The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.07.2012 21:35  В Systemd реализована поддержка изоляции системных вызовов для запускаемых сервисов

Леннарт Поттеринг (Lennart Poettering) сообщил о реализации поддержки технологии "seccomp filter" в системном менеджере systemd, что позволяет обеспечить изоляцию системных вызовов для запускаемых через systemd процессов. Для создания изолированных окружений используется простой синтаксис определения допустимых системных вызовов, без необходимости непосредственной модификации самих приложений. Указанная возможность может быть активирована при использовании ядра Linux 3.5, релиз которого ожидается на следующей неделе.

В качестве примера помещения процесса в sandbox-окружение приводятся следующие настройки:


   [Service]
   ExecStart=/bin/echo "I am in a sandbox"
   SystemCallFilter=brk mmap access open fstat close read fstat mprotect arch_prctl munmap write

В общем виде принцип работы seccomp filter сводится к ограничению доступа к системным вызовам, при этом логика выставляемых ограничений задаётся на уровне защищаемого приложения, а не через задание внешних ограничений, как в случае AppArmor или SELinux. В код программы добавляется структура с перечнем допустимых системных вызовов (например, ALLOW_SYSCALL) и реакции в случае несовпадения (например, KILL_PROCESS). Доступ к системным вызовам определяется в виде правил, оформленных в BPF-представлении (Berkeley Packet Filter), которое получило распространение в системах фильтрации сетевых пакетов.

Система seccomp filter позволяет реализовывать достаточно сложные правила доступа, учитывающие передаваемые и возвращаемые аргументы. Программа сама определяет какие системные вызовы ей необходимы и какие параметры допустимы, все остальные системные вызовы блокируются, что позволяет ограничить возможности атакующего в случае эксплуатации уязвимости в защищённом при помощи seccomp приложении. Возможность задания фильтров аргументов позволяет также защититься от большинства атак, эксплуатирующих уязвимости в системных вызовах. Например, выявленные за последние годы критические уязвимости в glibc и ядре Linux, такие как AF_CAN, sock_sendpage и sys_tee, успешно блокируются при надлежащем использовании seccomp. В настоящее время поддержка seccomp filter реализована в таких популярных серверных приложениях, как OpenSSH и vsftpd, патчи с поддержкой seccomp filter уже поставляются в ядре Linux из состава Ubuntu 12.04.

  1. Главная ссылка к новости (https://plus.google.com/115547...)
  2. OpenNews: Релиз OpenSSH 6.0
  3. OpenNews: Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-режима
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: seccomp, systemd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.2, Сергей, 22:07, 17/07/2012 [ответить] [смотреть все]    [к модератору]
  • +4 +/
    Может кто-нибудь обьяснит мне, тупому, зачем это надо...
     
     
  • 2.5, Аноним, 22:18, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +6 +/
    Чтобы ограничить возможности в случае успешной атаки на приложение.
     
  • 2.21, Anonplus, 23:20, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +1 +/
    У злоумышленника будет меньше прав и возможностей при атаке и использовании уязв... весь текст скрыт [показать] [показать ветку]
     
  • 2.64, mma, 12:12, 18/07/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Чтобы редхату не баги в софте искать а политики писать Тупиковый путь для майнс... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Аноним, 22:12, 17/07/2012 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ну допустим, штука полезная, но почему нельзя было оформить эту фичу в виде отде... весь текст скрыт [показать]
     
     
  • 2.7, anonymous, 22:26, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Надо протолкнуть systemd RedHat крайне не заинтересован в альтернативах ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Аноним, 23:08, 17/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Конечно Давеча Инго Молнар говорил, что разработчикам ядра надо равняться на од... весь текст скрыт [показать]
     
     
  • 4.33, anonymous, 00:13, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ты это говоришь так, будто в ядре специально держат костыли для всех инитов ... весь текст скрыт [показать]
     
  • 3.42, Игорь, 02:19, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Именно так Причем надо принимать во внимание несколько моментов - Нынешний в ... весь текст скрыт [показать]
     
     
  • 4.49, SCIF, 05:36, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Теория заговора Форкайте и наслаждайтесь, кто не даёт-то Мандрива, Слес и ещё... весь текст скрыт [показать]
     
     
  • 5.51, Аноним, 07:18, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    твои форки никому не нужны ты просто не будешь успевать за апстримом и их новым... весь текст скрыт [показать]
     
  • 5.52, Аноним, 08:07, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    давайте дополним RedHat не брезгует делать vendor lock Но делает это более эле... весь текст скрыт [показать]
     
     
  • 6.61, Viliar, 10:52, 18/07/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Можно чуть по-подробнее? В идеале ссылки "на почитать".
     
