Google развивает вариант системы изоляции приложений Capsicum для ядра Linux
Capsicum представляет собой фреймворк для организации изолированного выполнения приложений и ограничения использования приложениями определённых функций. Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения. Используя Capsicum, приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только заведомо разрешённые штатные действия.
Capsicum вводит в обиход новый класс файловых дескрипторов - capability, который предоставляет ограниченный набор прав, ассоциированных с ним. Попытки выполнить действия с дескриптором данного типа, не разрешённые заданными правами, отклоняются с выводом ошибки ENOTCAPABLE. Новые полномочия могут определяться только иерархически, как подмножество уже заданных прав, привязанных к существующему capability-дескриптору. Предоставляется также специальный режим "capability", блокирующий обращение ко всем системным вызовам из которых возможен доступ к глобальному пространству имён. Комбинируя эти две возможности, использующее Capsicum приложение может эффективно изолировать себя в sandbox, определив права доступа для необходимых в работе файлов и сокетов, закрыв все остальные файловые дескрипторы и активировав режим capability, который не позволит открыть не подпадающие под созданные правила новые файловые дескрипторы.
Новости Linux
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Редакция портала:
Добро пожаловать на сайт, посвященный документации к ОС Linux, ее переводу и распространению. Мы надеемся, что Вы найдете тут всю необходимую информацию. Здесь представлены три основных вида документации на русском языке: руководства (man-pages), HOWTO и mini-HOWTO. В скором будущем возможно появление и других видов документации.
Авторские права на представленные документы принадлежат авторам перевода и распространяются в соответствии со Стандартной Общественной Лицензией, если в документе не указано обратное.
Если Вы обнаружите в опубликованных документах ошибки, опечатки, несоответствия и неточности - сообщите о них.
Huawei Kirin 9000 протестировали в AI Benchmark: почти втрое производительнее Snapdragon 865+
У Siri нет многозадачности. Я разочаровался в Apple ????
Статью ученых из России отказались публиковать в научном журнале из-за санкций
06:01 Из Kali Linux уберут права root по умолчанию
06:01 Tails 4.2.2 - экстренный релиз
06:01 РЖД закупит 15 000 компьютеров с российскими процессорами «Эльбрус»
06:01 Минкомсвязи утвердило требования к российским DNS
08:11 Выпуск Debian 9.6
08:11 Четвёртый бета-выпуск FreeBSD 12.0. Прекращение поддержки FreeBSD 10
08:11 Mozilla тестирует в Firefox две новые возможности: Price Wise и Email Tabs
08:11 В Chrome развивается API для создания полноценных пользовательских приложений
08:11 Выпуск wayland-protocols 1.17 с поддержкой буфера обмена по средней кнопке мыши
08:11 Обновлены сборки дистрибутива Void Linux
15:11 Cinnamon 4.0
15:11 В Chrome 71 начнётся блокировка вводящих в заблуждение рекламных блоков
15:11 ReactOS 0.4.10