Изоляция программы средствами Systrace

26.01.2006 14:29

В статье "Add an extra layer of security with systrace" приводится пример ограничения полномочий проблемного с точки зрения безопасности процесса, используя простое и элегантное решение - systrace.

Суть systrace в определении набора ограничений для системных вызовов используемых в подконтрольной программе. Гибкие возможности задания масок для параметров, позволяют, например, запретить выход за пределы определенной директории или создание исходящих сетевых соединений. Для облегчения формирования блоков правил, программа работая в режиме слежения может сформировать шаблон, включив в него всю зарегистирированную активность по системным вызовам.

Systrace яркий пример, как не прибегая к усложнениям подобным SELinux, создать простое, понятное и эффективное решение.