LINUX.ORG.RU

Запуск опасных приложений


0

0

Кто знает, какой сейчас самый модный способ для организации сервера приложений с опасной прогой в качестве этого самого приложения? То есть, существует предельно дырявая софтина, которая должна сидеть на серваке, работать, и при этом не наносить вред серваку и сетке в которой этот сервак стоит :) Как нынче это реализуется?

☆☆☆☆

самый модный способ - виртуализация :)

sidor ★★
()
Ответ на: комментарий от Sylvia

можно в UML запустить (от пользователя, рута не требуется), тоже дешево и сердито, безопасно
но производительность на непатченном под UML хостовом ядре невысокая

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

то есть, вражеское приложение не сможет навредить хост-системе? А сетку как защитить, в которой стоит хост?

Hokum ☆☆☆☆
() автор топика
Ответ на: комментарий от Hokum

если в виртуальной машине запустить - считайте что выделили для этого приложения отдельный компьютер, пусть себе вредит сколько угодно

Касперский и его коллеги так и пускают вирусы - в виртуальных машинах...


а сетку защищать стандартно ) не совсем понятно что за приложение и как оно может навредить сети, если что - можно посадить его в отдельную подсеть, в принципе.

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

ясно, в итоге это просто та же виртуализация. Интересно было бы скорее изолировать приложение в рамках системы, чтобы оно не могло никуда вылезти за пределы обозначенных ему рамок... Скажем так, приложение вероятнее всего позволяет открывать удалённый шэлл юзера, под которым работает. То есть изначально можно считать, что злоумышленник получил непривилегированный шэлл на сервере. Надо не дать похитить инфу и не дать навредить серваку и зафлудить сетку в которой он живёт... Обидно из-за этого тратить ресурсы на виртуализацию :)

Hokum ☆☆☆☆
() автор топика
Ответ на: комментарий от Hokum

можно воспользоваться правилами role based, например SELinux
по виртуализация - надежнее и проще, и даже если оно сможет навредить - то навредит только своей же виртуальной машине.

чтобы не зафлудило сетку в которой живет - Xen/Virtuozzo вполне умеют мониторить ресурсы сети для виртуальных машин

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

оки, вообщем, спасибо за наводку, буду думать :)

Hokum ☆☆☆☆
() автор топика
Ответ на: комментарий от Sylvia

> в chroot сажать дешево и сердито, но не так безопасно и не модно
С rsbac в chroot сажать очень даже сердито, главное осилить один патч, одну контрольку и две хаутушки.

Lumi ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.