forum.opennet.ru

"Руководство по использованию Capsicum для изоляции выполнени..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Доступны два режима работы форума: "Раскрыть нити" и "Свернуть нити".

. "Руководство по использованию Capsicum для изоляции выполнени..."	+/–
Сообщение от Kibab (ok), 18-Май-12, 20:55
> Ну все замечательно, конечно, но это аж 2 программы. При том далеко > не самые проблемные в плане реальных взломов через них. Что это > напоминает? Правильно, похоже на microsoft‑windows‑xp‑with‑firewall.jpg Знаете, сейчас один из самых реальных и действенных способов ломануть юзера (помимо social engineering, ликвидация проблем в этой области находится вне компетенции программистов) -- это через браузер, через его дыры. В этом плане безусловным молодцом является так нелюбимый на этом форуме Google Chrome, который как раз интенсивно использует доступные на целевой платформе технологии обеспечения безопасности. Кстати говоря, поддержка Capsicum была туда уже добавлена в ходе изначального эксперимента, см. подробнее публикации по Capsicum. Там же было хорошее сравнение различных механизмов безопасности на различных ОС, и Linux выглядел не в самом лучшем свете. Правда, seccomp filter там ещё не было. Но, судя по тому, что я видел в факе по ссылке выше, особо ничего не поменялось. Такая же наколеночная поделка. >> Далее, один из основных разрабочиков OpenSSH сидит от меня через два кабинета, >> и он в кулуарных разговорах высказывал заинтересованность в поддержке Capsicum. > Я рад за вас, но к чему это все? Попонтоваться? "Попонтоваться" можно было бы, если бы это был я ;))) > А вот тут то и > будет основной болт, ровно такой же как случился в винде. У > которой технически есть куча пермиссий на все что можно, но практически > - оно настолько задрюкано что прикладники просто кладут на это. Ещё раз настоятельно рекомендую ознакомиться с публикациями про Capsicum. В том числе там подробно рассказано, почему механизмы безопасности Windows, призванные защищать данные одного юзера от другого, плохо работают для сендбоксинга приложений. > это дружно. Прикладники положили - юзерам пришлось сидеть под админом. Иначе > половина прикладух ломается непредсказуемым образом. Но некоторые видимо не хотят учить > чужие ошибки. Да, это кстати и к seccomp filter относится. Ну > и будет еще два раза по microsoft‑windows‑xp‑with‑firewall.jpg > на практике. Да, у большинства авторов руки растут из жопы и про безопасность они не думают. Что, это повод пользоваться дырявым софтом? > То-есть, бсдшники положат сами на себя? Помнится им тут однажды paxuser довольно > конкретно раздал, сравнив разные технологии hardening-а. Кто это? я его не знаю. Можно ссылку на дискуссию? Было бы интересно почитать!
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Руководство по использованию Capsicum для изоляции выполнени..., opennews, 15-Май-12, 21:56 [смотреть все]

Тяжело им без SELinux , Аноним, 15-Май-12, 21:56 (1) //
- Толсто у них есть свой мандатный контроль доступа К тому же 1, а не 4 разных, Аноним, 15-Май-12, 22:04 (2) //
  - Но редхата своего у них нет, так что правила писать некому Значит, повод для зав, Аноним, 15-Май-12, 22:38 (4) //
    - ради самообразования не ради bsd vs linux , зачем нужен делали МАС по именам, вм, Аноним, 16-Май-12, 21:06 (23)
      - зачем сделали МАС по именам, а не по меткам , Аноним, 17-Май-12, 00:33 (28)
      - Не только ради простоты Пара примеров Далеко не все ФС поддерживают метки безопа, Аноним, 17-Май-12, 02:28 (33)
  - А что, MAC в рамках TrustedBSD так довели до рабочего состояния Afaik, история з, Аноним, 15-Май-12, 22:56 (6) //
    - Afaik оно работает, даже в OS X, не говоря уже о FreeBSD, где начиная с 5 версии, Аноним, 16-Май-12, 06:49 (7)
      - В OS X запросто, там все-таки Apple А вот насчет Фри - не могли бы вы пруфы пре, Аноним, 16-Май-12, 14:39 (12)
        
