Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Для FreeBSD развивается механизм изоляции, похожий на plegde и unveil" | +/– | |
Сообщение от opennews (??), 03-Апр-22, 11:16 | ||
Для FreeBSD предложена реализация механизма изоляции приложений, напоминающего развиваемые проектом OpenBSD системные вызовы plegde и unveil. Изоляция в plegde осуществляется через запрет обращения к неиспользуемым в приложении системным вызовам, а в unveil через выборочное открытие доступа только для отдельных файловых путей, с которыми может работать приложение. Для приложения формируется подобие белого списка системных вызовов и файловых путей, а все остальные вызовы и пути запрещаются... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | –2 +/– | |
Сообщение от Аноним (1), 03-Апр-22, 11:16 | ||
Зато не apparmor/selinux, воть! | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +1 +/– | |
Сообщение от Аноним (6), 03-Апр-22, 11:47 | ||
Как там было в «Хоббите»... Ножи — не вилки, а скалы — не опилки. | ||
Ответить | Правка | Наверх | Cообщить модератору |
7. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | –2 +/– | |
Сообщение от Аноним (6), 03-Апр-22, 11:53 | ||
Ножи^W Орлы | ||
Ответить | Правка | Наверх | Cообщить модератору |
9. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +4 +/– | |
Сообщение от Аноним (-), 03-Апр-22, 12:02 | ||
>> It can be broken up in 4 parts: 1) A MAC module that implements most of the functionality. 2) The userland library, sandboxing utility, configs and tests. 3) Various kernel changes needed to support it (including new MAC handlers and extended syscall filtering). 4) Small changes/fixes to the base userland | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
15. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +4 +/– | |
Сообщение от Аноним (15), 03-Апр-22, 13:24 | ||
> Зато не apparmor/selinux, воть! | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
54. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | –1 +/– | |
Сообщение от Аноним (54), 04-Апр-22, 12:32 | ||
А домик как у ниф-нифа или как у наф-нафа? | ||
Ответить | Правка | Наверх | Cообщить модератору |
55. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (15), 04-Апр-22, 16:46 | ||
Если серьезно, то фильтрация системных вызовов и фильтрация обращений к файловой системе - это только элементы в комплексной защите. Есть IPC, есть сеть, которые надо тоже ограничивать. Есть опции компилятора для затруднения атак. Ну и ресурсы надо квотировать, чтобы DoS всей системы не было. | ||
Ответить | Правка | Наверх | Cообщить модератору |
2. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +2 +/– | |
Сообщение от _kusb (ok), 03-Апр-22, 11:26 | ||
Очень глупый вопрос - но чем это отличается от chroot? Ещё вспомнил про контрольные группы, какие слова знаю - офигеть. | ||
Ответить | Правка | Наверх | Cообщить модератору |
4. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | –3 +/– | |
Сообщение от qew (?), 03-Апр-22, 11:44 | ||
Чистый chroot не предел для взлома еще с 90-х. Зная невероятный дебилизм ядра, скорее всего до сих пор осталось дыркой. Но в его исходниках каждый день не роюсь, это к диванным экспертам. | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от йцу (?), 03-Апр-22, 11:45 | ||
Тут чрут подкреплённый хуками к ядру. Ну типа стопудовее, пластичнее может даже и безопаснее. | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +2 +/– | |
Сообщение от Легивон (?), 03-Апр-22, 13:19 | ||
>Но для школьников то докеризацию придумают и они свято верят в непогрешимость то еще чего | ||
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору |
19. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (15), 03-Апр-22, 13:31 | ||
> Не для школьников, а для senior yaml developer'ов. | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | –2 +/– | |
Сообщение от Онаним (?), 03-Апр-22, 15:45 | ||
Конкретно доскер к изоляции вообще никакого отношения не имеет. | ||
Ответить | Правка | Наверх | Cообщить модератору |
31. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | –1 +/– | |
Сообщение от Аноним (31), 03-Апр-22, 16:18 | ||
Пацаны во дворе рассказали? | ||
Ответить | Правка | Наверх | Cообщить модератору |
41. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | –1 +/– | |
Сообщение от Онаним (?), 03-Апр-22, 21:26 | ||
Ну, тебе как заядлому дворовому обитателю - скорее всего виднее, да. | ||
Ответить | Правка | Наверх | Cообщить модератору |
35. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +1 +/– | |
Сообщение от Аноним (35), 03-Апр-22, 19:12 | ||
Изначально это объявлялось именно как изоляция. Это потом, когда изоляция оказалась неизоляцией (в силу кривости реализации), оставили роль деплоя приложений. Народ так заюзал, на том и сошлись. | ||
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору |
42. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | –1 +/– | |
Сообщение от Онаним (?), 03-Апр-22, 21:27 | ||
Изоляция - это LXC, namespaces и прочая обвязка, так-то. Доскер её только конфигурирует. | ||
Ответить | Правка | Наверх | Cообщить модератору |
43. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Онаним (?), 03-Апр-22, 22:10 | ||
И даже про LXC я не прав, LXC такой же костылик. Короче именно ядерная составляющая, хз как её назвать. cgroups+namespaces+... | ||
Ответить | Правка | Наверх | Cообщить модератору |
48. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (15), 04-Апр-22, 03:18 | ||
Может, вам сторит все-таки подучить матчасть, прежде чем встревать в интеллектуальные дискуссии? | ||
Ответить | Правка | Наверх | Cообщить модератору |
50. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Онаним (?), 04-Апр-22, 07:58 | ||
Может тебе для начала русский подучить, сторит? | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | –1 +/– | |
Сообщение от Аноним (31), 03-Апр-22, 16:17 | ||
> полноценного ЯП | ||
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору |
40. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от anonfhjvxd (?), 03-Апр-22, 21:03 | ||
https://ru.wikipedia.org/wiki/%D0%9F%D0%... | ||
Ответить | Правка | Наверх | Cообщить модератору |
27. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Онаним (?), 03-Апр-22, 15:44 | ||
senior yaml developer - это пять, возьму на заметку, спасибо | ||
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору |
36. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (35), 03-Апр-22, 19:15 | ||
>Не для школьников, а для senior yaml developer'ов. | ||
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору |
45. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | –2 +/– | |
Сообщение от Аноним (15), 04-Апр-22, 03:10 | ||
Тем не менее, платят им раз в десять больше, чем senior shell developer-ам. | ||
Ответить | Правка | Наверх | Cообщить модератору |
22. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (15), 03-Апр-22, 13:38 | ||
> chroot средствами cgroups - то же самое извращение, но поговаривают вполне можно уже даже полагаться в НЕкритичных ситуациях. Группы ресурсов вообще для другого делали, но они неплохое продолжение получили в виде докера - просто и чаще всего таки удобно. | ||
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору |
39. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (39), 03-Апр-22, 19:54 | ||
> Большие как юзали SE таки будут юзать - своими, со знанием дела, с самого начала, для своих, и по взрослому. | ||
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору |
34. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от мишалипут (?), 03-Апр-22, 17:26 | ||
Это не аналог chroot, это аналог seccomp (ну и вторая штука аналог apparmor/selinux) | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
3. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (3), 03-Апр-22, 11:37 | ||
Capsicum'a должно быть всем достаточно. | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +1 +/– | |
Сообщение от В.Ж. (?), 03-Апр-22, 11:59 | ||
Ну то есть вот это «для немодифицированных программ» рубит основную идею, лежащую в основе pledge: многим приложениям повышенные привилегии требуются только на начальном этапе работы, когда происходит инициализация. И извне этот момент не узнать, поэтому при внешнем ограничении привилегий приходится давать максимум из возможно требуемых привилегий. | ||
Ответить | Правка | Наверх | Cообщить модератору |
10. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (10), 03-Апр-22, 12:05 | ||
Звучит как unshare. Там тоже можно запустить любую излишне любопытную программу в изолированном немспейсе. С точки зрения программы оно как бы и есть, но с реальной системой не пересекается. | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (15), 03-Апр-22, 13:27 | ||
unshare - это тот же механизм, который лежит в основе LXC и докера. И нет, он не отменяет и не заменяет фильтрации системных вызовов. Эти два подхода работают вместе, дополняя друг друга. | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (10), 03-Апр-22, 13:33 | ||
Фильтрация системных вызовов в свою очередь звучит не то как apparmor, не то как yama. | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (15), 03-Апр-22, 13:47 | ||
Не, звучит как seccomp. | ||
Ответить | Правка | Наверх | Cообщить модератору |
11. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от qwe (??), 03-Апр-22, 12:08 | ||
В таком случае как всегда, пока в gcc не встроят не взлетит. А какие существуют способы временно давать повышение привелегий с определённым райдером мест куда можно лезть при этом, а дальше пахать как обычно? | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
18. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (18), 03-Апр-22, 13:29 | ||
Разбить на бинарники дать разные права вызывать разные бинари в зависимости от ситуации. И так по нисходящей велосипедировать. | ||
Ответить | Правка | Наверх | Cообщить модератору |
21. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +1 +/– | |
Сообщение от Аноним (15), 03-Апр-22, 13:34 | ||
А потом захочется | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (33), 03-Апр-22, 17:11 | ||
А в винде можно в случае необходимости вызвать диалог повышения привелегий и непривилегированный процесс сделать привилегированным, в отличие от этих ваших юниксов... | ||
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору |
47. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (15), 04-Апр-22, 03:16 | ||
А в этих ваших юниксах для того же самого уязвимости всякие ищут, да. | ||
Ответить | Правка | Наверх | Cообщить модератору |
13. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (15), 03-Апр-22, 13:19 | ||
> И извне этот момент не узнать, поэтому при внешнем ограничении привилегий приходится давать максимум из возможно требуемых привилегий. | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
12. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Sadok (ok), 03-Апр-22, 12:53 | ||
Расскажите ему про jail. | ||
Ответить | Правка | Наверх | Cообщить модератору |
23. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (-), 03-Апр-22, 13:44 | ||
> Расскажите ему про jail. | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (25), 03-Апр-22, 13:57 | ||
Еще одна реализация по типу capsicum заточенная на программистов, а не админов? | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +7 +/– | |
Сообщение от Смузихлёб (?), 03-Апр-22, 15:54 | ||
Очередная смузи-поделка. Лишь доказывает теорию того, что современное айти упёрлось в потолок, а все новые "разработки" - это из разряда обновлений ради обновления. | ||
Ответить | Правка | Наверх | Cообщить модератору |
38. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +1 +/– | |
Сообщение от Аноним (38), 03-Апр-22, 19:49 | ||
> все новые "разработки" - это из разряда обновлений ради обновления. | ||
Ответить | Правка | Наверх | Cообщить модератору |
32. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | –2 +/– | |
Сообщение от Аноним (31), 03-Апр-22, 16:26 | ||
А там глядишь и systemd на bsd портируют :) | ||
Ответить | Правка | Наверх | Cообщить модератору |
37. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +1 +/– | |
Сообщение от Аноним (37), 03-Апр-22, 19:47 | ||
С этим unevil в firefox ни локальные файлы не открыть, а теперь он даже в "Загрузки" не хочет сохранять. | ||
Ответить | Правка | Наверх | Cообщить модератору |
44. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +4 +/– | |
Сообщение от YetAnotherOnanym (ok), 03-Апр-22, 22:52 | ||
> Поддерживается совместное использование curtain с механизмами изоляции, предоставляемыми подсистемами Jail и Capsicum | ||
Ответить | Правка | Наверх | Cообщить модератору |
46. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +1 +/– | |
Сообщение от Аноним (15), 04-Апр-22, 03:13 | ||
Возможно, именно это и подразумевается. Ведь когда из-за конфликта систем что-то не работает, это более безопасно - нельзя взломать то, что не запустилось. | ||
Ответить | Правка | Наверх | Cообщить модератору |
53. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от YetAnotherOnanym (ok), 04-Апр-22, 11:24 | ||
Эммм... ну... это не лишено смысла... | ||
Ответить | Правка | Наверх | Cообщить модератору |
52. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (-), 04-Апр-22, 10:10 | ||
https://lists.freebsd.org/archives/freebsd-hackers/2022-Marc... | ||
Ответить | Правка | Наверх | Cообщить модератору |
56. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (56), 06-Апр-22, 01:41 | ||
Как обычно - свое уникальное, ни с кем не совместимое? | ||
Ответить | Правка | Наверх | Cообщить модератору |
57. "Для FreeBSD развивается механизм изоляции, похожий на plegde..." | +/– | |
Сообщение от Аноним (-), 06-Апр-22, 11:57 | ||
> Как обычно - свое уникальное, ни с кем не совместимое? | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |