~~~~~~~~~~~~~~~~~~~~ Arc.Ask3.Ru ~~~~~~~~~~~~~~~~~~~~~ 
Номер скриншота №:
✰ C79976CFB49D81BBE2BEF3358E2C1CCC__1713879960 ✰
Заголовок документа оригинал.:
✰ seccomp - Wikipedia ✰
Заголовок документа перевод.:
✰ секкомп — Википедия ✰
Снимок документа находящегося по адресу (URL):
✰ https://en.wikipedia.org/wiki/Seccomp ✰
Адрес хранения снимка оригинал (URL):
✰ https://arc.ask3.ru/arc/aa/c7/cc/c79976cfb49d81bbe2bef3358e2c1ccc.html ✰
Адрес хранения снимка перевод (URL):
✰ https://arc.ask3.ru/arc/aa/c7/cc/c79976cfb49d81bbe2bef3358e2c1ccc__translat.html ✰
Дата и время сохранения документа:
✰ 21.06.2024 07:41:40 (GMT+3, MSK) ✰
Дата и время изменения документа (по данным источника):
✰ 23 April 2024, at 16:46 (UTC). ✰ 

~~~~~~~~~~~~~~~~~~~~~~ Ask3.Ru ~~~~~~~~~~~~~~~~~~~~~~ 
Сервисы Ask3.ru: 
 Архив документов (Снимки документов, в формате HTML, PDF, PNG - подписанные ЭЦП, доказывающие существование документа в момент подписи. Перевод сохраненных документов на русский язык.)https://arc.ask3.ruОтветы на вопросы (Сервис ответов на вопросы, в основном, научной направленности)https://ask3.ru/answer2questionТоварный сопоставитель (Сервис сравнения и выбора товаров) ✰✰
✰ https://ask3.ru/product2collationПартнерыhttps://comrades.ask3.ru


Совет. Чтобы искать на странице, нажмите Ctrl+F или ⌘-F (для MacOS) и введите запрос в поле поиска.
Arc.Ask3.ru: далее начало оригинального документа

секкомп — Википедия Jump to content

секкомп

Из Википедии, бесплатной энциклопедии
секкомп
Оригинальный автор(ы) Андреа Арканджели
Начальная версия 8 марта 2005 г .; 19 лет назад ( 08.03.2005 )
Написано в С
Операционная система Линукс
Тип Песочница
Лицензия Стандартная общественная лицензия GNU
Веб-сайт код .Google /архив /п /seccompsandbox /вики /обзор .неделя

seccomp (сокращение от безопасных вычислений [1] ) — средство компьютерной безопасности в ядре Linux . seccomp позволяет процессу совершить односторонний переход в «безопасное» состояние, в котором он не может выполнять никаких системных вызовов , кроме exit(), sigreturn(), read() и write()к уже открытым файловым дескрипторам . Если оно попытается выполнить какие-либо другие системные вызовы, ядро ​​либо просто зарегистрирует событие, либо завершит процесс с помощью SIGKILL или SIGSYS . [2] [3] В этом смысле он не виртуализирует ресурсы системы, а полностью изолирует от них процесс.

Режим seccomp включается через prctl(2) системный вызов с использованием PR_SET_SECCOMP аргумент, или (поскольку ядро ​​Linux 3.17 [4] ) через seccomp(2) системный вызов. [5] режим seccomp раньше включался путем записи в файл, /proc/self/seccomp, но этот метод был удален в пользу prctl(). [6] В некоторых версиях ядра seccomp отключает RDTSC Инструкция x86 , которая возвращает количество циклов процессора, прошедших с момента включения питания, и используется для высокоточной синхронизации. [7]

seccomp-bpf — это расширение seccomp. [8] это позволяет фильтровать системные вызовы с помощью настраиваемой политики, реализованной с помощью правил фильтра пакетов Беркли . Он используется OpenSSH. [9] и vsftpd , а также веб-браузеры Google Chrome/Chromium в ChromeOS и Linux. [10] (В этом отношении seccomp-bpf обеспечивает аналогичную функциональность, но с большей гибкостью и более высокой производительностью, чем более старая версия systrace , которая, похоже, больше не поддерживается в Linux .)

Некоторые считают, что seccomp сравним с OpenBSD Deposit(2) и FreeBSD capsicum (4). [ нужна цитата ] .

История [ править ]

seccomp был впервые разработан Андреа Арканджели в январе 2005 года для использования в общедоступных сетевых вычислениях и изначально задумывался как средство безопасного запуска ненадежных программ, связанных с вычислениями. Он был объединен с основной веткой ядра Linux в версии ядра 2.6.12, выпущенной 8 марта 2005 года. [11]

Программное обеспечение, использующее seccomp или seccomp-bpf [ править ]

  • Android использует фильтр seccomp-bpf в зиготе, начиная с Android 8.0 Oreo. [12]
  • основаны systemd Параметры песочницы на seccomp. [13]
  • QEMU , быстрый эмулятор, основной компонент современной виртуализации, вместе с KVM использует параметр seccomp. --sandbox[14]
  • Docker – программное обеспечение, позволяющее запускать приложения внутри изолированных контейнеров. Docker может связать профиль seccomp с контейнером, используя команду --security-opt параметр.
  • CPUShare Арканджели какое-то время был единственным известным пользователем seccomp. [15] В своей статье в феврале 2009 года Линус Торвальдс выразил сомнение в том, что seccomp действительно кем-то используется. [16] Однако инженер Google ответил, что Google изучает возможность использования seccomp для изолированной программной среды своего веб-браузера Chrome . [17] [18]
  • Firejail — это программа-песочница Linux с открытым исходным кодом, которая использует пространства имен Linux , Seccomp и другие функции безопасности на уровне ядра для изолированной среды приложений Linux и Wine . [19]
  • Начиная с версии Chrome 20, seccomp-bpf используется для изолированной среды Adobe Flash Player . [20]
  • Начиная с версии Chrome 23, seccomp-bpf используется для изоляции средств визуализации. [21]
  • Snap определяет форму песочницы своего приложения, используя «интерфейсы», которые Snapd преобразует в seccomp, AppArmor и другие конструкции безопасности. [22]
  • vsftpd использует изолированную программную среду seccomp-bpf начиная с версии 3.0.0. [23]
  • OpenSSH поддерживает seccomp-bpf начиная с версии 6.0. [9]
  • Mbox использует ptrace вместе с seccomp-bpf для создания безопасной песочницы с меньшими затратами, чем при использовании только ptrace. [24]
  • LXD, » Ubuntu « гипервизор для контейнеров. [25] [26]
  • Firefox и Firefox OS , использующие seccomp-bpf [27] [28]
  • Tor поддерживает seccomp начиная с версии 0.2.5.1-альфа. [29]
  • Lepton, инструмент сжатия JPEG , разработанный Dropbox, использует seccomp. [30]
  • Kafel — это язык конфигурации, который преобразует читаемые политики в байт-код seccompb-bpf. [31]
  • ОС Subgraph использует seccomp-bpf [32] [33]
  • Flatpak использует seccomp для изоляции процессов [34]
  • Bubblewrap — это легкое приложение-песочница, разработанное на платформе Flatpak. [35]
  • мини-тюрьма [36] использует seccomp для изоляции процессов [37]
  • SydBox использует seccomp-bpf [38] для улучшения времени выполнения и безопасности песочницы ptrace, используемой для сборок пакетов песочницы в дистрибутиве Exherbo Linux.
  • File, программа Unix для определения типов файлов, использует seccomp для ограничения среды выполнения. [39]
  • Zathura , минималистичный просмотрщик документов, использует фильтр seccomp для реализации различных режимов песочницы. [40]
  • Tracker , приложение индексирования и предварительного просмотра для среды рабочего стола GNOME, использует seccomp для предотвращения автоматического использования уязвимостей синтаксического анализа в медиафайлах. [41]

Ссылки [ править ]

  1. ^ seccomp(2): «Системный вызов seccomp() работает в состоянии безопасных вычислений (seccomp)» – Linux программиста Руководство – Системные вызовы
  2. ^ Корбет, Джонатан (2 сентября 2015 г.). «Обзор секкомпа» . лун . Проверено 5 октября 2017 г.
  3. ^ «Документация/prctl/seccomp_filter.txt» . Проверено 5 октября 2017 г.
  4. ^ «Ядро Linux 3.17, Раздел 11. Безопасность» . kernelnewbies.org . 05.10.2013 . Проверено 31 марта 2015 г.
  5. ^ «seccomp: добавить системный вызов «seccomp»» . kernel/git/torvalds/linux.git — дерево исходного кода ядра Linux . ядро.орг . 25 июня 2014 г. Проверено 22 августа 2014 г.
  6. ^ Арканджели, Андреа (14 июня 2007 г.). «[ИСПРАВЛЕНИЕ 1 из 2] переместите seccomp из /proc в prctl» . Проверено 2 августа 2013 г.
  7. ^ Тиннес, Жюльен (28 мая 2009 г.). «Счетчик временных меток, отключающий странности в ядре Linux» . cr0 блог . Проверено 2 августа 2013 г.
  8. ^ Корбет, Джонатан (11 января 2012 г.). «Еще один новый подход к seccomp» . лун . Проверено 2 августа 2013 г.
  9. ^ Перейти обратно: а б «Примечания к выпуску Opensh 6.0» . Проверено 14 октября 2013 г.
  10. ^ Тиннес, Жюльен (19 ноября 2012 г.). «Более безопасная площадка для ваших средств визуализации Linux и Chrome OS» . Блог Chrome . Проверено 2 августа 2013 г.
  11. ^ «[ИСПРАВЛЕНИЕ] seccomp: поддержка безопасных вычислений» . История ядра Linux . Git-репозитории Kernel.org. 8 марта 2005 г. Архивировано из оригинала 15 апреля 2013 г. Проверено 2 августа 2013 г.
  12. ^ «Фильтр Seccomp в Android O» . Блог разработчиков Android .
  13. ^ «systemd.exec — конфигурация среды выполнения» . сайт freedesktop.org . Проверено 14 октября 2017 г.
  14. ^ Отубо, Эдуардо (15 сентября 2017 г.). «Запрос на включение новой модели QEMU Sandboxing» . Архив списка рассылки qemu-devel .
  15. ^ ван де Вен, Арьян (28 февраля 2009 г.). «Re: [стабильная] [ИСПРАВЛЕНИЕ 2/2] x86-64: seccomp: исправлена ​​дыра в системных вызовах 32/64» . Список рассылки ядра Linux . Проверено 2 августа 2013 г.
  16. ^ Торвальдс, Линус (28 февраля 2009 г.). «Re: [ИСПРАВЛЕНИЕ 2/2] x86-64: seccomp: исправлена ​​дыра в системных вызовах 32/64» . Список рассылки ядра Linux . Проверено 2 августа 2013 г.
  17. ^ Гучке, Маркус (6 мая 2009 г.). «Re: [ИСПРАВЛЕНИЕ 2/2] x86-64: seccomp: исправлена ​​дыра в системных вызовах 32/64» . Проверено 2 августа 2013 г.
  18. ^ Гучке, Маркус (6 мая 2009 г.). «Re: [ИСПРАВЛЕНИЕ 2/2] x86-64: seccomp: исправлена ​​дыра в системных вызовах 32/64» . Список рассылки ядра Linux . Проверено 2 августа 2013 г.
  19. ^ «Огненная тюрьма» . Огненная тюрьма . Проверено 26 ноября 2016 г.
  20. ^ Эванс, Крис (4 июля 2012 г.). «Chrome 20 в Linux и песочница Flash» . Проверено 2 августа 2013 г.
  21. ^ Тиннес, Жюльен (6 сентября 2012 г.). «Представляем Chrome-песочницу Linux нового поколения» . cr0 блог . Проверено 2 августа 2013 г.
  22. ^ «Привязка политики безопасности» . Архивировано из оригинала 4 февраля 2017 г. Проверено 3 февраля 2017 г.
  23. ^ Эванс, Крис (9 апреля 2012 г.). «vsftpd-3.0.0 и песочница фильтра seccomp уже здесь!» . Проверено 2 августа 2013 г.
  24. ^ «МБОКС» . Проверено 20 мая 2014 г.
  25. ^ «LXD — «гипервизор» для контейнеров (на основе liblxc)» . 4 ноября 2014 года . Проверено 8 ноября 2014 г.
  26. ^ «Куда мы идем с LXD» . Проверено 8 ноября 2014 г.
  27. ^ Дестюндер, Гийом (13 сентября 2012 г.). «Песочница Firefox Seccomp» . Мозилла Багзилла . Проверено 13 января 2015 г.
  28. ^ Дестюндер, Гийом (13 сентября 2012 г.). «Песочница Firefox Seccomp» . Мозилла Вики . Проверено 13 января 2015 г.
  29. ^ «Журнал изменений Тора» .
  30. ^ «Сжатие изображений Lepton: экономия 22% без потерь на изображениях со скоростью 15 МБ/с» . Технический блог Dropbox . Проверено 15 июля 2016 г.
  31. ^ «Kafel: язык и библиотека для определения политик фильтрации системных вызовов» .
  32. ^ «Подграф ОС» . Подграф . Проверено 18 декабря 2016 г.
  33. ^ «LoganCIJ16: Будущее ОС» . YouTube . Архивировано из оригинала 21 декабря 2021 г. Проверено 18 декабря 2016 г.
  34. ^ «Модель безопасности Flatpak – часть 1: основы» . Проверено 21 января 2017 г.
  35. ^ «пузырчатая пленка» . Проверено 14 апреля 2018 г.
  36. ^ «Песочница Chromium OS — проекты Chromium» .
  37. ^ «Мини-тюрьма [LWN.net]» . lwn.net . Проверено 11 апреля 2017 г.
  38. ^ «ядро/трассировка/use_seccomp» . dev.exherbo.org . Проверено 31 мая 2021 г.
  39. ^ «Песочница файлового приложения» . Гитхаб .
  40. ^ «Реализация Zathura seccomp» .
  41. ^ «Реализация seccomp трекера Gnome» .

Внешние ссылки [ править ]

Retrieved from "https://en.wikipedia.org/w/index.php?title=Seccomp&oldid=1220412468"
Arc.Ask3.Ru: конец оригинального документа.
Arc.Ask3.Ru
Номер скриншота №: C79976CFB49D81BBE2BEF3358E2C1CCC__1713879960
URL1:https://en.wikipedia.org/wiki/Seccomp
Заголовок, (Title) документа по адресу, URL1:
seccomp - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть, любые претензии не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, денежную единицу можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)