https://www.opennet.dev/openforum/vsluhforumID3/85624.html Леннарт Поттеринг (Lennart Poettering) сообщил (https://plus.google.com/115547683951727699051/posts/cb3uNFMNUyK) о реализации поддержки технологии "seccomp filter" в системном менеджере systemd, что позволяет обеспечить изоляцию системных вызовов для запускаемых через systemd процессов. Для создания изолированных окружений используется простой синтаксис определения допустимых системных вызовов, без необходимости непосредственной модификации самих приложений. Указанная возможность может быть активирована при использовании ядра Linux 3.5, релиз которого ожидается на следующей неделе. <br><br><br>В качестве примера помещения процесса в sandbox-окружение приводятся следующие настройки:<br><br>&lt;font color="#461b7e"&gt;<br> [Service]<br> ExecStart=/bin/echo "I am in a sandbox"<br> SystemCallFilter=brk mmap access open fstat close read fstat mprotect arch_prctl munmap write<br><br>&lt;/font&gt;<br><br><br><br>В общем виде принцип работы seccomp filter сводится (http://outflux.net/teach-seccomp/) к ограничению доступа к системным вызовам, при этом лог https://www.opennet.dev/openforum/vsluhforumID3/85624.html#117 Mon, 23 Jul 2012 05:03:16 GMT &gt; Можно сделать отдельный пакет systemd-filesystem, где будет всего лишь несколько <br>&gt; пустых каталогов (так вроде бы некоторые и делают), и пусть все <br>&gt; эти acpid'ы & Ko зависят от него.<br><br>не можно, а нужно (и здесь это уже обсудили). и даже обсудили почему было предложено распилить не systemd, а "зависимые" от него пакеты :)<br><br> https://www.opennet.dev/openforum/vsluhforumID3/85624.html#116 Sun, 22 Jul 2012 15:13:28 GMT &gt; Например, http://git.altlinux.org/gears/r/rpm.git?p=rpm.git;a=blob;f=scripts/files.req.in;h=c081b1e3f25cb938e6065f9a97e0bd757954e908;hb=HEAD <br><br>Да, спасибо, уже ткнули. Хотя имхо все равно всё не так печально, выше описал.<br> https://www.opennet.dev/openforum/vsluhforumID3/85624.html#115 Sun, 22 Jul 2012 15:11:52 GMT Интересно, не знал. Но даже в таком случае не нужно резать все пакеты на два (к тому же как сказать юзерам, что если у них стоит systemd, они должны ставить acpid-systemd, а не просто acpid?). Можно сделать отдельный пакет systemd-filesystem, где будет всего лишь несколько пустых каталогов (так вроде бы некоторые и делают), и пусть все эти acpid'ы & Ko зависят от него.<br> https://www.opennet.dev/openforum/vsluhforumID3/85624.html#114 Sun, 22 Jul 2012 14:35:03 GMT &gt;&gt; например, acpid зависит от systemd потому, что в пакете acpid лежит<br>&gt;&gt; /lib/systemd/system/acpid.service, что автоматически порождает зависимость.<br>&gt; Кто вам такое сказал?<br><br>Например, http://git.altlinux.org/gears/r/rpm.git?p=rpm.git;a=blob;f=scripts/files.req.in;h=c081b1e3f25cb938e6065f9a97e0bd757954e908;hb=HEAD<br> https://www.opennet.dev/openforum/vsluhforumID3/85624.html#113 Sun, 22 Jul 2012 14:27:53 GMT &gt; Какое-нибудь имею. Если я захочу положить в пакет случайный каталог с какими-то <br>&gt; текстовыми файлами (пускай *.service) и не пропишу явно зависимости от systemd <br>&gt; &#8212; у меня не выйдет? Или пакет сам эту зависимость получит? <br><br>случайный каталог - на здоровье. каталог, который предоставляется пакетом systemd, автоматически родит зависимость на пакет systemd.<br><br><br> https://www.opennet.dev/openforum/vsluhforumID3/85624.html#112 Sun, 22 Jul 2012 12:50:32 GMT Какое-нибудь имею. Если я захочу положить в пакет случайный каталог с какими-то текстовыми файлами (пускай *.service) и не пропишу явно зависимости от systemd &#8212; у меня не выйдет? Или пакет сам эту зависимость получит?<br> https://www.opennet.dev/openforum/vsluhforumID3/85624.html#111 Sun, 22 Jul 2012 12:38:00 GMT &gt;&gt; например, acpid зависит от systemd потому, что в пакете acpid лежит /lib/systemd/system/acpid.service, что автоматически порождает зависимость.<br>&gt; Кто вам такое сказал? <br><br>вы имеете какое-нибудь представление о том, как формируются зависимости rpm пакетов ?<br> https://www.opennet.dev/openforum/vsluhforumID3/85624.html#110 Sun, 22 Jul 2012 12:14:08 GMT &gt; например, acpid зависит от systemd потому, что в пакете acpid лежит /lib/systemd/system/acpid.service, что автоматически порождает зависимость. <br><br>Кто вам такое сказал? А если acpid.service будет всеми проигнорирован (потому что systemd в системе не будет), а acpid будет запущен другим способом (хоть руками, хоть через скрипт sysv) &#8212; то от этого что-то пойдет не так?<br>И дополнительных движений почти не надо.<br><br>&gt; ничто (кроме отсутствия багрепорта от заинтересованных лиц) не мешает мантейнеру acpid распилить пакет на два: один с обычным инитскриптом, а во второй положить только /lib/systemd/system/acpid.service и прописать зависимости на acpid.<br><br>Не нужно, почему &#8212; см. выше.<br> https://www.opennet.dev/openforum/vsluhforumID3/85624.html#109 Fri, 20 Jul 2012 08:25:17 GMT Так вот надо менять стиль написания программ, а не тянуть вещь, предназначенную для защиты приложения от самого себя, в какие-то управляющие демоны. Это мусор, seccomp не для этого делался!<br>Но нет же, пришёл Поттеринг и сделал очередную примочку к своему монстру =)<br>