forum.opennet.ru

"Для FreeBSD развивается механизм изоляции, похожий на plegde и unveil"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Для FreeBSD развивается механизм изоляции, похожий на plegde..."	+/–
Сообщение от Аноним (13), 03-Апр-22, 13:19
> И извне этот момент не узнать, поэтому при внешнем ограничении привилегий приходится давать максимум из возможно требуемых привилегий. Для этого уже давно придумали простое решение, называется privilege separation. Когда предварительную настройку выполняет один процесс, а основную работу другой. Можно пойти по unix way и написать для каждого демона свой инициализатор, можно забить и сделать init-комбайн, который и сокеты откроет, и лимиты выставит, и cgroups создаст, и namespaces настроит, не суть.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Для FreeBSD развивается механизм изоляции, похожий на plegde и unveil, opennews, 03-Апр-22, 11:16 [смотреть все]

Зато не apparmor selinux, воть , Аноним, 03-Апр-22, 11:16 (1) //
- Как там было в 171 Хоббите 187 Ножи 8212 не вилки, а скалы 8212 не , Аноним, 03-Апр-22, 11:47 (6) //
  - Ножи W Орлы, Аноним, 03-Апр-22, 11:53 (7)
- man mac Зато очередной лапчато-опеннетный онализ на основе знакомых слов, Аноним, 03-Апр-22, 12:02 (9)
- Сабж надо сравнивать не с MAC, а с механизмами syscall-изоляции В Linux это Sec, Аноним, 03-Апр-22, 13:24 (15) //
  - А домик как у ниф-нифа или как у наф-нафа , Аноним, 04-Апр-22, 12:32 (54) //
    - Если серьезно, то фильтрация системных вызовов и фильтрация обращений к файловой, Аноним, 04-Апр-22, 16:46 (55)
Очень глупый вопрос - но чем это отличается от chroot Ещё вспомнил про контроль, _kusb, 03-Апр-22, 11:26 (2) //
- Чистый chroot не предел для взлома еще с 90-х Зная невероятный дебилизм ядра, с, qew, 03-Апр-22, 11:44 (4) //
  - Тут чрут подкреплённый хуками к ядру Ну типа стопудовее, пластичнее может даже , йцу, 03-Апр-22, 11:45 (5)
  - Не для школьников, а для senior yaml developer ов И докер это вообще не про изол, Легивон, 03-Апр-22, 13:19 (14) //
    - До этого тридцать лет девелопили на шелле Теперь будут сколько-то лет девелопит, Аноним, 03-Апр-22, 13:31 (19)
      - Конкретно доскер к изоляции вообще никакого отношения не имеет , Онаним, 03-Апр-22, 15:45 (28)
        
        Пацаны во дворе рассказали , Аноним, 03-Апр-22, 16:18 (31)
        
        Ну, тебе как заядлому дворовому обитателю - скорее всего виднее, да А вообще дос, Онаним, 03-Апр-22, 21:26 (41)
        
        Изначально это объявлялось именно как изоляция Это потом, когда изоляция оказал, Аноним, 03-Апр-22, 19:12 (35)
        
        Изоляция - это LXC, namespaces и прочая обвязка, так-то Доскер её только конфиг, Онаним, 03-Апр-22, 21:27 (42)
        
        И даже про LXC я не прав, LXC такой же костылик Короче именно ядерная составляю, Онаним, 03-Апр-22, 22:10 (43)
        
        Может, вам сторит все-таки подучить матчасть, прежде чем встревать в интеллектуа, Аноним, 04-Апр-22, 03:18 (48)
        
