Connexion
Landlock-ing Linux - prizrak.me blog
Tiens cette API système Linux est intéressante pour que les développeurs d'application restreignent d'eux-même leurs applications. Ce qui peut s'avérer salutaire en cas de faille de sécurité. Par exemple, une application - à son démarrage - peut déclarer au système:
- j'accède à /home/user en lecture seule.
- j'accès à /tmp en lecture/écriture.
- j'ouvre le port 2222
Le système lui donnera accès à ça, et uniquement à ça pour la durée de son fonctionnement. L'application ne peut alors plus étendre ses droits.
Tout processus forké depuis l'application aura les mêmes restrictions (ou des droits encore moindres), mais ne pourra pas les augmenter.
Ainsi si une faille de sécurité est exploitée dans le logiciel, il ne pourra aller faire trop de dommage. Par exemple si un logiciel se restreint à son répertoire de configuration, il ne pourra pas aller lire ~/.ssh ou aller modifier ~/.bashrc.
Par rapport à SELinux ou AppArmor, l'API est plus simple à utiliser et surtout elle ne nécessite pas d'intervention/activation de la part de l'administrateur.
L'API landlock est disponible depuis le noyau 5.13 et peut donc être naturellement intégrée à n'importe quelle application.
(Permalink)
- j'accède à /home/user en lecture seule.
- j'accès à /tmp en lecture/écriture.
- j'ouvre le port 2222
Le système lui donnera accès à ça, et uniquement à ça pour la durée de son fonctionnement. L'application ne peut alors plus étendre ses droits.
Tout processus forké depuis l'application aura les mêmes restrictions (ou des droits encore moindres), mais ne pourra pas les augmenter.
Ainsi si une faille de sécurité est exploitée dans le logiciel, il ne pourra aller faire trop de dommage. Par exemple si un logiciel se restreint à son répertoire de configuration, il ne pourra pas aller lire ~/.ssh ou aller modifier ~/.bashrc.
Par rapport à SELinux ou AppArmor, l'API est plus simple à utiliser et surtout elle ne nécessite pas d'intervention/activation de la part de l'administrateur.
L'API landlock est disponible depuis le noyau 5.13 et peut donc être naturellement intégrée à n'importe quelle application.
(Permalink)