The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Для FreeBSD развивается механизм изоляции, похожий на plegde и unveil"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Для FreeBSD развивается механизм изоляции, похожий на plegde и unveil"  +/
Сообщение от opennews (??), 03-Апр-22, 11:16 
Для FreeBSD предложена  реализация механизма изоляции приложений, напоминающего развиваемые проектом OpenBSD системные вызовы plegde и unveil. Изоляция в plegde осуществляется через запрет обращения к неиспользуемым в приложении системным вызовам, а в unveil через выборочное открытие доступа только для отдельных файловых путей, с которыми может работать приложение. Для приложения формируется подобие белого списка системных вызовов и файловых путей, а все остальные вызовы и пути запрещаются...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56958

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  –2 +/
Сообщение от Аноним (1), 03-Апр-22, 11:16 
Зато не apparmor/selinux, воть!
Ответить | Правка | Наверх | Cообщить модератору

6. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +1 +/
Сообщение от Анонимemail (6), 03-Апр-22, 11:47 
Как там было в «Хоббите»... Ножи — не вилки, а скалы — не опилки.
Ответить | Правка | Наверх | Cообщить модератору

7. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  –2 +/
Сообщение от Анонимemail (6), 03-Апр-22, 11:53 
Ножи^W Орлы
Ответить | Правка | Наверх | Cообщить модератору

9. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +4 +/
Сообщение от Аноним (-), 03-Апр-22, 12:02 
>> It can be broken up in 4 parts: 1) A MAC module that implements most of the functionality.  2) The userland library, sandboxing utility, configs and tests.  3) Various kernel changes needed to support it (including new MAC handlers and extended syscall filtering).  4) Small changes/fixes to the base userland

...
>> About the kernel-side parts:
>> Most of the implementation is in a separate mac_curtain module, but it also needed some changes spread out in the kernel to support it.

...
man mac
>> HISTORY
>>     The TrustedBSD MAC Framework first appeared in FreeBSD 5.0 (2003)

...

> Зато не apparmor/selinux, воть!

Зато очередной лапчато-опеннетный онализ на основе знакомых слов из заголовка!


Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

15. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +4 +/
Сообщение от Аноним (15), 03-Апр-22, 13:24 
> Зато не apparmor/selinux, воть!

Сабж надо сравнивать не с MAC, а с механизмами syscall-изоляции. В Linux это Seccomp, во фре - Capsicum.

By the way, у лапчатых с этим уже много лет как все просто - пишешь в юнит-файл SystemCallFilter= (для системных вызовов) и InaccessiblePaths= (для файловой системы), и ты в домике.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

54. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  –1 +/
Сообщение от Аноним (54), 04-Апр-22, 12:32 
А домик как у ниф-нифа или как у наф-нафа?
Ответить | Правка | Наверх | Cообщить модератору

55. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (15), 04-Апр-22, 16:46 
Если серьезно, то фильтрация системных вызовов и фильтрация обращений к файловой системе - это только элементы в комплексной защите. Есть IPC, есть сеть, которые надо тоже ограничивать. Есть опции компилятора для затруднения атак. Ну и ресурсы надо квотировать, чтобы DoS всей системы не было.
Ответить | Правка | Наверх | Cообщить модератору

2. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +2 +/
Сообщение от _kusb (ok), 03-Апр-22, 11:26 
Очень глупый вопрос - но чем это отличается от chroot? Ещё вспомнил про контрольные группы, какие слова знаю - офигеть.
Ответить | Правка | Наверх | Cообщить модератору

4. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  –3 +/
Сообщение от qew (?), 03-Апр-22, 11:44 
Чистый chroot не предел для взлома еще с 90-х. Зная невероятный дебилизм ядра, скорее всего до сих пор осталось дыркой. Но в его исходниках каждый день не роюсь, это к диванным экспертам.
Представляешь ютуб в чруте? )

chroot средствами cgroups - то же самое извращение, но поговаривают вполне можно уже даже полагаться в НЕкритичных ситуациях. Группы ресурсов вообще для другого делали, но они неплохое продолжение получили в виде докера - просто и чаще всего таки удобно.

Для серьёзных вещей, что-то более крутое чем selinux или apparmor представить сложно. Но для школьников то докеризацию придумают и они свято верят в непогрешимость то еще чего. Больше подходит вайновое приложение или игрушку туда пихнуть или на сервере юзать. Большие как юзали SE таки будут юзать - своими, со знанием дела, с самого начала, для своих, и по взрослому.

Ответить | Правка | Наверх | Cообщить модератору

5. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от йцу (?), 03-Апр-22, 11:45 
Тут чрут подкреплённый хуками к ядру. Ну типа стопудовее, пластичнее может даже и безопаснее.
Чистый чрут - это крайне примитивная конструкция.
Ответить | Правка | Наверх | Cообщить модератору

14. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +2 +/
Сообщение от Легивон (?), 03-Апр-22, 13:19 
>Но для школьников то докеризацию придумают и они свято верят в непогрешимость то еще чего

Не для школьников, а для senior yaml developer'ов.
И докер это вообще не про изоляцию. Это 90% случаев про доставку.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

19. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (15), 03-Апр-22, 13:31 
> Не для школьников, а для senior yaml developer'ов.

До этого тридцать лет девелопили на шелле. Теперь будут сколько-то лет девелопить на ямле. Игра была равна - играли два <...> (а можно просто не подпускать к программированию людей, не знающих хотя бы одного полноценного ЯП).

> И докер это вообще не про изоляцию. Это 90% случаев про доставку.

Про изоляцию тоже, но не для безопасности, а для удобства. С ним можно спокойно запустить на хосте хоть пять разных веб-серверов с настройками "из коробки", и они не подерутся на 80 и 443 порты. (Более практичный пример - при обновлении программы, старый и новый экземпляр могут пересекаться по времени без конфликтов)

Ответить | Правка | Наверх | Cообщить модератору

28. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  –2 +/
Сообщение от Онаним (?), 03-Апр-22, 15:45 
Конкретно доскер к изоляции вообще никакого отношения не имеет.
Ответить | Правка | Наверх | Cообщить модератору

31. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  –1 +/
Сообщение от Аноним (31), 03-Апр-22, 16:18 
Пацаны во дворе рассказали?
Ответить | Правка | Наверх | Cообщить модератору

41. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  –1 +/
Сообщение от Онаним (?), 03-Апр-22, 21:26 
Ну, тебе как заядлому дворовому обитателю - скорее всего виднее, да.
А вообще доскер - это костылик конфигурации ядерной изоляции, а не сама изоляция.
Ответить | Правка | Наверх | Cообщить модератору

35. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +1 +/
Сообщение от Аноним (35), 03-Апр-22, 19:12 
Изначально это объявлялось именно как изоляция. Это потом, когда изоляция оказалась неизоляцией (в силу кривости реализации), оставили роль деплоя приложений. Народ так заюзал, на том и сошлись.
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

42. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  –1 +/
Сообщение от Онаним (?), 03-Апр-22, 21:27 
Изоляция - это LXC, namespaces и прочая обвязка, так-то. Доскер её только конфигурирует.
"Объявлялся как изоляция" он для старших специалистов по yaml, видимо.
Ответить | Правка | Наверх | Cообщить модератору

43. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Онаним (?), 03-Апр-22, 22:10 
И даже про LXC я не прав, LXC такой же костылик. Короче именно ядерная составляющая, хз как её назвать. cgroups+namespaces+...
Ответить | Правка | Наверх | Cообщить модератору

48. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (15), 04-Апр-22, 03:18 
Может, вам сторит все-таки подучить матчасть, прежде чем встревать в интеллектуальные дискуссии?
Ответить | Правка | Наверх | Cообщить модератору

50. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Онаним (?), 04-Апр-22, 07:58 
Может тебе для начала русский подучить, сторит?
Ответить | Правка | Наверх | Cообщить модератору

30. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  –1 +/
Сообщение от Аноним (31), 03-Апр-22, 16:17 
> полноценного ЯП

Полноценность ты будешь определять, конечно же, да?

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

40. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от anonfhjvxd (?), 03-Апр-22, 21:03 
https://ru.wikipedia.org/wiki/%D0%9F%D0%...
Ответить | Правка | Наверх | Cообщить модератору

27. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Онаним (?), 03-Апр-22, 15:44 
senior yaml developer - это пять, возьму на заметку, спасибо
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

36. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (35), 03-Апр-22, 19:15 
>Не для школьников, а для senior yaml developer'ов.

Сениёр ямль девелопер-это не школьник, это посетитель детского сада. Как и автор термина.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

45. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  –2 +/
Сообщение от Аноним (15), 04-Апр-22, 03:10 
Тем не менее, платят им раз в десять больше, чем senior shell developer-ам.
Ответить | Правка | Наверх | Cообщить модератору

22. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (15), 03-Апр-22, 13:38 
> chroot средствами cgroups - то же самое извращение, но поговаривают вполне можно уже даже полагаться в НЕкритичных ситуациях. Группы ресурсов вообще для другого делали, но они неплохое продолжение получили в виде докера - просто и чаще всего таки удобно.

Вы путаете педали. cgroups не обеспечивают chroot, для этого есть namespaces (конкретно - mount namespace).

> можно уже даже полагаться в НЕкритичных ситуациях

В некритичных ситуациях хватит "нет там дыр, зуб даю".
А в критичных всегда работает комплекс мер.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

39. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (39), 03-Апр-22, 19:54 
> Большие как юзали SE таки будут юзать - своими, со знанием дела, с самого начала, для своих, и по взрослому.

Во-первых, больших пользователей SELinux особо нет, либо они тщательно законспирированны (читай: не подключены к публичным сетям), и от того малоинтересны. Во-вторых, SELinux настолько простая концепция, что умещается целиком в комикс-раскраску. Правда, для применения в реальном мире на реальном проде требует фантазии и немного опыта. К несчастью, средний сисадмин зашорен и не способен раздуплить SELinux дальше, чем setenforce 0, поэтому большинство даже не пытается внедрять. В результате, на одном только SELinux можно неплохо зарабатывать. А вкупе со знанием современного клауда, так и совсем хорошо выходит. Платят много, слушают внимательно и готовы приседать когда скажут. Рекомендую!

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

34. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от мишалипут (?), 03-Апр-22, 17:26 
Это не аналог chroot, это аналог seccomp (ну и вторая штука аналог apparmor/selinux)
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (3), 03-Апр-22, 11:37 
Capsicum'a должно быть всем достаточно.
Ответить | Правка | Наверх | Cообщить модератору

8. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +1 +/
Сообщение от В.Ж. (?), 03-Апр-22, 11:59 
Ну то есть вот это «для немодифицированных программ» рубит основную идею, лежащую в основе pledge: многим приложениям повышенные привилегии требуются только на начальном этапе работы, когда происходит инициализация. И извне этот момент не узнать, поэтому при внешнем ограничении привилегий приходится давать максимум из возможно требуемых привилегий.

Пользу сабжа вижу только в возможности большего распространения API pledge/unveil, что в итоге может побудить большее количество разработчиков ПО обратить на него внимание... а может и не побудить.

Ответить | Правка | Наверх | Cообщить модератору

10. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (10), 03-Апр-22, 12:05 
Звучит как unshare. Там тоже можно запустить любую излишне любопытную программу в изолированном немспейсе. С точки зрения программы оно как бы и есть, но с реальной системой не пересекается.
Ответить | Правка | Наверх | Cообщить модератору

17. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (15), 03-Апр-22, 13:27 
unshare - это тот же механизм, который лежит в основе LXC и докера. И нет, он не отменяет и не заменяет фильтрации системных вызовов. Эти два подхода работают вместе, дополняя друг друга.
Ответить | Правка | Наверх | Cообщить модератору

20. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (10), 03-Апр-22, 13:33 
Фильтрация системных вызовов в свою очередь звучит не то как apparmor, не то как yama.
Ответить | Правка | Наверх | Cообщить модератору

24. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (15), 03-Апр-22, 13:47 
Не, звучит как seccomp.
Apparmor и yama - это модули MAC, более высокий уровень абстракции. Тоже могут фильтровать системные вызовы, но там это задается косвенно, поэтому такой гибкости, как seccomp, не дает.
Ответить | Правка | Наверх | Cообщить модератору

11. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от qwe (??), 03-Апр-22, 12:08 
В таком случае как всегда, пока в gcc не встроят не взлетит. А какие существуют способы временно давать повышение привелегий с определённым райдером мест куда можно лезть при этом, а дальше пахать как обычно?
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

18. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (18), 03-Апр-22, 13:29 
Разбить на бинарники дать разные права вызывать разные бинари в зависимости от ситуации.  И так по нисходящей велосипедировать.  
Ответить | Правка | Наверх | Cообщить модератору

21. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +1 +/
Сообщение от Аноним (15), 03-Апр-22, 13:34 
А потом захочется
1. Бинарники, решающие одни и те же задачи по преднастройке окружения, объединить в один универсальный
2. ???
3. Мужики, у нас комбайн, возможно, systemd, по коням!
Ответить | Правка | Наверх | Cообщить модератору

33. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (33), 03-Апр-22, 17:11 
А в винде можно в случае необходимости вызвать диалог повышения привелегий и непривилегированный процесс сделать привилегированным, в отличие от этих ваших юниксов...
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

47. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (15), 04-Апр-22, 03:16 
А в этих ваших юниксах для того же самого уязвимости всякие ищут, да.
Ответить | Правка | Наверх | Cообщить модератору

13. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (15), 03-Апр-22, 13:19 
> И извне этот момент не узнать, поэтому при внешнем ограничении привилегий приходится давать максимум из возможно требуемых привилегий.

Для этого уже давно придумали простое решение, называется privilege separation.
Когда предварительную настройку выполняет один процесс, а основную работу другой.
Можно пойти по unix way и написать для каждого демона свой инициализатор, можно забить и сделать init-комбайн, который и сокеты откроет, и лимиты выставит, и cgroups создаст, и namespaces настроит, не суть.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

12. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Sadok (ok), 03-Апр-22, 12:53 
Расскажите ему про jail.
Ответить | Правка | Наверх | Cообщить модератору

23. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (-), 03-Апр-22, 13:44 
> Расскажите ему про jail.
>> It can be used at the same time as jails and Capsicum (their

restrictions are also enforced on top of it).
...
>> (Автор в списке рассылок) Also, if you combine curtains with chroots you kind of get jails. It's chroot escape-proof because unveils deny access to the outer directories like any other.  Privileges are restricted.  It doesn't have all the features of jails but it's very jail-like. Just to say, the MAC framework was pretty close to being able to implement jails too.

Видимо, прочитал на опеннете и полез смортеть. Интересно, что бы он делал без ценных советов опеннетчиков?

Ответить | Правка | Наверх | Cообщить модератору

25. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (25), 03-Апр-22, 13:57 
Еще одна реализация по типу capsicum заточенная на программистов, а не админов?
Ехх, жаль что кроме jail во фришке нет других механизмов изоляции.
Ответить | Правка | Наверх | Cообщить модератору

29. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +7 +/
Сообщение от Смузихлёб (?), 03-Апр-22, 15:54 
Очередная смузи-поделка. Лишь доказывает теорию того, что современное айти упёрлось в потолок, а все новые "разработки" - это из разряда обновлений ради обновления.
Ответить | Правка | Наверх | Cообщить модератору

38. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +1 +/
Сообщение от Аноним (38), 03-Апр-22, 19:49 
> все новые "разработки" - это из разряда обновлений ради обновления.

Эх, золотые слова...

Ответить | Правка | Наверх | Cообщить модератору

32. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  –2 +/
Сообщение от Аноним (31), 03-Апр-22, 16:26 
А там глядишь и systemd на bsd портируют :)

Лет через 10-15 можно будет в каких-то некритичных местах даже иногда использовать ради интереса. Удачи проекту, она ему очень понадобится.

Ответить | Правка | Наверх | Cообщить модератору

37. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +1 +/
Сообщение от Аноним (37), 03-Апр-22, 19:47 
С этим unevil в firefox ни локальные файлы не открыть, а теперь он даже в "Загрузки" не хочет сохранять.

Сделайте firefox снова злым!

Ответить | Правка | Наверх | Cообщить модератору

44. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +4 +/
Сообщение от YetAnotherOnanym (ok), 03-Апр-22, 22:52 
> Поддерживается совместное использование curtain с механизмами изоляции, предоставляемыми подсистемами Jail и Capsicum

Не, ну это как-то не по-опенсорсному.
Надо, чтобы новая утилита дублировала функционал и конфликтовала со старыми при совместном использовании. Вот это будет по-опенсорсному.

Ответить | Правка | Наверх | Cообщить модератору

46. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +1 +/
Сообщение от Аноним (15), 04-Апр-22, 03:13 
Возможно, именно это и подразумевается. Ведь когда из-за конфликта систем что-то не работает, это более безопасно - нельзя взломать то, что не запустилось.
Ответить | Правка | Наверх | Cообщить модератору

53. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от YetAnotherOnanym (ok), 04-Апр-22, 11:24 
Эммм... ну... это не лишено смысла...
Ответить | Правка | Наверх | Cообщить модератору

52. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (-), 04-Апр-22, 10:10 
https://lists.freebsd.org/archives/freebsd-hackers/2022-Marc...
Ответить | Правка | Наверх | Cообщить модератору

56. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (56), 06-Апр-22, 01:41 
Как обычно - свое уникальное, ни с кем не совместимое?
Ответить | Правка | Наверх | Cообщить модератору

57. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."  +/
Сообщение от Аноним (-), 06-Апр-22, 11:57 
> Как обычно - свое уникальное, ни с кем не совместимое?

Расскажи поподробнее, с чем совместимы cgroups, seccomp, namespaces, apparmor ... LXC, docker, systemd?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру