LINUX.ORG.RU
ФорумSecurity

Linux sandboxing

 , ,


1

3

Тут недавно был тред про песочницы, но там обсуждалась реализация (что-то в духе, почему в бсд так, а в линуксе не так).

У меня практический вопрос: что сейчас используется для sandboxing'а? Задача проста: есть недовереннные приложения (бинарники из левых источников). Надо запустить их, обеспечивая максимальную безопасность с минимальными затратами. Вариант - не запускать левые бинариники не подходит.

★★

Последнее исправление: maverik (всего исправлений: 1)
Nginx не срабатывает правило от SQL инъекций.
Локальный пользователь может получить root благодаря ошибке в ядре
1 2
Ответ на: комментарий от Quasar

Эта обёртка имеет suid права и на всякий случай она огораживается как раз таки для защиты от дыр в firejail.

Vigi
()
Ответ на: комментарий от Quasar

У меня подход, который меня устраивает - доверять мейнтейнерам или авторам софта, а не школьникам, которые собирают его. Это не идеальное решение, но оптимальное для меня.

maverik ★★
() автор топика
Ответ на: комментарий от Quasar

На фряхе всегда всё было плохо

Требуются пруфы.

maverik ★★
() автор топика
Ответ на: комментарий от maverik

Контейнеры — это не средство безопасной изоляции, когда уже запомните. Даже самая обычная виртуальная машина безопаснее, VirtualBox какой-нибудь.
К слову, запускать GUI в LXC изрядная морока.

anonymous
()

Я bubblewrap использую, доволен как слон. Не знаю насколько его можно считать безопасным, но вроде много где используется. Причём полезно даже с доверенными скриптами: однострочником быстро сделать chroot с bind mount и тестить не засоряя корень. Например, когда make install не умеет в DESTDIR.

snizovtsev ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Nginx не срабатывает правило от SQL инъекций.
Security
Локальный пользователь может получить root благодаря ошибке в ядре