Что: 6a2a0b6ac0de22e05a828acf5d1a264c8b570f03
Когда: 2021-03-09 22:15:56+03:00
Темы: bsd c
Симпатичны unveil(2) и pledge(2) https://man.openbsd.org/unveil https://man.openbsd.org/pledge.2 https://isopenbsdsecu.re/ Немного познакомился и почитал про всякие seccomp, Capsicum и pledge штуки, даже что-то начал писать с их использованием. pledge пробовать не буду, ибо нет под рукой OpenBSD, но выглядит он супер удобно и просто устроенным! К seccomp даже страшно подходить. Capsicum довольно специфичен (по сути только про файловые дескрипторы говорит) и не всё в нём тривиально сделать. А когда гляжу в доки и примеры по pledge, то слюни текут. Если capsicum-изация софта в FreeBSD идёт единичными экземплярами софта в базовой поставке ОС, то использование pledge в OpenBSD это прям десятки программ в день можно переводить. Конечно там гранулярность правил не такая как в seccomp/Capsicum, но лучше чем ничего и как же просто! Теперь уже прям чувствую что понимаю как заморочена OpenBSD в плане безопасности. Не факт что она там лучше, ибо возможно баги так себе фиксят, и софт не лучший юзается, вообще древний GCC без всяких security-aware фич, да и не все известные mitigation-ы внедрены -- но идеи и течение мыслей в проекте и у Тео идут в нужном русле, сильно опережая остальных во времени зачастую.
Сгенерирован: SGBlog 0.34.0