Fundido no Kernel Linux 5.13 no ano passado, o Landlock permitiu o sandbox de aplicativos sem privilégios . O Landlock permite restringir os direitos de ambiente para um conjunto de processos e é implementado como um módulo de segurança Linux empilhável (LSM) para estabelecer sandboxes de segurança seguras. Com o Kernel Linux 6.2, o suporte para o filw truncation foi adicionado para o Landlock.
Os desenvolvedores do Landlock estão trabalhando para uma cobertura mais completa das operações do sistema de arquivos que podem ser restringidas por este LSM. Como parte disso para este ciclo do kernel, o suporte do file truncation está pronto. Por sua vez, isso completa a cobertura das operações que modificam o conteúdo do arquivo, portanto, com o Kernel Linux 6.2, deve ser possível impedir a modificação direta do conteúdo do arquivo com o Landlock.
O novo LANDLOCK_ACCESS_FS_TRUNCATEO sinalizador abrange as chamadas de sistema truncate e ftruncate, bem como a chamada aberta com o sinalizador truncate junto com a chamada creat() onde os arquivos existentes estão sendo substituídos.
Mais detalhes sobre esse suporte truncado para Landlock podem ser encontrados por meio desta solicitação pull do código agora mesclado para reforçar os recursos dessa solução de sandbox de aplicativo para controle de acesso não privilegiado.
Aqueles que desejam aprender mais sobre o Landlock em geral podem visitar oLandlock.io como o site de documentação do projeto.
Até a próxima !!
Nenhum comentário:
Postar um comentário