The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

19.09.2009 12:52  В SELinux sandbox появилась поддержка изолированного запуска GUI-приложений

Dan Walsh, один из разработчиков SELinux, сообщил о прогрессе в разработке утилиты sandbox, предназначенной для безопасного выполнения с максимальным уровнем изоляции не испытывающих доверия программ. Одним из самых полезных новшеств sandbox является добавление поддержки опции "-X", при указании которой к приложению применяется уровень доступа "xguest" (сверх ограниченный пользователь для создания гостевых входов), дающий возможность безопасного выполнения графических приложений.

Например, можно запустить firefox и разрешить обращение только к определенному сайту, выполнить программу для просмотра PDF, ограничив доступ только заданным PDF документом или запустить xterm, ограничив сетевые операции и доступ к файловой системе. При запуске программы на уровне xguest приложение получает доступ с правами текущего пользователя только к автоматически созданной пустой домашней директории (можно открыть доступ к части реальной домашней директории) и директории для хранения временных файлов, вывод на экран производится через запуск обособленной копии X-сервера Xephyr (трансляция вывода производится в окно текущего X-сервера) и оконного менеджера Matchbox.

Для использования sandbox можно дождаться выхода Fedora 12 или обновить систему до Fedora RawHide, затем установить пакет policycoreutils-sandbox и выполнить "sandbox -X команда".

  1. Главная ссылка к новости (http://danwalsh.livejournal.co...)
  2. OpenNews: Новый механизм для безопасного выполнения подозрительных программ в Linux
  3. OpenNews: SELinux MLS уровни допуска в Fedora Linux
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: selinux, sandbox, limit, x11
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Zenitur, 13:24, 19/09/2009 [ответить] [смотреть все]
  • –1 +/
    Хочу руководство на русском ((
     
     
  • 2.3, anonymous, 14:25, 19/09/2009 [^] [ответить] [смотреть все]
  • +/
    Хочу толковый howto хоть на китайском.

    Все что видел — ад и дебри на стопицот страниц, без пол-литры не разберешься.

     
     
  • 3.5, pavlinux, 15:22, 19/09/2009 [^] [ответить] [смотреть все]
  • +/
    Очень хороший сайт, читал, всё понятно, и просто... Много полезного
    http://blog.chinaunix.net/u2/72217/article_93770.html

    http://www.oklinux.cn/html/download/zlxz/20070626/31867.html

     
     
  • 4.6, antibanner, 16:49, 19/09/2009 [^] [ответить] [смотреть все]
  • +/
    shutnik :)
     
     
  • 5.9, Щекн Итрч, 17:45, 19/09/2009 [^] [ответить] [смотреть все]
  • +/
    A quick dirty example of this sandbox would be to confine the 'cut'
    binary.  If I wanted to create a file of users on my system from
    the /etc/passwd file, I could try

    > sandbox cut -d: -f1 /etc/passwd > /tmp/users

    /bin/cut: /etc/passwd: Permission denied

    Which shows the sandbox domain is not allowed to open /etc/passwd

    But I can execute
    > cat /etc/passwd | sandbox cut -d: -f1 > /tmp/users

    And it works just fine.

    Inside the sandbox cut wasn't allowed to get to /etc/passwd.  But in the
    second example since /etc/passwd was opened by the shell and handed to
    cut inside the sandbox it works.

     
  • 3.7, Zenitur, 16:49, 19/09/2009 [^] [ответить] [смотреть все]  
  • +/
    Слабакам даже на русском толка нет изучать. Но остальным было бы действительно намного проще.
     
  • 2.10, Щекн Итрч, 17:46, 19/09/2009 [^] [ответить] [смотреть все]  
  • +/
    >Хочу руководство на русском ((

    держите:
    http://lkml.org/lkml/2009/5/26/269

     
  • 1.2, freedom, 14:05, 19/09/2009 [ответить] [смотреть все]  
  • +6 +/
    Знание английского языка на базовом уровне при работе с OSS не то что-бы приветствуется, имхо, оно обязательно ...
    Учите язык, читайте с on-line переводчиками и словарями ... :)
     
     
  • 2.8, Zenitur, 16:50, 19/09/2009 [^] [ответить] [смотреть все]  
  • +/
    >Знание английского языка на базовом уровне при работе с OSS не то
    >что-бы приветствуется, имхо, оно обязательно ...
    >Учите язык, читайте с on-line переводчиками и словарями ... :)

    Это? Со словарями?! Вы шутите.

     
  • 1.4, anonymous, 14:59, 19/09/2009 [ответить] [смотреть все]  
  • –1 +/
    Little Snitch хочу(( Чтобы было также просто.
    В новости сказано:

    >Например, можно запустить firefox и разрешить обращение только к определенному сайту,

    Меня сковал ужас при мысли сколько надо для этого перерыть манов и переписать конфигов, да оно ещё и заглючит на полдороги

     
  • 1.11, srgaz, 07:11, 20/09/2009 [ответить] [смотреть все]  
  • +/
    >"Little SnitchЭ - дятел.

    А я хочу SELinux под MAC OS X.

     
     
  • 2.12, stranger, 10:19, 20/09/2009 [^] [ответить] [смотреть все]  
  • +/
    Ну вот когда они исходники предоставят NSA, тогда все вполне возможно... Но не факт, ибо оно яблочникам нафиг не нужно.
     
     
  • 3.13, pavlinux, 19:37, 20/09/2009 [^] [ответить] [смотреть все]  
  • +/
    Там у них другое готовиться... К ним же переметнулся хрен, который разрабатывал фишки для OLPC
    - http://www.opennet.ru/opennews/art.shtml?num=21734
     
  • 1.14, айнаним, 09:12, 21/09/2009 [ответить] [смотреть все]  
  • +/
    А в убунте "гостевой сеанс" это не тожесамое? Или тожесамое, но для единого приложения?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor