LINUX.ORG.RU

Новый способ для безопасного выполнения подозрительных программ в Linux

 , ,


0

0

Dan Walsh и Eric Paris представили новый способ для запуска случайных, небезопасных бинарников. Новая утилита будет называться sandbox (песочница).

Название говорит само за себя: приложение будет запускаться в специальном окружении с ограниченными возможностями. Например, без возможности использования сети, создания файлов и т.д.

Для определения полномочий будет использоваться SELinux политика sandbox_t. По ссылке есть простой пример использования утилиты.

>>> Подробности

★★★★★

Проверено: Shaman007 ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

О, чудесно, весьма полезная вещь. Жаль только от Селялипса напрямую зависит :-(

ZZaiatSS ★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

> Жаль только от Селялипса напрямую зависит :-(

не жаль. иначе был бы велосипед.

gods-little-toy ★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

хм.. почему новость до сих пор не подтвердили, хотя одновременно с новостью о мандриве отправил.

mono ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

в бубунте SElinux заменили на AppArmor, говорят что первый сильно сложный. интересно можно ли через последний добиться тогоже успеха?

alt0v14 ★★★ ()

Жёстко.

>Например, без возможности...создания файлов.

Очёнь жёсткое ограничение.

Camel ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

В Windows Seven как раз перед этим, анонсировали подобную функцию, причём назвали её тоже "песочница". Молодцы ребята - копировать самое лучшее тоже надо уметь

vilisvir ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

топик просто шедевральный

kto_tama ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

>>в бубунте SElinux заменили на AppArmor, говорят что первый сильно сложный. интересно можно ли через последний добиться тогоже успеха?

Можно. в сусе по умолчанию аппармор - действительно проще, чем селинукс, а по возможностям уступает не сильно (если вообще уступает :/ )

Fragster ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

>sandbox

неужели имена закончились?! Вроде уже давно есть продукт с таким названием...

UserUnknown ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

> Можно. в сусе по умолчанию аппармор - действительно проще, чем селинукс, а по возможностям уступает не сильно (если вообще уступает :/ )

Конечно, уступает! Мнимая простота аппармору даётся не из-за того, что он лучше спроектирован, а из-за того, что в самой его основе лежит более простая идея.

mv ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

У концепции песочницы корни растут с хз каких времен. Из того что я помню это Java с ее аплетами в "песочнице", это 95-96 год. Наверняка старички вспомнят еще что-то древнее.

workForFood ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

Кто кого копировал - это еще надо поглядеть... ;-)

Мелкомягкие большие мастера в этом деле. Копирование хороших идей - это не есть зло (как может плохим размножение хорошего ?!?). Плохо - когда не дают копировать хорошие идеи. К сожалению, тут Мелкомягкие тоже большие мастера.

kum ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

всегда использовал chroot для этих целей. остальное - велосипедизм и от лукавого.

Komintern ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

>В Windows Seven как раз перед этим, анонсировали подобную функцию, причём назвали её тоже
>"песочница". Молодцы ребята - копировать самое лучшее тоже надо уметь


Слишком толсто. Почему вас не возмущает, что линукс также как и _Windows_ использует "файловые системы"? Неужели ничего нового не могли придумать, а?

ПС. Читайте http://ru.wikipedia.org/wiki/Песочница_(безопасность) и не несите больше бред, прошу вас!

fleet ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

>остальное - велосипедизм и от лукавого.
Ну-ну. А если софтину надо, например, ещё и в инет не пустить?

Ramen ★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

>всегда использовал chroot для этих целей. остальное - велосипедизм и от лукавого.

а там можно ограничения вводить на число дескрипторов и т.д.?

dimon555 ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

>Слишком толсто. Почему вас не возмущает, что линукс также как и _Windows_ использует "файловые системы"? Неужели ничего нового не могли придумать, а?

ПС. Читайте http://ru.wikipedia.org/wiki/Песочница_(безопасность) и не несите больше бред, прошу вас!

Всё верно, но я Вас прошу - не надо так грубо! Что интересно, даже ВМ VirtualBox тоже отнесли к разряду песочниц!

vilisvir ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

Супер. Часто надо. Теперь можно использовать реже VirtualBOX.
Надеюсь, ограничения можно настраивать

Deleted ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

Как сейчас помню историю опубликования на ЛОРе перлового нечитаемого однострочного кода, который сводился к rm -rf от корня...

gns ★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

sys-apps/sandbox...
опять пересечения названий... у нас в Gentoo уже есть своя песочница...

ergil ★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

> В Windows Seven как раз перед этим, анонсировали подобную функцию, причём назвали её тоже "песочница". Молодцы ребята - копировать самое лучшее тоже надо уметь

Компания Х изобрела свой вариант вилки, причем назвала ее вилкой. Тоже видимо копируют. По вашему назвать это нужно было иначе?

andreyu ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

>линукс также как и _Windows_ использует "файловые системы"

Толсто. Как раз Линукс имеет право использовать ФС, т.к. unix-совместим; придумывать что-то новое должны были как раз мелгомягкие.

vkos ★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

> sys-apps/sandbox...
> опять пересечения названий... у нас в Gentoo уже есть своя песочница...


Ну будет в другой категории, или суффикс к имени приделают. Не впервый же раз:

net-im/psi
и
sci-chemistry/psi

andreyu ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

> А если софтину надо, например, ещё и в инет не пустить?

всегда использовал файрвол для этих целей.

Komintern ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

Ну извини, не стал ставить кавычки вокруг слова "нечитаемого". С ходу не придумаешь удачный перевод слову "obfuscated".

gns ★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

> без возможности использования сети, создания файлов

кроме переданных процессу.

szh ★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

> два psi меня тоже очень раздражают :)

Чем же? Я ни одного из них не использую, и меня это не напрягает. Уверен, что в портеже есть и другие примеры.

andreyu ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

>Толсто. Как раз Линукс имеет право использовать ФС, т.к. unix-совместим; придумывать что-то новое должны были как раз мелгомягкие.

Извините, историю развития ФС плохо знаю.

fleet ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

антиоффтопик: Большинство юзеров про эту утилиту никогда не узнают все равно

devl547 ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

сам я его не юзаю, несколько лет назад ушел на gajim, но во времена когда юзал, каждый раз говоря emerge psi видел ругань с просьбой сказать какой именно psi я хочу.

ergil ★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

>всегда использовал файрвол для этих целей.
Ну неудобно это - для разных ограничений использовать кучу всего разного. Гораздо удобнее когда все эти настройки доступны вместе для песочницы.

Ramen ★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

>>sandbox >неужели имена закончились?! Вроде уже давно есть продукт с таким названием...

Такс. Предлагаю saintcocks.

kost-bebix ★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

Позитивненько, раньше для тестирования всяких однострочников на перле приходилось использовать всякие VirtualBox и т.п.

m16a1 ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

>Большинство юзеров про эту утилиту никогда не узнают
а зачем оно надо _большинству_ юзеров?

unikoid ★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

Колличество троллия, школия и прочих наркоманов просто зашкаливает все разумные пределы. Sandbox - это не конкретная программа, а целая концепция.

tensai_cirno ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

В генте исходники в песочнице компилятся это не та самая?

bioreactor ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

Линупсоиды наконец-то осилили jails из FreeBSD?

Sun-ch ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

>Линупсоиды наконец-то осилили jails из FreeBSD?

почему-то подумалось о том же самом

Ingwar ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

cat "test... test... test..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see' - переварит/или же снесет крышу песочнице

ktotuta ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

вирусы наступают

amorpher ★★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

>>Линупсоиды наконец-то осилили jails из FreeBSD?

>почему-то подумалось о том же самом

вы, батенька, путаете понятия chroot/jail и selinux/apparmor

alt0v14 ★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

> в бубунте SElinux заменили на AppArmor, говорят что первый сильно сложный.

Для убунты он действительно сильно сложный. И это не стёб, создать свои политики для SELinux далеко не каждый сможет.

cruxish ★★★★ ()

Re: Новый способ для безопасного выполнения подозрительных программ в Linux

> Можно. в сусе по умолчанию аппармор - действительно проще, чем селинукс, а по возможностям уступает не сильно (если вообще уступает :/ )

...А вообще сравнивать SELinux и AppArmor - всё равно, что сравнивать iptables с tcp_wrappers...

cruxish ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.