The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

15.05.2012 21:25  Руководство по использованию Capsicum для изоляции выполнения программ и библиотек

Бен Лори (Ben Laurie), известный своим вкладом в разработку OpenSSL и обеспечение поддержки SSL для http-сервера Apache, а также многим другим, представил практическое руководство по использованию интегрированной во FreeBSD подсистемы Capsicum для изоляции выполнения программ и библиотек. Использование Capsicum продемонстрировано на примере утилиты bzip2 и библиотеки libtiff, все действия разбиты на 13 этапов, для каждого из которых представлены для изучения соответствующие патчи.

Подсистема Capsicum опционально включена в состав FreeBSD 9 в качестве экспериментальной возможности и будет активирована по умолчанию начиная с FreeBSD 10. Capsicum представляет собой фреймворк для организации изолированного выполнения приложений и ограничения использования приложениями определённых функций. Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения. Используя Capsicum приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только ранее специфицированные штатные действия.

Дополнительно можно отметить статью "Automatic binary hardening with Autoconf" в которой показано как автоматизировать проверку наличия дополнительных механизмов повышения безопасности в скриптах Autoconf и активировать сборку с задействованием всех доступных методов повышения безопасности на этапе сборки. В частности, рассматриваются такие возможности современных компиляторов, как рандомизация выделения памяти, дополнительные проверки корректности выполнения строковых операций и операций с памятью (-D_FORTIFY_SOURCE=2), защита от удаления компилятором "излишних" проверок на целочисленные переполнения (-fno-strict-overflow), защита от переполнения стек-фрейма (-fstack-protector-all) и т.п. Отмечается, что использовать данные возможности в своих программах стоит с осторожностью, предварительно протестировав возможное негативное влияние на производительность (некоторые наблюдают замедление до 30%). .

  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
  2. OpenNews: Официально представлен релиз FreeBSD 9.0. Обзор новшеств
Лицензия: CC-BY
Тип: английский / Практикум
Ключевые слова: capsicum, freebsd, security, cutoconf, hardening
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 21:56, 15/05/2012 [ответить] [смотреть все]
  • –4 +/
    Тяжело им без SELinux.
     
     
  • 2.2, Аноним, 22:04, 15/05/2012 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Толсто.
    у них есть свой мандатный контроль доступа. К тому же 1, а не 4 разных
     
     
  • 3.4, Аноним, 22:38, 15/05/2012 [^] [ответить] [смотреть все]
  • +3 +/
    Но редхата своего у них нет, так что правила писать некому Значит, повод для за... весь текст скрыт [показать]
     
     
  • 4.23, Аноним, 21:06, 16/05/2012 [^] [ответить] [смотреть все]  
  • +/
    ради самообразования не ради bsd vs linux , зачем нужен делали МАС по именам, вм... весь текст скрыт [показать]
     
     
  • 5.28, Аноним, 00:33, 17/05/2012 [^] [ответить] [смотреть все]  
  • +/
    * зачем сделали МАС по именам, а не по меткам?
     
  • 5.33, Аноним, 02:28, 17/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Не только ради простоты Пара примеров Далеко не все ФС поддерживают метки безо... весь текст скрыт [показать]
     
  • 3.6, Аноним, 22:56, 15/05/2012 [^] [ответить] [смотреть все]  
  • +/
    А что, MAC в рамках TrustedBSD так довели до рабочего состояния Afaik, история ... весь текст скрыт [показать]
     
     
  • 4.7, Аноним, 06:49, 16/05/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Afaik оно работает, даже в OS X, не говоря уже о FreeBSD, где начиная с 5 версии... весь текст скрыт [показать]
     
     
  • 5.12, Аноним, 14:39, 16/05/2012 [^] [ответить] [смотреть все]  
  • +/
    В OS X запросто, там все-таки Apple А вот насчет Фри - не могли бы вы пруфы пре... весь текст скрыт [показать]
     
     
  • 6.14, Аноним2, 15:18, 16/05/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/mac.html
     
  • 6.40, Аноним, 15:19, 17/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Брат аноним уже дал ссылку на оффициальный guide, там даже есть некий набор гото... весь текст скрыт [показать]
     
  • 2.5, Аноним, 22:40, 15/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    MAC и фильтр сисколов - это совершенно разные технологии Capsicum - это аналог ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.8, user, 08:11, 16/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Ну откуда ж ему знать то Его цель - просто пёрнуть в лужу, а не вникнуть в суть... весь текст скрыт [показать]
     
     
  • 4.15, Аноним, 16:05, 16/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Но по сути он все же прав На фре без SELinux тяжело ... весь текст скрыт [показать]
     
     
  • 5.41, Аноним, 15:21, 17/05/2012 [^] [ответить] [смотреть все]  
  • +/
    По сути во Фре есть свой MAC, да и порт SELinux тоже делали, SEBSD, незнаю, прав... весь текст скрыт [показать]
     
  • 3.38, Аноним, 12:32, 17/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Какой-то очень приблизительный аналог то - фильтр сисколов vs довески на права ... весь текст скрыт [показать]
     
  • 2.9, Куяврик, 10:24, 16/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это такая хреновинка, которую 90% не знают и 9% отключают если включено?
     
     
  • 3.13, Аноним, 14:41, 16/05/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Да Практически все продвинутые технологии безопасности на десктопах и гoвносерв... весь текст скрыт [показать]
     
     
  • 4.16, Аноним, 16:06, 16/05/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    и уже через годик почти любой подробный мануал по настройке чего-нибудь буде... весь текст скрыт [показать]
     
  • 4.26, Аноним, 21:46, 16/05/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Потому что что виндозные ACL что вот это вот - такая хрень что проще застрелитьс... весь текст скрыт [показать]
     
  • 2.17, Kibab, 18:44, 16/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Разобрались бы для начала в разнице между SELinux и Capsicum, потом бы писали бр... весь текст скрыт [показать] [показать ветку]
     
  • 2.22, NoMan, 19:45, 16/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вообще-то если прочесть про капсикум, то Google планирует интегрировать его в яд... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, Аноним, 02:11, 17/05/2012 [^] [ответить] [смотреть все]  
  • +/
    В результате его интегрируют только в ядро ChromeOS А в мейнстиме среагируют та... весь текст скрыт [показать]
     
  • 3.39, Аноним, 12:36, 17/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Почему-то вспоминается анекдот Анонс в аэропорту планировал совершить посадк... весь текст скрыт [показать]
     
  • 1.3, Аноним, 22:36, 15/05/2012 [ответить] [смотреть все]  
  • +3 +/
    Мне capsicum показался излишне усложнённым, seccomp filter в Linux гораздо проще... весь текст скрыт [показать]
     
     
  • 2.18, Kibab, 18:45, 16/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А можно поподробнее Было бы интересно послушать ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Аноним, 19:02, 16/05/2012 [^] [ответить] [смотреть все]  
  • +/
    http://outflux.net/teach-seccomp/
     
     
  • 4.21, Kibab, 19:31, 16/05/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Посмотрел, спасибо Что вывел для себя 1 В примере разрешаются вызовы read, wr... весь текст скрыт [показать]
     
     
  • 5.25, Аноним, 21:42, 16/05/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Я конечно понимаю что бсдшники - перфекционисты Но вот как раз именно поэтому и... весь текст скрыт [показать]
     
     
  • 6.27, Kibab, 21:48, 16/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Проблема именно в том, что seccomp filters -- это не простое в использовании ... весь текст скрыт [показать]
     
     
  • 7.30, Аноним, 02:17, 17/05/2012 [^] [ответить] [смотреть все]  
  • +/
    А вон ту инструкциб из 13 действий мы назовем простой и удобной, ну конечно В р... весь текст скрыт [показать]
     
     
  • 8.35, Kibab, 02:38, 17/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Ну вы сравнили bzip2 и хелловорлд - Вообще пора включить мозг -- 99 совреме... весь текст скрыт [показать]
     
     
  • 9.37, Аноним, 12:28, 17/05/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну все замечательно, конечно, но это аж 2 программы При том далеко не самые про... весь текст скрыт [показать]
     
     
  • 10.44, Kibab, 20:55, 18/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Знаете, сейчас один из самых реальных и действенных способов ломануть юзера пом... весь текст скрыт [показать]
     
  • 6.31, Аноним, 02:17, 17/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Нет, тут просто решалась вполне конкретная задача докопаться к чему-нибудь И о... весь текст скрыт [показать]
     
     
  • 7.32, Аноним, 02:18, 17/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Собственно, поэтому не вижу смысла вступать в диалог И другим не советую ... весь текст скрыт [показать]
     
  • 7.36, Аноним, 12:00, 17/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Ну так в случае идеальной софтины докопаться не получится Хотя наезды макофага ... весь текст скрыт [показать]
     
  • 7.45, Kibab, 20:58, 18/05/2012 [^] [ответить] [смотреть все]  
  • +/
    > Нет, тут просто решалась вполне конкретная задача: докопаться к чему-нибудь.
    > И она более-менее решена, в прямом и топорном стиле.
    > А конструктивной критикой тут и не пахнет.

    А слабо теперь аргументировать, что вы тут понаписали? :-)

     
  • 1.10, _yurkis_, 10:24, 16/05/2012 [ответить] [смотреть все]  
  • +/
    Как раз искал! Шикарно! Спасибо огромное.
     
     
  • 2.19, Kibab, 18:46, 16/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Как раз искал! Шикарно! Спасибо огромное.

    Если искались, подпишитесь на cl-capsicum-discuss, откроете для себя ещё много интересного :-)

     
  • 1.11, Аноним, 14:29, 16/05/2012 [ответить] [смотреть все]  
  • +/
    На BSDCan говорили, что уже в 9 1 будет в GENERIC ... весь текст скрыт [показать]
     
     
  • 2.42, oops, 17:17, 17/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а там не говорили когда 9.1 зарелизится?
     
     
  • 3.43, Alexander Motin, 19:17, 18/05/2012 [^] [ответить] [смотреть все]  
  • +/
    > а там не говорили когда 9.1 зарелизится?

    Планируется начать release cycle в конце мая и закончить в июле-августе.

     
  • 1.24, Аноним, 21:39, 16/05/2012 [ответить] [смотреть все]  
  • +2 +/
    Ну ать-ать-ать, кто ж так новости постит, а Это п Все бы замечательно конеч... весь текст скрыт [показать]
     
  • 1.34, Аноним, 02:38, 17/05/2012 [ответить] [смотреть все]  
  • +/
    Ну, кто там сомневался что x86 с его куцыми регистрами - не рулит ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor