A Hajas Szemgolyó (Hairy Eyeball) project azt tűzte ki céljául, hogy az OpenBSD-hez fejlesztett (de más OS alá is portolt, pl. Linux) systrace eszközhöz felhasználható irányelveket (policy) összegyűjtse, és hasznosan tárolja. A dolog felhasználható azoknak, akik nem akanak saját policy felállításával bíbelődni, vagy csak egyszerűen tanulni akarnak a tapasztaltabb felhasználóktól.
A Hairy Eyeball project honlapja itt
Mi is az a systrace?
Mint azt korábban írtuk: "Az újdonság neve systrace és a rendszerhívások figyelésére, azok használatának korlátozására való.A systrace által használt policy interaktívan alakítható, így jelentősen megkönnyíti a listák elkészítését. Azok a műveletek, amelyek nincsenek bekonfigurálva az adott alkalmazáshoz riasztást generálnak, amely segítségével eldönthetjük, hogy az adott rendszerhívást engedélyezzük-e vagy sem.
A systrace segítségével az alkalmazások sandboxba, vagy homokozóba zárása is megoldható végre OpenBSD-n, amely a szerző szerint főleg a bináris terjesztésű programoknál lehet hasznos, hiszen ott nem minden esetben tudjuk, hogy mit is fog valójában csinálni az alkalmazás. De természetesen a nem megbízhatónak vélt szabad forráskódú programok bedobozolása is hasznos lehet bizonyos esetekben (bind? :).
A systrace behatolásdetektálásra is használható, hiszen segítségével egy távoli gépen futó programok figyelhetők, amelyek ha nem definiált műveletet próbálnak végrehajtani, riasztást indítanak el. Ezek a riasztások célszerűen egy központi számítógépben futnak össze, így figyelésük egyszerű. A systrace már az OpenBSD -current része, tehát az az alaprendszerben elérhető."
A systrace Niels Provos munkája.
Kacsolódó oldalak:
Niels Provos systrace weblapja
OpenBSD
systrace az alaprendszerben
Fejlemények systrace ügyben
OpenBSD: privilégium emelés (Privilege Elevation)