Систраце
В этой статье есть несколько проблем. Пожалуйста, помогите улучшить его или обсудите эти проблемы на странице обсуждения . ( Узнайте, как и когда удалять эти шаблонные сообщения )
|
Оригинальный автор(ы) | Нильс Провос |
---|---|
Стабильная версия | 1,6 г
/ 15 марта 2009 г |
Операционная система | Unix-подобный |
Тип | Компьютерная безопасность |
Лицензия | BSD-подобный |
Веб-сайт | www |
Systrace — это утилита компьютерной безопасности , которая ограничивает доступ приложений к системе, применяя политики доступа для системных вызовов . Это может смягчить последствия переполнения буфера и других уязвимостей безопасности. Он был разработан Нильсом Провосом и работает на различных Unix-подобных операционных системах .
Systrace особенно полезен при запуске ненадежных или только двоичных приложений и предоставляет средства для повышения привилегий на основе системных вызовов, помогая устранить необходимость в потенциально опасных программах setuid . Он также включает функции интерактивного и автоматического создания политик, помогающие создать базовую политику для приложения.
Systrace раньше был интегрирован в OpenBSD , но был удален в апреле 2016 года. [1] [2] (в пользу обещанного поста OpenBSD 5.9 [3] [4] ). Он доступен для Linux и Mac OS X , хотя порт OS X в настоящее время не поддерживается. Он был удален из NetBSD в конце 2007 года из-за нескольких неустраненных проблем реализации. Начиная с версии 1.6f, Systrace поддерживает 64-разрядную версию Linux 2.6.1 посредством исправления ядра.
Функции
[ редактировать ]Systrace поддерживает следующие функции:
- Ограничивает ненадежные двоичные приложения : приложению разрешено выполнять только те системные вызовы, которые разрешены в политике. Если приложение пытается выполнить системный вызов, который явно не разрешен, выдается сигнал тревоги.
- Интерактивное создание политик с графическим пользовательским интерфейсом . Политики можно создавать в интерактивном режиме через графический интерфейс Systrace. Интерфейс отображает системные вызовы и их параметры, на которые в настоящее время не распространяется политика, и позволяет пользователю уточнять политику, пока она не будет работать должным образом.
- Поддерживает различные эмуляции : Linux, BSDI и т. д.
- Неинтерактивное применение политики : после обучения политики можно использовать автоматическое применение политики для запрета всех системных вызовов, не охватываемых текущей политикой. Все нарушения регистрируются в системном журнале. Этот режим полезен при защите системных служб, таких как веб-сервер.
- Удаленный мониторинг и обнаружение вторжений : Systrace поддерживает несколько интерфейсов, используя интерфейс, использующий сеть, возможны очень расширенные функции.
- Повышение привилегий : используя режим повышения привилегий Systrace, можно избавиться от двоичных файлов setuid . Специальный оператор политики позволяет выбранным системным вызовам выполняться с более высокими привилегиями, например, создавая необработанный сокет .
История уязвимостей
[ редактировать ]В прошлом у Systrace было несколько уязвимостей, в том числе:
- Использование уязвимостей параллелизма в оболочках системных вызовов. Документ Роберта Уотсона с первого семинара USENIX по наступательным технологиям (WOOT07), в котором анализируются трассировки оболочек системных вызовов на нескольких платформах-оболочках, включая systrace.
- Служба безопасности Google обнаружила локальное повышение привилегий в Systrace
- Локальный root-эксплойт в NetBSD
- Уязвимости в systrace
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ Унангст, Тед (25 апреля 2016 г.). «бум взрывается динамитом» . openbsd-cvs (список рассылки) . Проверено 17 мая 2016 г.
- ^ Унангст, Тед (25 апреля 2016 г.). «удалить систрасию» . openbsd-cvs (список рассылки) . Проверено 17 мая 2016 г.
- ^ «Инновации OpenBSD» . OpenBSD . 14 августа 2018 г. Проверено 26 февраля 2019 г.
systrace(4), systrace(1): Автор Нильс Провос. Импортировано 4 июня 2002 г. и впервые выпущено вместе с OpenBSD 3.2. Удален после OpenBSD 5.9, поскольку залог(2) стал еще лучше.
- ^ Николас Марриотт; Тео де Раадт (14 февраля 2019 г.). "sys/kern/kern_pledge.c" . Перекрестная ссылка BSD . OpenBSD . Проверено 26 февраля 2019 г.