Dan Walsh и Eric Paris, участвующие в разработке SELinux, представили (http://lkml.org/lkml/2009/5/26/269) новый механизм для безопасного выполнения не испытывающих доверия приложений в Linux. Утилита sandbox позволяет (http://danwalsh.livejournal.com/28545.html) выполнить программу с максимальным уровнем изоляции SELinux, при котором запрещен доступ к сетевым функциям и работе с файлами.
Для определения базовых полномочий, доступных выполняемому приложению, используется SELinux политика sandbox_t, которую можно изменить в зависимости от текущей ситуации через стандартный GUI-интерфейс system-config-selinux. Утилита sandbox уже включена в состав пакетов selinux-policy-3.6.12-41.fc11 и policycoreutils-2.0.62-12.6.fc11, подготовленных для дистрибутива Fedora 11.
В будущем планируется реализовать набор дополнительных политик, позволяющих приложению работать с заданным набором файлов в специально отведенной временной директории. Также будет добавлена опция "--mount", дающая возможность монитрования tmpfs раздела в качестве рабочей директории на лету.
URL: http://lkml.org/lkml/2009/5/26/269
Новость: http://www.opennet.dev/opennews/art.shtml?num=21913