The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Представлен virt-sandbox, инструмент для обеспечения изолиро..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от opennews (??) on 19-Янв-12, 18:12 
Даниэль Беррандж (Daniel Berrange), работающий в компании Red Hat над развитием средств виртуализации, представил (http://berrange.com/posts/2012/01/17/building-application-sa.../) первый публичный выпуск пакета libvirt-sandbox (ftp://libvirt.org/libvirt/sandbox/), позволяющего организовать выполнение произвольных пользовательских приложений в изолированном окружении, построенном с использованием libvirt. В рамках libvirt-sandbox подготовлен API, расширяющий возможности libvirt в плане изолированного запуска отдельных приложений, и специальная сервисная утилита virt-sandbox.


Несколько лет назад компания Red Hat подготовила утилиту sandbox (https://www.opennet.ru/opennews/art.shtml?num=23481), которая позволяет организовать безопасное выполнение не вызывающих доверия программ с обеспечением изоляции при помощи SELinux, что накладывало определённые ограничения на функциональность sandbox. Утилита virt-sandbox существенно отличается от своего предшественни...

URL: http://berrange.com/posts/2012/01/17/building-application-sa.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=32847

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 19-Янв-12, 18:12 
Класс!

>Подготовка специально API для изолированного запуска отдельных приложений сулит интересные возможности для разработчиков сторонних систем.

Например впихать туда веб-браузер и/или все сетевые приложения которые выходят в глобальные сети.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Sandfox вам в помощь!"  +/
Сообщение от Боря on 19-Янв-12, 18:16 
См. https://igurublog.wordpress.com/downloads/script-sandfox/
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 19-Янв-12, 18:23 
> Например впихать туда веб-браузер и/или все сетевые приложения которые выходят в глобальные сети.

Это делается через использование network namespaces. Хоть каждому приложению по собственному сетевому стеку.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

30. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +2 +/
Сообщение от Аноним (??) on 20-Янв-12, 13:41 
Зачем вам браузер который не может сохранять никакую инфу на диск? Да и зачем такие изолированные приложения нужны?
Для каждой программы должен создаваться каталог в специальном месте, куда будут перенаправляться все попытки программы писать. Если в этот каталог можно легко зайти с хост системы, то удобство не теряется.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

66. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от vi email on 21-Янв-12, 23:39 
> Зачем вам браузер который не может сохранять никакую инфу на диск? Да
> и зачем такие изолированные приложения нужны?
> Для каждой программы должен создаваться каталог в специальном месте, куда будут перенаправляться
> все попытки программы писать. Если в этот каталог можно легко зайти
> с хост системы, то удобство не теряется.

Уважаемый Аноним, некоторые мысли озвученные Вами, очень интересны для меня.
Например:
> Для каждой программы должен создаваться каталог в специальном месте, куда будут перенаправляться
> все попытки программы писать. Если в этот каталог можно легко зайти
> с хост системы, то удобство не теряется.

Но тут Вы (как мне кажется) перемешали  понятия "каталог"  и "хост системы".
Пиво в моей голове вскипело, и я решил отписать :(
А вообще, спасибо, за интересные мысли, которые возникли в моей голове после прочтения Вашего комента (жаль, что что Вы "Аноним", но это ничего, как мне кажется, Вы все же реально существуете!).
Кипение пива отнимает энергию, плюс быстее испаряются фракции "spiritus vini", так что на сегодня достаочно переписки.
И да, обидно от Вас слышать: "> и зачем такие изолированные приложения нужны?"
Если бы Вы добавыли пару слов к этой мысли (на мой взгляд) мне бы было легче, а так пиво кипит ;)

Спасибо.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

4. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 19-Янв-12, 18:46 
Джоанне Рутковской посвещается :))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 19-Янв-12, 22:27 
> Джоанне Рутковской посвещается :))

Представленная технология является некой пародией на Qubes OS. Потому что технологии изоляции сабжа на порядок легче взламываются, чем ее творение.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +6 +/
Сообщение от Аноним (??) on 19-Янв-12, 19:04 
> монтирует корневую ФС текущей базовой системы в режиме только для чтения

Т. е. при запуске "подозрительного" ПО оно вполне сможет украсть данные пользователя: сохранённые в приложениях пароли, куки, и т.д. И прекрасно передать это "наружу".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Crazy Alex (??) on 19-Янв-12, 20:42 
>> монтирует корневую ФС текущей базовой системы в режиме только для чтения
> Т. е. при запуске "подозрительного" ПО оно вполне сможет украсть данные пользователя:
> сохранённые в приложениях пароли, куки, и т.д. И прекрасно передать это
> "наружу".

Тогда ваш случай - это отдельный пользователь с отдельным хомяком, от которого запускать недоверенные приложения, а совсем не эта штука (польза которой, впрочем, лично для меня сомнительна). Только это натуральная паранойя.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

24. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 20-Янв-12, 12:13 
> Тогда ваш случай - это отдельный пользователь с отдельным хомяком,

Есть риск что недоверяемое приложение прогрейдится до рута и пошарится где-то еще, например. В этом плане ничего лучше виртуалок не придумано.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

26. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  –2 +/
Сообщение от Ваня (??) on 20-Янв-12, 12:55 
"Виртуалки" лучше запускать рекурсивно, т.к. есть шанс что приложение доберётся до первой хост-системы и увидит другие виртуалки - а тут облом, других нет, виртуалка запущена в виртуалке.

Если рекурсивность будет больше 300, и на каждой будут стоять разные ОС и программы виртуализации - тогда троян можно будет тупо вычислять по размеру.

Хмм... Тоже вариант защиты, и куда получше вашего.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

41. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 20-Янв-12, 17:16 
> "Виртуалки" лучше запускать рекурсивно, т.к. есть шанс что приложение доберётся до первой
> хост-системы и увидит другие виртуалки - а тут облом, других нет,
> виртуалка запущена в виртуалке.
> Если рекурсивность будет больше 300, и на каждой будут стоять разные ОС
> и программы виртуализации - тогда троян можно будет тупо вычислять по
> размеру.
> Хмм... Тоже вариант защиты, и куда получше вашего.

И главное - гораздо более экономичен в плане потребления ресурсов, чем большинство современных антивирусов.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

44. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  –3 +/
Сообщение от Ваня (??) on 20-Янв-12, 17:22 
Возможно вы не в курсе, но антивирусы настраиваются. Для повышения эффективности можно приобрести "железный" антивирус с максимальными настройками, не отнимающий выч.ресурсов.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

49. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +1 +/
Сообщение от Аноним (??) on 20-Янв-12, 17:43 
> Возможно вы не в курсе, но антивирусы настраиваются.

От варианта "фиговая защита - большое потребление ресурсов" до варианта "никакая защита - не очень большое потребление". (Уровни защиты оцениваются в сравнении со схемой вложенных виртуалок.)

> Для повышения эффективности можно приобрести "железный" антивирус с максимальными настройками, не отнимающий выч.ресурсов.

Лучше на эти деньги прокачать основное железо, и поставить туда менее ресурсоемкое решение, типа вложенных виртуалок. Огромный выигрыш по ресурсам при тех же расходах.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

56. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 21-Янв-12, 02:26 
> Возможно вы не в курсе, но антивирусы настраиваются. Для повышения эффективности можно
> приобрести "железный" антивирус с максимальными настройками, не отнимающий выч.ресурсов.

То-то сами антивирусники для изучения вирусов используют ... виртуалки :)


Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

16. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +1 +/
Сообщение от Аноним (??) on 19-Янв-12, 22:25 
> Т. е. при запуске "подозрительного" ПО оно вполне сможет украсть данные пользователя: сохранённые в приложениях пароли, куки, и т.д. И прекрасно передать это "наружу".

Технология filesystem namespaces, на которой основан сабж, позволяет сделать полностью недоступными (для подозреваемого приложения и его потомков) любые выбранные каталоги, например, /home и /etc. Достаточно нескольких строк кода.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

20. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +1 +/
Сообщение от Аноним (??) on 19-Янв-12, 22:34 
> И прекрасно передать это "наружу".

Кстати, возможность полностью отрезать подозрительному приложению сеть (оставив только lo) тоже делается в пару строчек кода. Но знают об этом лишь несколько человек: Торвальдс, Поттеринг, и разработчики LXC.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

22. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  –5 +/
Сообщение от anon8 (ok) on 20-Янв-12, 10:03 
> Но знают об этом лишь несколько человек: Торвальдс, Поттеринг…

Поттеринг может об этом и знает, но обязательно напишет свой велосипед. Фатальный недостаток же.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

33. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 20-Янв-12, 15:34 
> Поттеринг может об этом и знает, но обязательно напишет свой велосипед. Фатальный недостаток же.

"Велосипеды" Поттеринга как раз и дают юзерам возможность воспользоваться фичами ядра.
Без него - фича в ядре есть, но воспользоваться ей нельзя, потому что юзерспейс о ней не знает.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

35. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 20-Янв-12, 15:45 
> Без него - фича в ядре есть, но воспользоваться ей нельзя, потому что юзерспейс о ней не знает.

А все потому, что это юзерспейс написан тридцать лет назад, и на этом прогресс для него остановился.

Впрочем, некоторые ортодоксы считают, что новый софт не нyжен. Пусть в ядре будет 100500 новых фич - убедим себя, что они нам не требуются. Правда, нафига тогда вообще тащить себе весь этот динамичный и развивающийся (фу, мерзость!) GNU/Linux? Есть же прекрасная System V, в которой все это нормально работает.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

64. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +1 +/
Сообщение от Андрей (??) on 21-Янв-12, 04:36 
> юзерспейс написан тридцать лет назад

А чем же разработчики тестируют эти новые фичи?

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

68. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 22-Янв-12, 16:57 
>> юзерспейс написан тридцать лет назад
> А чем же разработчики тестируют эти новые фичи?

Примитивными сишными прогами из одного syscallа.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

52. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  –1 +/
Сообщение от anon8 (ok) on 20-Янв-12, 19:03 
это какими же?
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

67. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 22-Янв-12, 16:56 
cgroups, namespaces, например.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

69. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 22-Янв-12, 17:03 
>> Поттеринг может об этом и знает, но обязательно напишет свой велосипед. Фатальный недостаток же.
> "Велосипеды" Поттеринга как раз и дают юзерам возможность воспользоваться фичами ядра.

Кстати, к вопросу о Поттеринге и фичах ядра
http://www.0pointer.de/blog/projects/security

> These features take advantage of a couple of Linux-specific technologies that have been available in the kernel for a long time, but never have been exposed in a widely usable fashion. These systemd features have been designed to be as easy to use as possible, in order to make them attractive to administrators and upstream developers

По сути дела, Поттеринг дает возможность пользователям вопспользоваться киллер-фичами ядра Linux. Если не юзать такие проекты, как systemd, lxc, libcgroups - какой вообще смысл выбирать Linux, а не FreeBSD какую-нибудь?

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

23. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноннимнез on 20-Янв-12, 11:06 
Ну таки да. Есть такой боян про то как юзер под вайном запустил трояна на посмотреть. А троян упер пароль его аськи, которую он в этом-же вайне в квипе юзал.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 19-Янв-12, 20:10 
/home кладётся в отдельный партишн, не?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 19-Янв-12, 20:55 
> /home кладётся в отдельный партишн, не?

не похоже чтоб помогло.
Другое дело будет ли там сеть сразу

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

19. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 19-Янв-12, 22:29 
> /home кладётся в отдельный партишн, не?

Необязательно. Это же Linux. Возможность блокировки выбранных каталогов для заданных процессов не зависит от разбивки на разделы.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

21. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  –1 +/
Сообщение от Аноним (??) on 20-Янв-12, 09:05 
Хвост крутит собакой.

//Возможность блокировки выбранных каталогов ...

Доступность выбранных каталогов ...


Похоже что вы не осилили суть *nix.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

25. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 20-Янв-12, 12:16 
> Хвост крутит собакой.

"У нас этого нет, поэтому это не нyжно"?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

37. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 20-Янв-12, 15:51 
А вы не осилили метафору.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

57. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 21-Янв-12, 02:28 
> А вы не осилили метафору.

Не вижу чем виртуализация пространства имен, сети и прочего так уж клещится с unix-овской идеологией. Как максимум расширяет ее и дополняет, не более. Если ваша древность так не умеет - так мы в этом не виноваты.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

40. "Представлен virt-sandbox, инструмент для обеспечения изолиро..."  +/
Сообщение от Аноним (??) on 20-Янв-12, 17:15 
> Доступность выбранных каталогов ...

Каталоги по умолчанию доступны (если не считать ортогональных технологий, таких, как права доступа, ACL и MAC). Для того, чтобы сделать их read-only или вообще недоступными, нужно совершить дополнительные телодвижения.

> Похоже что вы не осилили суть *nix.

Похоже, что вы не поняли, о чем вообще речь.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

70. "Представлен virt-sandbox, инструмент для обеспечения..."  +/
Сообщение от arisu (ok) on 23-Янв-12, 00:35 
я джва года ждал такую фичу!

а если серьёзно — здорово, молодцы. не поттерингом единым.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру