OpenBSD에서 사용할 수 있는 방법 중 애플리케이션 격리에 더 적합한 방법은 무엇입니까?
- 다른 사용자로 GUI 애플리케이션을 실행하시겠습니까? 웹 브라우저, 토렌트 클라이언트, PDF 뷰어 등은 다양합니다.
- chroot? -https://www.ibm.com/developerworks/community/blogs/karsten/entry/openbsd_chroot?lang=en
- 아니면 다른 방법을 사용할 수 있나요?
목적: 공격자가 웹 브라우저를 통해 침입하는 경우 (개인) 파일(예: 비밀번호 관리자 데이터베이스 파일), 메모리 콘텐츠에 접근해서는 안 되며 어떤 방식으로든 제한되어야 합니다.
답변1
사람들은 서로 다른 사용자 계정을 사용하여 웹 브라우저를 실행할 수 있습니다(그리고 서로 다른 사용자에 대해 서로 다른 X11 서버를 사용하므로 일반 계정과 브라우저가 실행되는 위치 간에 공유가 없습니다).
vmm(4)또 다른 옵션은 이 경우 OpenBSD virt를 실행하고 그 안에서 문제가 있는 응용 프로그램을 실행할 수 있다는 것입니다 . 그래픽 가속이나 뭔가 까다로울 수 있습니다. (여기서는 모르겠지만 내 CPU는 사용할 만큼 새롭지도 않습니다 vmm(4).)
일부 애플리케이션은 스테이킹되어(읽기 pledge(2)) 리소스에 대한 액세스가 제한될 수 있습니다. 다른 사람들은 절망적으로 헌신하지 않으므로 도움이 되지 않습니다. (Chrome을 이전 버전의 Firefox와 비교하세요.)