The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.07.2012 21:35  В Systemd реализована поддержка изоляции системных вызовов для запускаемых сервисов

Леннарт Поттеринг (Lennart Poettering) сообщил о реализации поддержки технологии "seccomp filter" в системном менеджере systemd, что позволяет обеспечить изоляцию системных вызовов для запускаемых через systemd процессов. Для создания изолированных окружений используется простой синтаксис определения допустимых системных вызовов, без необходимости непосредственной модификации самих приложений. Указанная возможность может быть активирована при использовании ядра Linux 3.5, релиз которого ожидается на следующей неделе.

В качестве примера помещения процесса в sandbox-окружение приводятся следующие настройки:


   [Service]
   ExecStart=/bin/echo "I am in a sandbox"
   SystemCallFilter=brk mmap access open fstat close read fstat mprotect arch_prctl munmap write

В общем виде принцип работы seccomp filter сводится к ограничению доступа к системным вызовам, при этом логика выставляемых ограничений задаётся на уровне защищаемого приложения, а не через задание внешних ограничений, как в случае AppArmor или SELinux. В код программы добавляется структура с перечнем допустимых системных вызовов (например, ALLOW_SYSCALL) и реакции в случае несовпадения (например, KILL_PROCESS). Доступ к системным вызовам определяется в виде правил, оформленных в BPF-представлении (Berkeley Packet Filter), которое получило распространение в системах фильтрации сетевых пакетов.

Система seccomp filter позволяет реализовывать достаточно сложные правила доступа, учитывающие передаваемые и возвращаемые аргументы. Программа сама определяет какие системные вызовы ей необходимы и какие параметры допустимы, все остальные системные вызовы блокируются, что позволяет ограничить возможности атакующего в случае эксплуатации уязвимости в защищённом при помощи seccomp приложении. Возможность задания фильтров аргументов позволяет также защититься от большинства атак, эксплуатирующих уязвимости в системных вызовах. Например, выявленные за последние годы критические уязвимости в glibc и ядре Linux, такие как AF_CAN, sock_sendpage и sys_tee, успешно блокируются при надлежащем использовании seccomp. В настоящее время поддержка seccomp filter реализована в таких популярных серверных приложениях, как OpenSSH и vsftpd, патчи с поддержкой seccomp filter уже поставляются в ядре Linux из состава Ubuntu 12.04.

  1. Главная ссылка к новости (https://plus.google.com/115547...)
  2. OpenNews: Релиз OpenSSH 6.0
  3. OpenNews: Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-режима
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: seccomp, systemd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Сергей, 22:07, 17/07/2012 [ответить] [смотреть все]
  • +4 +/
    Может кто-нибудь обьяснит мне, тупому, зачем это надо...
     
     
  • 2.5, Аноним, 22:18, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]
  • +6 +/
    Чтобы ограничить возможности в случае успешной атаки на приложение.
     
  • 2.21, Anonplus, 23:20, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]
  • +1 +/
    У злоумышленника будет меньше прав и возможностей при атаке и использовании уязв... весь текст скрыт [показать] [показать ветку]
     
  • 2.64, mma, 12:12, 18/07/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Чтобы редхату не баги в софте искать а политики писать Тупиковый путь для майнс... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Аноним, 22:12, 17/07/2012 [ответить] [смотреть все]  
  • –1 +/
    Ну допустим, штука полезная, но почему нельзя было оформить эту фичу в виде отде... весь текст скрыт [показать]
     
     
  • 2.7, anonymous, 22:26, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Надо протолкнуть systemd RedHat крайне не заинтересован в альтернативах ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Аноним, 23:08, 17/07/2012 [^] [ответить] [смотреть все]  
  • +3 +/
    Конечно Давеча Инго Молнар говорил, что разработчикам ядра надо равняться на од... весь текст скрыт [показать]
     
     
  • 4.33, anonymous, 00:13, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Ты это говоришь так, будто в ядре специально держат костыли для всех инитов ... весь текст скрыт [показать]
     
  • 3.42, Игорь, 02:19, 18/07/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Именно так Причем надо принимать во внимание несколько моментов - Нынешний в ... весь текст скрыт [показать]
     
     
  • 4.49, SCIF, 05:36, 18/07/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Теория заговора Форкайте и наслаждайтесь, кто не даёт-то Мандрива, Слес и ещё... весь текст скрыт [показать]
     
     
  • 5.51, Аноним, 07:18, 18/07/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    твои форки никому не нужны ты просто не будешь успевать за апстримом и их новым... весь текст скрыт [показать]
     
  • 5.52, Аноним, 08:07, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    давайте дополним RedHat не брезгует делать vendor lock Но делает это более эле... весь текст скрыт [показать]
     
     
  • 6.61, Viliar, 10:52, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Можно чуть по-подробнее? В идеале ссылки "на почитать".
     
     
  • 7.67, Crazy Alex, 15:01, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Думаю, не дождётесь :-)
     
     
  • 8.81, gns, 19:53, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Я думаю, прежде чем мы продолжим обсуждение, Вы предоставите пруфлинки на тему з... весь текст скрыт [показать]
     
     
  • 9.91, Аноним, 10:06, 19/07/2012 [^] [ответить] [смотреть все]  
  • +/
    я думаю вас не затруднит зайти в RHN и посмотреть на бинарные пакеты с драйверам... весь текст скрыт [показать]
     
     
  • 10.93, gns, 11:14, 19/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Если драйвера GPLные, то есть Если проприетарные, то нет Это не совсем то, что... весь текст скрыт [показать]
     
  • 8.85, Аноним, 23:57, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Уважаемые зажравшиеся москвичи Прошу понять одну вещь Вокруг вас расположено о... весь текст скрыт [показать]
     
  • 6.78, Stax, 17:35, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Какие именно драйверы, вы о чем Исходный код _всех_ драйверов, что идут в ядре ... весь текст скрыт [показать]
     
     
  • 7.92, Аноним, 10:08, 19/07/2012 [^] [ответить] [смотреть все]  
  • +/
    через 2 месяца после того как выложен исходник вы определитесь - или их нету, и... весь текст скрыт [показать]
     
  • 5.87, Michael Shigorin, 03:02, 19/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Из перечисленного она более-менее интересна разве что для SLES А в редхате и вп... весь текст скрыт [показать]
     
     
  • 6.95, myhand, 12:36, 19/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Чем, что в монстра протащили очередную галочку Попадет-ли это чудо в RHEL и в к... весь текст скрыт [показать]
     
     
  • 7.96, Michael Shigorin, 12:53, 19/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Ещё одной юзерспейсной ручкой к полезному ядерному механизму, хотя место действи... весь текст скрыт [показать]
     
  • 5.89, Игорь, 08:16, 19/07/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Это не теория заговора, а практика борьбы за рынок Системд не надо форкать Он т... весь текст скрыт [показать]
     
     
  • 6.90, agent_007, 09:49, 19/07/2012 [^] [ответить] [смотреть все]  
  • +/
    после 15-ти работы и трех сертификатов соответствия не суметь установить sysvi... весь текст скрыт [показать]
     
     
  • 7.97, jOKer, 16:04, 19/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Слушай, Агент, а ты уверен что ты 007 А то по ходу и по стилю тоже канешь на... весь текст скрыт [показать]
     
     
  • 8.98, agent_007, 16:13, 19/07/2012 [^] [ответить] [смотреть все]  
  • +/
    ну и что мешать он не будет ... весь текст скрыт [показать]
     
     
  • 9.99, jOKer, 16:17, 19/07/2012 [^] [ответить] [смотреть все]  
  • +/
    А не приходило в голову что если две системы конкурирует, и одну нельзя удалить,... весь текст скрыт [показать]
     
     
  • 10.100, agent_007, 16:34, 19/07/2012 [^] [ответить] [смотреть все]  
  • +/
    systemd нельзя удалить не потому, что он реально нужен, а из-за неправильной сбо... весь текст скрыт [показать]
     
     
  • 11.101, jOKer, 16:53, 19/07/2012 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален На самом деле это совсем не так Во-первых багрепорты не... весь текст скрыт [показать]
     
     
  • 12.102, agent_007, 17:24, 19/07/2012 [^] [ответить] [смотреть все]  
  • +/
    на самом деле всё ровно так и есть багрепорты как следует из названия , это со... весь текст скрыт [показать]
     
     
  • 13.103, jOKer, 17:51, 19/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Это чистая теория А на практике типичная ситуация так Я, в багрепорте на тре... весь текст скрыт [показать]
     
  • 11.105, Michael Shigorin, 18:24, 19/07/2012 [^] [ответить] [смотреть все]  
  • +/
    IMHO лучше бы тогда отпилить systemd-base какой с dir lib systemd system PS ... весь текст скрыт [показать]
     
     
  • 12.107, agent_007, 09:11, 20/07/2012 [^] [ответить] [смотреть все]  
  • +/
    лучше, конечно распилить на -base, -libs и, собственно, сам systemd но тогда с... весь текст скрыт [показать]
     
     
  • 13.108, Michael Shigorin, 11:42, 20/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Думал добавить, но не нашёлся с формулировкой кроме rpm -qa -- спасибо О ... весь текст скрыт [показать]
     
  • 11.110, qux, 16:14, 22/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Кто вам такое сказал А если acpid service будет всеми проигнорирован потому чт... весь текст скрыт [показать]
     
     
  • 12.111, agent_007_, 16:38, 22/07/2012 [^] [ответить] [смотреть все]  
  • +/
    вы имеете какое-нибудь представление о том, как формируются зависимости rpm паке... весь текст скрыт [показать]
     
     
  • 13.112, qux, 16:50, 22/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Какое-нибудь имею Если я захочу положить в пакет случайный каталог с какими-то ... весь текст скрыт [показать]
     
     
  • 14.113, agent_007_, 18:27, 22/07/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    случайный каталог - на здоровье каталог, который предоставляется пакетом system... весь текст скрыт [показать]
     
     
  • 15.115, qux, 19:11, 22/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Интересно, не знал Но даже в таком случае не нужно резать все пакеты на два к ... весь текст скрыт [показать]
     
     
  • 16.117, agent_007, 09:03, 23/07/2012 [^] [ответить] [смотреть все]  
  • +/
    не можно, а нужно и здесь это уже обсудили и даже обсудили почему было предло... весь текст скрыт [показать]
     
  • 12.114, Michael Shigorin, 18:35, 22/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Например, http git altlinux org gears r rpm git p rpm git a blob f scripts fil... весь текст скрыт [показать]
     
     
  • 13.116, qux, 19:13, 22/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Да, спасибо, уже ткнули Хотя имхо все равно всё не так печально, выше описал ... весь текст скрыт [показать]
     
  • 8.104, Michael Shigorin, 18:22, 19/07/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Достаточно http lists altlinux org pipermail community 2005-May 353112 html ... весь текст скрыт [показать]
     
  • 2.8, Аноним, 22:32, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Я на 99 уверен, что там отдельная утилита systemd - это не один монолитный бин... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Аноним, 23:13, 17/07/2012 [^] [ответить] [смотреть все]  
  • +5 +/
    Да, в основе systemd лежит модульная архитектура, и все, что выходит за рамки за... весь текст скрыт [показать]
     
     
  • 4.24, myhand, 23:27, 17/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Ну-ну Как и rlimits и еще куча всякого добра А вот в sysv init ради исполь... весь текст скрыт [показать]
     
     
  • 5.28, Аноним, 23:37, 17/07/2012 [^] [ответить] [смотреть все]  
  • +3 +/
    Ага В sysvinit это делается через задницу Достаточно сравнить работу админа, п... весь текст скрыт [показать]
     
     
  • 6.32, myhand, 00:02, 18/07/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Для начала непосредственно в sysvinit это не делается Не поверите, все точно... весь текст скрыт [показать]
     
  • 6.50, www2, 05:59, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Это где такое В Debian если контрольная сумма чего-то в etc не совпадает с так... весь текст скрыт [показать]
     
     
  • 7.69, анонимаус, 15:56, 18/07/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    хых, да и в rpm тоже самое Если программеры не дураки, то все инит скрипты марк... весь текст скрыт [показать]
     
  • 4.27, anonymous, 23:31, 17/07/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Устаревшая информация По ссылке Леннарт и Ко отклонили патч, позволяющий собрат... весь текст скрыт [показать]
     
     
  • 5.29, Аноним, 23:41, 17/07/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Вы, наверное, по аглицки не разумеете, и потому ссылками наугад кидаетесь udev ... весь текст скрыт [показать]
     
     
  • 6.31, anonymous, 23:52, 17/07/2012 [^] [ответить] [смотреть все]  
  • –3 +/
    >udev можно собрать без systemd

    Нельзя.

     
     
  • 7.88, anoser_anon, 06:19, 19/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Можно же. Смотри udev-186.ebuild
     
  • 2.10, develop7, 22:50, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну так оформляйте, делов-то ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.70, myhand, 16:19, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    ага, написать фактически замену systemd и только ... весь текст скрыт [показать]
     
     
     
    Часть нити удалена модератором

  • 5.76, myhand, 17:31, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Написать действительно хорошую альтернативу sysvinit Да, довольно непросто Пр... весь текст скрыт [показать]
     
     
  • 6.80, develop7, 18:16, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    171 Show me the code 187 8212 тогда и поговорим ... весь текст скрыт [показать]
     
  • 4.77, develop7, 17:34, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Ну вкрутите в sysvinit тогда ... весь текст скрыт [показать]
     
     
  • 5.79, myhand, 18:01, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Вкрутить как сделано в данном примере, кстати - плохая инженерная практика ... весь текст скрыт [показать]
     
  • 2.11, h31, 22:52, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Потому что там ограничения на уровне целых сервисов, а не бинариков Вполне логи... весь текст скрыт [показать] [показать ветку]
     
  • 2.12, кевин, 23:00, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    эм секомп фильтры существуют отдельно надо используй где угодно, новость о том ч... весь текст скрыт [показать] [показать ветку]
     
  • 2.14, Аноним, 23:06, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Можно Но этого пока никто не сделал Впрочем, наличие встроенной поддержки secc... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.53, Аноним, 08:13, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    теперь попытаемся подумать Если apache запускается из systemd - все есть, а есл... весь текст скрыт [показать]
     
     
  • 4.58, Аноним, 09:49, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Глупенький Ты хоть раз попробуй руками запустить Защита это далеко не самое ст... весь текст скрыт [показать]
     
  • 4.59, Аноним, 09:52, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Ты даже в несвоей винде службы руками не запускаеш
     
  • 2.19, filosofem, 23:17, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Она и не имеет никакого отношения к systemd ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, Аноним, 23:23, 17/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Тем не менее, пока она поддерживается только в systemd ... весь текст скрыт [показать]
     
     
  • 4.26, Аноним, 23:29, 17/07/2012 [^] [ответить] [смотреть все]  
  • –2 +/
    Ну так правильно, редхат, ынтерпрайз, безопасность, selinux, теперь вот это А б... весь текст скрыт [показать]
     
  • 4.36, masha, 00:27, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Для галочки поддержка есть Срач на эту тему начать можно Полезность без поддер... весь текст скрыт [показать]
     
  • 4.40, filosofem, 00:56, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    1 Это не поддержка, а деревянная запускалка В чем ее смысл если есть SELinux и... весь текст скрыт [показать]
     
  • 2.56, openclocker, 09:12, 18/07/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Уже есть Те же АппАрмор и СЕЛинукс Но т у сабжу уровень пониже, этим он лучше ... весь текст скрыт [показать] [показать ветку]
     
  • 1.18, Аноним, 23:16, 17/07/2012 [ответить] [смотреть все]  
  • +1 +/
    Вообще насчет технологий безопасности в systemd можно почитать http 0pointer d... весь текст скрыт [показать]
     
     
  • 2.37, свищ, 00:31, 18/07/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    без сомнений и, к сожалению, без иронии - второе вы почитайте, что тут ретрогра... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.71, myhand, 16:24, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    any feature that is sold with and systemd can use this fox Xyz , is a misfe... весь текст скрыт [показать]
     
  • 2.48, Crazy Alex, 05:25, 18/07/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Просто оно не так сильно нужно, как некоторые тут кричат При этом требует неких... весь текст скрыт [показать] [показать ветку]
     
  • 1.22, Anonplus, 23:22, 17/07/2012 [ответить] [смотреть все]  
  • +11 +/
    Кто бы что ни говорил про Поттеринга, а штука-то годная и нужная.
     
     
  • 2.38, свищ, 00:39, 18/07/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    без всякого зазрения утверждаю, поттеринг - замечательный инженер
     
     
  • 3.57, Аноним, 09:20, 18/07/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Как инженер - не очень, но идеи у него правильные.
     
     
  • 4.74, Аноним, 17:08, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    В чем Вот скажите-ка мне, кто мешает вам, таким красивым и умным, имея сорцы яд... весь текст скрыт [показать]
     
  • 1.30, iZEN, 23:41, 17/07/2012 [ответить] [смотреть все]  
  • +2 +/
    Это просто прекрасно.
     
     
  • 2.75, Аноним, 17:08, 18/07/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    > Это просто прекрасно.

    У тебя ж геморроя нет? Это же прекрасно!

     
  • 1.47, jOKer, 04:24, 18/07/2012 [ответить] [смотреть все]  
  • +1 +/
    Timeo Danaos et dona ferentes

    Это не говоря уже о склонности к комбайностроению и неряшливом программировании

     
  • 1.60, Anoynymous, 10:25, 18/07/2012 [ответить] [смотреть все]  
  • +/
    Я вот чего не пойму. В общем виде seccomp filter разработан для прикладных программистов, чтобы последние могли обезопасить свои сервисы (как это сделали разработчики OpenSSH и vsftpd). Так зачем же Поттеринг тянет в свое поделие все, что красиво блестит? Подобный уровень общесистемной защиты уже обеспечивается AppArmor и SELinux (для случаев, когда разработчик сервиса не позаботился о безопасности своей программы). В чем смысл втянуть в мегакомбайн все разработки, на сколько хороши бы они не были? Думаю, скоро мы увидим новости, что системд готов заменить нам и SELinux вместе с AppArmor и всем остальным...
     
     
  • 2.65, Crazy Alex, 12:38, 18/07/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну, очевидный ответ - потому что прикладные програмисты не торопятся использоват... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.109, Kibab, 12:25, 20/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Так вот надо менять стиль написания программ, а не тянуть вещь, предназначенную ... весь текст скрыт [показать]
     
  • 2.66, filosofem, 14:45, 18/07/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Зато вброс годный Каменты читал 95 фанбоев как обычно не поняли о чем речь и ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.68, Crazy Alex, 15:08, 18/07/2012 [^] [ответить] [смотреть все]  
  • +/
    Кстати, подумалось - селинуксообразный стиль для seccomp внешнее конфигурирован... весь текст скрыт [показать]
     
     
  • 4.84, Аноним, 21:36, 18/07/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Об чем и спич В Юниксах это существовало сто лет назад И кто изобретатель вело... весь текст скрыт [показать]
     
  • 1.86, Kibab, 01:09, 19/07/2012 [ответить] [смотреть все]  
  • +/
    Итак, Леннарт извратился и затащил фичу, которая изначально проектировалась для использования самими приложениями, в свой менеджер инициализации. То, что приложение само может лучше решить, какие свои части как защищать (например, форкнувшись и по-разному ограничив права каждого чайлда), осталось для Поттеринга неважной деталью. В итоге получили аналог SELinux, но реализованный через seccomp filters, которые вообще не отличаются толковой реализацией. Что же, посмотрим, насколько сия кривая поделка проникнет в продакшен и сколько народу не отключат её после первого фоллаута.
     
  • 1.106, vi, 19:08, 19/07/2012 [ответить] [смотреть все]  
  • +/
    Помнится, в те "старые добрые времена", когда SELinux была волне, ходили такие рассказы:
    сплоит пробившийся на уровне ядра первым делом проверял SELinux и вырубал его сразу же, потом делал все что ему необходимо!

    Ну естественно же, все развивается по спирали.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList