The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

isolate - Utility for isolating Unix processes, minimizing their privilege

Дата
17 Jan 2010
Заголовокisolate - Utility for isolating Unix processes, minimizing their privilege
ПояснениеУтилита, предназначенная для организации изолированного выполнения приложений с минимальными привилегиями и ограниченным доступом к X-серверу. Идея по созданию isolate возникла после того, как автор проекта столкнулся с уязвимостью в медиа-плеере, позволяющей выполнить код после открытия специально оформленного MP3-файла. Задача isolate - обеспечить возможность защиты системы при выполнении неблагонадежных программ или при обработке полученного из недоверительных источников контента.

В отличие от похожих по возможностям аналогов, например, завязанной на SELinux утилиты sandbox, isolate является многоплатформенным приложением, одинаково хорошо работающим как в Linux, так и во FreeBSD. Для обеспечения изоляции в isolate использован метод динамического формирования chroot-окружения, предложенный Daniel J. Bernstein в главе 5.2 документа "Размышления о безопасности через 10 лет после выхода qmail 1.0".

Перед запуском процесса, isolate анализирует список задействованных для работы подконтрольной программы библиотек, программ и файлов, после чего автоматически формируется chroot-окружение. Пользователь имеет возможность вручную указать дополнительные директории для помещения в создаваемый chroot, ограничить доступный объем памяти, максимальное число открытых файлов и запущенных процессов, что позволяет, например, быстро сформировать окружение для запуска подозрительного shell скрипта. Процесс под управлением isolate выполняется под идентификатором несуществующего в системе пользователя.

Home URLhttp://code.google.com/p/isolate/
Флагenglish
РазделChroot окружение
Ключи

 Добавить ссылку
 
 Поиск ссылки (regex):
 

Последние заметки
<< Предыдущие 15 записей
- 04.01.2020 Проверка правописания в Telegram Desktop для Linux
- 03.01.2020 Простое устройство для защиты данных в случае кражи ноутбука
- 18.11.2019 Обход блокировки сотовыми операторами использования смартфона в качестве точки доступа
- 09.09.2019 Включение DNS-over-HTTPS в Chrome
- 01.09.2019 Улучшение безопасности sources.list в дистрибутивах, использующих APT
- 28.08.2019 Сравнение работающих в пространстве пользователя обработчиков нехватки памяти
- 27.08.2019 Изменение скорости движения указателя мыши через xinput
- 23.08.2019 Установка Anbox для запуска Android-приложений в Fedora 30
- 02.07.2019 Прокси сервер Squid c E2guardian и Clamav
- 07.05.2019 Монтирование корневой ФС в RO-режиме при загрузке в свежих версиях Fedora
- 12.04.2019 Обход проблем при расширении хранилища ZFS в Linux
- 03.04.2019 Объединение томов через aufs для отказоустойчивости и моментального восстановления
- 31.03.2019 vmhgfs в старых CentOS и RHEL
- 30.03.2019 Связывание повторяемых сборок GNU Guix с архивом исходных текстов Software Heritage
- 14.03.2019 Использование slackpkg для chroot
Следующие 15 записей >>




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру