The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Google развивает вариант системы изоляции приложений Capsicu..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от opennews on 11-Окт-13, 23:27 
Компания Google опубликовала (https://github.com/google/capsicum-linux) свои наработки по портированию фреймворка  Capsicum (http://www.cl.cam.ac.uk/research/security/capsicum/) для ядра Linux. Работа основана на коде Capsicum из состава FreeBSD 9 и начальной реализации для Linux, развиваемой (http://git.chromium.org/gitweb/?p=chromiumos/third_party/ker...) в прошлом году Маредидом Люффом (Meredydd Luff). Вариант Capsicum от Google базируется на ядре Linux 3.11, оформлен в виде  LSM-модуля (Linux Security Module) и поддерживает работу на системах x86_64 или в user-mode Linux.

Capsicum представляет собой фреймворк для организации изолированного выполнения приложений и ограничения использования приложениями определённых функций. Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения. Используя Capsicum приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только ранее специфицированные штатные действия.

Capsicum вводит в обиход новый класс файловых дескрипторов - capability, который предоставляет ограниченный набор прав, ассоциированных с ним. Попытки выполнить действия с дескриптором данного типа, не разрешённые заданными правами, отклоняются с выводом ошибки ENOTCAPABLE. Новые полномочия могут определяться только иерархически, как подмножество уже заданных прав, привязанных к существующему capability-дескриптору. Предоставляется также специальный режим "capability", блокирующий обращение ко всем системным вызовам из которых возможен доступ к глобальному пространству имён. Комбинируя эти две возможности, использующее Capsicum приложение может эффективно изолировать себя в sandbox, определив права доступа для необходимых в работе файлов и сокетов,  закрыв все остальные файловые дескрипторы и активировав режим  capability, который не позволит открыть не подпадающие под созданные правила новые файловые дескрипторы.


URL: https://github.com/google/capsicum-linux
Новость: https://www.opennet.ru/opennews/art.shtml?num=38138

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Google развивает вариант системы изоляции приложений Capsicu..."  +1 +/
Сообщение от Kolya on 11-Окт-13, 23:27 
что-то по описанию это напоминает sandbox selinux'а
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Google развивает вариант системы изоляции приложений Capsicu..."  +1 +/
Сообщение от Аноним (??) on 12-Окт-13, 00:03 
Ну, там приложения ограничиваются внешними правилами.
А тут, судя по описанию, все функции по ограничению ложатся на само приложение. Захочет - ограничится, не захочет - не ограничится.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от Kolya on 12-Окт-13, 00:27 
тогда скорее всего будет провал. И так capabilities почти никто не использует. Сомневаюсь, что с участием гугла что-то изменится.


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от Аноним (??) on 12-Окт-13, 01:03 
> тогда скорее всего будет провал.

Бсдшники это делали чисто из академического интереса, группа пиoнеров, работающих в гоогле, в свободное время спортировала это just4fun.
Нужно ли это кому-то - подумать как-то забыли.

> И так capabilities почти никто не использует.

В федоре заставляют использоваться. Специально патчат демонов, чтобы они от рута не работали.

> Сомневаюсь, что с участием гугла что-то изменится.

Не факт, что эти пиoнеры действовали по корпоративной инициативе. Скорее - по личной.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Google развивает вариант системы изоляции приложений Capsicu..."  –5 +/
Сообщение от Аноним (??) on 12-Окт-13, 11:52 
> В федоре заставляют использоваться.

Поэтому желающих пользоваться федорой не сильно много. Гемора с selinux много а результат не хуже можно достичь например простой резкой на контейнеры.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Google развивает вариант системы изоляции приложений Capsicu..."  –5 +/
Сообщение от ананим on 12-Окт-13, 13:11 
Не поэтому.
Селинух 100500-ый по списку. Просто сырое почти всё. Да ещё Похтеринги всякие, гномы3 (прибитые тееерь к системд и пульсу. На радость бсдишнегам и пр.)
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

24. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от Аноним (??) on 13-Окт-13, 07:44 
>  На радость бсдишнегам и пр.)

Им с этого нифига не обломится - какая им с этого радость?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

27. "Google развивает вариант системы изоляции приложений Capsicu..."  –1 +/
Сообщение от ананим on 13-Окт-13, 10:53 
Не догадался поставить тэг <ирония>.
Думал народ продвинутый, так поймёт.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "Google развивает вариант системы изоляции приложений Capsicu..."  +1 +/
Сообщение от Аноним (??) on 14-Окт-13, 16:53 
> Селинух 100500-ый по списку. Просто сырое почти всё. Да ещё Похтеринги всякие, гномы3 (прибитые тееерь к системд и пульсу. На радость бсдишнегам и пр.)

Ну же, расскажи нам, как хорошо и привольно в убунточке!

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

39. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от ананим on 14-Окт-13, 18:28 
Вам? Т.е. ты такой таббаки, а где-то там за тобой шерканчики толпой стоят? :D
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

40. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от Аноним (??) on 15-Окт-13, 00:39 
Нам - это широкой общественности. Не только мне интересно узнать, как гентушники превращаются в идЭйных убантуводов.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

31. "Google развивает вариант системы изоляции приложений Capsicu..."  +2 +/
Сообщение от Аноним (??) on 14-Окт-13, 16:55 
> Поэтому желающих пользоваться федорой не сильно много. Гемора с selinux много а
> результат не хуже можно достичь например простой резкой на контейнеры.

Типичный борец с федорой даже не знает о разнице между SELinux и POSIX capabilities.
Шикрано :)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

36. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от тень_pavel_simple on 14-Окт-13, 17:04 
>> Поэтому желающих пользоваться федорой не сильно много. Гемора с selinux много а
>> результат не хуже можно достичь например простой резкой на контейнеры.
> Типичный борец с федорой даже не знает о разнице между SELinux и
> POSIX capabilities.
> Шикрано :)

сам бы читать научился -- где в словах "простой резкой на контейнеры" увидел POSIX capabilities

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

37. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от Аноним (??) on 14-Окт-13, 17:42 
Где в словах "И так capabilities почти никто не использует." про простую резку на контейнеры?
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

38. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от тень_pavel_simple on 14-Окт-13, 17:54 
> Где в словах "И так capabilities почти никто не использует." про простую
> резку на контейнеры?

вон оно чё

my bad

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

41. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от Аноним (??) on 15-Окт-13, 00:41 
>> Где в словах "И так capabilities почти никто не использует." про простую
>> резку на контейнеры?
> вон оно чё
> my bad

Согласен, урезание контекста (второго уровня цитирования) немного запутывает :)

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

21. "Google развивает вариант системы изоляции приложений Capsicu..."  +3 +/
Сообщение от Аноним (??) on 12-Окт-13, 20:11 
> группа пиoнеров, работающих в гоогле, в свободное время спортировала это just4fun.

Многие упорно забывают, что сам Линукс появился потому, что один мальчик решил реализовать UNIX API тоже just for fun.
Многим очень хочется это забыть, потому что у самих с их стремлением "only for profit" никак не получается сделать что-то лучше, что это некоторые делают "just for fun".

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

33. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от Аноним (??) on 14-Окт-13, 16:58 
> Многие упорно забывают, что сам Линукс появился потому, что один мальчик решил
> реализовать UNIX API тоже just for fun.
> Многим очень хочется это забыть, потому что у самих с их стремлением
> "only for profit" никак не получается сделать что-то лучше, что это
> некоторые делают "just for fun".

Но только некоторые.
Никто из них не задумывается, а нужно ли оно кому-то. Поэтому выстреливает только несколько проектов из тысячи.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

18. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от YetAnotherOnanym (ok) on 12-Окт-13, 15:17 
Внезапно - существуют программы, которые сами дропают рут-привилегии и сами чрутаются в свой рабочий каталог. Они по-Вашему тоже провальные?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

20. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от Аноним (??) on 12-Окт-13, 19:30 
> Внезапно - существуют программы, которые сами дропают рут-привилегии и сами чрутаются в
> свой рабочий каталог. Они по-Вашему тоже провальные?

Внезапно - существуют программы, которые этого не делают. И чо?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

26. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от ананим on 13-Окт-13, 10:50 
А то.
Не пользуйтесь такими программами.
Любой уважающий себя демон так делает. Это уже давно стало правилом хорошего тона в разработке.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от YetAnotherOnanym (ok) on 13-Окт-13, 12:06 
А то, что программа должна быть изначально написана с мыслью о безопасности. Субж - один из инструментов для этого.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

35. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от Аноним (??) on 14-Окт-13, 17:02 
> Внезапно - существуют программы, которые сами дропают рут-привилегии и сами чрутаются в
> свой рабочий каталог. Они по-Вашему тоже провальные?

Нет. Провальна идея заставить разработчиков всех программ так делать.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

10. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от Аноним (??) on 12-Окт-13, 11:59 
По описанию похоже на seccomp
а selinux по другому работает.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Google развивает вариант системы изоляции приложений Capsicu..."  –1 +/
Сообщение от Аноним (??) on 12-Окт-13, 12:01 
> По описанию похоже на seccomp
> а selinux по другому работает.

и вообще лучше бы из linux выкинули лишние, а не тащили по 4 механизма защиты друг дружку дублирующих

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от anonymous (??) on 12-Окт-13, 12:22 
>оформлен в виде LSM-модуля

Во внутренностях одни и те же механизмы используются.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 12-Окт-13, 14:13 
не собирай ненужные механизмы, кто заставляет
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

34. "Google развивает вариант системы изоляции приложений Capsicu..."  –1 +/
Сообщение от Аноним (??) on 14-Окт-13, 17:00 
> и вообще лучше бы из linux выкинули лишние, а не тащили по
> 4 механизма защиты друг дружку дублирующих

Зачем выкидиывать? Наоборот, лучше принимать новые!
Вон пару лет назад apparmor приняли, хотя он дублировал уже имеющийся tomoyo и даже уступал ему по фичам.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

2. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от Аноним (??) on 12-Окт-13, 00:02 
Очень мутно написано (хотя на офсайте capsicum еще мутнее).

Речь идет только об ограничении операций с конкретными fd?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от ананим on 12-Окт-13, 16:03 
Нет.
Речь о разрешении только конкретных fd (сокетов и пр.) :D
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

32. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от Аноним (??) on 14-Окт-13, 16:57 
> Нет.
> Речь о разрешении только конкретных fd (сокетов и пр.) :D

Фильтр на fopen syscall?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

42. "Google развивает вариант системы изоляции приложений Capsicu..."  –1 +/
Сообщение от Kibab email(ok) on 15-Окт-13, 20:32 
нет, например, чтобы на сокете нельзя было сделать bind, а только connect, нельзя было сделать write(), а только read(). или, например, запретить fchmod на дескриптор.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

44. "Google развивает вариант системы изоляции приложений Capsicu..."  +/
Сообщение от Аноним (??) on 30-Июн-14, 22:01 
seccomp filter https://www.opennet.ru/opennews/art.shtml?num=34387 уже есть и почти тоже самое.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру