Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от opennews (??), 10-Ноя-15, 17:36 | ||
Тео де Раадт (Theo de Raadt) представил (http://www.openbsd.org/papers/hackfest2015-pledge/mgp00001.html) на конференции Hackfest 2015 новый механизм изоляции системных вызовов Pledge (http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-current/man2/...), продолжающий развитие идей, реализованных в появившейся в OpenBSD 5.8 (https://www.opennet.dev/opennews/art.shtml?num=43156) подсистеме tame (http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-5.8/man2/tame...). Pledge уже интегрирован в ветку OpenBSD-CURRENT и будет доступен в релизе OpenBSD 5.9. В настоящее время механизмы защиты Pledge задействованы в 70% утилит базовой системы, к релизу OpenBSD 5.9 планируется обеспечить полный охват всех утилит. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +4 +/– | |
Сообщение от Аноним (-), 10-Ноя-15, 17:36 | ||
В итоге получается примерный аналог AppArmor, но с указанием профиля безопасности не во внешнем файле, а в исходном коде программы. | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +11 +/– | |
Сообщение от Elhana (ok), 10-Ноя-15, 18:52 | ||
Отличие в том, что AppArmor/SELinux ты как админ можешь отключить, когда он заебал (и большинство так и делают), а pledge() нет, кроме как выпилив из исходников. | ||
Ответить | Правка | Наверх | Cообщить модератору |
10. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | –1 +/– | |
Сообщение от anonymous (??), 10-Ноя-15, 20:20 | ||
Зато с pledge() меньше вероятность того, что внесенные ограничения будут мешать работать с программой, так как их определяют сами разработчики, а не мейнтенер дистрибутива | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +2 +/– | |
Сообщение от pavlinux (ok), 11-Ноя-15, 05:00 | ||
Реквестую в каждый бинарник хардкодить Manifest.xml с набором пермишенов. :D | ||
Ответить | Правка | Наверх | Cообщить модератору |
48. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +1 +/– | |
Сообщение от Аноним (-), 12-Ноя-15, 16:56 | ||
> Зато с pledge() меньше вероятность того, что внесенные ограничения будут мешать работать с программой, так как их определяют сами разработчики, а не мейнтенер дистрибутива | ||
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору |
12. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +4 +/– | |
Сообщение от Аноним (-), 10-Ноя-15, 20:28 | ||
специально для вас есть слайд: | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
42. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от Elhana (ok), 11-Ноя-15, 17:19 | ||
Я его видел и не подразумевал в предыдущем комментарии, что отключение защиты это хорошо. | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +1 +/– | |
Сообщение от Аноним (-), 10-Ноя-15, 20:46 | ||
> когда он заебал (и большинство так и делают) | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
27. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | –3 +/– | |
Сообщение от бедный буратино (ok), 11-Ноя-15, 04:08 | ||
Вы абсолютно не понимаете специфики OpenBSD | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
47. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от cmp (ok), 12-Ноя-15, 12:41 | ||
Прогрессирующий нарцисизм? спасибо не надо | ||
Ответить | Правка | Наверх | Cообщить модератору |
49. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | –2 +/– | |
Сообщение от Аноним (-), 12-Ноя-15, 16:58 | ||
> Прогрессирующий нарцисизм? спасибо не надо | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от Какаянахренразница (ok), 11-Ноя-15, 06:05 | ||
> Отличие в том, что AppArmor/SELinux ты как админ можешь отключить, когда он заебал | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
15. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | –2 +/– | |
Сообщение от Аноним (-), 10-Ноя-15, 20:47 | ||
> В итоге получается примерный аналог AppArmor | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
2. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | –19 +/– | |
Сообщение от Fyfy (?), 10-Ноя-15, 18:27 | ||
Что только люди не делают лиж бы не писать на нормальных языках типа Scala/Java.... | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +4 +/– | |
Сообщение от Аноним (-), 10-Ноя-15, 18:39 | ||
> Что только люди не делают лиж бы не писать на нормальных языках типа Scala/Java.... | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +9 +/– | |
Сообщение от Аноним (-), 10-Ноя-15, 18:44 | ||
нормальные языки @ жава. Чот ржу | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
17. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от YetAnotherOnanym (ok), 10-Ноя-15, 22:11 | ||
Как понять фразу "нормальные языки на жава" или "нормальные языки при жава"? | ||
Ответить | Правка | Наверх | Cообщить модератору |
18. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от Аноним (-), 10-Ноя-15, 22:31 | ||
http://advice-dog.ru/dog/%D0%BD%D0%BE... | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +1 +/– | |
Сообщение от Аноним (-), 10-Ноя-15, 21:00 | ||
Которые написаны на С/С++ | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
7. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | –1 +/– | |
Сообщение от PascalRD (ok), 10-Ноя-15, 18:45 | ||
Отличный костыль! | ||
Ответить | Правка | Наверх | Cообщить модератору |
9. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +2 +/– | |
Сообщение от Anonymous_ (?), 10-Ноя-15, 19:52 | ||
Елегантное решение | ||
Ответить | Правка | Наверх | Cообщить модератору |
13. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от Pilat (ok), 10-Ноя-15, 20:28 | ||
Не проще ли полностью виртуализировать операционные системы, а потерю производительности скомпенсировать отказом от пожиралок CPU типа питон, php и скриптовых языков. | ||
Ответить | Правка | Наверх | Cообщить модератору |
19. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от Аноним (-), 10-Ноя-15, 22:31 | ||
> Не проще ли полностью виртуализировать операционные системы, а потерю производительности | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +3 +/– | |
Сообщение от rob pike (?), 10-Ноя-15, 22:49 | ||
Виртуализация не является решением проблем безопасности. | ||
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору |
23. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от Аноним (-), 10-Ноя-15, 23:35 | ||
> Виртуализация не является решением проблем безопасности. | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от angra (ok), 11-Ноя-15, 02:04 | ||
Точно, ни проблему бессмертия, ни мира во всем мире, ни даже "трубы горят" виртуализация не решает. Но может она и не для этого была придумана? Ведь все таки небольшое(на фоне всей совокупности проблем человечества) количество проблем она отлично позволяет решить. В том числе и проблемы в области компьютерной безопасности. | ||
Ответить | Правка | Наверх | Cообщить модератору |
31. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +1 +/– | |
Сообщение от rob pike (?), 11-Ноя-15, 05:27 | ||
Решать проблемы безопасности виртуализацией - все равно что решать RAIDом проблему сохранности данных. Это во-первых. | ||
Ответить | Правка | Наверх | Cообщить модератору |
40. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от angra (ok), 11-Ноя-15, 15:23 | ||
Ты вообще читал пост, на который отвечаешь? Ну давай специально для тебя дам другие примеры проблем. Виртуализация не решает проблему тупых пользователей, виртуализация не решает проблему ущербного workflow, придуманного тупыми пользователями, виртуализация не решает проблему безграмотных админов, нанятых тупыми пользователями, виртуализауция не решает проблему тупых быдлокодеров, пишущих программы тупым пользователям. В общем не решает всего того, что ты назвал регламентом. Но среди технических средств защиты виртуализация одно из самых эффективных. Во многом из-за того, что позволяет техническими средствами снизить потенциальный урон по причине нетехнических факторов. Собственно как и RAID для сохранности данных. Но можно конечно быть тупым идеалистом и плакаться на несовершенство мира вместо решения реальных проблем. | ||
Ответить | Правка | Наверх | Cообщить модератору |
43. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от rob pike (?), 11-Ноя-15, 17:58 | ||
> позволяет техническими средствами снизить потенциальный урон по причине нетехнических факторов | ||
Ответить | Правка | Наверх | Cообщить модератору |
44. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от angra (ok), 11-Ноя-15, 22:33 | ||
>Решать административные проблемы техническими средствами - верный путь к успеху. | ||
Ответить | Правка | Наверх | Cообщить модератору |
45. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от rob pike (?), 11-Ноя-15, 23:04 | ||
> сетовать на несовершенство мира | ||
Ответить | Правка | Наверх | Cообщить модератору |
54. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от None (??), 08-Янв-20, 13:40 | ||
Ну да, а решением всех медицинских проблем является клонирование. | ||
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору |
32. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | –1 +/– | |
Сообщение от Классический анонимуз (?), 11-Ноя-15, 05:48 | ||
У нас в конторе под кило серваков, всё под vmware или hyperV. Storage - общий мегаSAN за 100500 нефти. | ||
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору |
35. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от pkdr (ok), 11-Ноя-15, 09:37 | ||
Читайте мануалы к вмвари, там много всего есть про отказоустойчивость, ну или саппорт теребите, если заплатили так много денег за то, что в теории вы бы могли сделать совершенно бесплатно (если судить по заданному здесь вопросу вы никаких особенно навороченных фич вмвари не используете). | ||
Ответить | Правка | Наверх | Cообщить модератору |
36. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от Классический анонимуз (?), 11-Ноя-15, 10:51 | ||
Вообще-то вопрос был на высказывание: "Виртуализация вообще не решает большинство проблем, а лишь плодит новые. Но админам локалхостов или гогнохостингов этого, разумеется, не понять." HyperV тоже вполне себе работает, переходят на него из-за "дешевле". | ||
Ответить | Правка | Наверх | Cообщить модератору |
37. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +1 +/– | |
Сообщение от 6ap (?), 11-Ноя-15, 12:04 | ||
В том и дело, что вы потратили кучу денег и даже не поняли куда. Это делалось 100 лет назад с помощью солярных зон и хербита, это делается сейчас с помощью линукс контейнеров и хербита, это делалось в локальном и даже географически отказоустойчивом варианте с помощью veritas storage foundation. По сути потратили на gui-панельки и тратите на невероятный оверхед, особенно для vmware. | ||
Ответить | Правка | Наверх | Cообщить модератору |
41. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | –1 +/– | |
Сообщение от angra (ok), 11-Ноя-15, 15:28 | ||
Я тебе сейчас очень страшную вещь скажу - зоны солярки, джейлы БСД и контейнеры в линуксе это все тоже виртуализация. Просвещайся: https://en.wikipedia.org/wiki/Operating-system-level_virtual... | ||
Ответить | Правка | Наверх | Cообщить модератору |
46. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +1 +/– | |
Сообщение от 6ap (?), 12-Ноя-15, 10:10 | ||
Пожалуй, промолчу ... | ||
Ответить | Правка | Наверх | Cообщить модератору |
50. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от pkdr (ok), 12-Ноя-15, 19:26 | ||
> Вопрос: как делать отказоустойчивость 1k серверов (с очень разным набором софта) сделать без виртуализации? | ||
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору |
39. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от rob pike (?), 11-Ноя-15, 14:06 | ||
Можно еще рекомендации Microsoft почитать, в частности Microsoft’s Preferred Architecture for Exchange | ||
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору |
24. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от Аноним (-), 11-Ноя-15, 00:10 | ||
Кто сказал, что безопасность - это просто? | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от бедный буратино (ok), 11-Ноя-15, 04:07 | ||
Ну, это не новость, это уже старость. | ||
Ответить | Правка | Наверх | Cообщить модератору |
38. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +1 +/– | |
Сообщение от Аноним (-), 11-Ноя-15, 14:01 | ||
> Ну, это не новость, это уже старость. | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +2 +/– | |
Сообщение от pavlinux (ok), 11-Ноя-15, 04:57 | ||
> Подобные ограничения позволят работать с файлами, но не дадут создавать сокеты и запускать другие приложения. | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от бедный буратино (ok), 11-Ноя-15, 08:08 | ||
живи в КАМАЗе | ||
Ответить | Правка | Наверх | Cообщить модератору |
51. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | –1 +/– | |
Сообщение от Аноним (51), 14-Ноя-15, 17:54 | ||
А низзя еще вместо того чтобы переписывать софт простую утилитку pledge, которая выставляет заданные юзером ограничения и exec'ает софт? Типа: pledge [-options] ./myapp [-options] | ||
Ответить | Правка | Наверх | Cообщить модератору |
52. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от Аноним (-), 30-Мрт-16, 00:02 | ||
> А низзя еще вместо того чтобы переписывать софт простую утилитку pledge, которая | ||
Ответить | Правка | Наверх | Cообщить модератору |
53. "OpenBSD развивает Pledge, новый механизм изоляции приложений" | +/– | |
Сообщение от anony (?), 14-Апр-16, 23:58 | ||
поддержка pledge() в разных языках программирования https://gist.github.com/ligurio/f6114bd1df371047dd80ea9b8a55... | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |