Capsicum es una implementación de seguridad basada en capacidades para UNIX y sistemas similares . Presentado en USENIX 2010, el sistema es parte de FreeBSD desde su lanzamiento 9.0. También se ha adaptado a Linux y DragonflyBSD en forma de parches del kernel . [1]
El sistema funciona dividiendo los permisos normales en partes muy pequeñas. Cuando un proceso entra en modo capsicum, pierde todos los permisos normalmente asociados con su usuario controlador, con la excepción de las "capacidades" que ya tiene en forma de descriptores de archivo . Un proceso también puede recibir capacidades a través de sockets Unix . Estos descriptores de archivos no solo controlan el acceso al sistema de archivos , sino también a otros dispositivos como los enchufes de red. Los indicadores también se utilizan para controlar un acceso más detallado, como lecturas y escrituras. [2]
CloudABI
CloudABI es una interfaz binaria de aplicación basada en capsicum. Mantiene el modelo general de permisos de capsicum, pero lo usa para rediseñar un entorno simplificado para que se ejecuten los procesos (llamadas al sistema, biblioteca C, etc.), de modo que los programas se vuelvan portables a cualquier plataforma que admita ABI en la misma arquitectura de conjunto de instrucciones . La interfaz que ofrece es aproximadamente POSIX menos las partes que no funcionan con seguridad basada en capacidades. A marzo de 2020[actualizar], CloudABI es parte nativa de FreeBSD y se puede ejecutar en otros sistemas a través de un parche basado en Capsicum o usando un emulador de llamadas de sistema no seguro . [3] [4]
A partir de octubre de 2020, CloudABI ha quedado obsoleto en favor de la interfaz del sistema WebAssembly por falta de interés. [3]
Referencias
- ^ "Capsicum: capacidades prácticas para UNIX" . Laboratorio de Computación de Cambridge . Consultado el 8 de abril de 2020 .
- ^ Edge, Jake (22 de febrero de 2012). "Capsicum: capacidades prácticas para UNIX" . lwn.net .
- ^ a b "NuxiNL / cloudabi" . Nuxi. 30 de marzo de 2020.
- ^ Brown, Neil (10 de febrero de 2016). "CloudABI" . lwn.net .