The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Контроль доступа к системным вызовам в OpenBSD и NetBSD. Часть 2.

12.03.2003 17:08

Вышло продолжение статьи "Systrace Policies", в которой рассказано как можно используя systrace, ограничить возможность использования определенных системных вызовов в программе, например, запретить открывать определенных файл через open().

Пример правил для ограничения named: 



Policy: /usr/sbin/named, Emulation: native
native-accept: permit
native-bind: sockaddr match "inet-*:53" then permit
native-chdir: filename eq "/" then permit
native-chdir: filename eq "/namedb" then permit
native-chroot: filename eq "/var/named" then permit
native-connect: sockaddr eq "/dev/log" then permit
native-fsread: filename eq "/" then permit
native-fsread: filename eq "/dev/arandom" then permit
native-fsread: filename eq "/etc/group" then permit


  1. Главная ссылка к новости (http://www.onlamp.com/pub/a/bs...)
  2. Часть 1. Systrace Policies
  3. Часть 2. Creating Systrace Policies
Лицензия: CC BY 3.0
Источник: onlamp
Короткая ссылка: https://opennet.ru/2086-nat
Ключевые слова: nat, connect, named, chroot, file, netbsd, openbsd, access, policy, bind, limit, fs, example
При перепечатке указание ссылки на opennet.ru обязательно


 Добавить комментарий
Имя:
E-Mail:
Текст:

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру