Sydbox eine ptrace basierten Sandbox-Implementierung, die zum Teil von Catbox und strace basiert.
Als ptrace basiert, ist es nicht die bekannten Sicherheitsproblemen leiden, dass LD_PRELOAD basierten Sandbox-Implementierungen leiden.
Sydbox bemüht sich, Symlinks und andere Art von Rennen zu vermeiden, um auf der sicheren Seite zu sein. Es hat grundlegende Unterstützung für Netzwerkverbindungen zu verbieten.
Derzeit unterstützt nur x86 und x86_64-Architekturen, aber die Unterstützung für neue Architekturen sollte trivial sein.
Derzeit ist es fängt 15 Systemaufrufe. Die andere wesentliche Systemaufrufe, die abgefangen werden muss, sind die in dem Zusatz-Funktionen (openat, mkdirat, mknodat etc.) und ich werde ihnen bald hinzufügen. Sehen Sie in der Systemaufruf Dispatch-Tabelle in src / syscall.c⁴ für weitere Informationen.
Die Konfiguration erfolgt mit verwirren behandelt, ist es ziemlich einfach und leicht zu verstehen. Sehen Sie in der Beispielkonfiguration file⁶ für weitere Informationen.
Nutzung und einfachen Übergang in meiner bescheidenen Meinung sein. Repositories wird eine Standard sydbox.conf Datei in den Metadaten /.
Es wird pro Kategorie und pro-Paket basiert sydbox.conf Dateien, die addpredict und addwrite Anrufe zu ersetzen sein wird.
Diese Dateien sollten include () das Repository Standard-Konfigurationsdatei, die leicht durchgeführt werden kann, wenn der Paket-Manager eine Umgebungsvariable, die an der Wurzel des Repository verweist setzt. Verwirren Sie können Umgebungsvariablen zu handhaben.
Der Paketmanager soll die exheres rufen mit sydbox wie:. Sydbox -p PHASE - Befehl-to-Execute-Phase
Was ist neu in dieser Pressemitteilung:
- Feste SYDBOX_USER_CONFIG.
Anforderungen :
- PinkTrace
Kommentare nicht gefunden