[pgsql-jp: 38536] [ANN] SE-PostgreSQL 1.0 Beta released

KaiGai Kohei kaigai @ kaigai.gr.jp
2007年 7月 1日 (日) 20:34:34 JST


こんにちは、海外です。

先日のPostgreSQL Conference 2007でもお話させて頂きました SE-PostgreSQL で
すが、本日、ベータ版をリリースしました。
この場を借りてアナウンスさせて頂きます。

============================================================
  SE-PostgreSQL 1.0β版 リリース (2007/07/01)
============================================================

2007年7月1日、SE-PostgreSQL開発チームは SE-PostgreSQL1.0β版 及び
「The security guide of Security-Enhanced PostgreSQL β(日本語/英語)」を
リリースしました。

これらのパッケージ群は、以下のURLより取得することができます。
 http://code.google.com/p/sepgsql/downloads/list

o SE-PostgreSQL 1.0 β版
 sepostgresql-8.2.4-0.391.beta.fc6.i386.rpm
 sepostgresql-8.2.4-0.391.beta.fc7.i386.rpm
 sepostgresql-8.2.4-0.391.beta.fc7.src.rpm
 sepostgresql-8.2.4-0.391.beta.fc7.patch
o Fedora 7 向け ベースセキュリティポリシー
 selinux-policy-2.6.4-14.sepgsql.fc7.noarch.rpm
 selinux-policy-targeted-2.6.4-14.sepgsql.fc7.noarch.rpm
 selinux-policy-devel-2.6.4-14.sepgsql.fc7.noarch.rpm
o Fedora core 6 向け ベースセキュリティポリシー
 selinux-policy-2.4.6-74.sepgsql.fc6.noarch.rpm
 selinux-policy-targeted-2.4.6-74.sepgsql.fc6.noarch.rpm
 selinux-policy-devel-2.4.6-74.sepgsql.fc6.noarch.rpm
o "The security guide of Security-Enhanced PostgreSQL" β版
 sepgsql_security_guide.20070701.jp.beta.pdf
 sepgsql_security_guide.20070701.en.beta.pdf

インストールの詳細は以下のURLを参照してください。
o SE-PostgreSQL installation memo (Fedora 7)
 http://code.google.com/p/sepgsql/wiki/install_memo_Fedora7
o SE-PostgreSQL installation memo (Fedora core 6)
 http://code.google.com/p/sepgsql/wiki/install_memo_FC6

■ SE-PostgreSQL の特徴
SE-PostgreSQL (Security Enhanced PostgreSQL) は PostgreSQLにビルトイン
されたセキュリティ拡張機能で、SELinuxとの連携により、オペレーティング
システムとデータベース管理システムを統合されたセキュリティポリシーの下で
一元的に管理することを可能にします。加えて、SE-PostgreSQLは、行レベル/列
レベルを含む細粒度のアクセス制御機能と、特権DBユーザに対しても回避不可能
な強制アクセス制御機能を提供しています。

このような SE-PostgreSQL の特徴は、データベース管理システムをオペレーティ
ングシステムと一体化した情報フロー制御の枠組みに組み込むことを可能にし、
情報資産を漏えいや改ざんといった脅威から保護します。

■ 本バージョンの位置づけ
本バージョンは、SE-PostgreSQL1.0正式版のリリースに向けたテスト及び評価を
目的としています。従って、テスト/評価以外の目的で SE-PostgreSQL1.0β版
を利用することは推奨しません。

SE-PostgreSQL開発チームは、SE-PostgreSQL1.0正式版のリリースに向けた機能
フリーズを宣言します。これは、1.0正式版のリリースまでの期間、バグ修正を
除く新規機能の追加を行わないことを意味します。

バグの報告やSE-PostgreSQLの動作に関する質問、ドキュメントに対する疑問点
など、SE-PostgreSQL開発チームはOSSコミュニティからの全てのフィードバック
を歓迎します。

■ ロードマップ
SE-PostgreSQL開発チームは、約1ヶ月のベータ評価期間の後にSE-PostgreSQL1.0
正式版のリリースを予定しています。
また、将来的にはPostgreSQL本流へのPGACE/SE-PostgreSQL機能のマージを目標と
しています。

■ SE-PostgreSQL 1.0 α版からの変更点
SE-PostgreSQL1.0β版は、2007年3月5日にリリースされた SE-PostgreSQL1.0α版
から以下のような修正を加えています。

o PGACEフレームワークの採用
 PostgreSQL Access Control Extension (PGACE) は、セキュリティ拡張機能が利
 用できる多数のフック関数と、DBオブジェクトのセキュリティ属性の管理を軸と
 するフレームワークで、PostgreSQLにビルトインのセキュリティ拡張機能の共通
 基盤となるものです。

o バックアップ/リストア
 pg_dump及びpg_dumpallコマンドに --enable-security オプションを追加しまし
 た。これによって、セキュリティコンテキスト付きのバックアップ/リストアを
 行うことが可能になりました。

o SQL構文の拡張
 CREATE TABLE/FUNCTION/DATABASE および ALTER TABLE/FUNCTION/DATABASE の
 拡張により、システムカタログを直接操作することなくDBオブジェクトのセキュ
 リティコンテキストを設定することが可能になりました。

o 新しいパーミッションの追加
 table, column, tuple の各オブジェクトクラスに対して、{use}パーミッション
 が追加されました。これは、WHERE条件句やGROUP BY句でカラムを参照した場合な
 ど、クライアントが直接にデータを読み出さないタイプのDBオブジェクトの参照
 に対して評価されます。

o セキュリティポリシーの改善
 新たに、テーブルに対して sepgsql_ro_table_t(読込み専用) 及び
 sepgsql_fixed_table_t(読込み/挿入専用) タイプを付与することが可能になりま
 した。
 ユーザ定義関数に対して sepgsql_user_proc_t タイプが付与されるようになりま
 した。管理者はこのタイプの関数を実行できないため、素性の明らかでない関数を
 誤って高い権限で実行することを避けることができます。

o 多くのバグの修正
 αリリース以降の4ヶ月間に多くのバグが発見・除去されています。

■ 謝辞
 SE-PostgreSQLの開発は、IPA/未踏ソフトウェア創造事業(2006年度/下期)の支援を
 受けています。

-- 
KaiGai Kohei <kaigai @ kaigai.gr.jp>



pgsql-jp メーリングリストの案内