        http www freebsd org doc en_US ISO8859-1 books handbook mac html, Аноним2, 16-Май-12, 15:18 (14)
        Брат аноним уже дал ссылку на оффициальный guide, там даже есть некий набор гото, Аноним, 17-Май-12, 15:19 (40)
- MAC и фильтр сисколов - это совершенно разные технологии Capsicum - это аналог , Аноним, 15-Май-12, 22:40 (5) //
  - Ну откуда ж ему знать то Его цель - просто пёрнуть в лужу, а не вникнуть в суть, user, 16-Май-12, 08:11 (8) //
    - Но по сути он все же прав На фре без SELinux тяжело , Аноним, 16-Май-12, 16:05 (15)
      - По сути во Фре есть свой MAC, да и порт SELinux тоже делали, SEBSD, незнаю, прав, Аноним, 17-Май-12, 15:21 (41)
  - Какой-то очень приблизительный аналог то - фильтр сисколов vs довески на права , Аноним, 17-Май-12, 12:32 (38)
- Это такая хреновинка, которую 90 не знают и 9 отключают если включено , Куяврик, 16-Май-12, 10:24 (9) //
  - Да Практически все продвинутые технологии безопасности на десктопах и гoвносерв, Аноним, 16-Май-12, 14:41 (13) //
    - и уже через годик почти любой подробный мануал по настройке чего-нибудь буде, Аноним, 16-Май-12, 16:06 (16)
    - Потому что что виндозные ACL что вот это вот - такая хрень что проще застрелитьс, Аноним, 16-Май-12, 21:46 (26)
- Разобрались бы для начала в разнице между SELinux и Capsicum, потом бы писали бр, Kibab, 16-Май-12, 18:44 (17)
- Вообще-то если прочесть про капсикум, то Google планирует интегрировать его в яд, NoMan, 16-Май-12, 19:45 (22) //
  - В результате его интегрируют только в ядро ChromeOS А в мейнстиме среагируют та, Аноним, 17-Май-12, 02:11 (29)
  - Почему-то вспоминается анекдот Анонс в аэропорту планировал совершить посадку, Аноним, 17-Май-12, 12:36 (39)
Мне capsicum показался излишне усложнённым, seccomp filter в Linux гораздо проще, Аноним, 15-Май-12, 22:36 (3) //
- А можно поподробнее Было бы интересно послушать , Kibab, 16-Май-12, 18:45 (18) //
  - http outflux net teach-seccomp , Аноним, 16-Май-12, 19:02 (20) //
    - Посмотрел, спасибо Что вывел для себя 1 В примере разрешаются вызовы read, wri, Kibab, 16-Май-12, 19:31 (21)
      - Я конечно понимаю что бсдшники - перфекционисты Но вот как раз именно поэтому и, Аноним, 16-Май-12, 21:42 (25)
        
        Проблема именно в том, что seccomp filters -- это не простое в использовании , Kibab, 16-Май-12, 21:48 (27)
        
        А вон ту инструкциб из 13 действий мы назовем простой и удобной, ну конечно В р, Аноним, 17-Май-12, 02:17 (30)
        
        Ну вы сравнили bzip2 и хелловорлд - Вообще пора включить мозг -- 99 совреме, Kibab, 17-Май-12, 02:38 (35)
        
        Ну все замечательно, конечно, но это аж 2 программы При том далеко не самые про, Аноним, 17-Май-12, 12:28 (37)
        
        Знаете, сейчас один из самых реальных и действенных способов ломануть юзера пом , Kibab, 18-Май-12, 20:55 (44)
        
        Нет, тут просто решалась вполне конкретная задача докопаться к чему-нибудь И он, Аноним, 17-Май-12, 02:17 (31)
        
        Собственно, поэтому не вижу смысла вступать в диалог И другим не советую , Аноним, 17-Май-12, 02:18 (32)
        Ну так в случае идеальной софтины докопаться не получится Хотя наезды макофага , Аноним, 17-Май-12, 12:00 (36)
        А слабо теперь аргументировать, что вы тут понаписали - , Kibab, 18-Май-12, 20:58 (45)
Как раз искал Шикарно Спасибо огромное , _yurkis_, 16-Май-12, 10:24 (10) //
- Если искались, подпишитесь на cl-capsicum-discuss, откроете для себя ещё много и, Kibab, 16-Май-12, 18:46 (19)
На BSDCan говорили, что уже в 9 1 будет в GENERIC , Аноним, 16-Май-12, 14:29 (11) //
- а там не говорили когда 9 1 зарелизится , oops, 17-Май-12, 17:17 (42) //
  - Планируется начать release cycle в конце мая и закончить в июле-августе , Alexander Motin, 18-Май-12, 19:17 (43)
Ну ать-ать-ать, кто ж так новости постит, а Это п Все бы замечательно конечн, Аноним, 16-Май-12, 21:39 (24)
Ну, кто там сомневался что x86 с его куцыми регистрами - не рулит , Аноним, 17-Май-12, 02:38 (34)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру