The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

30.06.2014 20:03  Для ядра Linux предложена система изоляции приложений Capsicum, изначально созданная для FreeBSD

Дэвид Драйсдейл (David Drysdale) из компании Google опубликовал в списке рассылки разработчиков ядра Linux набор патчей с реализацией фреймворка Capsicum, предоставляющего механизмы для изолированного выполнения приложений и ограничения использования приложениями определённых функций. Патчи подготовлены для ядра Linux 3.15. Для управления предлагается два новых системных вызова cap_rights_limit и cap_rights_get. Система изначально разработана для проекта FreeBSD, включена в состав базовой системы начиная с выпуска FreeBSD 9 и расширена в ветке FreeBSD 10. Поддержка режима изоляции, основанного на использовании Capsicum, интегрирована в OpenSSH 6.5.

Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения. Используя Capsicum, приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только заведомо разрешённые штатные действия.

Capsicum вводит в обиход новый класс файловых дескрипторов - capability, который предоставляет ограниченный набор прав, ассоциированных с ним. Попытки выполнить действия с дескриптором данного типа, не разрешённые заданными правами, отклоняются с выводом ошибки ENOTCAPABLE. Новые полномочия могут определяться только иерархически, как подмножество уже заданных прав, привязанных к существующему capability-дескриптору. Предоставляется также специальный режим "capability", блокирующий обращение ко всем системным вызовам из которых возможен доступ к глобальному пространству имён.

Комбинируя эти две возможности, использующее Capsicum приложение может эффективно изолировать себя в sandbox, определив права доступа для необходимых в работе файлов и сокетов, закрыв все остальные файловые дескрипторы и активировав режим capability, который не позволит открыть не подпадающие под созданные правила новые файловые дескрипторы.

  1. Главная ссылка к новости (https://lkml.org/lkml/2014/6/3...)
  2. OpenNews: Google развивает вариант системы изоляции приложений Capsicum для ядра Linux
  3. OpenNews: FreeBSD Foundation профинансирует улучшение системы изоляции приложений Capsicum
  4. OpenNews: Официально представлен релиз FreeBSD 9.0. Обзор новшеств
Лицензия: CC-BY
Тип: Программы
Ключевые слова: capsicum, freebsd, linux
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 20:21, 30/06/2014 [ответить] [смотреть все]
  • +3 +/
    Респект. Очень нужная вещь.
     
     
  • 2.6, Аноним, 21:37, 30/06/2014 [^] [ответить] [смотреть все] [показать ветку]
  • –1 +/
    чем оно лучше seccomp?
     
     
  • 3.28, Аноним, 11:00, 01/07/2014 [^] [ответить] [смотреть все]
  • –3 +/
    > чем оно лучше seccomp?

    Чем seccomp.

     
  • 2.7, Пропатентный тролль, 22:01, 30/06/2014 [^] [ответить] [смотреть все] [показать ветку]
  • –1 +/
    Нужная-то нужная, но люди не торопятся свои приложения переписывать под капсикум... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, Kibab, 00:31, 01/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    ну для этого есть GSoC, например - sendmail, кроме того, входит в состав базов... весь текст скрыт [показать]
     
     
  • 4.14, Аноним, 01:03, 01/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну да, это конечно мощный локомотив развития, столько success story вокруг о том... весь текст скрыт [показать]
     
     
  • 5.17, SubGun, 07:51, 01/07/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Особенно если учитывать, что его мало кто вообще использует.
     
     
  • 6.32, Аноним, 15:10, 01/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Так я и говорю - ему так сильно помогло что он в базовой системе...
     
  • 1.3, Аноним, 20:33, 30/06/2014 [ответить] [смотреть все]  
  • –2 +/
    Теперь ждём когда для Linux портируют NetGraph.
     
     
  • 2.5, onorua, 20:54, 30/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А чего ждете-то?
    http://repo.or.cz/w/ana-net.git/
     
  • 2.21, Александр З., 08:44, 01/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    А сильно ли нужен NetGraph ИМХО его ВОЛШЕБНОСТЬ сильно преувеличена ценителя... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, Аноним, 22:02, 30/06/2014 [ответить] [смотреть все]  
  • +1 +/
    seccomp filter http www opennet ru opennews art shtml num 34387 уже есть и поч... весь текст скрыт [показать]
     
     
  • 2.11, Kibab, 00:30, 01/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Но интерфейс через одно место спроектирован, а так да, слова похожие в описании ... весь текст скрыт [показать] [показать ветку]
     
  • 2.13, Аноним, 01:02, 01/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    Патчей им наложить! А то у них утечки памяти^W бабла наблюдаются...
    [code]
    Если мы безрезультатно потратили пять с лишним миллиардов долларов на то, что частный предприниматель в США потратил 100 миллионов, то вряд ли мы тратили эти деньги, чтобы создать ракету. Скорее, наоборот: мы создавали ракету, чтобы эти деньги украсть", - уверена Латынина.
    [/code]
     
     
  • 3.23, ццц, 09:47, 01/07/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Модератор согласен с Латыниной ? ;) :)
     
  • 3.24, Аноним79, 09:51, 01/07/2014 [^] [ответить] [смотреть все]  
  • +/
    стрелка осцылографа уверено? o_O
    партияжуликовиворофф?
    навальногофпрезеденты?
     
     
  • 4.40, rob pike, 13:38, 02/07/2014 [^] [ответить] [смотреть все]  
  • +3 +/
    затокрымнаш и дедывоевали уже изъяли из ваших методичек?
     
     
  • 5.41, Аноним, 17:35, 02/07/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    А как связан Крым Няш и воровство в КоммОсРюсси Или если срать - так срать - н... весь текст скрыт [показать]
     
  • 1.16, Аноним, 04:59, 01/07/2014 [ответить] [смотреть все]  
  • –3 +/
    Дадададададада Помню, помню, пару лет назад на Linux форумах просил прогу м... весь текст скрыт [показать]
     
     
  • 2.22, Аноним, 09:15, 01/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +8 +/
    ...и чтобы можно было грабить корованы.
     
  • 2.33, Аноним, 15:28, 01/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А ты это денег то занес команде разработчиков Если ты им зарплаты платил, а ... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Stanislavvv, 08:05, 01/07/2014 [ответить] [смотреть все]  
  • +/
    Либо я чего-то не понимаю, либо через cgroups и unshare можно запилить нечто подобное без необходимости патчить каждую программу (потребуется только запускать через враппер).
     
     
  • 2.29, продавец_кирпичей, 12:00, 01/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Точно, не понимаешь... весь текст скрыт [показать] [показать ветку]
     
  • 2.42, rob pike, 18:43, 02/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    https wiki archlinux org index php skype Docker ... весь текст скрыт [показать] [показать ветку]
     
  • 1.31, badmilkman, 14:41, 01/07/2014 [ответить] [смотреть все]  
  • –3 +/
    Интересная идея просить хакеров ограничить свои трояны Или ленивых быдлокодеро... весь текст скрыт [показать]
     
  • 1.37, lucentcode, 19:40, 01/07/2014 [ответить] [смотреть все]  
  • –1 +/
    Главное, что-бы поддержку данной технологии заставили юзать корпоратов, вроде Microsoft с их skype. Пожалуй, песочника для skype гораздо нужней, чем для exim или postfix.
     
     
  • 2.38, Аноним, 20:34, 01/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    мс будут сами должны сажать свой зонд в песочницу Точно Так или иначе параноик... весь текст скрыт [показать] [показать ветку]
     
  • 1.43, Аноним, 15:43, 07/07/2014 [ответить] [смотреть все]  
  • +/
    Не понял в чем отличие от apparmor и selinux Они тоже встроены в ядро, имеют ан... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor