LINUX.ORG.RU

Новый способ для безопасного выполнения подозрительных программ в Linux

 , ,


0

0
Dan Walsh и Eric Paris представили новый способ для запуска случайных, небезопасных бинарников. Новая утилита будет называться sandbox (песочница).

Название говорит само за себя: приложение будет запускаться в специальном окружении с ограниченными возможностями. Например, без возможности использования сети, создания файлов и т.д.

Для определения полномочий будет использоваться SELinux политика sandbox_t. По ссылке есть простой пример использования утилиты.

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Ответ на: комментарий от ZZaiatSS
> Жаль только от Селялипса напрямую зависит :-(

не жаль. иначе был бы велосипед.

gods-little-toy ★★★
()
хм.. почему новость до сих пор не подтвердили, хотя одновременно с новостью о мандриве отправил.
mono ★★★★★
() автор топика
в бубунте SElinux заменили на AppArmor, говорят что первый сильно сложный. интересно можно ли через последний добиться тогоже успеха?
alt0v14 ★★★
()

Жёстко.

>Например, без возможности...создания файлов.

Очёнь жёсткое ограничение.
Camel ★★★★★
()
Ответ на: комментарий от alt0v14
В Windows Seven как раз перед этим, анонсировали подобную функцию, причём назвали её тоже "песочница". Молодцы ребята - копировать самое лучшее тоже надо уметь
vilisvir ★★★★★
()
топик просто шедевральный
kto_tama ★★★★★
()
Ответ на: комментарий от alt0v14
>>в бубунте SElinux заменили на AppArmor, говорят что первый сильно сложный. интересно можно ли через последний добиться тогоже успеха?

Можно. в сусе по умолчанию аппармор - действительно проще, чем селинукс, а по возможностям уступает не сильно (если вообще уступает :/ )

Fragster
()
Ответ на: комментарий от Fragster
> Можно. в сусе по умолчанию аппармор - действительно проще, чем селинукс, а по возможностям уступает не сильно (если вообще уступает :/ )

Конечно, уступает! Мнимая простота аппармору даётся не из-за того, что он лучше спроектирован, а из-за того, что в самой его основе лежит более простая идея.
mv ★★★★★
()
Ответ на: комментарий от vilisvir
У концепции песочницы корни растут с хз каких времен. Из того что я помню это Java с ее аплетами в "песочнице", это 95-96 год. Наверняка старички вспомнят еще что-то древнее.
workForFood
()
Ответ на: комментарий от vilisvir
Кто кого копировал - это еще надо поглядеть... ;-)

Мелкомягкие большие мастера в этом деле. Копирование хороших идей - это не есть зло (как может плохим размножение хорошего ?!?). Плохо - когда не дают копировать хорошие идеи. К сожалению, тут Мелкомягкие тоже большие мастера.

kum
()
Ответ на: комментарий от vilisvir
>В Windows Seven как раз перед этим, анонсировали подобную функцию, причём назвали её тоже
>"песочница". Молодцы ребята - копировать самое лучшее тоже надо уметь


Слишком толсто. Почему вас не возмущает, что линукс также как и _Windows_ использует "файловые системы"? Неужели ничего нового не могли придумать, а?

ПС. Читайте http://ru.wikipedia.org/wiki/Песочница_(безопасность) и не несите больше бред, прошу вас!
fleet
()
Ответ на: комментарий от Komintern
>остальное - велосипедизм и от лукавого.
Ну-ну. А если софтину надо, например, ещё и в инет не пустить?
Ramen ★★★★
()
Ответ на: комментарий от workForFood
>это 95-96 год

chroot х.з. сколько лет, но он должен быть старее
dimon555 ★★★★★
()
Ответ на: комментарий от Komintern
>всегда использовал chroot для этих целей. остальное - велосипедизм и от лукавого.

а там можно ограничения вводить на число дескрипторов и т.д.?
dimon555 ★★★★★
()
Ответ на: комментарий от fleet
>Слишком толсто. Почему вас не возмущает, что линукс также как и _Windows_ использует "файловые системы"? Неужели ничего нового не могли придумать, а?

ПС. Читайте http://ru.wikipedia.org/wiki/Песочница_(безопасность) и не несите больше бред, прошу вас!

Всё верно, но я Вас прошу - не надо так грубо! Что интересно, даже ВМ VirtualBox тоже отнесли к разряду песочниц!

vilisvir ★★★★★
()
Супер. Часто надо. Теперь можно использовать реже VirtualBOX.
Надеюсь, ограничения можно настраивать
Deleted
()
Как сейчас помню историю опубликования на ЛОРе перлового нечитаемого однострочного кода, который сводился к rm -rf от корня...
gns ★★★★★
()
sys-apps/sandbox...
опять пересечения названий... у нас в Gentoo уже есть своя песочница...
ergil ★★★
()
Ответ на: комментарий от vilisvir
> В Windows Seven как раз перед этим, анонсировали подобную функцию, причём назвали её тоже "песочница". Молодцы ребята - копировать самое лучшее тоже надо уметь

Компания Х изобрела свой вариант вилки, причем назвала ее вилкой. Тоже видимо копируют. По вашему назвать это нужно было иначе?
andreyu ★★★★★
()
Ответ на: комментарий от fleet
>линукс также как и _Windows_ использует "файловые системы"

Толсто. Как раз Линукс имеет право использовать ФС, т.к. unix-совместим; придумывать что-то новое должны были как раз мелгомягкие.

vkos ★★
()
Ответ на: комментарий от ergil
> sys-apps/sandbox...
> опять пересечения названий... у нас в Gentoo уже есть своя песочница...


Ну будет в другой категории, или суффикс к имени приделают. Не впервый же раз:

net-im/psi
и
sci-chemistry/psi
andreyu ★★★★★
()
Ответ на: комментарий от splinter
Ну извини, не стал ставить кавычки вокруг слова "нечитаемого". С ходу не придумаешь удачный перевод слову "obfuscated".
gns ★★★★★
()
> без возможности использования сети, создания файлов

кроме переданных процессу.

szh ★★★★
()
Ответ на: комментарий от ergil
> два psi меня тоже очень раздражают :)

Чем же? Я ни одного из них не использую, и меня это не напрягает. Уверен, что в портеже есть и другие примеры.
andreyu ★★★★★
()
Ответ на: комментарий от vkos
>Толсто. Как раз Линукс имеет право использовать ФС, т.к. unix-совместим; придумывать что-то новое должны были как раз мелгомягкие.

Извините, историю развития ФС плохо знаю.
fleet
()
Ответ на: комментарий от andreyu
сам я его не юзаю, несколько лет назад ушел на gajim, но во времена когда юзал, каждый раз говоря emerge psi видел ругань с просьбой сказать какой именно psi я хочу.
ergil ★★★
()
Ответ на: комментарий от Komintern
>всегда использовал файрвол для этих целей.
Ну неудобно это - для разных ограничений использовать кучу всего разного. Гораздо удобнее когда все эти настройки доступны вместе для песочницы.
Ramen ★★★★
()
Ответ на: комментарий от UserUnknown
>>sandbox >неужели имена закончились?! Вроде уже давно есть продукт с таким названием...

Такс. Предлагаю saintcocks.

kost-bebix ★★
()
Позитивненько, раньше для тестирования всяких однострочников на перле приходилось использовать всякие VirtualBox и т.п.
m16a1
()
Ответ на: комментарий от devl547
>Большинство юзеров про эту утилиту никогда не узнают
а зачем оно надо _большинству_ юзеров?
unikoid ★★★
()
Колличество троллия, школия и прочих наркоманов просто зашкаливает все разумные пределы. Sandbox - это не конкретная программа, а целая концепция.
tensai_cirno ★★★★★
()
Ответ на: комментарий от bioreactor
не, это будет её тезка с карточными играми и развратными женщинами.
ergil ★★★
()
Ответ на: комментарий от Sun-ch
>Линупсоиды наконец-то осилили jails из FreeBSD?

саныч не в теме

alt0v14 ★★★
()
Ответ на: комментарий от gns
cat "test... test... test..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see' - переварит/или же снесет крышу песочнице
ktotuta
()
Ответ на: комментарий от Ingwar
>>Линупсоиды наконец-то осилили jails из FreeBSD?

>почему-то подумалось о том же самом

вы, батенька, путаете понятия chroot/jail и selinux/apparmor

alt0v14 ★★★
()
Ответ на: комментарий от alt0v14
> в бубунте SElinux заменили на AppArmor, говорят что первый сильно сложный.

Для убунты он действительно сильно сложный. И это не стёб, создать свои политики для SELinux далеко не каждый сможет.

cruxish ★★★★
()
Ответ на: комментарий от Fragster
> Можно. в сусе по умолчанию аппармор - действительно проще, чем селинукс, а по возможностям уступает не сильно (если вообще уступает :/ )

...А вообще сравнивать SELinux и AppArmor - всё равно, что сравнивать iptables с tcp_wrappers...

cruxish ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.