Cloisonner une application simplement avec NsJail

Magazine
Marque
GNU/Linux Magazine
Numéro
216
Mois de parution
juin 2018


Résumé
Comment durcir simplement notre système, quand ce dernier fait, et doit faire, tourner des applications tierces non maîtrisées ? Ce type de problématique s'est retrouvé au cœur de l'actualité quand est apparue la faille affectant ImageMagick. Comment limiter son champ d'action quand on connaît son périmètre fonctionnel pour un cas d'utilisation ?


Je vois de plus en plus d'articles tentant de démontrer que la seule direction possible pour sécuriser efficacement un système, est de tendre inexorablement vers de la virtualisation d'application, c'est-à-dire, cloisonner une application quasiment au niveau de l'hyperviseur, en lui dédiant un système complet. Cet article va donc prendre le contre courant de cette mouvance. Ici, nous croyons que les mécanismes légers offerts par le noyau Linux, tels que les namespaces, constituent une réelle alternative à la virtualisation, et donc par la même, une avancée dans la sécurisation des contextes applicatifs. NsJail est donc, vous l'aurez deviné, l'abréviation de Namespace Jail (l'emprisonnement par espace de nom). NsJail propose de se reposer sur les namespaces Linux, technique utilisée en général par des solutions de containérisation telles que Docker, afin d'emprisonner un processus dont le niveau de confiance n'est pas maîtrisé. Nous pouvons par exemple prendre...

Cet article est réservé aux abonnés. Il vous reste 94% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite