Systrace - Systrace
Эта статья поднимает множество проблем. Пожалуйста помоги Улучши это или обсудите эти вопросы на страница обсуждения. (Узнайте, как и когда удалить эти сообщения-шаблоны) (Узнайте, как и когда удалить этот шаблон сообщения)
|
Оригинальный автор (ы) | Нильс Провос |
---|---|
Стабильный выпуск | 1.6g / 15 марта 2009 г. |
Операционная система | Unix-подобный |
Тип | Компьютерная безопасность |
Лицензия | BSD-подобный |
Интернет сайт | www |
Systrace это компьютерная безопасность полезность, которая ограничивает Приложения доступ к системе путем применения политик доступа для системные вызовы. Это может смягчить последствия переполнение буфера и другие уязвимости безопасности. Он был разработан Нильс Провос и работает на различных Unix-подобный операционные системы.
Systrace особенно полезен при запуске ненадежных или двоичных приложений и предоставляет возможности для повышение привилегий на основе системных вызовов, помогая устранить необходимость в потенциально опасных Setuid программы. Он также включает в себя интерактивные и автоматические функции создания политик, которые помогают в создании базовой политики для приложения.
Systrace раньше был интегрирован в OpenBSD, но был удален в апреле 2016 г.[1][2] (в пользу приносить присягу опубликовать OpenBSD 5.9[3][4]). Это доступно для Linux и Mac OS X, хотя порт OS X в настоящее время не обслуживается. Он был удален из NetBSD в конце 2007 г. из-за нескольких нерешенных проблем с реализацией. Начиная с версии 1.6f Systrace поддерживает 64-битную версию Linux 2.6.1 через патч ядра.
Функции
Systrace поддерживает следующие функции:
- Ограничивает ненадежные двоичные приложения: Приложению разрешено выполнять только те системные вызовы, которые указаны как разрешенные в политике. Если приложение пытается выполнить системный вызов, который явно не разрешен, возникает сигнал тревоги.
- Создание интерактивной политики с графическим пользовательским интерфейсом: Политики могут создаваться интерактивно через графический интерфейс Systrace. Интерфейс показывает системные вызовы и их параметры, которые в настоящее время не охвачены политикой, и позволяет пользователю уточнять политику, пока она не будет работать должным образом.
- Поддерживает разные эмуляции: GNU / Linux, BSDI и т. Д.
- Применение неинтерактивной политики: После обучения политики автоматическое применение политики может использоваться для запрета всех системных вызовов, не охваченных текущей политикой. Все нарушения регистрируются в системном журнале. Этот режим полезен при защите системных служб, таких как веб-сервер.
- Удаленный мониторинг и обнаружение вторжений: Systrace поддерживает несколько интерфейсов, используя интерфейс, использующий сеть, возможны очень расширенные функции.
- Повышение привилегий: Используя режим повышения привилегий Systrace, можно избавиться от Setuid двоичные файлы. Специальная инструкция политики позволяет запускать выбранные системные вызовы с более высокими привилегиями, например, создание сырая розетка.
История уязвимостей
В прошлом Systrace имела ряд уязвимостей, в том числе:
- Использование уязвимостей параллелизма в оболочках системных вызовов Бумага Роберт Уотсон (ученый-компьютерщик) из Первого семинара USENIX по наступательным технологиям (WOOT07), анализирующего трассировки системных вызовов оболочки на нескольких платформах оболочки, включая systrace
- Google Security обнаруживает повышение локальных привилегий в Systrace
- Локальный корневой эксплойт на NetBSD
- Уязвимости в systrace
Смотрите также
Рекомендации
- ^ Unangst, Тед (25 апреля 2016 г.). "бум идет динамит". openbsd-cvs (Список рассылки). Получено 17 мая 2016.
- ^ Unangst, Тед (25 апреля 2016 г.). "удалить systrace". openbsd-cvs (Список рассылки). Получено 17 мая 2016.
- ^ «Инновации OpenBSD». OpenBSD. 2018-08-14. Получено 2019-02-26.
systrace (4), systrace (1): Автор: Нильс Провос. Импортировано 4 июня 2002 г. и впервые выпущено с OpenBSD 3.2. Удалено после OpenBSD 5.9, потому что pledge (2) еще лучше.
- ^ Николас Марриотт; Тео де Раадт (2019-02-14). "sys / kern / kern_pledge.c". Перекрестная ссылка BSD. OpenBSD. Получено 2019-02-26.