forum.opennet.ru

"Для FreeBSD развивается механизм изоляции, похожий на plegde и unveil"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

"Для FreeBSD развивается механизм изоляции, похожий на plegde и unveil"	+/–
Сообщение от opennews (??), 03-Апр-22, 11:16
Для FreeBSD предложена реализация механизма изоляции приложений, напоминающего развиваемые проектом OpenBSD системные вызовы plegde и unveil. Изоляция в plegde осуществляется через запрет обращения к неиспользуемым в приложении системным вызовам, а в unveil через выборочное открытие доступа только для отдельных файловых путей, с которыми может работать приложение. Для приложения формируется подобие белого списка системных вызовов и файловых путей, а все остальные вызовы и пути запрещаются... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56958
Ответить \| Правка \| Cообщить модератору

Оглавление

Для FreeBSD развивается механизм изоляции, похожий на plegde и unveil, opennews, 03-Апр-22, 11:16 [смотреть все]

Зато не apparmor selinux, воть , Аноним, 03-Апр-22, 11:16 (1) //
- Как там было в 171 Хоббите 187 Ножи 8212 не вилки, а скалы 8212 не , Аноним, 03-Апр-22, 11:47 (6) //
  - Ножи W Орлы, Аноним, 03-Апр-22, 11:53 (7)
- man mac Зато очередной лапчато-опеннетный онализ на основе знакомых слов, Аноним, 03-Апр-22, 12:02 (9)
- Сабж надо сравнивать не с MAC, а с механизмами syscall-изоляции В Linux это Sec, Аноним, 03-Апр-22, 13:24 (15) //
  - А домик как у ниф-нифа или как у наф-нафа , Аноним, 04-Апр-22, 12:32 (54) //
    - Если серьезно, то фильтрация системных вызовов и фильтрация обращений к файловой, Аноним, 04-Апр-22, 16:46 (55)
Очень глупый вопрос - но чем это отличается от chroot Ещё вспомнил про контроль, _kusb, 03-Апр-22, 11:26 (2) //
- Чистый chroot не предел для взлома еще с 90-х Зная невероятный дебилизм ядра, с, qew, 03-Апр-22, 11:44 (4) //
  - Тут чрут подкреплённый хуками к ядру Ну типа стопудовее, пластичнее может даже , йцу, 03-Апр-22, 11:45 (5)
  - Не для школьников, а для senior yaml developer ов И докер это вообще не про изол, Легивон, 03-Апр-22, 13:19 (14) //
    - До этого тридцать лет девелопили на шелле Теперь будут сколько-то лет девелопит, Аноним, 03-Апр-22, 13:31 (19)
      - Конкретно доскер к изоляции вообще никакого отношения не имеет , Онаним, 03-Апр-22, 15:45 (28)
        
        Пацаны во дворе рассказали , Аноним, 03-Апр-22, 16:18 (31)
        
        Ну, тебе как заядлому дворовому обитателю - скорее всего виднее, да А вообще дос, Онаним, 03-Апр-22, 21:26 (41)
        
        Изначально это объявлялось именно как изоляция Это потом, когда изоляция оказал, Аноним, 03-Апр-22, 19:12 (35)
        
        Изоляция - это LXC, namespaces и прочая обвязка, так-то Доскер её только конфиг, Онаним, 03-Апр-22, 21:27 (42)
        
        И даже про LXC я не прав, LXC такой же костылик Короче именно ядерная составляю, Онаним, 03-Апр-22, 22:10 (43)
        
        Может, вам сторит все-таки подучить матчасть, прежде чем встревать в интеллектуа, Аноним, 04-Апр-22, 03:18 (48)
        
        Может тебе для начала русский подучить, сторит , Онаним, 04-Апр-22, 07:58 (50)
      - Полноценность ты будешь определять, конечно же, да , Аноним, 03-Апр-22, 16:17 (30)
        
        https ru wikipedia org wiki D0 9F D0 BE D0 BB D0 BD D0 BE D1 82 D0 B0_ D0 BF , anonfhjvxd, 03-Апр-22, 21:03 (40)
    - senior yaml developer - это пять, возьму на заметку, спасибо, Онаним, 03-Апр-22, 15:44 (27)
    - Сениёр ямль девелопер-это не школьник, это посетитель детского сада Как и автор, Аноним, 03-Апр-22, 19:15 (36)
      - Тем не менее, платят им раз в десять больше, чем senior shell developer-ам , Аноним, 04-Апр-22, 03:10 (45)
  - Вы путаете педали cgroups не обеспечивают chroot, для этого есть namespaces ко, Аноним, 03-Апр-22, 13:38 (22)
  - Во-первых, больших пользователей SELinux особо нет, либо они тщательно законспир, Аноним, 03-Апр-22, 19:54 (39)
- Это не аналог chroot, это аналог seccomp ну и вторая штука аналог apparmor seli, мишалипут, 03-Апр-22, 17:26 (34)
Capsicum a должно быть всем достаточно , Аноним, 03-Апр-22, 11:37 (3)
Ну то есть вот это 171 для немодифицированных программ 187 рубит основную ид, В.Ж., 03-Апр-22, 11:59 (8) //
- Звучит как unshare Там тоже можно запустить любую излишне любопытную программу , Аноним, 03-Апр-22, 12:05 (10) //
  - unshare - это тот же механизм, который лежит в основе LXC и докера И нет, он не, Аноним, 03-Апр-22, 13:27 (17) //
    - Фильтрация системных вызовов в свою очередь звучит не то как apparmor, не то как, Аноним, 03-Апр-22, 13:33 (20)
      - Не, звучит как seccomp Apparmor и yama - это модули MAC, более высокий уровень а, Аноним, 03-Апр-22, 13:47 (24)
- В таком случае как всегда, пока в gcc не встроят не взлетит А какие существуют , qwe, 03-Апр-22, 12:08 (11) //
  - Разбить на бинарники дать разные права вызывать разные бинари в зависимости от с, Аноним, 03-Апр-22, 13:29 (18) //
    - А потом захочется 1 Бинарники, решающие одни и те же задачи по преднастройке ок, Аноним, 03-Апр-22, 13:34 (21)
    - А в винде можно в случае необходимости вызвать диалог повышения привелегий и неп, Аноним, 03-Апр-22, 17:11 (33)
      - А в этих ваших юниксах для того же самого уязвимости всякие ищут, да , Аноним, 04-Апр-22, 03:16 (47)
- Для этого уже давно придумали простое решение, называется privilege separation К, Аноним, 03-Апр-22, 13:19 (13)
Расскажите ему про jail , Sadok, 03-Апр-22, 12:53 (12) //
- restrictions are also enforced on top of it Видимо, прочитал на опеннете и п, Аноним, 03-Апр-22, 13:44 (23)
Еще одна реализация по типу capsicum заточенная на программистов, а не админов Е, Аноним, 03-Апр-22, 13:57 (25)
Очередная смузи-поделка Лишь доказывает теорию того, что современное айти упёрл, Смузихлёб, 03-Апр-22, 15:54 (29) //
- Эх, золотые слова , Аноним, 03-Апр-22, 19:49 (38)
А там глядишь и systemd на bsd портируют Лет через 10-15 можно будет в каких-, Аноним, 03-Апр-22, 16:26 (32)
С этим unevil в firefox ни локальные файлы не открыть, а теперь он даже в Загру, Аноним, 03-Апр-22, 19:47 (37)
Не, ну это как-то не по-опенсорсному Надо, чтобы новая утилита дублировала функц, YetAnotherOnanym, 03-Апр-22, 22:52 (44) //
- Возможно, именно это и подразумевается Ведь когда из-за конфликта систем что-то, Аноним, 04-Апр-22, 03:13 (46) //
  - Эммм ну это не лишено смысла , YetAnotherOnanym, 04-Апр-22, 11:24 (53)
https lists freebsd org archives freebsd-hackers 2022-March 000940 html, Аноним, 04-Апр-22, 10:10 (52)
Как обычно - свое уникальное, ни с кем не совместимое , Аноним, 06-Апр-22, 01:41 (56) //
- Расскажи поподробнее, с чем совместимы cgroups, seccomp, namespaces, apparmor , Аноним, 06-Апр-22, 11:57 (57)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру