Запуск опасных приложений

самый модный способ - виртуализация :)

xen kvm virtuozzo

в chroot сажать дешево и сердито, но не так безопасно и не модно

можно в UML запустить (от пользователя, рута не требуется), тоже дешево и сердито, безопасно
но производительность на непатченном под UML хостовом ядре невысокая

то есть, вражеское приложение не сможет навредить хост-системе? А сетку как защитить, в которой стоит хост?

если в виртуальной машине запустить - считайте что выделили для этого приложения отдельный компьютер, пусть себе вредит сколько угодно

Касперский и его коллеги так и пускают вирусы - в виртуальных машинах...


а сетку защищать стандартно ) не совсем понятно что за приложение и как оно может навредить сети, если что - можно посадить его в отдельную подсеть, в принципе.

ясно, в итоге это просто та же виртуализация. Интересно было бы скорее изолировать приложение в рамках системы, чтобы оно не могло никуда вылезти за пределы обозначенных ему рамок... Скажем так, приложение вероятнее всего позволяет открывать удалённый шэлл юзера, под которым работает. То есть изначально можно считать, что злоумышленник получил непривилегированный шэлл на сервере. Надо не дать похитить инфу и не дать навредить серваку и зафлудить сетку в которой он живёт... Обидно из-за этого тратить ресурсы на виртуализацию :)

можно воспользоваться правилами role based, например SELinux
по виртуализация - надежнее и проще, и даже если оно сможет навредить - то навредит только своей же виртуальной машине.

чтобы не зафлудило сетку в которой живет - Xen/Virtuozzo вполне умеют мониторить ресурсы сети для виртуальных машин

оки, вообщем, спасибо за наводку, буду думать :)

> в chroot сажать дешево и сердито, но не так безопасно и не модно
С rsbac в chroot сажать очень даже сердито, главное осилить один патч, одну контрольку и две хаутушки.

Посмотри на RSBAC патчи.

http://www.linux.org.ru/view-message.jsp?msgid=3424178