FreeBSD дээр plegde-тэй төстэй тусгаарлах механизмыг хөгжүүлж байна

Тэр нь илэрсэн хэрэгжүүлэхийг санал болгов a FreeBSD-д зориулсан програм тусгаарлах механизм, энэ нь OpenBSD төслөөс боловсруулсан нугалах, нээх системийн дуудлагуудыг санагдуулдаг.

Plegde-д тусгаарлалт нь програмд ​​ашиглагдаагүй системийн дуудлагад хандахыг хориглож, зөвхөн тухайн програмын ажиллах боломжтой зарим файлын зам руу хандах хандалтыг нээх замаар хийгддэг. Програмын хувьд системийн дуудлага, файлын замуудын нэг төрлийн цагаан жагсаалт үүсдэг бөгөөд бусад бүх дуудлага, замыг хориглодог.

Эвхэгдсэн болон задалсан хоёрын ялгаа, FreeBSD-д зориулан боловсруулсан, энэ нь нэмэлт давхарга өгөх хүртэл буцалгана Энэ нь танд кодыг нь өөрчлөхгүйгээр эсвэл хамгийн бага өөрчлөлтгүйгээр програмуудыг тусгаарлах боломжийг олгодог. OpenBSD-д plegde and unlock нь үндсэн орчинтой нягт уялдаа холбоотой байх зорилготой бөгөөд програм бүрийн код дээр тусгай тэмдэглэгээ нэмэх замаар хэрэгждэг гэдгийг санаарай.

Хамгаалалтын зохион байгуулалтыг хялбарчлахын тулд шүүлтүүрүүд нь системийн дуудлагын түвшний нарийн ширийн зүйлээс зайлсхийх, системийн дуудлагын ангиллыг (оролт/гаралт, файл унших, файл бичих, залгуур, ioctl, sysctl, процессыг эхлүүлэх гэх мэт) удирдах боломжийг олгодог. . Тодорхой үйлдлүүд хийгдэж байгаа тул хандалтыг хязгаарлах функцийг програмын кодонд дуудаж болно, жишээлбэл, шаардлагатай файлуудыг нээж, сүлжээний холболт үүсгэсний дараа залгуурууд болон файлуудад хандах хандалтыг хааж болно.

FreeBSD-д зориулсан нугалах, нээх портын зохиогч дурын програмуудыг тусгаарлах боломжийг олгох зорилготой, Тусдаа файлд тодорхойлсон дүрмийг програмуудад ашиглах боломжийг олгодог хөшигний хэрэгслийг санал болгож байна. Санал болгож буй тохиргоонд системийн дуудлагын ангиллыг тодорхойлсон үндсэн тохиргоо, тодорхой програмуудад зориулагдсан ердийн файлын зам (дуу, сүлжээ, бүртгэл гэх мэт), мөн тусгайлсан програмуудад зориулсан хандалтын дүрэм бүхий файл орно.

Хөшигний хэрэгслийг ихэнх хэрэгслүүд, серверийн процессууд, график програмууд, тэр ч байтугай өөрчлөгдөөгүй бүх ширээний сессүүдийг тусгаарлахад ашиглаж болно. Jail болон Capsicum дэд системүүдийн тусгаарлах механизмтай хөшгийг хуваалцахыг дэмждэг.

Мөн түүнчлэн үүрлэсэн тусгаарлалтыг зохион байгуулах боломжтой; эхлүүлсэн програмууд нь эх програмын тогтоосон дүрмийг өвлөн авах үед, тэдгээрийг тус тусад нь хязгаарлалтаар нөхөх. Зарим цөмийн үйлдлүүд (дибаг хийх хэрэгслүүд, POSIX/SysV IPC, PTY) нь одоогийн болон эх процессоос өөр процессоор үүсгэгдсэн цөмийн объектуудад хандахаас сэргийлдэг саадын механизмаар нэмэлт хамгаалалттай байдаг.

Процесс нь curtainctl-г дуудаж өөрийн тусгаарлалтыг тохируулах боломжтой эсвэл OpenBSD-ийн адил libcurtain номын сангаас өгсөн plegde() болон unveil() функцуудыг ашиглан. Аппликешн ажиллаж байх үед түгжээг хянахын тулд "security.curtain.log_level" системээр хангагдсан болно.

Хөшгийг эхлүүлэх үед "-X"/"-Y" болон "-W" сонголтуудыг зааж өгснөөр X11 болон Wayland протоколуудад хандах хандалтыг тус тусад нь идэвхжүүлдэг боловч график програмуудын дэмжлэг хараахан хангалттай тогтворжоогүй байгаа бөгөөд хэд хэдэн шийдэгдээгүй асуудлуудтай ( X11-ийг ашиглах үед асуудал ихэвчлэн гарч ирдэг бөгөөд Wayland-ийн дэмжлэг илүү сайн байдаг). Хэрэглэгчид дотоод дүрмийн файлуудыг (~/.curtain.conf) үүсгэснээр нэмэлт хязгаарлалт нэмж болно. Жишээлбэл,

Хэрэгжилт нь заавал нэвтрэх хяналтын mac_curtain цөмийн модуль (MAC), шаардлагатай драйверууд болон шүүлтүүрүүдийг хэрэгжүүлсэн FreeBSD цөмд зориулсан засваруудын багц, plegde ашиглах libcurtain номын сан, программ дахь илчлэгдсэн функцууд, хэрэгслийн хөшиг, тохиргоог харуулдаг. файлууд, тестийн багц болон зарим хэрэглэгчийн орон зайн програмуудад зориулсан засварууд (жишээ нь, түр зуурын файлуудтай ажиллахыг нэгтгэхийн тулд $TMPDIR ашиглах). Боломжтой бол зохиогч цөм болон програмуудыг засварлах шаардлагатай өөрчлөлтүүдийн тоог багасгахыг хичээдэг.

Эцэст нь Хэрэв та энэ талаар илүү ихийг мэдэхийг хүсч байвал, та дэлгэрэнгүй мэдээллийг шалгаж болно Дараах холбоос дээр.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.