Бен Лаури (Ben Laurie (http://en.wikipedia.org/wiki/Ben_Laurie)), известный своим вкладом в разработку OpenSSL и обеспечение поддержки SSL для http-сервера Apache, представил (http://www.links.org/?p=1242) практическое руководство по использованию интегрированной во FreeBSD подсистемы Capsicum (http://www.cl.cam.ac.uk/research/security/capsicum/) для изоляции выполнения программ и библиотек. Использование Capsicum продемонстрировано на примере утилиты bzip2 и библиотеки libtiff (https://github.com/benlaurie/libtiff), все действия разбиты на 13 этапов, для каждого из которых представлены для изучения соответствующие патчи.
Подсистема Capsicum опционально включена в состав FreeBSD 9 в качестве экспериментальной возможности и будет активирована по умолчанию начиная с FreeBSD 10. Capsicum представляет собой фреймворк для организации изолированного выполнения приложений и ограничения использования приложениями определённых функций. Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения. Используя Capsicum приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только ранее специфицированные штатные действия.
Дополнительно можно отметить статью "Automatic binary hardening with Autoconf (http://mainisusuallyafunction.blogspot.com/2012/05/automatic... в которой показано как автоматизировать проверку наличия дополнительных механизмов повышения безопасности в скриптах Autoconf и активировать сборку с задействованием всех доступных методов повышения безопасности на этапе сборки. В частности, рассматриваются такие возможности современных компиляторов, как рандомизация выделения памяти, дополнительные проверки корректности выполнения строковых операций и операций с памятью (-D_FORTIFY_SOURCE=2), защита от целочисленных переполнений (-fno-strict-overflow), защита от переполнения стека (-fstack-protector-all) и т.п. Отмечается (http://www.openwall.com/lists/oss-security/2012/05/15/1), что использовать данные возможности в своих программах стоит с осторожностью, предварительно протестировав возможное негативное влияние на производительность (некоторые наблюдают замедление до 30%).
.
URL: http://www.openwall.com/lists/oss-security/2012/05/15/2
Новость: https://www.opennet.ru/opennews/art.shtml?num=33854