The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

isolate - Utility for isolating Unix processes, minimizing their privilege

Дата
17 Jan 2010
Заголовокisolate - Utility for isolating Unix processes, minimizing their privilege
ПояснениеУтилита, предназначенная для организации изолированного выполнения приложений с минимальными привилегиями и ограниченным доступом к X-серверу. Идея по созданию isolate возникла после того, как автор проекта столкнулся с уязвимостью в медиа-плеере, позволяющей выполнить код после открытия специально оформленного MP3-файла. Задача isolate - обеспечить возможность защиты системы при выполнении неблагонадежных программ или при обработке полученного из недоверительных источников контента.

В отличие от похожих по возможностям аналогов, например, завязанной на SELinux утилиты sandbox, isolate является многоплатформенным приложением, одинаково хорошо работающим как в Linux, так и во FreeBSD. Для обеспечения изоляции в isolate использован метод динамического формирования chroot-окружения, предложенный Daniel J. Bernstein в главе 5.2 документа "Размышления о безопасности через 10 лет после выхода qmail 1.0".

Перед запуском процесса, isolate анализирует список задействованных для работы подконтрольной программы библиотек, программ и файлов, после чего автоматически формируется chroot-окружение. Пользователь имеет возможность вручную указать дополнительные директории для помещения в создаваемый chroot, ограничить доступный объем памяти, максимальное число открытых файлов и запущенных процессов, что позволяет, например, быстро сформировать окружение для запуска подозрительного shell скрипта. Процесс под управлением isolate выполняется под идентификатором несуществующего в системе пользователя.

Home URLhttp://code.google.com/p/isolate/
Флагenglish
РазделChroot окружение
Ключи

 Добавить ссылку
 
 Поиск ссылки (regex):
 

Последние заметки
<< Предыдущие 15 записей
- 29.12.2023 Диагональное размещение информации на экране
- 25.12.2023 Автоматизация установки Samba AD+DDNS+DHCPD и почтового сервера в openSUSE Leap 15.5
- 24.12.2023 Проброс доступа к SSH через HTTPS
- 20.12.2023 Использование SSH поверх UNIX-сокета вместо sudo
- 08.12.2023 Проксирование запросов к S3 с помощью nginx и angie
- 29.11.2023 Cкрипт ddrescue-loop с функцией автоматической остановки/перезапуска диска на SATA порту
- 23.11.2023 Устранение ошибки redirection unexpected в bash-скриптах
- 21.10.2023 Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером
- 15.10.2023 Уменьшение жёстко определённого размера окна приложения в формате AppImage
- 12.10.2023 Определение IP-адреса пользователя в Telegram через голосовой вызов
- 14.09.2023 Установка в мобильной версии Firefox любого расширения от десктоп-версии
- 10.09.2023 Часто используемые параметры sysctl, касающиеся настройки сети в Linux
- 09.08.2023 Запуск Linux на Android-телефоне с SD-карты без перепрошивки
- 18.04.2023 Перевод шифрованного раздела на LUKS2 и более надёжную функцию формирования ключа
- 31.03.2023 Пример правил nftables с реализацией port knoсking для открытия доступа к SSH
Следующие 15 записей >>




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру