AK
но это всё ещё медленно, насколько я понимаю задача io bound
Size: a a a
2021 February 27
AK
если что оно конечно в гит репозитории лежит и будет под isc
T
Кстати, а стояла то где?
В смысле страна/город
В смысле страна/город
AK
хз, сейчас попробовал и мне seccomp кажется ужасным
AK
я помню то ли на нульче, то ли на другой подобной борде был нормальный гайд, не мануал, а пользовательский гайд по секкомп, но найти не могу
AK
Да ? Ну а с чем вы в тот момент сравнивали pledge(2) ? Что лушче его ? Capsicum ?
AK
бля, ну его нахер, это же смешно,
SET_MODE_STRICT даст мне только read(2), write(2), но нужен же ещё pipe(2)N
capsicum и pledge немного про разное. Capsicum - это прям совсем честный сандбокс, pledge - скорее prvilege revocation.
Capsicum сильно сложнее.
В то же время, например, поломав прогу там нельзя сделать exec на само приложение, загрузив тем самым его без ограничений pledge (сначала ещё надо умудриться взломать, да + есть execpromisses, которыми, впрочем, сложно пользоваться правильно)
Capsicum сильно сложнее.
В то же время, например, поломав прогу там нельзя сделать exec на само приложение, загрузив тем самым его без ограничений pledge (сначала ещё надо умудриться взломать, да + есть execpromisses, которыми, впрочем, сложно пользоваться правильно)
AK
ясно, значит буду делать под фряху
AK
да я понял
a@
точно. под капот скотинке никто не лазил
a@
СПб, Россия. SCO+Micros.
AK
Да, есть такое, по ощущениям немного более гибкое разграничение и сложный механизм, всё ещё лучше seccomp, имхо
AK
бтв я его поддержку в свой юникс фильтр добавил, но не потестил
N
Что ты имеешь ввиду под "более жёстким разграничением"?
Как я понимаю (и помню), pledge - это когда ты задаешь список capabilitues, которыми обладает процесс и его потомки и далее можно только сужать список доступного. Если программа полезла туда, куда нельзя, ей прилетает девятка и она завершается. Capabilities объединены в группы по смыслу, т.е. руками перечислять сисколлы не надо (и нельзя).
Capsicum это большой и сложный фреймворк, который позволяет гибко управлять доступом к различным объектам. Это намного гибче, чем pledge, но и сложнее. Как в использовании, так и в устройстве. Например, в capsicum можно запретить для конкретного файлового дескриптора всё, кроме read и write, pledge и unveil так не умеют (по задумке). После cap_enter, по сути при каждом сисколле проверяются разнообразные права, по сути, над каждым вызвом существует "обёртка" (поэтому я и говорил про "честный" sandbox, поэтому и exec со сброшенным ограничениями capsicum невозможен).
Из этих различий в устройстве и возможностях не следует, что что-то лучше/хуже/безопаснее. Всё зависит от того, насколько это эффективно будет применено на практике. Сильная сторона pledge/unveil - простота в использовании и внерении. Сильная сторона capsicum - возможность гибкого управления правами.
Как я понимаю (и помню), pledge - это когда ты задаешь список capabilitues, которыми обладает процесс и его потомки и далее можно только сужать список доступного. Если программа полезла туда, куда нельзя, ей прилетает девятка и она завершается. Capabilities объединены в группы по смыслу, т.е. руками перечислять сисколлы не надо (и нельзя).
Capsicum это большой и сложный фреймворк, который позволяет гибко управлять доступом к различным объектам. Это намного гибче, чем pledge, но и сложнее. Как в использовании, так и в устройстве. Например, в capsicum можно запретить для конкретного файлового дескриптора всё, кроме read и write, pledge и unveil так не умеют (по задумке). После cap_enter, по сути при каждом сисколле проверяются разнообразные права, по сути, над каждым вызвом существует "обёртка" (поэтому я и говорил про "честный" sandbox, поэтому и exec со сброшенным ограничениями capsicum невозможен).
Из этих различий в устройстве и возможностях не следует, что что-то лучше/хуже/безопаснее. Всё зависит от того, насколько это эффективно будет применено на практике. Сильная сторона pledge/unveil - простота в использовании и внерении. Сильная сторона capsicum - возможность гибкого управления правами.
AK
Не, я про capsicum, там болле гибкое разграничение, не в pledge