Новая «песочница» для SELinux

Printable View

27.05.2009, 16:35
Kuzz

Новая «песочница» для SELinux

Разработчики SELinux Эрик Пэрис [Eric Paris] и Дэн Уолш [Dan Walsh] представили реализацию новой функциональной возможности. Программа «sandbox» (песочница) позволяет администратору ограничить непроверенные исполняемые файлы: заключенные в «песочницу» приложения не смогут использовать сеть, открывать или создавать файлы.

Подробности [URL="http://danwalsh.livejournal.com/28545.html"]здесь[/URL] и [URL="http://lkml.org/lkml/2009/5/26/269"]здесь[/URL].

[URL="http://www.linuxcenter.ru/news/2009/05/27/9800/"]Источник[/URL]
27.05.2009, 16:47
Макcим

Сегодня "sandbox", завтра "HIPS", после завтра пинчи пойдут... Не нравится мне это.
27.05.2009, 17:11
Ego1st

[QUOTE]Сегодня "sandbox"[/QUOTE]

понятие песочницы, на линуксе появилось раньше чем на Windows =)
27.05.2009, 17:18
Kuzz

[QUOTE=Maxim;407840]Сегодня "sandbox", завтра "HIPS", [/QUOTE]
Хм.. Вроде бы "sandbox" есть подвидом "HIPS"
[url]http://ru.wikipedia.org/wiki/%D0%9F%D0%B5%D1%81%D0%BE%D1%87%D0%BD%D0%B8%D1%86%D0%B0_(%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C[/url])
Тот же механизм chroot появился достаточно давно
27.05.2009, 17:23
Ego1st

[QUOTE]Хм.. Вроде бы "sandbox" есть подвидом "HIPS" [/QUOTE]
я бы не назвал "sandbox" подвидом хипсы=)
27.05.2009, 17:35
Kuzz

[QUOTE=rav;263232]... Поведенческий блокиратор по версии ЛК- это тот же самый blacklisting HIPS. А то, что они называют HIPS- это зачатки sandbox HIPS. Стоит почитать wiki.castlecops.com и всё сразу станет понятнее.[/QUOTE];)
27.05.2009, 18:55
aintrust

[QUOTE=Kuzz;407862]Хм.. Вроде бы "sandbox" есть подвидом "HIPS"[/QUOTE]
[COLOR="DimGray"][off-topic][/COLOR]
Sandbox HIPS - это действительно один из многочисленных вариантов HIPS (тот же DefenseWall, как пример такого рода HIPS'а). Что же касается понятия "sandbox" вообще, то это более многогранная штуковина...
[COLOR="DimGray"][/off-topic][/COLOR]