forum.opennet.ru

Составление сообщения

Исходное сообщение

"Руководство по использованию Capsicum для изоляции выполнени..."
Отправлено opennews, 15-Май-12 21:56

Бен Лаури (Ben Laurie (http://en.wikipedia.org/wiki/Ben_Laurie)), известный своим вкладом в разработку OpenSSL и обеспечение поддержки SSL для http-сервера Apache, представил (http://www.links.org/?p=1242) практическое руководство по использованию интегрированной во FreeBSD подсистемы Capsicum (http://www.cl.cam.ac.uk/research/security/capsicum/) для изоляции выполнения программ и библиотек. Использование Capsicum продемонстрировано на примере утилиты bzip2 и библиотеки libtiff (https://github.com/benlaurie/libtiff), все действия разбиты на 13 этапов, для каждого из которых представлены для изучения соответствующие патчи.

Подсистема Capsicum опционально включена в состав FreeBSD 9 в качестве экспериментальной возможности и будет активирована по умолчанию начиная с FreeBSD 10. Capsicum представляет собой фреймворк для организации изолированного выполнения приложений и ограничения использования приложениями определённых функций. Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения. Используя Capsicum приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только ранее специфицированные штатные действия.

Дополнительно можно отметить статью "Automatic binary hardening with Autoconf (http://mainisusuallyafunction.blogspot.com/2012/05/automatic... в которой показано как автоматизировать проверку наличия дополнительных механизмов повышения безопасности в скриптах Autoconf и активировать сборку с задействованием всех доступных методов повышения безопасности на этапе сборки. В частности, рассматриваются такие возможности современных компиляторов, как рандомизация выделения памяти, дополнительные проверки корректности выполнения строковых операций и операций с памятью (-D_FORTIFY_SOURCE=2), защита от целочисленных переполнений (-fno-strict-overflow), защита от переполнения стека (-fstack-protector-all) и т.п. Отмечается (http://www.openwall.com/lists/oss-security/2012/05/15/1), что использовать данные возможности в своих программах стоит с осторожностью, предварительно протестировав возможное негативное влияние на производительность (некоторые наблюдают замедление до 30%).
.
URL: http://www.openwall.com/lists/oss-security/2012/05/15/2
Новость: https://www.opennet.ru/opennews/art.shtml?num=33854

Исходное сообщение
"Руководство по использованию Capsicum для изоляции выполнени..." Отправлено opennews, 15-Май-12 21:56
Бен Лаури (Ben Laurie (http://en.wikipedia.org/wiki/Ben_Laurie)), известный своим вкладом в разработку OpenSSL и обеспечение поддержки SSL для http-сервера Apache, представил (http://www.links.org/?p=1242) практическое руководство по использованию интегрированной во FreeBSD подсистемы Capsicum (http://www.cl.cam.ac.uk/research/security/capsicum/) для изоляции выполнения программ и библиотек. Использование Capsicum продемонстрировано на примере утилиты bzip2 и библиотеки libtiff (https://github.com/benlaurie/libtiff), все действия разбиты на 13 этапов, для каждого из которых представлены для изучения соответствующие патчи. Подсистема Capsicum опционально включена в состав FreeBSD 9 в качестве экспериментальной возможности и будет активирована по умолчанию начиная с FreeBSD 10. Capsicum представляет собой фреймворк для организации изолированного выполнения приложений и ограничения использования приложениями определённых функций. Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения. Используя Capsicum приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только ранее специфицированные штатные действия. Дополнительно можно отметить статью "Automatic binary hardening with Autoconf (http://mainisusuallyafunction.blogspot.com/2012/05/automatic... в которой показано как автоматизировать проверку наличия дополнительных механизмов повышения безопасности в скриптах Autoconf и активировать сборку с задействованием всех доступных методов повышения безопасности на этапе сборки. В частности, рассматриваются такие возможности современных компиляторов, как рандомизация выделения памяти, дополнительные проверки корректности выполнения строковых операций и операций с памятью (-D_FORTIFY_SOURCE=2), защита от целочисленных переполнений (-fno-strict-overflow), защита от переполнения стека (-fstack-protector-all) и т.п. Отмечается (http://www.openwall.com/lists/oss-security/2012/05/15/1), что использовать данные возможности в своих программах стоит с осторожностью, предварительно протестировав возможное негативное влияние на производительность (некоторые наблюдают замедление до 30%). . URL: http://www.openwall.com/lists/oss-security/2012/05/15/2 Новость: https://www.opennet.ru/opennews/art.shtml?num=33854

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Бен Лаури (Ben Laurie (http://en.wikipedia.org/wiki/Ben_Laurie)), известный своим вкладом 
> в разработку OpenSSL и обеспечение поддержки SSL для http-сервера Apache, представил 
> (http://www.links.org/?p=1242)  практическое руководство по использованию интегрированной 
> во FreeBSD  подсистемы Capsicum (http://www.cl.cam.ac.uk/research/security/capsicum/) 
> для изоляции выполнения программ и библиотек. Использование Capsicum продемонстрировано 
> на примере утилиты bzip2 и библиотеки libtiff (https://github.com/benlaurie/libtiff), 
> все действия разбиты на 13 этапов, для каждого из которых представлены 
> для изучения соответствующие патчи.

> Подсистема Capsicum опционально включена в состав FreeBSD 9 в качестве экспериментальной 
> возможности и будет активирована по умолчанию начиная с FreeBSD 10. Capsicum 
> представляет собой фреймворк для организации изолированного выполнения приложений и ограничения 
> использования приложениями определённых функций. Capsicum расширяет POSIX API и предоставляет 
> несколько новых системных примитивов, нацеленных на поддержку модели безопасности через 
> управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен 
> на дополнение традиционного централизованного мандатного контроля доступа средствами 
> для защиты отдельных приложений и активируется на стороне самого приложения. Используя 
> Capsicum приложение можно запустить в режиме повышенной изоляции (sandbox), при котором 
> программа сможет выполнять только ранее специфицированные штатные действия.

> Дополнительно можно отметить статью "Automatic binary hardening with Autoconf (http://mainisusuallyafunction.blogspot.com/2012/05/automatic-binary-hardening-with.html)" 
> в которой показано как автоматизировать проверку наличия дополнительных механизмов повышения 
> безопасности в скриптах Autoconf и активировать сборку с задействованием всех доступных 
> методов повышения безопасности на этапе сборки. В частности, рассматриваются такие возможности 
> современных компиляторов, как рандомизация выделения памяти, дополнительные проверки 
> корректности выполнения строковых операций и операций с памятью (-D_FORTIFY_SOURCE=2), 
> защита от целочисленных переполнений  (-fno-strict-overflow), защита от переполнения 
> стека (-fstack-protector-all) и т.п. Отмечается (http://www.openwall.com/lists/oss-security/2012/05/15/1), 
> что использовать данные возможности в своих программах стоит с осторожностью, предварительно 
> протестировав возможное негативное влияние на производительность (некоторые наблюдают 
> замедление до 30%).

> .

> URL: http://www.openwall.com/lists/oss-security/2012/05/15/2 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=33854

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру