,,, har indgivet en ansøgning, du ønsker at løbe, men uden at give det fuld adgang til resten af kroppen?velkommen til selinux ' s sandkasse, nytteværdi.i nogle ganske enkle foranstaltninger, kan du bokse i en ansøgning, og ikke behøver at bekymre os om det, der har fuld adgang til deres system,.,, jeg må indrømme, at jeg ikke altid har været den største fan af selinux.syntaksen for sikkerhed rammer er, skal vi sige, mindre end en brugervenlig.faktisk, kan det være en asocial.det kan være, selinux kan også være meget nyttigt, hvis du og' er villig til at pukle gennem syntaks og kompleksitet.faktisk, syntaks for sandboxing en ansøgning er ' t alt det dårlige, og efter at lege med sandboxing i et stykke tid, og' m tjekker selinux mere interesseret i at se, hvordan det ' s (og dens redskaber) udviklet sig, siden jeg sidst var det, du kan. brug den, sandkasse, nytte at løbe en ansøgning i en selinux " sandkasse " det er begrænset til at læse og skrive, standard (, stdin,), standard (, stdout,) og andre akter deskriptorer videre kommandolinjen., for at sige det mere enkelt: applikationer, der kører i en sandkasse, er meget begrænset og kan ' ikke læse eller skrive til sager, der er ' t udtrykkeligt er tilladt.medmindre det er udtrykkeligt tilladt, men at de også har ingen adgang til nettet, og så videre.,, hænderne på med selinux sandkasse, først og', gør dette på en fedorahat 14 system.hvis du og' har en tidligere frigivelse eller en anden fordeling med selinux it ' er muligt, at nogle af de syntaks er blevet ændret, eller de typer, vil se på senere er ' ikke til stede.hvis du og' genanvendelse af ubuntu eller opensuse eller andre distros, at don ' t har selinux af misligholdelse, skal du springe gennem bold, så selinux, men at ' ud over anvendelsesområdet for denne artikel, lad ' s starter med en enkelt ansøgning.lad ' s siger, du og' d gerne redigere en fil med energi i en sandkasse.løb, sandkasse vi filnavn,,.bemærk, at du får en fejl i vim siger " tilladelse nægtet " når man prøver at redigere den fil.det er, fordi selinux var ' ikke udtrykkeligt bad om den fil, du ville give vim tilladelse til at. prøv sandkasse - vi - jeg filnavn, i stedet for.du og' går lidt længere, men har stadig fejl, fordi den misligholdelse opførsel af energi er at skrive en swap - fil (., filnavn,. swp) og info - sagen om dets historie.nu, at ' er relativ godartet opførsel, og vi kan virkelig ' t har et problem med det som regel — men den antagelse, at en ansøgning om en selinux sandkasse, er, at du ikke ' ikke ønsker noget uventet,.,,, regel nummer et: sandkassen er meget effektiv.lektion nummer to?du er nødt til at være ret specifikke, fordi selinux er meget restriktiv, hvad det giver og giver ikke mulighed for, inden vi går over til den rigtige måde at gøre det på, lad ', at én ting mere: at forsøge at ctrl-z, ud af energi for at komme til en tom skal.hvad sker der?hvis du og' har vim inden for en terminal på skrivebordet, du burde se en meddelelse i øverste højre hjørne at advare dig om en selinux alarm.klik på selinux ikon - - og du og', får en nyttig dialog, der fortæller dig, hvad det var, og hvad den pågældende ansøgning vagt prøvede at gøre.i dette tilfælde var det en " signal ", indberetning og mdash; vim forsøgte at sende et signal til shell, der ikke er tilladt, gør det ikke, lad ' s ild vim op igen, men med et par muligheder.første, skabe en tmp og en sehome fortegnelse i dit hjem register eller et eller andet sted belejligt.bemærker, at det vil ' ikke tillade, at du bruger, /tmp,, så du og' 11, vil skabe en, tmp, statistik, andre steder.strengt taget er det ' t, er, at blive kaldt, tmp,, men jeg foretrækker, tmp, fortegnelse i mit hjem vejviseren alligevel.nu hvor du har ekstra dir, prøv sådan her:,,, sandkasse - m - h sehome /- t tmp /vi,,,,,,, så du kan læse og skabe filer, der findes i den, sehome, fortegnelse, og vim kan skabe deres midlertidige akter uden at blive stoppet af selinux.men du kan stadig ' ikke anvendelse, ctrl-z, til at komme til en patron i vim.,, en anden ting, du vil opdage det og mdash, tingene er bare lidt langsommere i sandkassen.selinux tilføjer lidt op, ikke en masse — men det vil kunne mærkes.,, at firefox i en sandkasse, navnlig de ' ll bemærker en afmatning med mere komplekse gui apps.men du kan køre tingene som firefox i en sandkasse, hvis du og' er meget sikkerhed og privatliv bevidst.,,, firefox er temmelig ubrugeligt uden adgang til nettet.den gode nyhed er, at du har en sandkasse former, der gør det muligt for internetbrowsing.her og' hvad vil du løbe for at få firefox samling:,,, sandkasse - x - t - t - t sehome tfp 'sandbox_web_t firefox,,, du og' er at tilføje to ting, og mdash; - x, valg, som fortæller selinux ", - jeg vil have en x sandkasse, " og den type (- t), som indeholder en række politikker, mulighed for at tilbyde tjenesteydelser (som netværk), at firefox skal fungere på en sund måde,.,, selinux er firefox i en begrænset deltagerkreds, der er ' ikke har adgang til resten af systemet.det omfatter x).firefox løber i en indlejrede x server (xephyr), og du vil ', ikke være i stand til at selv kopi &, pasta eller fra firefox samling og andre applikationer.men det betyder også, at firefox er meget begrænset i andre filer på dit system, og at ondsindede hjemmesider eller angreb på plugins som flash, er sandboxed samt.,,,, det er selvfølgelig kun toppen af isbjerget.du kan gøre meget med en selinux sandkasse &mdash. hvis du kan finde ud af, hvad du ønsker at gøre i en sandkasse, oddsene siger, det kan lade sig gøre.vi har ' ikke rørt ved flere, mere avancerede funktioner endnu &mdash, som sandboxing specifikke firefox plugins eller begrænsning af anvendelse af ressourcer i en sandkasse.,, hvis du og' er med hat, røde hat enterprise linux, centos, eller en anden fordeling, som omfatter selinux, bør du tjekke sandkassen funktionalitet.interesseret i mere selinux tips og tutorials?vi ' ll dække flere i den nærmeste fremtid, sammen med oplysninger om anvendelse af apparmor ramme.,