LINUX.ORG.RU

Мандатный контроль доступа + виртуализация ФС

 ,


0

3

Есть такая тулза, позволяющая запускать процессы в песочнице и виртуализовывать доступ к ФС. Подскажите, как называется, не могу вспомнить.

Суть такова. Контроллируемый процесс запускается в минимальном чруте. Ему подсовывается пропатченная версия libc, осуществляющая виртуализацию файловых путей. Вся коммуникация с «настоящей» файловой системой производится этой libc путём обмена данными через сокет с сервисом, живущим вне чрута. Т.е. получается, что сервис по отношению к контроллируемому процессу является тем же самым, чем является сервис файловой системы в микроядерных ОС. Если же «сильно умное» приложение попробует дергать сисколы ядра напрямую, то оно увидит только почти пустой чрут, не содержащий никаких важных данных.

Я тоже хочу такое.

Это точно не в рамках grsecurity/selinux было реализовано?

Kindly_Cat ()
Ответ на: комментарий от Kindly_Cat

Нет, это какой-то отдельный проект был. Видел в прошлом году. Потерял ссылку на сайт.

geekless ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.