        Может тебе для начала русский подучить, сторит , Онаним, 04-Апр-22, 07:58 (50)
      - Полноценность ты будешь определять, конечно же, да , Аноним, 03-Апр-22, 16:17 (30)
        
        https ru wikipedia org wiki D0 9F D0 BE D0 BB D0 BD D0 BE D1 82 D0 B0_ D0 BF , anonfhjvxd, 03-Апр-22, 21:03 (40)
    - senior yaml developer - это пять, возьму на заметку, спасибо, Онаним, 03-Апр-22, 15:44 (27)
    - Сениёр ямль девелопер-это не школьник, это посетитель детского сада Как и автор, Аноним, 03-Апр-22, 19:15 (36)
      - Тем не менее, платят им раз в десять больше, чем senior shell developer-ам , Аноним, 04-Апр-22, 03:10 (45)
  - Вы путаете педали cgroups не обеспечивают chroot, для этого есть namespaces ко, Аноним, 03-Апр-22, 13:38 (22)
  - Во-первых, больших пользователей SELinux особо нет, либо они тщательно законспир, Аноним, 03-Апр-22, 19:54 (39)
- Это не аналог chroot, это аналог seccomp ну и вторая штука аналог apparmor seli, мишалипут, 03-Апр-22, 17:26 (34)
Capsicum a должно быть всем достаточно , Аноним, 03-Апр-22, 11:37 (3)
Ну то есть вот это 171 для немодифицированных программ 187 рубит основную ид, В.Ж., 03-Апр-22, 11:59 (8) //
- Звучит как unshare Там тоже можно запустить любую излишне любопытную программу , Аноним, 03-Апр-22, 12:05 (10) //
  - unshare - это тот же механизм, который лежит в основе LXC и докера И нет, он не, Аноним, 03-Апр-22, 13:27 (17) //
    - Фильтрация системных вызовов в свою очередь звучит не то как apparmor, не то как, Аноним, 03-Апр-22, 13:33 (20)
      - Не, звучит как seccomp Apparmor и yama - это модули MAC, более высокий уровень а, Аноним, 03-Апр-22, 13:47 (24)
- В таком случае как всегда, пока в gcc не встроят не взлетит А какие существуют , qwe, 03-Апр-22, 12:08 (11) //
  - Разбить на бинарники дать разные права вызывать разные бинари в зависимости от с, Аноним, 03-Апр-22, 13:29 (18) //
    - А потом захочется 1 Бинарники, решающие одни и те же задачи по преднастройке ок, Аноним, 03-Апр-22, 13:34 (21)
    - А в винде можно в случае необходимости вызвать диалог повышения привелегий и неп, Аноним, 03-Апр-22, 17:11 (33)
      - А в этих ваших юниксах для того же самого уязвимости всякие ищут, да , Аноним, 04-Апр-22, 03:16 (47)
- Для этого уже давно придумали простое решение, называется privilege separation К , Аноним, 03-Апр-22, 13:19 (13)
Расскажите ему про jail , Sadok, 03-Апр-22, 12:53 (12) //
- restrictions are also enforced on top of it Видимо, прочитал на опеннете и п, Аноним, 03-Апр-22, 13:44 (23)
Еще одна реализация по типу capsicum заточенная на программистов, а не админов Е, Аноним, 03-Апр-22, 13:57 (25)
Очередная смузи-поделка Лишь доказывает теорию того, что современное айти упёрл, Смузихлёб, 03-Апр-22, 15:54 (29) //
- Эх, золотые слова , Аноним, 03-Апр-22, 19:49 (38)
А там глядишь и systemd на bsd портируют Лет через 10-15 можно будет в каких-, Аноним, 03-Апр-22, 16:26 (32)
С этим unevil в firefox ни локальные файлы не открыть, а теперь он даже в Загру, Аноним, 03-Апр-22, 19:47 (37)
Не, ну это как-то не по-опенсорсному Надо, чтобы новая утилита дублировала функц, YetAnotherOnanym, 03-Апр-22, 22:52 (44) //
- Возможно, именно это и подразумевается Ведь когда из-за конфликта систем что-то, Аноним, 04-Апр-22, 03:13 (46) //
  - Эммм ну это не лишено смысла , YetAnotherOnanym, 04-Апр-22, 11:24 (53)
https lists freebsd org archives freebsd-hackers 2022-March 000940 html, Аноним, 04-Апр-22, 10:10 (52)
Как обычно - свое уникальное, ни с кем не совместимое , Аноним, 06-Апр-22, 01:41 (56) //
- Расскажи поподробнее, с чем совместимы cgroups, seccomp, namespaces, apparmor , Аноним, 06-Апр-22, 11:57 (57)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру