FERRAMENTAS LINUX: O Landlock acelerou pela 11ª vez em sandboxes de segurança sem privilégios e poderosos

quarta-feira, 30 de outubro de 2019

O Landlock acelerou pela 11ª vez em sandboxes de segurança sem privilégios e poderosos



Confira !!



O Landlock passou por revisões a cada poucos meses e esta semana marca a 11ª vez que os patches foram lançados para este interessante Módulo de Segurança Linux (LSM) do sandboxing.

Para aqueles que não se lembram ou não leram anteriormente sobre o Landlock, ele oferece uma funcionalidade sandbox semelhante à encontrada em alguns BSDs ao empregar o eBPF para torná-lo bastante extensível:
O Landlock é um LSM empilhável destinado a ser usado como uma estrutura de baixo nível para criar sistemas personalizados de controle de acesso / auditoria ou agentes de segurança de terminais seguros. Atualmente, existe um gancho de bloqueio de linha dedicado para verificar o ptrace (2). Esse gancho aceita um programa eBPF dedicado, chamado de programa Landlock, que atualmente pode comparar sua posição na hierarquia de programas similares vinculados a outros processos. Isso permite impor restrições programáticas de escopo ptrace.

O objetivo final deste novo Linux Security Module (LSM) chamado Landlock é permitir que qualquer processo, incluindo os sem privilégios, crie caixas de proteção de segurança poderosas comparáveis ​​às do XNU Sandbox, FreeBSD Capsicum ou OpenBSD Pledge (que pode ser implementado com o Landlock). Espera-se que esse tipo de sandbox ajude a mitigar o impacto na segurança de bugs ou comportamentos inesperados / maliciosos em aplicativos no espaço do usuário.

O uso do seccomp e do Landlock é mais adequado com a ajuda de uma biblioteca de espaço do usuário (por exemplo, libseccomp) que pode ajudar a especificar um idioma de alto nível para expressar uma política de segurança em vez de programas brutos do eBPF. Além disso, graças ao front-end do LLVM, é muito fácil escrever um programa eBPF com um subconjunto da linguagem C.

Hoje em dia, você também é o site do projeto landlock.io com mais detalhes.

Os patches v11 descartam os recursos do sistema de arquivos pelo menos por enquanto, um novo programa ptrace foi adicionado e estendendo os testes do ptrace, mais documentação foi adicionada e outras melhorias no código. O v11 corrige entre pouco menos de duas mil linhas de novo código no formulário atual do kernel, graças à alavancagem de código existente como o eBPF.

Esperamos que o Landlock consiga transformá-lo em uma versão estável do kernel em 2020.


Fonte

Até a próxima !

Nenhum comentário:

Postar um comentário