     
  • 7.67, Crazy Alex, 15:01, 18/07/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Думаю, не дождётесь :-)
     
     
  • 8.81, gns, 19:53, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я думаю, прежде чем мы продолжим обсуждение, Вы предоставите пруфлинки на тему з... весь текст скрыт [показать]
     
     
  • 9.91, Аноним, 10:06, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    я думаю вас не затруднит зайти в RHN и посмотреть на бинарные пакеты с драйверам... весь текст скрыт [показать]
     
     
  • 10.93, gns, 11:14, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если драйвера GPLные, то есть Если проприетарные, то нет Это не совсем то, что... весь текст скрыт [показать]
     
  • 8.85, Аноним, 23:57, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Уважаемые зажравшиеся москвичи Прошу понять одну вещь Вокруг вас расположено о... весь текст скрыт [показать]
     
  • 6.78, Stax, 17:35, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Какие именно драйверы, вы о чем Исходный код _всех_ драйверов, что идут в ядре ... весь текст скрыт [показать]
     
     
  • 7.92, Аноним, 10:08, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    через 2 месяца после того как выложен исходник вы определитесь - или их нету, и... весь текст скрыт [показать]
     
  • 5.87, Michael Shigorin, 03:02, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Из перечисленного она более-менее интересна разве что для SLES А в редхате и вп... весь текст скрыт [показать]
     
     
  • 6.95, myhand, 12:36, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Чем, что в монстра протащили очередную галочку Попадет-ли это чудо в RHEL и в к... весь текст скрыт [показать]
     
     
  • 7.96, Michael Shigorin, 12:53, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ещё одной юзерспейсной ручкой к полезному ядерному механизму, хотя место действи... весь текст скрыт [показать]
     
  • 5.89, Игорь, 08:16, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Это не теория заговора, а практика борьбы за рынок Системд не надо форкать Он т... весь текст скрыт [показать]
     
     
  • 6.90, agent_007, 09:49, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    после 15-ти работы и трех сертификатов соответствия не суметь установить sysvi... весь текст скрыт [показать]
     
     
  • 7.97, jOKer, 16:04, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Слушай, Агент, а ты уверен что ты 007 А то по ходу и по стилю тоже канешь на... весь текст скрыт [показать]
     
     
  • 8.98, agent_007, 16:13, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ну и что мешать он не будет ... весь текст скрыт [показать]
     
     
  • 9.99, jOKer, 16:17, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А не приходило в голову что если две системы конкурирует, и одну нельзя удалить,... весь текст скрыт [показать]
     
     
  • 10.100, agent_007, 16:34, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    systemd нельзя удалить не потому, что он реально нужен, а из-за неправильной сбо... весь текст скрыт [показать]
     
     
  • 11.101, jOKer, 16:53, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    gt оверквотинг удален На самом деле это совсем не так Во-первых багрепорты не... весь текст скрыт [показать]
     
     
  • 12.102, agent_007, 17:24, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    на самом деле всё ровно так и есть багрепорты как следует из названия , это со... весь текст скрыт [показать]
     
     
  • 13.103, jOKer, 17:51, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это чистая теория А на практике типичная ситуация так Я, в багрепорте на тре... весь текст скрыт [показать]
     
  • 11.105, Michael Shigorin, 18:24, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    IMHO лучше бы тогда отпилить systemd-base какой с dir lib systemd system PS ... весь текст скрыт [показать]
     
     
  • 12.107, agent_007, 09:11, 20/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    лучше, конечно распилить на -base, -libs и, собственно, сам systemd но тогда с... весь текст скрыт [показать]
     
     
  • 13.108, Michael Shigorin, 11:42, 20/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Думал добавить, но не нашёлся с формулировкой кроме rpm -qa -- спасибо О ... весь текст скрыт [показать]
     
  • 11.110, qux, 16:14, 22/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Кто вам такое сказал А если acpid service будет всеми проигнорирован потому чт... весь текст скрыт [показать]
     
     
  • 12.111, agent_007_, 16:38, 22/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    вы имеете какое-нибудь представление о том, как формируются зависимости rpm паке... весь текст скрыт [показать]
     
     
  • 13.112, qux, 16:50, 22/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Какое-нибудь имею Если я захочу положить в пакет случайный каталог с какими-то ... весь текст скрыт [показать]
     
     
  • 14.113, agent_007_, 18:27, 22/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    случайный каталог - на здоровье каталог, который предоставляется пакетом system... весь текст скрыт [показать]
     
     
  • 15.115, qux, 19:11, 22/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Интересно, не знал Но даже в таком случае не нужно резать все пакеты на два к ... весь текст скрыт [показать]
     
     
  • 16.117, agent_007, 09:03, 23/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    не можно, а нужно и здесь это уже обсудили и даже обсудили почему было предло... весь текст скрыт [показать]
     
  • 12.114, Michael Shigorin, 18:35, 22/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Например, http git altlinux org gears r rpm git p rpm git a blob f scripts fil... весь текст скрыт [показать]
     
     
  • 13.116, qux, 19:13, 22/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да, спасибо, уже ткнули Хотя имхо все равно всё не так печально, выше описал ... весь текст скрыт [показать]
     
  • 8.104, Michael Shigorin, 18:22, 19/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Достаточно http lists altlinux org pipermail community 2005-May 353112 html ... весь текст скрыт [показать]
     
  • 2.8, Аноним, 22:32, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    Я на 99 уверен, что там отдельная утилита systemd - это не один монолитный бин... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Аноним, 23:13, 17/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Да, в основе systemd лежит модульная архитектура, и все, что выходит за рамки за... весь текст скрыт [показать]
     
     
  • 4.24, myhand, 23:27, 17/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну-ну Как и rlimits и еще куча всякого добра А вот в sysv init ради исполь... весь текст скрыт [показать]
     
     
  • 5.28, Аноним, 23:37, 17/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Ага В sysvinit это делается через задницу Достаточно сравнить работу админа, п... весь текст скрыт [показать]
     
     
  • 6.32, myhand, 00:02, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Для начала непосредственно в sysvinit это не делается Не поверите, все точно... весь текст скрыт [показать]
     
  • 6.50, www2, 05:59, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это где такое В Debian если контрольная сумма чего-то в etc не совпадает с так... весь текст скрыт [показать]
     
     
  • 7.69, анонимаус, 15:56, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    хых, да и в rpm тоже самое Если программеры не дураки, то все инит скрипты марк... весь текст скрыт [показать]
     
  • 4.27, anonymous, 23:31, 17/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Устаревшая информация По ссылке Леннарт и Ко отклонили патч, позволяющий собрат... весь текст скрыт [показать]
     
     
  • 5.29, Аноним, 23:41, 17/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Вы, наверное, по аглицки не разумеете, и потому ссылками наугад кидаетесь udev ... весь текст скрыт [показать]
     
     
  • 6.31, anonymous, 23:52, 17/07/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • –3 +/
    >udev можно собрать без systemd

    Нельзя.

     
     
  • 7.88, anoser_anon, 06:19, 19/07/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Можно же. Смотри udev-186.ebuild
     
  • 2.10, develop7, 22:50, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ну так оформляйте, делов-то ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.70, myhand, 16:19, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ага, написать фактически замену systemd и только ... весь текст скрыт [показать]
     
     
     
    Часть нити удалена модератором

  • 5.76, myhand, 17:31, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Написать действительно хорошую альтернативу sysvinit Да, довольно непросто Пр... весь текст скрыт [показать]
     
     
  • 6.80, develop7, 18:16, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    171 Show me the code 187 8212 тогда и поговорим ... весь текст скрыт [показать]
     
  • 4.77, develop7, 17:34, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну вкрутите в sysvinit тогда ... весь текст скрыт [показать]
     
     
  • 5.79, myhand, 18:01, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вкрутить как сделано в данном примере, кстати - плохая инженерная практика ... весь текст скрыт [показать]
     
  • 2.11, h31, 22:52, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Потому что там ограничения на уровне целых сервисов, а не бинариков Вполне логи... весь текст скрыт [показать] [показать ветку]
     
  • 2.12, кевин, 23:00, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    эм секомп фильтры существуют отдельно надо используй где угодно, новость о том ч... весь текст скрыт [показать] [показать ветку]
     
  • 2.14, Аноним, 23:06, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    Можно Но этого пока никто не сделал Впрочем, наличие встроенной поддержки secc... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.53, Аноним, 08:13, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    теперь попытаемся подумать Если apache запускается из systemd - все есть, а есл... весь текст скрыт [показать]
     
     
  • 4.58, Аноним, 09:49, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Глупенький Ты хоть раз попробуй руками запустить Защита это далеко не самое ст... весь текст скрыт [показать]
     
  • 4.59, Аноним, 09:52, 18/07/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Ты даже в несвоей винде службы руками не запускаеш
     
  • 2.19, filosofem, 23:17, 17/07/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Она и не имеет никакого отношения к systemd ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, Аноним, 23:23, 17/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Тем не менее, пока она поддерживается только в systemd ... весь текст скрыт [показать]
     
     
  • 4.26, Аноним, 23:29, 17/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Ну так правильно, редхат, ынтерпрайз, безопасность, selinux, теперь вот это А б... весь текст скрыт [показать]
     
  • 4.36, masha, 00:27, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Для галочки поддержка есть Срач на эту тему начать можно Полезность без поддер... весь текст скрыт [показать]
     
  • 4.40, filosofem, 00:56, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    1 Это не поддержка, а деревянная запускалка В чем ее смысл если есть SELinux и... весь текст скрыт [показать]
     
  • 2.56, openclocker, 09:12, 18/07/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Уже есть Те же АппАрмор и СЕЛинукс Но т у сабжу уровень пониже, этим он лучше ... весь текст скрыт [показать] [показать ветку]
     
  • 1.18, Аноним, 23:16, 17/07/2012 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вообще насчет технологий безопасности в systemd можно почитать http 0pointer d... весь текст скрыт [показать]
     
     
  • 2.37, свищ, 00:31, 18/07/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    без сомнений и, к сожалению, без иронии - второе вы почитайте, что тут ретрогра... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.71, myhand, 16:24, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    any feature that is sold with and systemd can use this fox Xyz , is a misfe... весь текст скрыт [показать]
     
  • 2.48, Crazy Alex, 05:25, 18/07/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Просто оно не так сильно нужно, как некоторые тут кричат При этом требует неких... весь текст скрыт [показать] [показать ветку]
     
  • 1.22, Anonplus, 23:22, 17/07/2012 [ответить] [смотреть все]    [к модератору]  
  • +11 +/
    Кто бы что ни говорил про Поттеринга, а штука-то годная и нужная.
     
     
  • 2.38, свищ, 00:39, 18/07/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    без всякого зазрения утверждаю, поттеринг - замечательный инженер
     
     
  • 3.57, Аноним, 09:20, 18/07/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Как инженер - не очень, но идеи у него правильные.
     
     
  • 4.74, Аноним, 17:08, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В чем Вот скажите-ка мне, кто мешает вам, таким красивым и умным, имея сорцы яд... весь текст скрыт [показать]
     
  • 1.30, iZEN, 23:41, 17/07/2012 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Это просто прекрасно.
     
     
  • 2.75, Аноним, 17:08, 18/07/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    > Это просто прекрасно.

    У тебя ж геморроя нет? Это же прекрасно!

     
  • 1.47, jOKer, 04:24, 18/07/2012 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Timeo Danaos et dona ferentes

    Это не говоря уже о склонности к комбайностроению и неряшливом программировании

     
  • 1.60, Anoynymous, 10:25, 18/07/2012 [ответить] [смотреть все]    [к модератору]  
  • +/
    Я вот чего не пойму. В общем виде seccomp filter разработан для прикладных программистов, чтобы последние могли обезопасить свои сервисы (как это сделали разработчики OpenSSH и vsftpd). Так зачем же Поттеринг тянет в свое поделие все, что красиво блестит? Подобный уровень общесистемной защиты уже обеспечивается AppArmor и SELinux (для случаев, когда разработчик сервиса не позаботился о безопасности своей программы). В чем смысл втянуть в мегакомбайн все разработки, на сколько хороши бы они не были? Думаю, скоро мы увидим новости, что системд готов заменить нам и SELinux вместе с AppArmor и всем остальным...
     
     
  • 2.65, Crazy Alex, 12:38, 18/07/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ну, очевидный ответ - потому что прикладные програмисты не торопятся использоват... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.109, Kibab, 12:25, 20/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Так вот надо менять стиль написания программ, а не тянуть вещь, предназначенную ... весь текст скрыт [показать]
     
  • 2.66, filosofem, 14:45, 18/07/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Зато вброс годный Каменты читал 95 фанбоев как обычно не поняли о чем речь и ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.68, Crazy Alex, 15:08, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Кстати, подумалось - селинуксообразный стиль для seccomp внешнее конфигурирован... весь текст скрыт [показать]
     
     
  • 4.84, Аноним, 21:36, 18/07/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Об чем и спич В Юниксах это существовало сто лет назад И кто изобретатель вело... весь текст скрыт [показать]
     
  • 1.86, Kibab, 01:09, 19/07/2012 [ответить] [смотреть все]    [к модератору]  
  • +/
    Итак, Леннарт извратился и затащил фичу, которая изначально проектировалась для использования самими приложениями, в свой менеджер инициализации. То, что приложение само может лучше решить, какие свои части как защищать (например, форкнувшись и по-разному ограничив права каждого чайлда), осталось для Поттеринга неважной деталью. В итоге получили аналог SELinux, но реализованный через seccomp filters, которые вообще не отличаются толковой реализацией. Что же, посмотрим, насколько сия кривая поделка проникнет в продакшен и сколько народу не отключат её после первого фоллаута.
     
  • 1.106, vi, 19:08, 19/07/2012 [ответить] [смотреть все]    [к модератору]  
  • +/
    Помнится, в те "старые добрые времена", когда SELinux была волне, ходили такие рассказы:
    сплоит пробившийся на уровне ядра первым делом проверял SELinux и вырубал его сразу же, потом делал все что ему необходимо!

    Ну естественно же, все развивается по спирали.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor