https://www.opennet.me/openforum/vsluhforumID3/114934.html Тео де Раадт (Theo de Raadt) представил (https://marc.info/?l=openbsd-tech&m=153262228632102&w=2) патч с реализацией дополнительной защиты при помощи нового системного вызова unveil() (https://man.openbsd.org/unveil.2), который дополняет механизм ограничения доступа к системным вызовам pledge() (https://www.opennet.ru/opennews/art.shtml?num=43295). Новый системный вызов планируют включить в состав выпуска OpenBSD 6.4. В настоящее время код для защиты при помощи unveil() добавлен в 37 приложений из базовой системы OpenBSD, активировать патч планируется когда число приложений будет доведено до 50.<br><br><br>Системный вызов unveil() предоставляет новый способ изоляции доступа к файловой системе, интегрируемый в код приложений. Суть защиты заключается в том, что первым вызовом unveil() для приложения полностью блокируется доступ ко всей ФС. После чего выборочно открывается возможность доступа для отдельных путей, с которыми может работать приложение (реализация "белого списка" - по умолчанию всё запрещено, а необходимы https://www.opennet.me/openforum/vsluhforumID3/114934.html#69 Tue, 19 Nov 2019 08:02:54 GMT GPS, биометрический сенсор и доступ к фитнес-трекеру забыл.<br> https://www.opennet.me/openforum/vsluhforumID3/114934.html#68 Tue, 19 Nov 2019 08:01:08 GMT Конечно знает. Хардкоденные пути он и так знает. Нехардкоденные - прочитает из конфига.<br> https://www.opennet.me/openforum/vsluhforumID3/114934.html#67 Tue, 19 Nov 2019 07:59:47 GMT Леннарт, залогиньтесь.<br> https://www.opennet.me/openforum/vsluhforumID3/114934.html#66 Sun, 05 Aug 2018 23:22:33 GMT 1. &#171;Появился&#187; он в виде патча, а не в mainline ядре. Напомните, когда он стал частью дефолтного ядра в каком-либо крупном дистрибутиве? Потому что сравнивать доступный где-то патч и изначально доступную и работающую функциональность как-то некорректно, не находите?<br><br>Впрочем, я уже поправился по соседству, говоря про SELinux, &#8212; надо было здесь тоже, признаю.<br><br>2. OpenBSD работал на реальном железе и куче архитектур с момента рождения. В отличие от изначально x86-only Linux (я очень рад за ядро Linux, что сейчас оно может куда больше, чем в 1995-м). &#171;А ты продолжай врать&#187;.<br> https://www.opennet.me/openforum/vsluhforumID3/114934.html#65 Sun, 05 Aug 2018 20:50:52 GMT RSBAC, позволяющий ограничить все что угодно в линухе, появился в 2000 году. В то время опенок еще даже не был в состоянии загрузится на реальном железе(впрочем и сейчас с железом которому менее 10 лет у опенка жесткие проблемы).<br>А ты продолжай врать.<br> https://www.opennet.me/openforum/vsluhforumID3/114934.html#64 Wed, 01 Aug 2018 20:25:58 GMT Тео видимо на тяжелые наркотики с пива перешел ))))<br> https://www.opennet.me/openforum/vsluhforumID3/114934.html#63 Tue, 31 Jul 2018 10:25:26 GMT &gt; Если я правильно понял описание, то это для того, чтобы потомки не <br>&gt; могли делать то, что не может делать родитель.<br><br>И это тоже, так как в seccomp, насколько помню, привилегии просто наследуются. В pledge же можно явно задать привилегии именно для exec'нутых процессов. Если ошибаюсь, прошу поправить. :)<br> https://www.opennet.me/openforum/vsluhforumID3/114934.html#62 Tue, 31 Jul 2018 10:21:53 GMT &gt; Сам по себе /bin/sh не много умеет.<br><br>Всего лишь запускать произвольные программы и открывать произвольные файлы, угу.<br> https://www.opennet.me/openforum/vsluhforumID3/114934.html#61 Tue, 31 Jul 2018 10:14:56 GMT подпишусь ка я...<br>