LinuxDoc.ru - Новости Linux - Google развивает вариант системы изоляции приложений Capsicum для ядра Linux

Google развивает вариант системы изоляции приложений Capsicum для ядра Linux

LinuxDoc.Ru,
Компания Google опубликовала свои наработки по портированию фреймворка Capsicum для ядра Linux. Работа основана на коде Capsicum из состава FreeBSD 9 и начальной реализации для Linux, развиваемой в прошлом году Маредидом Люффом (Meredydd Luff). Вариант Capsicum от Google базируется на ядре Linux 3.11, оформлен в виде LSM-модуля (Linux Security Module) и поддерживает работу на системах x86_64 или в user-mode Linux.


Capsicum представляет собой фреймворк для организации изолированного выполнения приложений и ограничения использования приложениями определённых функций. Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения. Используя Capsicum, приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только заведомо разрешённые штатные действия.


Capsicum вводит в обиход новый класс файловых дескрипторов - capability, который предоставляет ограниченный набор прав, ассоциированных с ним. Попытки выполнить действия с дескриптором данного типа, не разрешённые заданными правами, отклоняются с выводом ошибки ENOTCAPABLE. Новые полномочия могут определяться только иерархически, как подмножество уже заданных прав, привязанных к существующему capability-дескриптору. Предоставляется также специальный режим "capability", блокирующий обращение ко всем системным вызовам из которых возможен доступ к глобальному пространству имён. Комбинируя эти две возможности, использующее Capsicum приложение может эффективно изолировать себя в sandbox, определив права доступа для необходимых в работе файлов и сокетов, закрыв все остальные файловые дескрипторы и активировав режим capability, который не позволит открыть не подпадающие под созданные правила новые файловые дескрипторы.
linux

Новости Linux

. Google развивает вариант системы изоляции приложений Capsicum для ядра Linux Google развивает вариант системы изоляции приложений Capsicum для ядра Linux
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Если Вы обнаружите в опубликованных документах ошибки, опечатки, несоответствия и неточности - сообщите о них.
>>> Опубликованы корректирующие выпуски Firefox 82.0.3, Firefox 78.4.1 и Thunderbird 78.4.2, в которых устранена критическая уязвимость (CVE-2020-26950). Доступ к подробной информации о характере уязвимости пока ограничен, сообщает лишь, что проблема связана с неверным использованием кода операции MCallGetProperty и может привести к обращению к уже освобождённой области памяти (use-after-free), пригодному для создания рабочего эксплоита.
>>> После более года разработки и шести с половиной лет с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.8, в котором предложено 24 исправления. Готовые пакеты подготовлены для Linux, Windows и macOS.
>>> Что может случиться с ноутбуком и как решить проблему
Любая компьютерная техника периодически ломается, и ноутбуки не исключение. В отличие от стационарных компьютеров, элементарное обслуживание которых может сделать даже продвинутый пользователь, ноутбук нуждается в особом подходе.
>>> В состав Chrome включена новая реализация интерфейса встроенного просмотрщика документов в формате PDF. Интерфейс примечателен выносом в верхнюю панель всех настроек. Если раньше в верхней панели отображались только название файла, информация о страницах, кнопки поворота, печати и сохранения, то теперь в неё перенесено и содержимое боковой панели, включавшей элементы управления масштабированием и размещения документа по размеру страницы. Добавлена возможность сохранения отредактированных PDF-форм, а также режим двухстраничного просмотра.


Редакция портала:

Добро пожаловать на сайт, посвященный документации к ОС Linux, ее переводу и распространению. Мы надеемся, что Вы найдете тут всю необходимую информацию. Здесь представлены три основных вида документации на русском языке: руководства (man-pages), HOWTO и mini-HOWTO. В скором будущем возможно появление и других видов документации.
Авторские права на представленные документы принадлежат авторам перевода и распространяются в соответствии со Стандартной Общественной Лицензией, если в документе не указано обратное.
Если Вы обнаружите в опубликованных документах ошибки, опечатки, несоответствия и неточности - сообщите о них.


Живая лента

Россия вошла в тройку лидеров по количеству установленных камер видеонаблюдения

STFW.Ru: На протяжении многих лет считалось, что мировым лидером по количеству установленных камер видеонаблюдения является Великобритания. По статистике Британского управления индустрии ...

Би-би-си узнала о передаче маршрутов первых лиц России через WhatsApp

STFW.Ru: Руководство Центра спецназначения по обеспечению безопасности движения МВД три года собирало секретные данные маршрутов движения первых лиц России через чаты в WhatsApp. Об этом рассказали ...

России нужна своя альтернатива YouTube

STFW.Ru: Сотрудники научно-технического центра ФГУП "Главный радиочастотный центр" выяснили, что в России YouTube пользуются 57% населения. Был бы отечественный аналог, не было бы таких высоких ...

12:03 Второй выпуск Glimpse, форка графического редактора GIMP


12:03 Опубликован web-браузер Min 1.13


12:03 Выпуск дистрибутива Zorin OS 15.2


12:03 Объявлено об объединении проектов FreeNAS и TrueNAS


06:01 Из Kali Linux уберут права root по умолчанию


06:01 Tails 4.2.2 - экстренный релиз


06:01 РЖД закупит 15 000 компьютеров с российскими процессорами «Эльбрус»


06:01 Минкомсвязи утвердило требования к российским DNS


08:11 Выпуск Debian 9.6


08:11 Четвёртый бета-выпуск FreeBSD 12.0. Прекращение поддержки FreeBSD 10


08:11 Mozilla тестирует в Firefox две новые возможности: Price Wise и Email Tabs


08:11 В Chrome развивается API для создания полноценных пользовательских приложений


08:11 Выпуск wayland-protocols 1.17 с поддержкой буфера обмена по средней кнопке мыши