https://opennet.dev/openforum/vsluhforumID3/92139.html Компания Google опубликовала (https://github.com/google/capsicum-linux) свои наработки по портированию фреймворка Capsicum (http://www.cl.cam.ac.uk/research/security/capsicum/) для ядра Linux. Работа основана на коде Capsicum из состава FreeBSD 9 и начальной реализации для Linux, развиваемой (http://git.chromium.org/gitweb/?p=chromiumos/third_party/kernel-capsicum.git;a=shortlog;h=refs/heads/capsicum) в прошлом году Маредидом Люффом (Meredydd Luff). Вариант Capsicum от Google базируется на ядре Linux 3.11, оформлен в виде LSM-модуля (Linux Security Module) и поддерживает работу на системах x86_64 или в user-mode Linux.<br><br><br><br>Capsicum представляет собой фреймворк для организации изолированного выполнения приложений и ограничения использования приложениями определённых функций. Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнени https://opennet.dev/openforum/vsluhforumID3/92139.html#44 Mon, 30 Jun 2014 18:01:00 GMT seccomp filter http://www.opennet.ru/opennews/art.shtml?num=34387 уже есть и почти тоже самое.<br> https://opennet.dev/openforum/vsluhforumID3/92139.html#42 Tue, 15 Oct 2013 16:32:20 GMT нет, например, чтобы на сокете нельзя было сделать bind, а только connect, нельзя было сделать write(), а только read(). или, например, запретить fchmod на дескриптор.<br> https://opennet.dev/openforum/vsluhforumID3/92139.html#41 Mon, 14 Oct 2013 20:41:00 GMT &gt;&gt; Где в словах "И так capabilities почти никто не использует." про простую <br>&gt;&gt; резку на контейнеры?<br>&gt; вон оно чё <br>&gt; my bad <br><br>Согласен, урезание контекста (второго уровня цитирования) немного запутывает :)<br> https://opennet.dev/openforum/vsluhforumID3/92139.html#40 Mon, 14 Oct 2013 20:39:45 GMT Нам - это широкой общественности. Не только мне интересно узнать, как гентушники превращаются в идЭйных убантуводов.<br> https://opennet.dev/openforum/vsluhforumID3/92139.html#39 Mon, 14 Oct 2013 14:28:36 GMT Вам? Т.е. ты такой таббаки, а где-то там за тобой шерканчики толпой стоят? :D<br> https://opennet.dev/openforum/vsluhforumID3/92139.html#38 Mon, 14 Oct 2013 13:54:47 GMT &gt; Где в словах "И так capabilities почти никто не использует." про простую <br>&gt; резку на контейнеры?<br><br>вон оно чё<br><br>my bad<br> https://opennet.dev/openforum/vsluhforumID3/92139.html#37 Mon, 14 Oct 2013 13:42:47 GMT Где в словах "И так capabilities почти никто не использует." про простую резку на контейнеры?<br> https://opennet.dev/openforum/vsluhforumID3/92139.html#36 Mon, 14 Oct 2013 13:04:08 GMT &gt;&gt; Поэтому желающих пользоваться федорой не сильно много. Гемора с selinux много а <br>&gt;&gt; результат не хуже можно достичь например простой резкой на контейнеры.<br>&gt; Типичный борец с федорой даже не знает о разнице между SELinux и <br>&gt; POSIX capabilities.<br>&gt; Шикрано :) <br><br>сам бы читать научился -- где в словах "простой резкой на контейнеры" увидел POSIX capabilities<br> https://opennet.dev/openforum/vsluhforumID3/92139.html#35 Mon, 14 Oct 2013 13:02:17 GMT &gt; Внезапно - существуют программы, которые сами дропают рут-привилегии и сами чрутаются в <br>&gt; свой рабочий каталог. Они по-Вашему тоже провальные?<br><br>Нет. Провальна идея заставить разработчиков всех программ так делать.<br>