Форум Orsha-LUG

Портал => Новости => Тема начата: vasya от 29 Май 2009, 23:27:09



Название: Новый механизм для безопасного выполнения подозрительных программ в Linux
Отправлено: vasya от 29 Май 2009, 23:27:09
Dan Walsh и Eric Paris, участвующие в разработке SELinux, представили новый механизм для безопасного выполнения не испытывающих доверия приложений в Linux. Утилита sandbox позволяет выполнить программу с максимальным уровнем изоляции SELinux, при котором запрещен доступ к сетевым функциям и работе с файлами, кроме явно переданных процессу.

Для определения базовых полномочий, доступных выполняемому приложению, используется SELinux политика sandbox_t, которую можно изменить в зависимости от текущей ситуации через стандартный GUI-интерфейс system-config-selinux. Утилита sandbox уже включена в состав пакетов selinux-policy-3.6.12-41.fc11 и policycoreutils-2.0.62-12.6.fc11, подготовленных для дистрибутива Fedora 11.

В будущем планируется реализовать набор дополнительных политик, позволяющих приложению работать с заданным набором файлов в специально отведенной временной директории. Также будет добавлена опция "--mount", дающая возможность монтирования tmpfs раздела в качестве рабочей директории на лету.

Источник: http://www.opennet.ru/