On 12.05.2021 20:26, Илья Шипицин wrote:
> На примере nginx, раз уж про него речь.
>
> Штука выглядит прикольной, но не могу придумать, когда она полезна и в чём
>
Допустим, известно, что в дикой природе программа X ни при каких случаях
не должна делать execve(2). Отличная идея исключить этот вызов из
списка разрешенных на тот случай, если вдруг в программе X найдут RCE.
Видимо, лучше начать с
https://en.wikipedia.org/wiki/Sandbox_(computer_security)
Вряд ли я доступнее и нагляднее расскажу.
Вот это еще можно поизучать в кач-ве старта:
https://wiki.freebsd.org/Capsicum
> On Wed, May 12, 2021, 10:12 PM Maxim Konovalov <maxim@nginx.com
> <mailto:maxim@nginx.com>> wrote:
>
> Привет.
>
> On 12.05.2021 19:54, Илья Шипицин wrote:
> > какие преимущества и в каких сценариях может дать такая настройка?
> >
> Илья, вы спрашиваете про sandboxing как технологию вообще или
> применительно к nginx/systemd?
>
> --
> Maxim Konovalov
>
--
Maxim Konovalov
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru