以上離れててもこの強さというのは予想以上で、今年一番と言って過言ではないだろう。前線による雨も多かったし、くれぐれも暴風圏内から離れているからと言って油断無き様に。

九州のりものinfo.comは全然繋がらず。

続：Fedora Core 2 〜ポリシーの追加

Wed, 20 Oct 2004 00:00:00 +0900

7月に躓いた「sudo: unable to exec /usr/sbin/sesh: Permission denied」への反撃で、ポリシーの追加を行う。言うまでもなくここがSELinuxの根幹であり、正念場だ。

ひとまず

[root@fedora yano]# setenforce 0

でenforcingモードをpermissiveモードに切り替えて、ポリシーのソース・ファイルをインストール。http://download.fedora.redhat.com/pub/fedora/linux/core/2/i386/os/Fedora/RPMS/から、checkpolicy-1.10-1.i386.rpm と policy-sources-1.11.3-3.noarch.rpm をダウンロードし、

[root@fedora yano]# rpm -ivh checkpolicy* policy-sources*

を叩く。もしmake reloadのとこで

Can't open '/etc/security/selinux/policy.18': そのようなファイルやディレクトリはありません

というエラーが出る場合は、下記教えに従って /etc/security/selinux/src/policy/Makefile を修正。

/etc/security/selinux/src/policy/Makefile を次のようにすれば回避できます。
$(LOADPOLICY) $(INSTALLDIR)/policy.`cat /selinux/policyvers`
という行を
$(LOADPOLICY) $(INSTALLDIR)/policy.17
とします。
http://www.selinux.gr.jp/documents/FC2-SELinuxmemo.html より引用

ここからが設定のメイン。"audit2allow -d -l"の出力から必要そうな行をコピーして、policy/domains に拡張子"te"のテキストファイルを作成し、make reloadが完了すれば終りだ。

[root@fedora yano]# audit2allow -d -l
:
allow user_sudo_t shell_exec_t:file { execute_no_trans };
allow user_sudo_t ls_exec_t:file { execute execute_no_trans read };
allow user_sudo_t var_log_t:dir { getattr search };
allow user_sudo_t var_log_t:file { append getattr lock read };
:
[root@fedora yano]# cd /etc/security/selinux/src/policy/domains
[root@fedora domains]# cat > sudo.te
allow user_sudo_t shell_exec_t:file { execute_no_trans };
allow user_sudo_t ls_exec_t:file { execute execute_no_trans read };
allow user_sudo_t var_log_t:dir { getattr search };
allow user_sudo_t var_log_t:file { append getattr lock read };
[root@fedora domains]# cd ..
[root@fedora policy]# setenforce 1
[root@fedora policy]# make reload

電子自治体つくるは素人ばかり

Wed, 20 Oct 2004 00:00:00 +0900

つくば市の電子申請・届出システムでは、Javaアプレットのインストール時に「信頼できない団体によって発行されています」という警告メッセージが表示されるらしく、あろうことか手動で「常に信頼する」ように操作するように指示されている。

自治体の電子入札システムにして公開鍵基盤(PKI)における信頼関係の根幹を蔑ろにする有り様というのは、ベンダーたるNTT東日本がお粗末と言えるのではなかろうか。片や理由もわからずやらされてる職員にも気の毒だと思う面もあるが、これでいいと思ってしまってはマズ過ぎる。電子自治体に携わる人間としては少なくともPKIの基盤くらい理解しておいてもらわないと困るんだけど。

日経IT Proの記事「大規模サイトに潜むアクセシビリティの落とし穴」でも

多くの電子申請サイトでは，利用者が電子証明書を取得しようとすると，多くの人にとっては意味不明な英語の警告ダイヤログが出てくる。

と書いてある。英語って、そりゃあんたが英語版のブラウザを使っているからだろう…

確かに電子証明書を取得するというイリーガルな操作は、電子自治体のWebアクセシビリティにおいて一つの壁に成り得るのだが、記者はPKIのわかりにくさとごっちゃにしてないだろうか。

相変わらず「Internet Explorerだけで動けばいい」みたいなWebサイトも多いし、今を時めくIT業界と言えどもその実態はなかなかうすら寒いものがある。

【参照】
●高木浩光＠茨城県つくば市の日記 http://d.hatena.ne.jp/HiromitsuTakagi/
┗電子政府つくるは素人ばかり 2004年10月17日
●＠IT http://www.atmarkit.co.jp/
┣5分で絶対に分かるPKI 2001年2月17日
┣PKI基礎講座 2000年11月2日
┗ 〜インターネットセキュリティの切り札〜連載：PKI再入門 2003年4月5日
●日経IT Pro http://itpro.nikkeibp.co.jp/
┣IT技術者の2人に1人は“プロ未満” 2004年10月7日
┗大規模サイトに潜むアクセシビリティの落とし穴 2004年10月14日
●ITmedia http://www.itmedia.co.jp/
┗ユーザーは「IE以外」に、開発者はまだ「IEオンリー」 2004年10月18日

2004/10/20 on Yano's digital garage

台風23号トカゲ襲来

続：Fedora Core 2 〜 ポリシーの追加

電子自治体つくるは素人ばかり

続：Fedora Core 2 〜ポリシーの追加