В статье "Minimizing privileges" рассказано о необходимости уменьшения объема кода выполняющегося с повышенными привилегиями, путем выноса этого кода в отдельный программный модуль и наложении дополнительных системных квот на процесс. В общих чертах рассказано о технологиях FreeBSD Jail, LSM (Linux Security Modules ) и SELinux (Security-Enhanced Linux, список статей и документации по SELinux доступен здесь).
|