О, чудесно, весьма полезная вещь. Жаль только от Селялипса напрямую зависит :-(

> Жаль только от Селялипса напрямую зависит :-(

не жаль. иначе был бы велосипед.

хм.. почему новость до сих пор не подтвердили, хотя одновременно с новостью о мандриве отправил.

в бубунте SElinux заменили на AppArmor, говорят что первый сильно сложный. интересно можно ли через последний добиться тогоже успеха?

Жёстко.

>Например, без возможности...создания файлов.

Очёнь жёсткое ограничение.

В Windows Seven как раз перед этим, анонсировали подобную функцию, причём назвали её тоже "песочница". Молодцы ребята - копировать самое лучшее тоже надо уметь

топик просто шедевральный

>>в бубунте SElinux заменили на AppArmor, говорят что первый сильно сложный. интересно можно ли через последний добиться тогоже успеха?

Можно. в сусе по умолчанию аппармор - действительно проще, чем селинукс, а по возможностям уступает не сильно (если вообще уступает :/ )

>sandbox

неужели имена закончились?! Вроде уже давно есть продукт с таким названием...

> Можно. в сусе по умолчанию аппармор - действительно проще, чем селинукс, а по возможностям уступает не сильно (если вообще уступает :/ )

Конечно, уступает! Мнимая простота аппармору даётся не из-за того, что он лучше спроектирован, а из-за того, что в самой его основе лежит более простая идея.

У концепции песочницы корни растут с хз каких времен. Из того что я помню это Java с ее аплетами в "песочнице", это 95-96 год. Наверняка старички вспомнят еще что-то древнее.

Кто кого копировал - это еще надо поглядеть... ;-)

Мелкомягкие большие мастера в этом деле. Копирование хороших идей - это не есть зло (как может плохим размножение хорошего ?!?). Плохо - когда не дают копировать хорошие идеи. К сожалению, тут Мелкомягкие тоже большие мастера.

всегда использовал chroot для этих целей. остальное - велосипедизм и от лукавого.

>В Windows Seven как раз перед этим, анонсировали подобную функцию, причём назвали её тоже
>"песочница". Молодцы ребята - копировать самое лучшее тоже надо уметь

Слишком толсто. Почему вас не возмущает, что линукс также как и _Windows_ использует "файловые системы"? Неужели ничего нового не могли придумать, а?

ПС. Читайте http://ru.wikipedia.org/wiki/Песочница_(безопасность) и не несите больше бред, прошу вас!

>остальное - велосипедизм и от лукавого.
Ну-ну. А если софтину надо, например, ещё и в инет не пустить?

>это 95-96 год

chroot х.з. сколько лет, но он должен быть старее

>всегда использовал chroot для этих целей. остальное - велосипедизм и от лукавого.

а там можно ограничения вводить на число дескрипторов и т.д.?

>Слишком толсто. Почему вас не возмущает, что линукс также как и _Windows_ использует "файловые системы"? Неужели ничего нового не могли придумать, а?

ПС. Читайте http://ru.wikipedia.org/wiki/Песочница_(безопасность) и не несите больше бред, прошу вас!

Всё верно, но я Вас прошу - не надо так грубо! Что интересно, даже ВМ VirtualBox тоже отнесли к разряду песочниц!

Супер. Часто надо. Теперь можно использовать реже VirtualBOX.
Надеюсь, ограничения можно настраивать

Как сейчас помню историю опубликования на ЛОРе перлового нечитаемого однострочного кода, который сводился к rm -rf от корня...

sys-apps/sandbox...
опять пересечения названий... у нас в Gentoo уже есть своя песочница...

> В Windows Seven как раз перед этим, анонсировали подобную функцию, причём назвали её тоже "песочница". Молодцы ребята - копировать самое лучшее тоже надо уметь

Компания Х изобрела свой вариант вилки, причем назвала ее вилкой. Тоже видимо копируют. По вашему назвать это нужно было иначе?

>линукс также как и _Windows_ использует "файловые системы"

Толсто. Как раз Линукс имеет право использовать ФС, т.к. unix-совместим; придумывать что-то новое должны были как раз мелгомягкие.

> sys-apps/sandbox...
> опять пересечения названий... у нас в Gentoo уже есть своя песочница...

Ну будет в другой категории, или суффикс к имени приделают. Не впервый же раз:

net-im/psi
и
sci-chemistry/psi

все там читается.

> А если софтину надо, например, ещё и в инет не пустить?

всегда использовал файрвол для этих целей.

Ну извини, не стал ставить кавычки вокруг слова "нечитаемого". С ходу не придумаешь удачный перевод слову "obfuscated".

> без возможности использования сети, создания файлов

кроме переданных процессу.

два psi меня тоже очень раздражают :)

> два psi меня тоже очень раздражают :)

Чем же? Я ни одного из них не использую, и меня это не напрягает. Уверен, что в портеже есть и другие примеры.

>Толсто. Как раз Линукс имеет право использовать ФС, т.к. unix-совместим; придумывать что-то новое должны были как раз мелгомягкие.

Извините, историю развития ФС плохо знаю.

а если и оверлеи добавить...
недавно так с gnome-commander и pcmanfm натыкался

антиоффтопик: Большинство юзеров про эту утилиту никогда не узнают все равно

сам я его не юзаю, несколько лет назад ушел на gajim, но во времена когда юзал, каждый раз говоря emerge psi видел ругань с просьбой сказать какой именно psi я хочу.

>всегда использовал файрвол для этих целей.
Ну неудобно это - для разных ограничений использовать кучу всего разного. Гораздо удобнее когда все эти настройки доступны вместе для песочницы.

>>sandbox >неужели имена закончились?! Вроде уже давно есть продукт с таким названием...

Такс. Предлагаю saintcocks.

Позитивненько, раньше для тестирования всяких однострочников на перле приходилось использовать всякие VirtualBox и т.п.

>Большинство юзеров про эту утилиту никогда не узнают
а зачем оно надо _большинству_ юзеров?

Колличество троллия, школия и прочих наркоманов просто зашкаливает все разумные пределы. Sandbox - это не конкретная программа, а целая концепция.

В генте исходники в песочнице компилятся это не та самая?

не, это будет её тезка с карточными играми и развратными женщинами.

Линупсоиды наконец-то осилили jails из FreeBSD?

>Линупсоиды наконец-то осилили jails из FreeBSD?

саныч не в теме

>Линупсоиды наконец-то осилили jails из FreeBSD?

почему-то подумалось о том же самом

cat "test... test... test..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see' - переварит/или же снесет крышу песочнице

вирусы наступают

>>Линупсоиды наконец-то осилили jails из FreeBSD?

>почему-то подумалось о том же самом

вы, батенька, путаете понятия chroot/jail и selinux/apparmor

Ну да. Вот тот же jail в БЗД))))

> в бубунте SElinux заменили на AppArmor, говорят что первый сильно сложный.

Для убунты он действительно сильно сложный. И это не стёб, создать свои политики для SELinux далеко не каждый сможет.

> Можно. в сусе по умолчанию аппармор - действительно проще, чем селинукс, а по возможностям уступает не сильно (если вообще уступает :/ )

...А вообще сравнивать SELinux и AppArmor - всё равно, что сравнивать iptables с tcp_wrappers...