Segurança Informática em Organizações

Confinamento: Namespaces

Permite o particionamento dos recursos em vistas(namespaces)

Processos num namespace possuem uma vista restrita do sistema

Ativado através de syscalls por um processo simples:

  • clone: define um namespace para onde migrar o processo

  • unshare: desassocia o processo do seu contexto atual

  • setns: coloca o processo num Namespace

Tipos de Namespaces

mount: aplicado a pontos de montagem

process id: primeiro processo tem id 1

network: stack de rede “independente” (rotas, interfaces...)

IPC: métodos de comunicação entre processos

uts: independência de nomes (DNS)

user id: segregação das permissões

cgroup: limitação dos recursos utilizados (memória, cpu...)

PreviousConfinamento: ApparmorNextConfinamento: Containers

Last updated