Google развивает вариант системы изоляции приложений Capsicum для ядра Linux
Capsicum представляет собой фреймворк для организации изолированного выполнения приложений и ограничения использования приложениями определённых функций. Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения. Используя Capsicum, приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только заведомо разрешённые штатные действия.
Capsicum вводит в обиход новый класс файловых дескрипторов - capability, который предоставляет ограниченный набор прав, ассоциированных с ним. Попытки выполнить действия с дескриптором данного типа, не разрешённые заданными правами, отклоняются с выводом ошибки ENOTCAPABLE. Новые полномочия могут определяться только иерархически, как подмножество уже заданных прав, привязанных к существующему capability-дескриптору. Предоставляется также специальный режим "capability", блокирующий обращение ко всем системным вызовам из которых возможен доступ к глобальному пространству имён. Комбинируя эти две возможности, использующее Capsicum приложение может эффективно изолировать себя в sandbox, определив права доступа для необходимых в работе файлов и сокетов, закрыв все остальные файловые дескрипторы и активировав режим capability, который не позволит открыть не подпадающие под созданные правила новые файловые дескрипторы.
Новости Linux
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Редакция портала:
Добро пожаловать на сайт, посвященный документации к ОС Linux, ее переводу и распространению. Мы надеемся, что Вы найдете тут всю необходимую информацию. Здесь представлены три основных вида документации на русском языке: руководства (man-pages), HOWTO и mini-HOWTO. В скором будущем возможно появление и других видов документации.
Авторские права на представленные документы принадлежат авторам перевода и распространяются в соответствии со Стандартной Общественной Лицензией, если в документе не указано обратное.
Если Вы обнаружите в опубликованных документах ошибки, опечатки, несоответствия и неточности - сообщите о них.
10:05 Новая ОС Google для «Интернета вещей» будет анонсирована на этой неделе
10:05 LiteOS
16:05 Компания Meizu выпустила смартфон на базе Ubuntu
16:05 Минкомсвязи планирует развивать национальную мобильную ОС на базе Sailfish
16:05 ОС PC-BSD 10.1.2
17:03 Ubuntu 15.04 бета 2
04:10 Выпуск панели Cairo-Dock 3.4 с поддержкой Wayland
04:10 Обзор изменений в Debian Jessie, связанных с мультимедиа
04:10 Релиз дистрибутива Ubuntu 14.10
03:10 Разработчики Xfce основали форк ConsoleKit
03:10 Разработчики GNOME подготовили пожелания по улучшению ядра Linux
21:09 Релиз GNOME 3.14. Обзор новшеств
17:08 KDE переходит к обособленному выпуску компонентов и новой схеме нумерации версий