The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Контроль доступа к системным вызовам в OpenBSD и NetBSD. Часть 2.

12.03.2003 17:08

Вышло продолжение статьи "Systrace Policies", в которой рассказано как можно используя systrace, ограничить возможность использования определенных системных вызовов в программе, например, запретить открывать определенных файл через open().

Пример правил для ограничения named:



Policy: /usr/sbin/named, Emulation: native
native-accept: permit
native-bind: sockaddr match "inet-*:53" then permit
native-chdir: filename eq "/" then permit
native-chdir: filename eq "/namedb" then permit
native-chroot: filename eq "/var/named" then permit
native-connect: sockaddr eq "/dev/log" then permit
native-fsread: filename eq "/" then permit
native-fsread: filename eq "/dev/arandom" then permit
native-fsread: filename eq "/etc/group" then permit




  1. Главная ссылка к новости (http://www.onlamp.com/pub/a/bs...)
  2. Часть 1. Systrace Policies
  3. Часть 2. Creating Systrace Policies
Лицензия: CC-BY
Источник: onlamp
Короткая ссылка: https://opennet.ru/2086-nat
Ключевые слова: nat, connect, named, chroot, file, netbsd, openbsd, access, policy, bind, limit, fs, example
Поддержать дальнейшую публикацию новостей на OpenNET.


 Добавить комментарий
Имя:
E-Mail:
Текст:
При перепечатке указание ссылки на opennet.ru обязательно



Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру