The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Для ядра Linux предложена система изоляции приложений Capsic..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Для ядра Linux предложена система изоляции приложений Capsic..."  +/
Сообщение от opennews (??) on 30-Июн-14, 20:21 
Дэвид Драйсдейл (David Drysdale) из компании Google опубликовал (https://lkml.org/lkml/2014/6/30/170) в списке рассылки разработчиков ядра Linux набор патчей с реализацией фреймворка Capsicum (http://www.cl.cam.ac.uk/research/security/capsicum/), предоставляющего механизмы  для изолированного выполнения приложений и ограничения использования приложениями определённых функций. Система изначально разработана для проекта FreeBSD, включена в состав базовой системы начиная с выпуска FreeBSD 9 (https://www.opennet.ru/opennews/art.shtml?num=32749) и расширена в ветке FreeBSD 10. Поддержка режима изоляции, основанного на использовании Capsicum, интегрирована в OpenSSH 6.5 (https://www.opennet.ru/opennews/art.shtml?num=38971).


Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения. Используя Capsicum, приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только заведомо разрешённые штатные действия.


Capsicum вводит в обиход новый класс файловых дескрипторов - capability, который предоставляет ограниченный набор прав, ассоциированных с ним. Попытки выполнить действия с дескриптором данного типа, не разрешённые заданными правами, отклоняются с выводом ошибки ENOTCAPABLE. Новые полномочия могут определяться только иерархически, как подмножество уже заданных прав, привязанных к существующему capability-дескриптору.


Предоставляется также специальный режим "capability", блокирующий обращение ко всем системным вызовам из которых возможен доступ к глобальному пространству имён. Комбинируя эти две возможности, использующее Capsicum приложение может эффективно изолировать себя в sandbox, определив права доступа для необходимых в работе файлов и сокетов,  закрыв все остальные файловые дескрипторы и активировав режим  capability, который не позволит открыть не подпадающие под созданные правила новые файловые дескрипторы.


URL: https://lkml.org/lkml/2014/6/30/170
Новость: https://www.opennet.ru/opennews/art.shtml?num=40110

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Для ядра Linux предложена система изоляции приложений Capsic..."  +3 +/
Сообщение от Аноним (??) on 30-Июн-14, 20:21 
Респект. Очень нужная вещь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Для ядра Linux предложена система изоляции приложений Capsic..."  –1 +/
Сообщение от Аноним (??) on 30-Июн-14, 21:37 
чем оно лучше seccomp?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

28. "Для ядра Linux предложена система изоляции приложений Capsic..."  –3 +/
Сообщение от Аноним (??) on 01-Июл-14, 11:00 
> чем оно лучше seccomp?

Чем seccomp.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Для ядра Linux предложена система изоляции приложений Capsic..."  –1 +/
Сообщение от Пропатентный тролль on 30-Июн-14, 22:01 
Нужная-то нужная, но люди не торопятся свои приложения переписывать под капсикум, зная (и особо отмечая) человеческую лень, боюсь, что многие нынешние опенсорсные гиганты, типа постфикса, ехима, сэндмыла, апача и пр. никогда не получат поддержку капсикума.

Если конечно кто-то не проспонсирует разработчиков...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "Для ядра Linux предложена система изоляции приложений Capsic..."  +1 +/
Сообщение от Kibab email(ok) on 01-Июл-14, 00:31 
> Нужная-то нужная, но люди не торопятся свои приложения переписывать под капсикум, зная
> (и особо отмечая) человеческую лень, боюсь, что многие нынешние опенсорсные гиганты,
> типа постфикса, ехима, сэндмыла, апача и пр. никогда не получат поддержку
> капсикума.
> Если конечно кто-то не проспонсирует разработчиков...

ну для этого есть GSoC, например :-)
sendmail, кроме того, входит в состав базовой системы FreeBSD, так что вероятность того, что для него поддержка появится, выше, чем для остальных перечисленных.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

14. "Для ядра Linux предложена система изоляции приложений Capsic..."  +/
Сообщение от Аноним (??) on 01-Июл-14, 01:03 
> sendmail, кроме того, входит в состав базовой системы FreeBSD,

Ну да, это конечно мощный локомотив развития, столько success story вокруг о том как вхождение в базовую систему помогло тем или иным программам...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Для ядра Linux предложена система изоляции приложений Capsic..."  –2 +/
Сообщение от SubGun (ok) on 01-Июл-14, 07:51 
Особенно если учитывать, что его мало кто вообще использует.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

32. "Для ядра Linux предложена система изоляции приложений Capsic..."  +/
Сообщение от Аноним (??) on 01-Июл-14, 15:10 
Так я и говорю - ему так сильно помогло что он в базовой системе...
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

3. "Для ядра Linux предложена система изоляции приложений Capsic..."  –2 +/
Сообщение от Аноним (??) on 30-Июн-14, 20:33 
Теперь ждём когда для Linux портируют NetGraph.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Для ядра Linux предложена система изоляции приложений Capsic..."  +/
Сообщение от onorua email(??) on 30-Июн-14, 20:54 
А чего ждете-то?
http://repo.or.cz/w/ana-net.git/
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

21. "Для ядра Linux предложена система изоляции приложений Capsic..."  –1 +/
Сообщение от Александр З. on 01-Июл-14, 08:44 
А сильно ли нужен NetGraph? ИМХО его "ВОЛШЕБНОСТЬ" сильно преувеличена "ценителями".
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Для ядра Linux предложена система изоляции приложений Capsic..."  +1 +/
Сообщение от Аноним (??) on 30-Июн-14, 22:02 
seccomp filter https://www.opennet.ru/opennews/art.shtml?num=34387 уже есть и почти тоже самое.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Для ядра Linux предложена система изоляции приложений Capsic..."  +2 +/
Сообщение от Kibab email(ok) on 01-Июл-14, 00:30 
Но интерфейс через одно место спроектирован, а так да, слова похожие в описании.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Для ядра Linux предложена система изоляции приложений Capsic..."  +7 +/
Сообщение от Аноним (??) on 01-Июл-14, 01:02 
Патчей им наложить! А то у них утечки памяти^W бабла наблюдаются...

Если мы безрезультатно потратили пять с лишним миллиардов долларов на то, что частный предприниматель в США потратил 100 миллионов, то вряд ли мы тратили эти деньги, чтобы создать ракету. Скорее, наоборот: мы создавали ракету, чтобы эти деньги украсть", - уверена Латынина.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

23. "Для ядра Linux предложена система изоляции приложений Capsic..."  –1 +/
Сообщение от ццц on 01-Июл-14, 09:47 
Модератор согласен с Латыниной ? ;) :)
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

24. "Для ядра Linux предложена система изоляции приложений Capsic..."  +/
Сообщение от Аноним79 on 01-Июл-14, 09:51 
стрелка осцылографа уверено? o_O
партияжуликовиворофф?
навальногофпрезеденты?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

40. "Для ядра Linux предложена система изоляции приложений Capsic..."  +3 +/
Сообщение от rob pike on 02-Июл-14, 13:38 
затокрымнаш и дедывоевали уже изъяли из ваших методичек?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

41. "Для ядра Linux предложена система изоляции приложений Capsic..."  –1 +/
Сообщение от Аноним (??) on 02-Июл-14, 17:35 
А как связан Крым Няш и воровство в КоммОсРюсси ?
Или если срать - так срать - на всё без разбора, лишь бы побольше?
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

16. "Для ядра Linux предложена система изоляции приложений Capsic..."  –3 +/
Сообщение от Аноним (??) on 01-Июл-14, 04:59 
Дадададададада :)))
Помню, помню, пару лет назад на Linux форумах просил прогу мне посоветовать, ну или запилить, еслу кому не трудно. До сих пор никто до конца это дело не довёл. :(

Hello!
Sorry, my english not very good.

Many programs at work collect information about the system and the periphery, and often create a unique id of computer.

Programs can send data about your computer on their servers. Servers of companies and corporations, banks, government agencies or hackers.
Unique id of computer often stored in files, which are created in proprietary programs (files of various office suites, a program for creating virtual books, and other).
Information about your computer to collect various clients:
clients of payment systems, voip-telephony clients, clients of instant messaging and etc.

Google have many a spyware programs. They collect a huge databases of statistics about the users.
Google Earth, Picasa, Google Talk, Google Chrome... and a lot of different web-services (search engine Google, Gmail, Google translate...).

Google is required by law to provide any data about users to government agencies (FBI,...), to CIA, and even ordinary police.


I want to protect myself from all this.

I need a special program (environment) in which I will run other programs.
I do not need a virtual machine, because it requires a lot of resources (power processor and more memory).
The program should not take away computer's resources. And should work on any tablet and weak netbook.
I just need to layer like Wine.
I need a program similar to Wine, but for Linux software.

Programs running in this environment will have no real access to resources, they will only see that I show them.

If proprietary software with spyware runs and gets my real Mac-address, the names, options, configs of the computer hardware, receives information about the OS, then all the real information needs to be hidden.

The programs running in this environment also should not have direct access to the storage media (hard drives, flash, ...).

Programs running in this special environment will only see that I show them!

Environment have a GUI, many settings and the different profiles, I can add, delete, and modify profiles.

If I choose the profile "Commodore 64", then the program running in the environment see "Commodore 64" and nothing more.
If I choose the profile "K computer", then the program see "K computer".
If I choose "BeOS" or "Amiga" or "Zeta" or "Xbox" or "PlayStation" or "Nintendo" or "Windows 8" or "Windows 3.1" or "Mac" or "Linux v2.4" or "KDE 3.5" or "Gnome 2",... then the program can see only it and nothing more.

But these are specific examples, more often, need just change the configuration of computer, mac-adress, memory size, processor speed, video card, resolution and color depth, the name and version of the system, the name of the computer components ...

Сan select and customize absolutely any hardware configuration and operating system (can choose the operating system and configure them).

But do not forget, it's only cover, visibility, we just show to the programs ephemeral image, but the reality is different.

Once again, this special environment must work very quickly and should not take away computer's resources (it should fly on the tablets). This is one of the top priorities.

http://ubuntuforums.org/showthread.php?t=2061569

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Для ядра Linux предложена система изоляции приложений Capsic..."  +8 +/
Сообщение от Аноним (??) on 01-Июл-14, 09:15 
...и чтобы можно было грабить корованы.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

33. "Для ядра Linux предложена система изоляции приложений Capsic..."  +1 +/
Сообщение от Аноним (??) on 01-Июл-14, 15:28 
> Помню, помню, пару лет назад на Linux форумах просил прогу мне посоветовать,
> ну или запилить, еслу кому не трудно. До сих пор никто
> до конца это дело не довёл. :(

А ты это... денег то занес команде разработчиков? Если ты им зарплаты платил, а они не сделали тебе то что ты хотел - да, они кАзлы! А если ты решил что все забесплатно побегут тебя ублажать, именно так как ты хотел - ты чего-то сильно не понял в этой жизни. В следующий раз попробуй написать в ООН чтобы они тебе предоставили курьера который будет в ларек за пивом бегать. А если откажутся - обжалуй это решение в Спортлото.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Для ядра Linux предложена система изоляции приложений Capsic..."  +/
Сообщение от Stanislavvv on 01-Июл-14, 08:05 
Либо я чего-то не понимаю, либо через cgroups и unshare можно запилить нечто подобное без необходимости патчить каждую программу (потребуется только запускать через враппер).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Для ядра Linux предложена система изоляции приложений Capsic..."  +2 +/
Сообщение от продавец_кирпичей on 01-Июл-14, 12:00 
> Либо я чего-то не понимаю, либо через cgroups и unshare можно запилить
> нечто подобное без необходимости патчить каждую программу (потребуется только запускать
> через враппер).

Точно, не понимаешь

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

42. "Для ядра Linux предложена система изоляции приложений Capsic..."  +/
Сообщение от rob pike on 02-Июл-14, 18:43 
> It is possible to use Skype in a safe Docker container. The program is then run through an SSH tunnel with X11 forwarding and sound is heard through PulseAudio's Network Server.

https://wiki.archlinux.org/index.php/skype#Docker

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

31. "Для ядра Linux предложена система изоляции приложений Capsic..."  –3 +/
Сообщение от badmilkman email(ok) on 01-Июл-14, 14:41 
Интересная идея: просить хакеров ограничить свои трояны. Или ленивых быдлокодеров добавить еще строк в свои поделки
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Для ядра Linux предложена система изоляции приложений Capsic..."  –1 +/
Сообщение от lucentcode (ok) on 01-Июл-14, 19:40 
Главное, что-бы поддержку данной технологии заставили юзать корпоратов, вроде Microsoft с их skype. Пожалуй, песочника для skype гораздо нужней, чем для exim или postfix.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Для ядра Linux предложена система изоляции приложений Capsic..."  +1 +/
Сообщение от Аноним (??) on 01-Июл-14, 20:34 
мс будут сами должны сажать свой зонд в песочницу? Точно?
Так или иначе параноики могут не дожидаться подачки от мс и посадить зонд своими силами google://apparmor skype. Оно как-то надежнее
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

43. "Для ядра Linux предложена система изоляции приложений Capsic..."  +/
Сообщение от Аноним (??) on 07-Июл-14, 15:43 
Не понял в чем отличие от apparmor и selinux. Они тоже встроены в ядро, имеют аналогичный функционал и переписывать ничего не надо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
MIRhosting
Fornex
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру