Запуск опасных приложений

0

0

Кто знает, какой сейчас самый модный способ для организации сервера приложений с опасной прогой в качестве этого самого приложения? То есть, существует предельно дырявая софтина, которая должна сидеть на серваке, работать, и при этом не наносить вред серваку и сетке в которой этот сервак стоит :) Как нынче это реализуется?

Ссылка

←	Jabber клиент под прокси с авторизацией в домене

[Solved] Как передать сохраненный pkcs12 сертификат Webmoney из Firefox в Opera

→

самый модный способ - виртуализация :)

sidor ★★
(26.01.09 17:09:03 MSK)

Ссылка

xen kvm virtuozzo

в chroot сажать дешево и сердито, но не так безопасно и не модно

Sylvia ★★★★★
(26.01.09 17:10:27 MSK)

Ответ на: комментарий от Sylvia 26.01.09 17:10:27 MSK

можно в UML запустить (от пользователя, рута не требуется), тоже дешево и сердито, безопасно
но производительность на непатченном под UML хостовом ядре невысокая

Sylvia ★★★★★
(26.01.09 17:12:24 MSK)

Ответ на: комментарий от Sylvia 26.01.09 17:12:24 MSK

то есть, вражеское приложение не сможет навредить хост-системе? А сетку как защитить, в которой стоит хост?

~~Hokum~~ ☆☆☆☆
(26.01.09 17:19:23 MSK) автор топика

Ответ на: комментарий от Hokum 26.01.09 17:19:23 MSK

если в виртуальной машине запустить - считайте что выделили для этого приложения отдельный компьютер, пусть себе вредит сколько угодно

Касперский и его коллеги так и пускают вирусы - в виртуальных машинах...

а сетку защищать стандартно ) не совсем понятно что за приложение и как оно может навредить сети, если что - можно посадить его в отдельную подсеть, в принципе.

Sylvia ★★★★★
(26.01.09 17:22:57 MSK)

Ответ на: комментарий от Sylvia 26.01.09 17:22:57 MSK

ясно, в итоге это просто та же виртуализация. Интересно было бы скорее изолировать приложение в рамках системы, чтобы оно не могло никуда вылезти за пределы обозначенных ему рамок... Скажем так, приложение вероятнее всего позволяет открывать удалённый шэлл юзера, под которым работает. То есть изначально можно считать, что злоумышленник получил непривилегированный шэлл на сервере. Надо не дать похитить инфу и не дать навредить серваку и зафлудить сетку в которой он живёт... Обидно из-за этого тратить ресурсы на виртуализацию :)

~~Hokum~~ ☆☆☆☆
(26.01.09 17:27:38 MSK) автор топика

Ответ на: комментарий от Hokum 26.01.09 17:27:38 MSK

можно воспользоваться правилами role based, например SELinux
по виртуализация - надежнее и проще, и даже если оно сможет навредить - то навредит только своей же виртуальной машине.

чтобы не зафлудило сетку в которой живет - Xen/Virtuozzo вполне умеют мониторить ресурсы сети для виртуальных машин

Sylvia ★★★★★
(26.01.09 17:30:26 MSK)

Ответ на: комментарий от Sylvia 26.01.09 17:30:26 MSK

оки, вообщем, спасибо за наводку, буду думать :)

~~Hokum~~ ☆☆☆☆
(26.01.09 17:32:57 MSK) автор топика

Ссылка

Ответ на: комментарий от Sylvia 26.01.09 17:10:27 MSK

> в chroot сажать дешево и сердито, но не так безопасно и не модно
С rsbac в chroot сажать очень даже сердито, главное осилить один патч, одну контрольку и две хаутушки.

~~Lumi~~ ★★★★★
(27.01.09 11:25:50 MSK)