محدود کردن اجرای پروسهها به کمک Sandbox در لینوکس
مفهوم Sandboxing به جدا کردن پروسههای در حال اجرا و محدود کردن دسترسی آنها به منابع سیستم اشاره دارد که در صورت آلوده بودن نرمافزار، مابقی بخشهای سیستم کمتر تحت تاثیر قرار گرفته و دامنهی آسیب کاهش یابد.
روشها و ابزارهای مختلفی برای انجام Sandboxing بر روی لینوکس وجود دارد و برخی از این روشها مستقیم توسط کرنل نیز پشتیبانی میشوند. به عنوان مثال در لینوکس به کمک namespaces امکان جداسازی سیستمفایل، شبکه و پروسههای سیستم از یکدیگر فراهم بوده و به کمک cgroups میتوانیم محدودیت دسترسی به RAM/CPU تعریف کنیم، که ایجاد Containerها و استفاده از docker به لطف این موارد در لینوکس امکانپذیر است.
یک روش جالب دیگر برای ایجاد محدودیت اجرا در لینوکس seccomp است که خود یک System Call بوده و قابلیت محدود کردن System Callهایی که یک پروسه امکان اجرای آنها را دارد فراهم میکند. این System Call به شیوههای مختلفی مثل تعریف محدودیت درون برنامه، اعمال محدودیت به کمک systemd و استفاده به صورت library و با ست کردن LD_PRELOAD قابل استفاده است.
در این ویدئو کاربرد Sandboxing توضیح داده شده و پس از معرفی چند روش انجام آن، جزئیات و نحوهی استفاده و کاربرد seccomp در لینوکس نمایش داده میشود.
لینک ویدئو در یوتیوب:
https://youtu.be/g8fuUag7oA8
لینک ویدئو در آپارات:
https://aparat.com/v/wowkca1
#ShortLinuxInternals #linux #internals #kernel #programming #seccomp #sandbox #namespaces #syscalls #processes #systemd
مفهوم Sandboxing به جدا کردن پروسههای در حال اجرا و محدود کردن دسترسی آنها به منابع سیستم اشاره دارد که در صورت آلوده بودن نرمافزار، مابقی بخشهای سیستم کمتر تحت تاثیر قرار گرفته و دامنهی آسیب کاهش یابد.
روشها و ابزارهای مختلفی برای انجام Sandboxing بر روی لینوکس وجود دارد و برخی از این روشها مستقیم توسط کرنل نیز پشتیبانی میشوند. به عنوان مثال در لینوکس به کمک namespaces امکان جداسازی سیستمفایل، شبکه و پروسههای سیستم از یکدیگر فراهم بوده و به کمک cgroups میتوانیم محدودیت دسترسی به RAM/CPU تعریف کنیم، که ایجاد Containerها و استفاده از docker به لطف این موارد در لینوکس امکانپذیر است.
یک روش جالب دیگر برای ایجاد محدودیت اجرا در لینوکس seccomp است که خود یک System Call بوده و قابلیت محدود کردن System Callهایی که یک پروسه امکان اجرای آنها را دارد فراهم میکند. این System Call به شیوههای مختلفی مثل تعریف محدودیت درون برنامه، اعمال محدودیت به کمک systemd و استفاده به صورت library و با ست کردن LD_PRELOAD قابل استفاده است.
در این ویدئو کاربرد Sandboxing توضیح داده شده و پس از معرفی چند روش انجام آن، جزئیات و نحوهی استفاده و کاربرد seccomp در لینوکس نمایش داده میشود.
لینک ویدئو در یوتیوب:
https://youtu.be/g8fuUag7oA8
لینک ویدئو در آپارات:
https://aparat.com/v/wowkca1
#ShortLinuxInternals #linux #internals #kernel #programming #seccomp #sandbox #namespaces #syscalls #processes #systemd
YouTube
Process Sandboxing in Linux [PER]
روشها و ابزارهای مختلفی برای انجام Sandboxing بر روی لینوکس وجود دارد و برخی از این روشها مستقیم توسط کرنل نیز پشتیبانی میشوند. به عنوان مثال در لینوکس به کمک namespaces امکان جداسازی سیستمفایل، شبکه و پروسههای سیستم از یکدیگر فراهم بوده و به کمک cgroups…
👍12❤10