1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Gvisor: Google veröffentlicht Sandbox…

Vorteil gegenüber unprivilegierten LXC mit seccomp-Regeln?

  1. Thema

Neues Thema Ansicht wechseln


  1. Vorteil gegenüber unprivilegierten LXC mit seccomp-Regeln?

    Autor: Onsdag 03.05.18 - 15:23

    Wo genau sind die Vorteile gegenüber LXC (bzw. LXD) in Sachen Sicherheit? Der Beschreibung auf der GitHub-Projektseite kann ich es nicht wirklich entnehmen.

    Wird hier auf theoretische Lücken in Kernel-Namensräumen angespielt, die sich eignen könnten aus einem Container auszusteigen?

  2. Re: Vorteil gegenüber unprivilegierten LXC mit seccomp-Regeln?

    Autor: Trockenobst 04.05.18 - 11:22

    Onsdag schrieb:
    --------------------------------------------------------------------------------
    > Wird hier auf theoretische Lücken in Kernel-Namensräumen angespielt, die
    > sich eignen könnten aus einem Container auszusteigen?

    Nachdem was man bei Reddit findet und einem kurzen Kaffe-powwow mit den Admins,
    ist seccomp eine Second Level Protection auf Basis des Kernels. Wenn seccomp Admins einen Fehler in den Regeln machen oder ein 0d existiert, hat man in den Kerneln schnell Zugang zu allem.

    Der gvisor ist ein First Level Protector Shim vor dem Kernel. Die entsprechenden Apps und Programme (etwa Apache oder Postgres) bekommen in Default Settings nur Zugriff zu den API Calls die sie brauchen. Die Idee ist wohl, dass man im seccomp die Rechtelandschaft der User abbildet und im gvisor die Maximalrechte für eine spezifische Anwendung. Das sind zwei verschiedene Blickwinkel.

    Ich tippe darauf, dass Google dies für ihre Cloud braucht. Der Normale User hat keine Zeit und Lust sich in seinen AWS Instanzen mit Tomcat oder PHP mit solchen Details zu beschäftigen. Natürlich nicht, weil Google die Probleme mit Trustdurchgriffen in den Instanzen fixen muss, nicht die User ;) Der gvisor soll wohl am Ende eine riesige Liste von geplegten API-Listen für spezifische Apps mitbringen. Etwas, das mit seccomp wohl nicht so leicht zu machen ist, wenn ich die Admins hier so Frage ;)

    Für mich klingt dass als wäre dies eher ein wichtiger Baustein für Googles Fuchsia Betriebsystem. 0d auf Apps könnten grundsätzlich kein Root bekommen, weil die Kernelfläche schon von vornherein für die App beschränkt ist.



    1 mal bearbeitet, zuletzt am 04.05.18 11:23 durch Trockenobst.

  3. Re: Vorteil gegenüber unprivilegierten LXC mit seccomp-Regeln?

    Autor: Onsdag 04.05.18 - 11:30

    Verstehe. Das ergibt in der Tat Sinn. Und wenn bereits Regeln für diverse Anwendungen mitgeliefert werden, ist es ja auch nochmal etwas anderes.

    Danke!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. NOVENTI Health SE, Gefrees/Bayreuth, Oberhausen, Mannheim
  2. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf
  3. Bundeskriminalamt, Berlin
  4. Vanderlande Industries GmbH, Mönchengladbach, Veghel (Niederlande)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 299,00€ (Bestpreis! zzgl. Versand)
  2. täglich neue Deals bei Alternate.de
  3. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


HR-Analytics: Weshalb Mitarbeiter kündigen
HR-Analytics
Weshalb Mitarbeiter kündigen

HR-Analytics soll vorhersagbare und damit wertvollere Informationen liefern als reine Zahlen aus dem Controlling. Diese junge Disziplin im Personalwesen hat großes Potenzial, weil sie Personaler in die Lage versetzt, zu agieren, statt zu reagieren.
Ein Bericht von Peter Ilg

  1. Frauen in der IT Ist Logik von Natur aus Männersache?
  2. IT-Jobs Gibt es den Fachkräftemangel wirklich?
  3. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Disney+ Disney korrigiert falsches Seitenverhältnis bei den Simpsons
  2. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  3. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte

Google Stadia im Test: Stadia ist (noch) kein Spiele-PC- oder Konsolenkiller
Google Stadia im Test
Stadia ist (noch) kein Spiele-PC- oder Konsolenkiller

Tschüss, Downloads, Datenträger und Installationsroutinen: Mit Google Stadia können wir einfach losspielen. Beim Test hat das unter Echtweltbedingungen schon ziemlich gut geklappt - trotz der teils enormen Datenmengen und vielen fehlenden Funktionen.
Von Peter Steinlechner

  1. Google Stadia Assassin's Creed Odyssey bis Samurai Showdown zum Start
  2. Nest Wifi Googles Mesh-Router priorisiert Stadia
  3. Spielestreaming Google stiftet Verwirrung über Start von Stadia

  1. Bluetooth-Hörstöpsel: Microsoft verschiebt Markteinführung der Surface Earbuds
    Bluetooth-Hörstöpsel
    Microsoft verschiebt Markteinführung der Surface Earbuds

    Microsoft will die Surface Earbuds erst im Frühjahr 2020 auf den Markt bringen. Die noch für dieses Jahr geplante Markteinführung der Bluetooth-Hörstöpsel wurde abgesagt. Begründet wurde das damit, dass der Hersteller eine möglichst gute Qualität der True Wireless In-Ears erzielen wolle.

  2. Valve: Half-Life schickt Alyx in City 17
    Valve
    Half-Life schickt Alyx in City 17

    Zwischen dem ersten und dem zweiten Half-Life sind Spieler im Vollpreisspiel Half-Life Alyx als Widerstandskämpferin unterwegs - laut Valve mit jedem PC-basierten Virtual-Reality-Headset.

  3. Mobilfunk: Trump will Apple als Ausrüster für 5G in den USA
    Mobilfunk
    Trump will Apple als Ausrüster für 5G in den USA

    Apple soll laut US-Präsident Trump den nationalen Notstand für die Telekommunikation beenden und 5G-Ausrüster werden. Der iPhone-Hersteller hat darauf bisher nicht reagiert.


  1. 08:15

  2. 20:02

  3. 18:40

  4. 18:04

  5. 17:07

  6. 16:47

  7. 16:28

  8. 16:02