The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Для ядра Linux предложена система изоляции приложений Capsicum, изначально созданная для FreeBSD

30.06.2014 20:03

Дэвид Драйсдейл (David Drysdale) из компании Google опубликовал в списке рассылки разработчиков ядра Linux набор патчей с реализацией фреймворка Capsicum, предоставляющего механизмы для изолированного выполнения приложений и ограничения использования приложениями определённых функций. Патчи подготовлены для ядра Linux 3.15. Для управления предлагается два новых системных вызова cap_rights_limit и cap_rights_get. Система изначально разработана для проекта FreeBSD, включена в состав базовой системы начиная с выпуска FreeBSD 9 и расширена в ветке FreeBSD 10. Поддержка режима изоляции, основанного на использовании Capsicum, интегрирована в OpenSSH 6.5.

Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения. Используя Capsicum, приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только заведомо разрешённые штатные действия.

Capsicum вводит в обиход новый класс файловых дескрипторов - capability, который предоставляет ограниченный набор прав, ассоциированных с ним. Попытки выполнить действия с дескриптором данного типа, не разрешённые заданными правами, отклоняются с выводом ошибки ENOTCAPABLE. Новые полномочия могут определяться только иерархически, как подмножество уже заданных прав, привязанных к существующему capability-дескриптору. Предоставляется также специальный режим "capability", блокирующий обращение ко всем системным вызовам из которых возможен доступ к глобальному пространству имён.

Комбинируя эти две возможности, использующее Capsicum приложение может эффективно изолировать себя в sandbox, определив права доступа для необходимых в работе файлов и сокетов, закрыв все остальные файловые дескрипторы и активировав режим capability, который не позволит открыть не подпадающие под созданные правила новые файловые дескрипторы.

  1. Главная ссылка к новости (https://lkml.org/lkml/2014/6/3...)
  2. OpenNews: Google развивает вариант системы изоляции приложений Capsicum для ядра Linux
  3. OpenNews: FreeBSD Foundation профинансирует улучшение системы изоляции приложений Capsicum
  4. OpenNews: Официально представлен релиз FreeBSD 9.0. Обзор новшеств
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/40110-capsicum
Ключевые слова: capsicum, freebsd, linux
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 20:21, 30/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Респект. Очень нужная вещь.
     
     
  • 2.6, Аноним (-), 21:37, 30/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    чем оно лучше seccomp?
     
     
  • 3.28, Аноним (-), 11:00, 01/07/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > чем оно лучше seccomp?

    Чем seccomp.

     
  • 2.7, Пропатентный тролль (?), 22:01, 30/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нужная-то нужная, но люди не торопятся свои приложения переписывать под капсикум, зная (и особо отмечая) человеческую лень, боюсь, что многие нынешние опенсорсные гиганты, типа постфикса, ехима, сэндмыла, апача и пр. никогда не получат поддержку капсикума.

    Если конечно кто-то не проспонсирует разработчиков...

     
     
  • 3.12, Kibab (ok), 00:31, 01/07/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нужная-то нужная, но люди не торопятся свои приложения переписывать под капсикум, зная
    > (и особо отмечая) человеческую лень, боюсь, что многие нынешние опенсорсные гиганты,
    > типа постфикса, ехима, сэндмыла, апача и пр. никогда не получат поддержку
    > капсикума.
    > Если конечно кто-то не проспонсирует разработчиков...

    ну для этого есть GSoC, например :-)
    sendmail, кроме того, входит в состав базовой системы FreeBSD, так что вероятность того, что для него поддержка появится, выше, чем для остальных перечисленных.

     
     
  • 4.14, Аноним (-), 01:03, 01/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > sendmail, кроме того, входит в состав базовой системы FreeBSD,

    Ну да, это конечно мощный локомотив развития, столько success story вокруг о том как вхождение в базовую систему помогло тем или иным программам...

     
     
  • 5.17, SubGun (ok), 07:51, 01/07/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Особенно если учитывать, что его мало кто вообще использует.
     
     
  • 6.32, Аноним (-), 15:10, 01/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Так я и говорю - ему так сильно помогло что он в базовой системе...
     

  • 1.3, Аноним (-), 20:33, 30/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Теперь ждём когда для Linux портируют NetGraph.
     
     
  • 2.5, onorua (??), 20:54, 30/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А чего ждете-то?
    http://repo.or.cz/w/ana-net.git/
     
  • 2.21, Александр З. (?), 08:44, 01/07/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А сильно ли нужен NetGraph? ИМХО его "ВОЛШЕБНОСТЬ" сильно преувеличена "ценителями".
     

  • 1.8, Аноним (-), 22:02, 30/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    seccomp filter http://www.opennet.dev/opennews/art.shtml?num=34387 уже есть и почти тоже самое.
     
     
  • 2.11, Kibab (ok), 00:30, 01/07/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Но интерфейс через одно место спроектирован, а так да, слова похожие в описании.
     
  • 2.13, Аноним (-), 01:02, 01/07/2014 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Патчей им наложить! А то у них утечки памяти^W бабла наблюдаются...



    Если мы безрезультатно потратили пять с лишним миллиардов долларов на то, что частный предприниматель в США потратил 100 миллионов, то вряд ли мы тратили эти деньги, чтобы создать ракету. Скорее, наоборот: мы создавали ракету, чтобы эти деньги украсть", - уверена Латынина.



     
     
  • 3.23, ццц (?), 09:47, 01/07/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Модератор согласен с Латыниной ? ;) :)
     
  • 3.24, Аноним79 (?), 09:51, 01/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    стрелка осцылографа уверено? o_O
    партияжуликовиворофф?
    навальногофпрезеденты?
     
     
  • 4.40, rob pike (?), 13:38, 02/07/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    затокрымнаш и дедывоевали уже изъяли из ваших методичек?
     
     
  • 5.41, Аноним (-), 17:35, 02/07/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А как связан Крым Няш и воровство в КоммОсРюсси ?
    Или если срать - так срать - на всё без разбора, лишь бы побольше?
     

  • 1.16, Аноним (-), 04:59, 01/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Дадададададада Помню, помню, пару лет назад на Linux форумах просил прогу м... большой текст свёрнут, показать
     
     
  • 2.22, Аноним (-), 09:15, 01/07/2014 [^] [^^] [^^^] [ответить]  
  • +8 +/
    ...и чтобы можно было грабить корованы.
     
  • 2.33, Аноним (-), 15:28, 01/07/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Помню, помню, пару лет назад на Linux форумах просил прогу мне посоветовать,
    > ну или запилить, еслу кому не трудно. До сих пор никто
    > до конца это дело не довёл. :(

    А ты это... денег то занес команде разработчиков? Если ты им зарплаты платил, а они не сделали тебе то что ты хотел - да, они кАзлы! А если ты решил что все забесплатно побегут тебя ублажать, именно так как ты хотел - ты чего-то сильно не понял в этой жизни. В следующий раз попробуй написать в ООН чтобы они тебе предоставили курьера который будет в ларек за пивом бегать. А если откажутся - обжалуй это решение в Спортлото.

     

  • 1.20, Stanislavvv (?), 08:05, 01/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Либо я чего-то не понимаю, либо через cgroups и unshare можно запилить нечто подобное без необходимости патчить каждую программу (потребуется только запускать через враппер).
     
     
  • 2.29, продавец_кирпичей (?), 12:00, 01/07/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Либо я чего-то не понимаю, либо через cgroups и unshare можно запилить
    > нечто подобное без необходимости патчить каждую программу (потребуется только запускать
    > через враппер).

    Точно, не понимаешь

     
  • 2.42, rob pike (?), 18:43, 02/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > It is possible to use Skype in a safe Docker container. The program is then run through an SSH tunnel with X11 forwarding and sound is heard through PulseAudio's Network Server.

    https://wiki.archlinux.org/index.php/skype#Docker

     

  • 1.31, badmilkman (ok), 14:41, 01/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Интересная идея: просить хакеров ограничить свои трояны. Или ленивых быдлокодеров добавить еще строк в свои поделки
     
  • 1.37, lucentcode (ok), 19:40, 01/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Главное, что-бы поддержку данной технологии заставили юзать корпоратов, вроде Microsoft с их skype. Пожалуй, песочника для skype гораздо нужней, чем для exim или postfix.
     
     
  • 2.38, Аноним (-), 20:34, 01/07/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    мс будут сами должны сажать свой зонд в песочницу? Точно?
    Так или иначе параноики могут не дожидаться подачки от мс и посадить зонд своими силами google://apparmor skype. Оно как-то надежнее
     

  • 1.43, Аноним (-), 15:43, 07/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не понял в чем отличие от apparmor и selinux. Они тоже встроены в ядро, имеют аналогичный функционал и переписывать ничего не надо.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру