Zum Inhalt springen

Linux/SELinux/07 Sandbox

Aus Foxwiki

Linux/SELinux/07 Sandbox - Programme mit Sandbox absichern

← Zurück
Weiter →

Beschreibung

sandbox fügt eine Reihe von SELinux-Richtlinien hinzu, die es ermöglichen, eine Anwendung innerhalb einer streng begrenzten SELinux-Domäne auszuführen

  • Es können Einschränkungen hinsichtlich der Berechtigung zum Öffnen neuer Dateien oder des Zugriffs auf das Netzwerk definiert werden
  • Dies ermöglicht es, die Verarbeitungsmerkmale nicht vertrauenswürdiger Software sicher zu testen, ohne das Risiko einer Beschädigung des Systems einzugehen

Ausführen einer Anwendung mit Sandbox

Vor der Verwendung des Dienstprogramms sandbox muss das Paket policycoreutils-sandbox installiert werden 

sudo yum install policycoreutils-sandbox

Die grundlegende Syntax zum Einschränken einer Anwendung lautet 

sandbox [Optionen] zu_testende_Anwendung

Um eine grafische Anwendung in einer Sandbox auszuführen, verwenden Sie die Option -X

Beispiel
sandbox -X evince

Die Option -X weist sandbox an

  • einen isolierten sekundären X-Server für die Anwendung einzurichten
  • bevor die benötigten Ressourcen kopiert
  • eine geschlossene virtuelle Umgebung im home-Verzeichnis des Benutzers oder im Verzeichnis /tmp erstellt wird

Um Daten von einer Sitzung zur nächsten zu erhalten 

sandbox -H sandbox/home -T sandbox/tmp -X firefox
Beachten Sie
  • dass sandbox/home für /home und sandbox/tmp für /tmp verwendet wird
  • Verschiedene Anwendungen werden in unterschiedlichen, eingeschränkten Umgebungen platziert
  • Die Anwendung läuft im Vollbildmodus, wodurch der Zugriff auf andere Funktionen verhindert wird
  • Sie können keine Dateien öffnen oder erstellen, außer denen, die mit sandbox_x_file_tgekennzeichnet sind

Der Zugriff auf das Netzwerk ist innerhalb der sandbox zunächst ebenfalls nicht möglich

  • Um den Zugriff zu ermöglichen, verwenden Sie die Kennzeichnung sandbox_web_t
  • Um beispielsweise Firefox zu starten:
sandbox ‑X ‑t sandbox_web_t firefox
Warnung

Die Kennzeichnung sandbox_net_t ermöglicht uneingeschränkten, bidirektionalen Netzwerkzugriff auf alle Netzwerkports

  • Die sandbox_web_t erlaubt Verbindungen nur zu den für das Surfen im Internet erforderlichen Ports

Die Verwendung von sandbox_net_t sollte mit Vorsicht und nur bei Bedarf erfolgen

Informationen sowie eine vollständige Liste der verfügbaren Optionen finden Sie auf der Handbuchseite sandbox (8)

← Zurück
Weiter →
Abgerufen von „https://wiki.foxtom.de/index.php?title=Linux/SELinux/07_Sandbox&oldid=163681