Разработчик Дэвид Драйсдейл (David Drysdale) рассказал в списке рассылки LKML о своей работе над адаптацией фреймворка безопасности Capsicum для ядра Linux.

000

Capsicum используется в последних версиях операционной системы FreeBSD (9.x/10.x). По мнению специалиста, фреймворк очень надёжно изолирует в песочнице приложения, работающие с конфиденциальной информацией. Например, OpenSSH для FreeBSD с версии 6.5 использует Capsicum для ограничения sshd в части проверки данных аутентификации, чтобы снизить риск утечки информации.

Дэвид Драйсдейл объясняет, что главное преимущество Capsicum — установка прав для отдельных файловых дескрипторов, соответствующих потокам ввода-вывода в операционной системе. Ядро разрешает выполнение процесса только в соответствии с этими правами. Таким образом, приложение из userspace может поместить часть процессов в песочницу и жёстко ограничить их в правах на ввод и вывод. Скажем, tcpdump разрешено получать данные только от сетевых файловых дескрипторов, а писать только в stdout.

001

При этом в Capsicum используется специальный режим заморозки системных вызовов, чтобы предотвратить обход установленных ограничений с помощью новых файловых дескрипторов.

В силу специфики эффективная работа песочницы возможна только при внедрении Capsicum непосредственно в ядро. К сожалению, это требует многочисленных изменений в коде ядра. Учитывая консерватизм некоторых разработчиков, не факт, что они одобрят изменения. По этому поводу идёт дискуссия. В любом случае, окончательное решение будет за Линусом Торвальдсом.



5 комментариев

  1. 08.07.2014 at 15:03

    Нужно внедрять.

  2. 08.07.2014 at 15:10

    > эффективная работа песочницы возможно

  3. 08.07.2014 at 16:52

    Достойная замена Jail который уже давно устарел как и sendmail

Оставить мнение