forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Systemd реализована поддержка изоляции системных вызовов д..."
Отправлено opennews, 17-Июл-12 21:52

Леннарт Поттеринг (Lennart Poettering) сообщил (https://plus.google.com/115547683951727699051/posts/cb3uNFMNUyK) о реализации поддержки технологии "seccomp filter" в системном менеджере systemd, что позволяет обеспечить изоляцию системных вызовов для запускаемых через systemd процессов. Для создания изолированных окружений используется простой синтаксис определения допустимых системных вызовов, без необходимости непосредственной модификации самих приложений. Указанная возможность может быть активирована при использовании ядра Linux 3.5, релиз которого ожидается на следующей неделе.

В качестве примера помещения процесса в sandbox-окружение приводятся следующие настройки:
<font color="#461b7e">
   [Service]
   ExecStart=/bin/echo "I am in a sandbox"
   SystemCallFilter=brk mmap access open fstat close read fstat mprotect arch_prctl munmap write
</font>
В общем виде принцип работы seccomp filter сводится (http://outflux.net/teach-seccomp/) к ограничению доступа к системным вызовам, при этом логика выставляемых ограничений задаётся на уровне защищаемого приложения, а не через задание внешних ограничений, как в случае AppArmor или SELinux. В код программы добавляется структура с перечнем допустимых системных вызовов (например, ALLOW_SYSCALL) и реакции в случае несовпадения (например, KILL_PROCESS). Доступ к системным вызовам определяется в виде правил, оформленных в BPF-представлении (Berkeley Packet Filter), которое получило распространение в системах фильтрации сетевых пакетов.
Система seccomp filter позволяет реализовывать достаточно сложные правила доступа, учитывающие передаваемые и возвращаемые аргументы. Программа сама определяет какие системные вызовы ей необходимы и какие параметры допустимы, все остальные системные вызовы блокируются, что позволяет ограничить возможности атакующего в случае эксплуатации уязвимости в защищённом при помощи seccomp приложении. Возможность задания фильтров аргументов позволяет также защититься от большинства атак, эксплуатирующих уязвимости в системных вызовах. Например, выявленные за последние годы критические уязвимости в glibc и ядре Linux, такие как AF_CAN (http://sota.gen.nz/af_can/), sock_sendpage (http://blog.cr0.org/2009/08/linux-null-pointer-dereference-d...) и sys_tee (http://www.juniper.net/security/auto/vulnerabilities/vuln228...),  успешно блокируются при надлежащем использовании seccomp. В настоящее время поддержка  seccomp filter реализована в таких популярных серверных приложениях, как OpenSSH и vsftpd, патчи с поддержкой seccomp filter уже поставляются в ядре Linux из состава Ubuntu 12.04.
URL: https://plus.google.com/115547683951727699051/posts/cb3uNFMNUyK
Новость: https://www.opennet.ru/opennews/art.shtml?num=34352

Исходное сообщение
"В Systemd реализована поддержка изоляции системных вызовов д..." Отправлено opennews, 17-Июл-12 21:52
Леннарт Поттеринг (Lennart Poettering) сообщил (https://plus.google.com/115547683951727699051/posts/cb3uNFMNUyK) о реализации поддержки технологии "seccomp filter" в системном менеджере systemd, что позволяет обеспечить изоляцию системных вызовов для запускаемых через systemd процессов. Для создания изолированных окружений используется простой синтаксис определения допустимых системных вызовов, без необходимости непосредственной модификации самих приложений. Указанная возможность может быть активирована при использовании ядра Linux 3.5, релиз которого ожидается на следующей неделе. В качестве примера помещения процесса в sandbox-окружение приводятся следующие настройки: <font color="#461b7e"> [Service] ExecStart=/bin/echo "I am in a sandbox" SystemCallFilter=brk mmap access open fstat close read fstat mprotect arch_prctl munmap write </font> В общем виде принцип работы seccomp filter сводится (http://outflux.net/teach-seccomp/) к ограничению доступа к системным вызовам, при этом логика выставляемых ограничений задаётся на уровне защищаемого приложения, а не через задание внешних ограничений, как в случае AppArmor или SELinux. В код программы добавляется структура с перечнем допустимых системных вызовов (например, ALLOW_SYSCALL) и реакции в случае несовпадения (например, KILL_PROCESS). Доступ к системным вызовам определяется в виде правил, оформленных в BPF-представлении (Berkeley Packet Filter), которое получило распространение в системах фильтрации сетевых пакетов. Система seccomp filter позволяет реализовывать достаточно сложные правила доступа, учитывающие передаваемые и возвращаемые аргументы. Программа сама определяет какие системные вызовы ей необходимы и какие параметры допустимы, все остальные системные вызовы блокируются, что позволяет ограничить возможности атакующего в случае эксплуатации уязвимости в защищённом при помощи seccomp приложении. Возможность задания фильтров аргументов позволяет также защититься от большинства атак, эксплуатирующих уязвимости в системных вызовах. Например, выявленные за последние годы критические уязвимости в glibc и ядре Linux, такие как AF_CAN (http://sota.gen.nz/af_can/), sock_sendpage (http://blog.cr0.org/2009/08/linux-null-pointer-dereference-d...) и sys_tee (http://www.juniper.net/security/auto/vulnerabilities/vuln228...), успешно блокируются при надлежащем использовании seccomp. В настоящее время поддержка seccomp filter реализована в таких популярных серверных приложениях, как OpenSSH и vsftpd, патчи с поддержкой seccomp filter уже поставляются в ядре Linux из состава Ubuntu 12.04. URL: https://plus.google.com/115547683951727699051/posts/cb3uNFMNUyK Новость: https://www.opennet.ru/opennews/art.shtml?num=34352

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Леннарт Поттеринг (Lennart Poettering) сообщил (https://plus.google.com/115547683951727699051/posts/cb3uNFMNUyK) 
> о реализации поддержки технологии "seccomp filter" в системном менеджере systemd, что 
> позволяет обеспечить изоляцию системных вызовов для запускаемых через systemd процессов. 
> Для создания изолированных окружений используется простой синтаксис определения допустимых 
> системных вызовов, без необходимости непосредственной модификации самих приложений. 
> Указанная возможность может быть активирована при использовании ядра Linux 3.5, релиз 
> которого ожидается на следующей неделе.

> В качестве примера помещения процесса в sandbox-окружение приводятся следующие настройки:

> <font color="#461b7e"> 
>    [Service] 
>    ExecStart=/bin/echo "I am in a sandbox" 
>    SystemCallFilter=brk mmap access open fstat close read fstat mprotect 
> arch_prctl munmap write

> </font>

> В общем виде принцип работы seccomp filter сводится (http://outflux.net/teach-seccomp/) 
> к ограничению доступа к системным вызовам, при этом логика выставляемых ограничений 
> задаётся на уровне защищаемого приложения, а не через задание внешних ограничений, 
> как в случае AppArmor или SELinux. В код программы добавляется структура 
> с перечнем допустимых системных вызовов (например, ALLOW_SYSCALL) и реакции в случае 
> несовпадения (например, KILL_PROCESS). Доступ к системным вызовам определяется в виде 
> правил, оформленных в BPF-представлении (Berkeley Packet Filter), которое получило распространение 
> в системах фильтрации сетевых пакетов.
> Система seccomp filter позволяет реализовывать достаточно сложные правила доступа, учитывающие 
> передаваемые и возвращаемые аргументы. Программа сама определяет какие системные вызовы 
> ей необходимы и какие параметры допустимы, все остальные системные вызовы блокируются, 
> что позволяет ограничить возможности атакующего в случае эксплуатации уязвимости в защищённом 
> при помощи seccomp приложении. Возможность задания фильтров аргументов позволяет также 
> защититься от большинства атак, эксплуатирующих уязвимости в системных вызовах. Например, 
> выявленные за последние годы критические уязвимости в glibc и ядре Linux, 
> такие как AF_CAN (http://sota.gen.nz/af_can/), sock_sendpage (http://blog.cr0.org/2009/08/linux-null-pointer-dereference-due-to.html) 
> и sys_tee (http://www.juniper.net/security/auto/vulnerabilities/vuln22823.html), 
>  успешно блокируются при надлежащем использовании seccomp. В настоящее время поддержка 
>  seccomp filter реализована в таких популярных серверных приложениях, как OpenSSH 
> и vsftpd, патчи с поддержкой seccomp filter уже поставляются в ядре 
> Linux из состава Ubuntu 12.04.

> URL: https://plus.google.com/115547683951727699051/posts/cb3uNFMNUyK 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=34352

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру