https://www.opennet.dev/openforum/vsluhforumID3/84544.html Бен Лаури (Ben Laurie (http://en.wikipedia.org/wiki/Ben_Laurie)), известный своим вкладом в разработку OpenSSL и обеспечение поддержки SSL для http-сервера Apache, представил (http://www.links.org/?p=1242) практическое руководство по использованию интегрированной во FreeBSD подсистемы Capsicum (http://www.cl.cam.ac.uk/research/security/capsicum/) для изоляции выполнения программ и библиотек. Использование Capsicum продемонстрировано на примере утилиты bzip2 и библиотеки libtiff (https://github.com/benlaurie/libtiff), все действия разбиты на 13 этапов, для каждого из которых представлены для изучения соответствующие патчи.<br><br><br>Подсистема Capsicum опционально включена в состав FreeBSD 9 в качестве экспериментальной возможности и будет активирована по умолчанию начиная с FreeBSD 10. Capsicum представляет собой фреймворк для организации изолированного выполнения приложений и ограничения использования приложениями определённых функций. Capsicum расширяет POSIX API и предоставляет несколько новых системных примит https://www.opennet.dev/openforum/vsluhforumID3/84544.html#45 Fri, 18 May 2012 16:58:37 GMT &gt; Нет, тут просто решалась вполне конкретная задача: докопаться к чему-нибудь.<br>&gt; И она более-менее решена, в прямом и топорном стиле.<br>&gt; А конструктивной критикой тут и не пахнет.<br><br>А слабо теперь аргументировать, что вы тут понаписали? :-)<br> https://www.opennet.dev/openforum/vsluhforumID3/84544.html#44 Fri, 18 May 2012 16:55:12 GMT &gt; Ну все замечательно, конечно, но это аж 2 программы. При том далеко <br>&gt; не самые проблемные в плане реальных взломов через них. Что это <br>&gt; напоминает? Правильно, похоже на microsoft&#8209;windows&#8209;xp&#8209;with&#8209;firewall.jpg <br><br>Знаете, сейчас один из самых реальных и действенных способов ломануть юзера (помимо social engineering, ликвидация проблем в этой области находится вне компетенции программистов) -- это через браузер, через его дыры. В этом плане безусловным молодцом является так нелюбимый на этом форуме Google Chrome, который как раз интенсивно использует доступные на целевой платформе технологии обеспечения безопасности. Кстати говоря, поддержка Capsicum была туда уже добавлена в ходе изначального эксперимента, см. подробнее публикации по Capsicum. Там же было хорошее сравнение различных механизмов безопасности на различных ОС, и Linux выглядел не в самом лучшем свете. Правда, seccomp filter там ещё не было. Но, судя по тому, что я видел в факе по ссылке выше, особо ничего не поменялось. https://www.opennet.dev/openforum/vsluhforumID3/84544.html#43 Fri, 18 May 2012 15:17:40 GMT &gt; а там не говорили когда 9.1 зарелизится?<br><br>Планируется начать release cycle в конце мая и закончить в июле-августе.<br> https://www.opennet.dev/openforum/vsluhforumID3/84544.html#42 Thu, 17 May 2012 13:17:00 GMT а там не говорили когда 9.1 зарелизится?<br> https://www.opennet.dev/openforum/vsluhforumID3/84544.html#41 Thu, 17 May 2012 11:21:48 GMT По сути во Фре есть свой MAC, да и порт SELinux тоже делали, SEBSD, незнаю, правда, что с ним сейчас.<br> https://www.opennet.dev/openforum/vsluhforumID3/84544.html#40 Thu, 17 May 2012 11:19:21 GMT Брат аноним уже дал ссылку на оффициальный guide, там даже есть некий набор готовых политик.<br> https://www.opennet.dev/openforum/vsluhforumID3/84544.html#39 Thu, 17 May 2012 08:36:21 GMT &gt; Вообще-то если прочесть про капсикум, то Google планирует интегрировать<br><br>Почему-то вспоминается анекдот: <br>Анонс в аэропорту: "планировал совершить посадку самолет номер 13..."<br> https://www.opennet.dev/openforum/vsluhforumID3/84544.html#38 Thu, 17 May 2012 08:32:01 GMT &gt; Capsicum - это аналог линуксового seccomp.<br><br>Какой-то очень приблизительный аналог то - фильтр сисколов vs довески на права.<br><br> https://www.opennet.dev/openforum/vsluhforumID3/84544.html#37 Thu, 17 May 2012 08:28:40 GMT &gt; И здесь мы вспоминаем про недавние новости про поддержку seccomp filters <br>&gt; в vsftpd и OpenSSH, например. <br><br>Ну все замечательно, конечно, но это аж 2 программы. При том далеко не самые проблемные в плане реальных взломов через них. Что это напоминает? Правильно, похоже на microsoft&#8209;windows&#8209;xp&#8209;with&#8209;firewall.jpg<br><br>&gt; Далее, один из основных разрабочиков OpenSSH сидит от меня через два кабинета,<br>&gt; и он в кулуарных разговорах высказывал заинтересованность в поддержке Capsicum.<br><br>Я рад за вас, но к чему это все? Попонтоваться? Собственно это его геморрой, ему и решать - надо ему еще порцию возни или нет. Один какой-то ssh, далеко не самый дырявый на свете - вообще ничего такого не меняет. Машина где кроме ssh ничего нет - вообще бесполезна для окружающих. А вот тут то и будет основной болт, ровно такой же как случился в винде. У которой технически есть куча пермиссий на все что можно, но практически - оно настолько задрюкано что прикладники просто кладут на это. Просто потому что трах