Ir para o conteúdo
ou

Logo noosfero

ODF Alliance Award

Furusho

TDF Planet

redirection forbidden: http://planet.documentfoundation.org/atom.xml -> https://planet.documentfoundation.org/atom.xml

BR.Linux.org

redirection forbidden: http://br-linux.org/feed -> https://br-linux.org/feed

Seja Livre!

redirection forbidden: http://sejalivre.org/feed/ -> https://sejalivre.org/feed/

Linux Feed

getaddrinfo: Name or service not known

Computerworld

getaddrinfo: Name or service not known

PC World

getaddrinfo: Name or service not known

IDG Now!

getaddrinfo: Name or service not known

Info

Invalid feed format.

Users SL Argentina

redirection forbidden: http://drupal.usla.org.ar/rss.xml -> https://cobalto.gnucleo.net/rss.xml

Tecno Libres - Cubas

redirection forbidden: http://gutl.jovenclub.cu/feed -> https://gutl.jovenclub.cu/feed

Software Libre Peru

Linux Venezuela

Invalid feed format.

GNU/Linux Paranguay

getaddrinfo: Name or service not known

Soft Libre Honduras

Invalid feed format.

 Voltar a FREE SOFTWAR...
Tela cheia

systemd implementa novas medidas de segurança para KernelTunables (/proc/sys e outros)

29 de Setembro de 2016, 13:00 , por BR-Linux.org - 0sem comentários ainda | Ninguém está seguindo este artigo ainda.
Visualizado 519 vezes
Ao analizar o Git do systemd, Michael Larabel do Phoronix notou que novas funcionalidades de proteção de "tunáveis de Kernel" foram implementadas para aumentar de processos que rodam a longo prazo. O que parecia ser apenas um sandbox baseado em seccom para isolar a unidade do udev (systemd-udevd.service) de acessar a rede (AF_INET e AF_INET6), na verdade foi uma série de alterações para enclausurar ainda mais os serviços no Linux.

Uma das novas opções introduzidas é a ProtectKernelTunables= . Esta opção torna as variáveis em /proc/sys, /proc/acpi e outras interfaces dispersas em /proc com acesso somente leitura a todos os processos de uma unidade do systemd que a implementar.

Já a opção ProtectControlGroups= torna as hierarquias dos cgroups em /sys/fs/cgroups somente leitura para todos os processos de uma unidade. Com exceção dos gerenciadores de containers, o systemd está buscando bloquear a escrita de outros serviços ao Controle de Grupos Hierárquicos do Linux(cgroups).

Por último, a opção ProtectSystem= aceita o novo argumento "strict". Quando configurado, toda a hierarquia do sistema de arquivos é montado como somente leitura, com exceção dos diretórios que são conhecidos como API (/dev, /proc e /sys) que devem ser protegidos em segunda camada pelas opções ProtectControlGroups, ProtectKernelTunables, e PrivateDevices (este que isola o /dev em um namespace distinto, dando acesso apenas a pseudodispositivos como /dev/zero e /dev/null).

Os desenvolvedores do systemd buscam no ProtectSystem=strict a proteção para serviços que rodam de forma contínua, bloqueando locais que não devem ter acesso de escrita, sendo liberados de forma granular.

Algumas proteções diversas tiveram seus manuais atualizados e vale a pena ler. Maiores detalhes sobre o que mais foi implementado do commit que segue.

Enviado por Nícolas Wildner (nicolasgauchoΘgmail·com)

O artigo "systemd implementa novas medidas de segurança para KernelTunables (/proc/sys e outros)" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.


Fonte: http://br-linux.org/2016/01/systemd-implementa-novas-medidas-de-seguranca-para-kerneltunables-procsys-e-outros.html

0sem comentários ainda

Enviar um comentário

Os campos são obrigatórios.

Se você é um usuário registrado, pode se identificar e ser reconhecido automaticamente.