Концепция изоляции – вариант безопасного выполнения кода

Концепция изоляции – вариант безопасного выполнения кода

Под chroot в UNIX-подобных операционных системах подразумевается техника, позволяющая создать изолированную среду – имитацию корневого каталога файловой системы. Запущенная в такой среде любая программа будет воспринимать только указанный рабочий каталог – и «ни шагу влево». chroot затрагивает только текущий процесс и всех его потомков. Программа в такой изолированной среде не может обращаться к файлам вне этого каталога, что обеспечивает надежный способ защиты в случае компрометации программы в chroot.

К слову будет сказано, chroot-каталог может быть использован, чтобы сымитировать реальную систему с запущенными сетевыми сервисами. Такой искусственно созданный механизм безопасности может быть использован как "наживка" для взломщиков, или honeypot.

Jail, или «тюрьма», – механизм изолирования выполнения процессов в операционных системах UNIX. Системный вызов jail заключает процесс и всех его потомков в изолированную среду выполнения. Процесс, выполняющийся в jail, не имеет возможности получить доступ к тому, что не принадлежит jail. Более того, даже суперпользователь – root – не в состоянии выполнить большинство операций, которые он может выполнять снаружи от jail.

Если chroot и Jail – это инструменты безопасности, обсуждаемые в контексте UNIX-систем, то о следующем инструменте безопасности так сказать нельзя.

Виртуальная машина (от англ. virtual machine) представляет собой программную или аппаратную среду, исполняющую некоторый код. Фактически, как это и следует из названия, виртуальная машина эмулирует работу реального компьютера. Виртуальная машина, как и реальная, может иметь свою операционную систему (и даже несколько), обслуживаемую искусственно эмулированным «железом»: BIOS, ОЗУ, жесткий диск (часть места на жестком диске реального компьютера).

В контексте обеспечения безопасности применение виртуальных машин оправдано там, где высока вероятность поражения вредоносным кодом или нельзя допустить выхода из строя основной системы. Установив несколько виртуальных машин на одну реальную, можно легко и просто сымитировать локальную сеть.

В качестве примеров наиболее популярных виртуальных машин можно привести VMWare, Xen (для UNIX-подобных систем), Microsoft Virtual PC.

Live-CD представляет собой загрузочный диск, на котором имеется все необходимое для развертывания виртуальной операционной системы прямо в памяти компьютера. Live-CD может оказаться особенно полезным, когда необходимо получить доступ к файловой системе, поврежденной или инфицированной вирусом. Применение Live-CD также оправдано в нестандартных вариантах работы пользователя (например, на чужом компьютере или на компьютере без винчестера и т. д.). Примеры LiveCD – Windows LiveCD, Linux Knoppix LiveCD.

Вовсе не надо быть гением, чтобы проследить закономерность – логическую связь между вышеперечисленными техниками безопасности: в каждом из случаев выполнение кода идет в изолированной среде, не затрагивая при этом рабочую зону основной системы.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

4.1. Вариант использования

Из книги Самоучитель UML автора Леоненков Александр

4.1. Вариант использования Конструкция или стандартный элемент языка UML вариант использования применяется для спецификации общих особенностей поведения системы или любой другой сущности предметной области без рассмотрения внутренней структуры этой сущности. Каждый


Выбор безопасного компьютера

Из книги Компьютер и здоровье автора Баловсяк Надежда Васильевна

Выбор безопасного компьютера Любой компьютер влияет на здоровье пользователя, поэтому при его выборе следует соблюдать определенные


Концепция

Из книги Создание шаблонов Joomla автора Автор неизвестен

Концепция Перед началом работы необходимо определить концепцию. Для графического воплощения концепции целесообразно создать набросок или диаграмму шаблона. При этом вы вольны воспользоваться любыми удобными для вас средствами. Это может быть Adobe Photoshop, Microsoft Paint, любой


Концепция Web 2.0

Из книги HTML 5, CSS 3 и Web 2.0. Разработка современных Web-сайтов. автора Дронов Владимир

Концепция Web 2.0 Давайте еще раз обратимся к рассмотренным ранее правилам и немного расширим их.— При создании Web-страниц следует придерживаться современных интернет-стандартов. При этом нужно полностью отказаться от устаревших и закрытых интернет-технологий, как не


Концепция Web 2.0

Из книги HTML 5, CSS 3 и Web 2.0. Разработка современных Web-сайтов автора Дронов Владимир

Концепция Web 2.0 Давайте еще раз обратимся к рассмотренным ранее правилам и немного расширим их.— При создании Web-страниц следует придерживаться современных интернет-стандартов. При этом нужно полностью отказаться от устаревших и закрытых интернет-технологий, как не


9.2. Создание безопасного при исключениях конструктора

Из книги C++. Сборник рецептов автора Диггинс Кристофер

9.2. Создание безопасного при исключениях конструктора ПроблемаВаш конструктор должен обеспечить базовые и строгие гарантии безопасности исключений. См. обсуждение, которое следует за определением «базовых» и «строгих» гарантий.РешениеИспользуйте в конструкторе блоки


9.3. Создание безопасного при исключениях списка инициализации

Из книги Социальные сети [Источники новых клиентов для бизнеса] автора Парабеллум Андрей Алексеевич

9.3. Создание безопасного при исключениях списка инициализации ПроблемаНеобходимо инициализировать ваши данные-члены в списке инициализации конструктора, и поэтому вы не можете воспользоваться подходом, описанным в рецепте 9.2.РешениеИспользуйте специальный формат


Вариант 1 – Автоматические тексты

Из книги Цифровой журнал «Компьютерра» № 167 автора Журнал «Компьютерра»

Вариант 1 – Автоматические тексты Есть полуавтоматические способы создания текстовой информации. Их плюс в том, что для Google и Яндекс они будут уникальными Это быстро и относительно недорого Здесь вы берете количеством. Минус – контент получится достаточно «мусорным» и


ZyXEL, «Яндекс» и SkyDNS представили свою версию «безопасного интернета» Виктор Ласло

Из книги Firebird РУКОВОДСТВО РАЗРАБОТЧИКА БАЗ ДАННЫХ автора Борри Хелен

ZyXEL, «Яндекс» и SkyDNS представили свою версию «безопасного интернета» Виктор Ласло Опубликовано 04 апреля 2013Сразу три компании — «Яндекс», ZyXEL и SkyDNS — провели вчера пресс-конференцию, посвящённую новому продукту, который «Яндекс» запускает уже в апреле. Речь, собственно,


Уровень изоляции

Из книги CSS3 для веб-дизайнеров автора Сидерхолм Дэн

Уровень изоляции Firebird предоставляет три уровня изоляции транзакций для определения "глубины" согласованности требований транзакции. В одном крайнем случае транзакция может получить исключительный доступ по записи ко всей таблице, в то время как в другом крайнем случае


Запасной вариант для RGBA

Из книги Мир InterBase. Архитектура, администрирование и разработка приложений баз данных в InterBase/FireBird/Yaffil автора Ковязин Алексей Николаевич

Запасной вариант для RGBA RGBA – удивительно гибкий способ задания цвета и прозрачности, но он не поддерживается всеми браузерами. Safari, Chrome, Firefox, Opera поддерживают его, равно как и Internet Explorer 9, но что насчет IE6-8?Здесь пригодится запасная цветовая схема. При пользовании RGBA для


Уровни изоляции транзакций

Из книги HTML5 для веб-дизайнеров автора Джереми Кит

Уровни изоляции транзакций Как уже было сказано выше, транзакции обеспечивают изолирование проводящихся в их контексте изменений, так что эти изменения невидимы пользователям вплоть до подтверждения транзакции. Но вот вопрос: а должна ли транзакция видеть те изменения,


Установка уровней изоляции

Из книги Разработка ядра Linux автора Лав Роберт

Установка уровней изоляции Итак, как было упомянуто выше, уровень изоляции транзакции определяет, какие изменения, сделанные в других транзакциях, может видеть данная транзакция.Как было сказано в разделе "Уровни изоляции", в InterBase есть 3 основных уровня изоляции.


Уровни изоляции транзакции

Из книги автора

Уровни изоляции транзакции В IBProvider реализована поддержка трех уровней изоляции транзакций: READ COMMITTED, REPEATABLE READ (SNAPSHOT), SERIALIZABLE (SNAPSHOT TABLE STABILITY). При работе через ADODB след>ет обратить внимание на значение свойства ADODB.Connection.IsolationLevel. Библиотека классов C++ по умолчанию


Запасной вариант

Из книги автора

Запасной вариант Возможность указывать несколько элементов source очень удобна. Но есть браузеры, которые пока не поддерживают элемент audio совсем. Угадаете, на который браузер я намекаю?Internet Explorer и его родню нужно кормить аудиофайлами с ложечки, по старинке, через Flash. Модель


Глава 8 Введение в синхронизацию выполнения кода ядра

Из книги автора

Глава 8 Введение в синхронизацию выполнения кода ядра В приложениях, рассчитанных на работу с совместно используемой памятью (shared memory), необходимо позаботиться о том, чтобы совместно используемые ресурсы были защищены от конкурентного доступа. Ядро — не исключение.