The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В SELinux sandbox появилась поддержка изолированного запуска GUI-приложений

19.09.2009 12:52

Dan Walsh, один из разработчиков SELinux, сообщил о прогрессе в разработке утилиты sandbox, предназначенной для безопасного выполнения с максимальным уровнем изоляции не испытывающих доверия программ. Одним из самых полезных новшеств sandbox является добавление поддержки опции "-X", при указании которой к приложению применяется уровень доступа "xguest" (сверх ограниченный пользователь для создания гостевых входов), дающий возможность безопасного выполнения графических приложений.

Например, можно запустить firefox и разрешить обращение только к определенному сайту, выполнить программу для просмотра PDF, ограничив доступ только заданным PDF документом или запустить xterm, ограничив сетевые операции и доступ к файловой системе. При запуске программы на уровне xguest приложение получает доступ с правами текущего пользователя только к автоматически созданной пустой домашней директории (можно открыть доступ к части реальной домашней директории) и директории для хранения временных файлов, вывод на экран производится через запуск обособленной копии X-сервера Xephyr (трансляция вывода производится в окно текущего X-сервера) и оконного менеджера Matchbox.

Для использования sandbox можно дождаться выхода Fedora 12 или обновить систему до Fedora RawHide, затем установить пакет policycoreutils-sandbox и выполнить "sandbox -X команда".

  1. Главная ссылка к новости (http://danwalsh.livejournal.co...)
  2. OpenNews: Новый механизм для безопасного выполнения подозрительных программ в Linux
  3. OpenNews: SELinux MLS уровни допуска в Fedora Linux
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/23481-selinux
Ключевые слова: selinux, sandbox, limit, x11
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Zenitur (?), 13:24, 19/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Хочу руководство на русском ((
     
     
  • 2.3, anonymous (??), 14:25, 19/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Хочу толковый howto хоть на китайском.

    Все что видел — ад и дебри на стопицот страниц, без пол-литры не разберешься.

     
     
  • 3.5, pavlinux (ok), 15:22, 19/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Очень хороший сайт, читал, всё понятно, и просто... Много полезного
    http://blog.chinaunix.net/u2/72217/article_93770.html

    http://www.oklinux.cn/html/download/zlxz/20070626/31867.html

     
     
  • 4.6, antibanner (?), 16:49, 19/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    shutnik :)
     
     
  • 5.9, Щекн Итрч (ok), 17:45, 19/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    A quick dirty example of this sandbox would be to confine the 'cut'
    binary.  If I wanted to create a file of users on my system from
    the /etc/passwd file, I could try

    > sandbox cut -d: -f1 /etc/passwd > /tmp/users

    /bin/cut: /etc/passwd: Permission denied

    Which shows the sandbox domain is not allowed to open /etc/passwd

    But I can execute
    > cat /etc/passwd | sandbox cut -d: -f1 > /tmp/users

    And it works just fine.

    Inside the sandbox cut wasn't allowed to get to /etc/passwd.  But in the
    second example since /etc/passwd was opened by the shell and handed to
    cut inside the sandbox it works.

     
  • 3.7, Zenitur (?), 16:49, 19/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Слабакам даже на русском толка нет изучать. Но остальным было бы действительно намного проще.
     
  • 2.10, Щекн Итрч (ok), 17:46, 19/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Хочу руководство на русском ((

    держите:
    http://lkml.org/lkml/2009/5/26/269

     

  • 1.2, freedom (?), 14:05, 19/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Знание английского языка на базовом уровне при работе с OSS не то что-бы приветствуется, имхо, оно обязательно ...
    Учите язык, читайте с on-line переводчиками и словарями ... :)
     
     
  • 2.8, Zenitur (?), 16:50, 19/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Знание английского языка на базовом уровне при работе с OSS не то
    >что-бы приветствуется, имхо, оно обязательно ...
    >Учите язык, читайте с on-line переводчиками и словарями ... :)

    Это? Со словарями?! Вы шутите.

     

  • 1.4, anonymous (??), 14:59, 19/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Little Snitch хочу(( Чтобы было также просто.
    В новости сказано:

    >Например, можно запустить firefox и разрешить обращение только к определенному сайту,

    Меня сковал ужас при мысли сколько надо для этого перерыть манов и переписать конфигов, да оно ещё и заглючит на полдороги

     
  • 1.11, srgaz (?), 07:11, 20/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >"Little SnitchЭ - дятел.

    А я хочу SELinux под MAC OS X.

     
     
  • 2.12, stranger (??), 10:19, 20/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот когда они исходники предоставят NSA, тогда все вполне возможно... Но не факт, ибо оно яблочникам нафиг не нужно.
     
     
  • 3.13, pavlinux (ok), 19:37, 20/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Там у них другое готовиться... К ним же переметнулся хрен, который разрабатывал фишки для OLPC
    - https://www.opennet.ru/opennews/art.shtml?num=21734
     

  • 1.14, айнаним (?), 09:12, 21/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А в убунте "гостевой сеанс" это не тожесамое? Или тожесамое, но для единого приложения?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру