LinuxDoc.ru - Новости Linux - Google развивает вариант системы изоляции приложений Capsicum для ядра Linux

Google развивает вариант системы изоляции приложений Capsicum для ядра Linux

LinuxDoc.Ru,
Компания Google опубликовала свои наработки по портированию фреймворка Capsicum для ядра Linux. Работа основана на коде Capsicum из состава FreeBSD 9 и начальной реализации для Linux, развиваемой в прошлом году Маредидом Люффом (Meredydd Luff). Вариант Capsicum от Google базируется на ядре Linux 3.11, оформлен в виде LSM-модуля (Linux Security Module) и поддерживает работу на системах x86_64 или в user-mode Linux.


Capsicum представляет собой фреймворк для организации изолированного выполнения приложений и ограничения использования приложениями определённых функций. Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения. Используя Capsicum, приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только заведомо разрешённые штатные действия.


Capsicum вводит в обиход новый класс файловых дескрипторов - capability, который предоставляет ограниченный набор прав, ассоциированных с ним. Попытки выполнить действия с дескриптором данного типа, не разрешённые заданными правами, отклоняются с выводом ошибки ENOTCAPABLE. Новые полномочия могут определяться только иерархически, как подмножество уже заданных прав, привязанных к существующему capability-дескриптору. Предоставляется также специальный режим "capability", блокирующий обращение ко всем системным вызовам из которых возможен доступ к глобальному пространству имён. Комбинируя эти две возможности, использующее Capsicum приложение может эффективно изолировать себя в sandbox, определив права доступа для необходимых в работе файлов и сокетов, закрыв все остальные файловые дескрипторы и активировав режим capability, который не позволит открыть не подпадающие под созданные правила новые файловые дескрипторы.
linux

Новости Linux

. Google развивает вариант системы изоляции приложений Capsicum для ядра Linux Google развивает вариант системы изоляции приложений Capsicum для ядра Linux
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Если Вы обнаружите в опубликованных документах ошибки, опечатки, несоответствия и неточности - сообщите о них.
>>> Представлен релиз дистрибутива Linux Mint 20, перешедший на пакетную базу Ubuntu 20.04 LTS. Дистрибутив полностью совместим с Ubuntu, но существенно отличается подходом к организации интерфейса пользователя и подбором используемых по умолчанию приложений. Разработчики Linux Mint предоставляют десктоп-окружение, соответствующее классическим канонам организации рабочего стола, которое является более привычным для пользователей, не принимающих новые методы построения интерфейса GNOME 3. Для загрузки доступны DVD-сборки на базе оболочек MATE 1.24 (1.9 Гб), Cinnamon 4.6 (1.8 Гб) и Xfce 4.14 (1.8 Гб). Linux Mint 20 отнесён к выпускам с длительным сроком поддержи (LTS), обновления для которого будут формироваться до 2025 года.
>>> Разработчики проекта Chromium внесли изменение, прекращающее доверие к TLS-сертификатам, время жизни которых превышает 398 дней (13 месяцев). Ограничение будет действовать только для сертификатов, выписанных начиная с 1 сентября 2020 года. Для полученных до 1 сентября сертификатов с длительным сроком действия доверие будет сохранено, но ограничено 825 днями (2.2 года).
>>> Опубликован второй выпуск графического редактора Glimpse, ответвившегося от проекта GIMP после 13 лет попыток убедить разработчиков сменить имя. Сборки подготовлены для Windows и Linux (пока только в формате Flatpak, но будет подготовлен и Snap). Кроме исправления ошибок из изменений отмечается добавление новых тем оформления интерфейса и пиктограмм, улучшение переводов для неанглоязычных пользователей, избавление фильтров от упоминания слова "gimp", добавление настройки для выбора языка на платформе Windows и удаление лишних кистей "fun".
>>> Состоялся релиз web-браузера Min 1.13, предлагающего минималистичный интерфейс, построенный вокруг манипуляций с адресной строкой. Браузер создан с использованием платформы Electron, позволяющей создавать обособленные приложения на основе движка Chromium и платформы Node.js. Интерфейс Min написан на javascript, CSS и HTML. Код распространяется под лицензией Apache 2.0. Сборки сформированы для Linux, macOS и Windows.


Редакция портала:

Добро пожаловать на сайт, посвященный документации к ОС Linux, ее переводу и распространению. Мы надеемся, что Вы найдете тут всю необходимую информацию. Здесь представлены три основных вида документации на русском языке: руководства (man-pages), HOWTO и mini-HOWTO. В скором будущем возможно появление и других видов документации.
Авторские права на представленные документы принадлежат авторам перевода и распространяются в соответствии со Стандартной Общественной Лицензией, если в документе не указано обратное.
Если Вы обнаружите в опубликованных документах ошибки, опечатки, несоответствия и неточности - сообщите о них.


Живая лента

В России создали энергонезависимую память нового поколения

STFW.Ru: "Крокус Наноэлектроника", портфельная компания "Роснано", объявила о выпуске чипов энергонезависимой резистивной памяти, ее характеристики находятся на уровне передовых мировых показателей. ...

Трамп разрушает экономику своей страны и выращивает для Apple нового конкурента Huawei

STFW.Ru: Администрация президента США планомерно ведет борьбу с Китаем. Дональд Трамп всячески пытается наказать китайскую компанию Huawei, так как считает ее опасной для страны.Чем только не угрожал ...

Уязвимости в Qualcomm Snapdragon представляют угрозу для половины смартфонов на рынке

STFW.Ru: Исследователи из компании Check Point обнаружили более 400 уязвимостей в чипах компании Qualcomm, которыми оснащены примерно 40% смартфонов в мире.С помощью этих уязвимостей злоумышленники ...

06:01 Из Kali Linux уберут права root по умолчанию


06:01 Tails 4.2.2 - экстренный релиз


06:01 РЖД закупит 15 000 компьютеров с российскими процессорами «Эльбрус»


06:01 Минкомсвязи утвердило требования к российским DNS


08:11 Выпуск Debian 9.6


08:11 Четвёртый бета-выпуск FreeBSD 12.0. Прекращение поддержки FreeBSD 10


08:11 Mozilla тестирует в Firefox две новые возможности: Price Wise и Email Tabs


08:11 В Chrome развивается API для создания полноценных пользовательских приложений


08:11 Выпуск wayland-protocols 1.17 с поддержкой буфера обмена по средней кнопке мыши


08:11 Обновлены сборки дистрибутива Void Linux


15:11 Cinnamon 4.0


15:11 В Chrome 71 начнётся блокировка вводящих в заблуждение рекламных блоков


15:11 ReactOS 0.4.10