LinuxDoc.ru - Новости Linux - Google развивает вариант системы изоляции приложений Capsicum для ядра Linux

Google развивает вариант системы изоляции приложений Capsicum для ядра Linux

LinuxDoc.Ru,
Компания Google опубликовала свои наработки по портированию фреймворка Capsicum для ядра Linux. Работа основана на коде Capsicum из состава FreeBSD 9 и начальной реализации для Linux, развиваемой в прошлом году Маредидом Люффом (Meredydd Luff). Вариант Capsicum от Google базируется на ядре Linux 3.11, оформлен в виде LSM-модуля (Linux Security Module) и поддерживает работу на системах x86_64 или в user-mode Linux.


Capsicum представляет собой фреймворк для организации изолированного выполнения приложений и ограничения использования приложениями определённых функций. Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения. Используя Capsicum, приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только заведомо разрешённые штатные действия.


Capsicum вводит в обиход новый класс файловых дескрипторов - capability, который предоставляет ограниченный набор прав, ассоциированных с ним. Попытки выполнить действия с дескриптором данного типа, не разрешённые заданными правами, отклоняются с выводом ошибки ENOTCAPABLE. Новые полномочия могут определяться только иерархически, как подмножество уже заданных прав, привязанных к существующему capability-дескриптору. Предоставляется также специальный режим "capability", блокирующий обращение ко всем системным вызовам из которых возможен доступ к глобальному пространству имён. Комбинируя эти две возможности, использующее Capsicum приложение может эффективно изолировать себя в sandbox, определив права доступа для необходимых в работе файлов и сокетов, закрыв все остальные файловые дескрипторы и активировав режим capability, который не позволит открыть не подпадающие под созданные правила новые файловые дескрипторы.
linux

Новости Linux

. Google развивает вариант системы изоляции приложений Capsicum для ядра Linux Google развивает вариант системы изоляции приложений Capsicum для ядра Linux
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Если Вы обнаружите в опубликованных документах ошибки, опечатки, несоответствия и неточности - сообщите о них.
>>> Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 3.12. С момента выпуска версии 3.11 было закрыто 40 отчётов об ошибках и внесено 183 изменения.
>>> Компания Canonical опубликовала новую минималистичную редакцию дистрибутива Minimal Ubuntu, оптимизированную для использование в облачных системах и изолированных контейнерах на базе платформы Docker. При разработке основное внимание уделялось высокой стабильности, максимальной производительности, минимальному времени загрузки и автоматизации применения в облачных системах.
>>> Доступен релиз дистрибутива Scientific Linux 6.10, построенного на пакетной базе Red Hat Enterprise Linux 6.10 и дополненного средствами, ориентированными на использование в научных учреждениях. Дистрибутив поставляется для архитектур i386 и x86_64, для загрузки доступны установочный DVD (4.1 Гб) и сокращённый образ для установки по сети (231 Мб). Из отличий Scientific Linux 6.10 от версии 6.9, не связанных с заимствованием изменений из RHEL, отмечается обновление OpenAFS до версии 1.6.22.3.
>>> Сформирован выпуск музыкального проигрывателя Elisa 0.2, построенного на основе технологий KDE и распространяемого под лицензией LGPLv3. Разработчики приложения пытаются воплотить в жизнь рекомендации по визуальному дизайну мультимедийных проигрывателей, разработанных рабочей группой KDE VDG. При развитии проекта основное внимание уделяется обеспечению стабильности, а уже потом наращиванию функциональности. Бинарные сборки в ближайшее время будут подготовлены для Linux (rpm для Fedora и универсальные пакеты flatpak), macOS и Windows.


Редакция портала:

Добро пожаловать на сайт, посвященный документации к ОС Linux, ее переводу и распространению. Мы надеемся, что Вы найдете тут всю необходимую информацию. Здесь представлены три основных вида документации на русском языке: руководства (man-pages), HOWTO и mini-HOWTO. В скором будущем возможно появление и других видов документации.
Авторские права на представленные документы принадлежат авторам перевода и распространяются в соответствии со Стандартной Общественной Лицензией, если в документе не указано обратное.
Если Вы обнаружите в опубликованных документах ошибки, опечатки, несоответствия и неточности - сообщите о них.