OpenBSDで使用できる方法のうち、アプリケーションの分離に適した方法は何ですか?
- 他のユーザーとしてGUIアプリケーションを実行しますか? Webブラウザ、急流クライアント、PDFビューアなどはさまざまです。
- chroot? -https://www.ibm.com/developerworks/community/blogs/karsten/entry/openbsd_chroot?lang=en
- それとも別の方法を使用できますか?
目的:攻撃者がWebブラウザを介して侵入した場合(個人)ファイル(パスワード管理者データベースファイルなど)、メモリコンテンツにアクセスしないでください。何らかの方法で制限する必要があります。
答え1
人々は異なるユーザーアカウントを使用してWebブラウザを実行できます(そして異なるユーザーに異なるX11サーバーを使用するため、通常のアカウントとブラウザが実行されている場所との間に共有はありません)。
vmm(4)もう1つのオプションは、この場合、OpenBSD virtを実行し、その中で問題のあるアプリケーションを実行できることです。グラフィックスの加速や何かトリッキーかもしれません。 (ここではわかりませんが、私のCPUは使用するほど新しいものではありませんvmm(4)。)
一部のアプリケーションはステーキングされ(読み取りpledge(2))、リソースへのアクセスが制限される可能性があります。他の人は絶望的に献身していないので役に立ちません。 (Chromeを以前のバージョンのFirefoxと比較してください。)