sandboxing se aproxima [fechado]

0

você sabe onde encontrar outra comparação entre abordagens de sandboxing como este ?

Além disso, gostaria que vocês me explicassem por que o SELinux ou o Seccomp não estão incluídos nessa tabela.

    
por bulkmoustache 02.12.2013 / 20:03

1 resposta

1

why isn't SELinux or Seccomp included in that table

Como diz no topo dessa página, considera:

Operating system-level virtualization [...] where the kernel of an operating system allows for multiple isolated user-space instances

Não é isso que o SELinux ou o Seccomp fazem. Eles restringem o que um processo pode fazer no espaço do usuário existente , em vez de criar um espaço de usuário separado para os processos operarem dentro dele. Máquinas virtuais também podem ser usadas para sandboxing, e elas não estão nessa lista, pois geralmente isolariam um usuário -space, eles também isolam o espaço do kernel. Assim, uma máquina virtual pode proteger um sistema operacional inteiro, a virtualização do nível do sistema operacional apenas protege o espaço do usuário, e coisas como o SELinux apenas protegem processos ou usuários individuais.

Veja algumas das coisas que são separadas em "um espaço de usuário separado":

  • Sistemas de arquivos: o que significa que você não pode acessar nenhum dos arquivos no espaço do host. O SELinux, por outro lado, apenas restringe quais arquivos podem ser acessados. Parte do significado disso é que inclui bibliotecas, executáveis, etc. Você pode proteger um aplicativo e executá-lo usando o SELinux, mas em um contexto de virtualização no nível do sistema operacional, você deve instalar e executar o aplicativo no primeiro contêiner. Você não pode executar qualquer coisa no sistema operacional host.
  • Rede: significa que, se você precisar acessar uma rede, esse acesso deverá ser organizado separadamente no contêiner. Você não pode usar as conexões de rede do sistema operacional host.
por 02.12.2013 / 20:39

Tags