LinuxDoc.ru - Новости Linux - Google развивает вариант системы изоляции приложений Capsicum для ядра Linux

Google развивает вариант системы изоляции приложений Capsicum для ядра Linux

LinuxDoc.Ru,
Компания Google опубликовала свои наработки по портированию фреймворка Capsicum для ядра Linux. Работа основана на коде Capsicum из состава FreeBSD 9 и начальной реализации для Linux, развиваемой в прошлом году Маредидом Люффом (Meredydd Luff). Вариант Capsicum от Google базируется на ядре Linux 3.11, оформлен в виде LSM-модуля (Linux Security Module) и поддерживает работу на системах x86_64 или в user-mode Linux.


Capsicum представляет собой фреймворк для организации изолированного выполнения приложений и ограничения использования приложениями определённых функций. Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения. Используя Capsicum, приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только заведомо разрешённые штатные действия.


Capsicum вводит в обиход новый класс файловых дескрипторов - capability, который предоставляет ограниченный набор прав, ассоциированных с ним. Попытки выполнить действия с дескриптором данного типа, не разрешённые заданными правами, отклоняются с выводом ошибки ENOTCAPABLE. Новые полномочия могут определяться только иерархически, как подмножество уже заданных прав, привязанных к существующему capability-дескриптору. Предоставляется также специальный режим "capability", блокирующий обращение ко всем системным вызовам из которых возможен доступ к глобальному пространству имён. Комбинируя эти две возможности, использующее Capsicum приложение может эффективно изолировать себя в sandbox, определив права доступа для необходимых в работе файлов и сокетов, закрыв все остальные файловые дескрипторы и активировав режим capability, который не позволит открыть не подпадающие под созданные правила новые файловые дескрипторы.
linux

Новости Linux

. Google развивает вариант системы изоляции приложений Capsicum для ядра Linux Google развивает вариант системы изоляции приложений Capsicum для ядра Linux
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Если Вы обнаружите в опубликованных документах ошибки, опечатки, несоответствия и неточности - сообщите о них.
>>>

Tails — операционная система, которую можно запустить практически на любом компьютере с USB-накопителя или DVD-диска. Она направлена на сохранение вашей конфиденциальности и анонимности и помогает вам в этом.


Это экстренный релиз исправляющий критические уязвимости в Tor Browser.


Обновления




  • Обновлен Tor Browser до 9.0.4.
    Исправлена критическая уязвимость в JIT-компиляторе
    javascript Firefox и Tor Browser.


    Mozilla знает о направленных атаках, которые злоупотребляют этой уязвимости.


    Эта уязвимость влияет только на стандартный уровень безопасности Tor Browser. Более безопасный и Наиболее безопасный уровни безопасности не подвержены этой уязвимости.




Исправления



  • Исправлена 2-минутная задержка, во время перезапуска после автоматического обновления. (#17026)

>>>

«Российские железные дороги» разместили соответствующий тендер на портале госзакупок. На данный момент это крупнейшая поставка компьютеров на базе отечественного процессора. Максимальная стоимость контракта — 1 миллиард рублей.


В каждый комплект вычислительного комплекса войдет системный блок, монитор (с минимальной диагональю 23.8’), мышь и клавиатура.


В требованиях контракта также указаны минимальные характеристики процессора: архитектура «Эльбрус», 800МГц тактовой частоты и встроенный 3D-ускоритель. Речь, скорее всего, идет об одноядерном процессоре «Эльбрус 1С+», выпущенным компанией МЦСТ в 2016-м году. На компьютере должна быть установлена ОС на базе Linux, включенная в реестр отечественного ПО при Минкомсвязи.


Подробности









 russia, мцст, ржд, россия, эльбрус

>>>

Минкомсвязи утвердило требования к операторам связи и интернет-сервисам, выполняющим функции DNS. Такие сервисы должны будут в течение года хранить информацию о пользователях и обеспечивать время отклика не более 100 мс. Минэкономразвития предупреждает, что данные требования приведут к затратам на десятки миллиардов.

>>> Доступно шестое корректирующее обновление дистрибутива Debian 9, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 88 обновлений с устранением проблем со стабильностью и 92 обновления с устранением уязвимостей.


Редакция портала:

Добро пожаловать на сайт, посвященный документации к ОС Linux, ее переводу и распространению. Мы надеемся, что Вы найдете тут всю необходимую информацию. Здесь представлены три основных вида документации на русском языке: руководства (man-pages), HOWTO и mini-HOWTO. В скором будущем возможно появление и других видов документации.
Авторские права на представленные документы принадлежат авторам перевода и распространяются в соответствии со Стандартной Общественной Лицензией, если в документе не указано обратное.
Если Вы обнаружите в опубликованных документах ошибки, опечатки, несоответствия и неточности - сообщите о них.