Исполнимая игра в песочнице Linux?
find делает задание:
find . -iname "*€*" -delete избавляется от всех файлов, имя которых соответствует "€", быть осторожным, найдите, входит в подкаталоги также, если Вы не хотите это, необходимо настроить параметрические усилители находки немного
Надлежащая подсистема безопасности, такая как SELinux позволит Вам выполнять исполняемый файл с ограниченным или никакими возможностями, включая диск, сеть и средства UI. ulimit будет заботиться об остальных.
-
1Вы могли объяснить, как настроить довольно строгую песочницу с SELinux? – anonymous coward 20.12.2011, 16:47
-
2Не... в течение ответа здесь. Но я могу сказать Вам, что необходимо создать новый домен и два контекста файла, один для исполняемого файла интерпретатора и один для любого сценария и файлов данных, которые он имеет, затем ограничьте возможности домена к минимальному необходимому набору. гостевые дополнения – Ignacio Vazquez-Abrams 20.12.2011, 16:53
-
3@CharlieSomerville, Попытка это руководство: linuxtopia.org/online_books/getting_started_with_SELinux / … – n0pe 20.12.2011, 19:00
Возможно, необходимо рассмотреть возможности как:
- Контрольные группы
- seccomp
- и это - seccomp-медсестра модификации
- использование LD_PRELOAD (не очень безопасный, хотя..)
- systrace (кажется, отказываются :()
- Всплеск
- SUBTERFUGUE
Они отличаются по возможностям и производительности, таким образом, необходимо провести немного исследования для обнаружения то, что является лучшим для случая.
-
1я предположил бы cgroups, будет надлежащим инструментом, но трудно сказать от вопроса. – Philip Durbin 31.12.2011, 06:54
Как выше, SELinux, Tomoyo или AppArmour. Сделайте поиск MAC (Обязательный Доступ Controll).