सेकॉम्प: Difference between revisions
No edit summary |
No edit summary |
||
(7 intermediate revisions by 3 users not shown) | |||
Line 1: | Line 1: | ||
{{Infobox software | {{Infobox software | ||
| name = | | name = सेकॉम्प | ||
| title = seccomp | | title = seccomp | ||
| logo = <!-- Image name is enough --> | | logo = <!-- Image name is enough --> | ||
Line 11: | Line 11: | ||
| screenshot_alt = | | screenshot_alt = | ||
| collapsible = | | collapsible = | ||
| author = | | author = एंड्रिया अर्कांगेली | ||
| developer = | | developer = | ||
| released = {{Start date and age|2005|03|08}} | | released = {{Start date and age|2005|03|08}} | ||
Line 19: | Line 19: | ||
| latest preview version = | | latest preview version = | ||
| latest preview date = <!-- {{Start date and age|YYYY|MM|DD|df=yes/no}} --> | | latest preview date = <!-- {{Start date and age|YYYY|MM|DD|df=yes/no}} --> | ||
| programming language = [[ | | programming language = [[सी (प्रोग्रामिंग भाषा)|सी]] | ||
| operating system = [[ | | operating system = [[लिनक्स]] | ||
| platform = | | platform = | ||
| size = | | size = | ||
Line 26: | Line 26: | ||
| language count = <!-- DO NOT include this parameter unless you know what it does --> | | language count = <!-- DO NOT include this parameter unless you know what it does --> | ||
| language footnote = | | language footnote = | ||
| genre = [[ | | genre = [[सैंडबॉक्स (कंप्यूटर सुरक्षा)|सैंडबॉक्सिंग]] | ||
| license = [[ | | license = [[जीएनयू जनरल पब्लिक लाइसेंस]] | ||
| website = {{URL|https://code.google.com/archive/p/seccompsandbox/wikis/overview.wiki}} | | website = {{URL|https://code.google.com/archive/p/seccompsandbox/wikis/overview.wiki}} | ||
}} | }} | ||
'''सेकॉम्प''' (सिक्योर कंप्यूटिंग मोड | '''सेकॉम्प''' (सिक्योर कंप्यूटिंग मोड) [[लिनक्स कर्नेल]] में एक [[कंप्यूटर सुरक्षा]] सुविधा होती है। सेकॉम्प एक [[प्रक्रिया (कंप्यूटिंग)]] को एक सुरक्षित स्थिति में एक तरफा संक्रमण करने की अनुमति देता है <code>exit()</code>, <code>sigreturn()</code>, <code>read()</code> और <code>write()</code> पहले से खुले [[फाइल डिस्क्रिप्टर]] के लिए होता है। यह किसी अन्य प्रणाली का प्रयास करता है, कर्नेल तो केवल घटना को लॉग करता है या [[SIGKILL|सिगकिल]] या [[SIGSYS|सिगसीस]] के साथ प्रक्रिया को समाप्त कर देता है।<ref>{{cite web | url = https://lwn.net/Articles/656307/ | title = एक सेकेंड अवलोकन| access-date = 2017-10-05 | last = Corbet | first = Jonathan | date = 2015-09-02 | work = [[lWN.net|lwn]]}}</ref><ref>{{cite web | url = https://www.kernel.org/doc/Documentation/prctl/seccomp_filter.txt | title = Documentation/prctl/seccomp_filter.txt | access-date = 2017-10-05 }}</ref> इस अर्थ में, यह प्रणाली के संसाधनों को पूरी तरह से अलग करता है। | ||
सेकॉम्प मोड के माध्यम से सक्षम किया गया है {{man|2|prctl|Linux||inline}} प्रणाली | सेकॉम्प मोड के माध्यम से सक्षम किया गया है {{man|2|prctl|Linux||inline}} प्रणाली का उपयोग करके <code>PR_SET_सेकॉम्प</code> तर्क, या (लिनक्स कर्नेल 3.17<ref>{{cite web | ||
| url = http://kernelnewbies.org/Linux_3.17#head-6fd84937bbba3b384979760008858881c99e4a53 | | url = http://kernelnewbies.org/Linux_3.17#head-6fd84937bbba3b384979760008858881c99e4a53 | ||
| title = Linux kernel 3.17, Section 11. Security | | title = Linux kernel 3.17, Section 11. Security | ||
| date = 2013-10-05 | access-date = 2015-03-31 | | date = 2013-10-05 | access-date = 2015-03-31 | ||
| website = kernelnewbies.org | | website = kernelnewbies.org | ||
}}</ref>) के माध्यम से {{man|2|seccomp|Linux||inline}} | }}</ref>) के माध्यम से {{man|2|seccomp|Linux||inline}} करता है।<ref>{{cite web |url=https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=48dc92b9fc3926844257316e75ba11eb5c742b2c |title=seccomp: add "seccomp" syscall |work=kernel/git/torvalds/linux.git - Linux kernel source tree |publisher=[[kernel.org]] |date=2014-06-25 |access-date=2014-08-22}}</ref> फाइल में लिखकर सेकॉम्प मोड को सक्षम किया जाता है, <code>/proc/self/seccomp</code>, लेकिन इस पद्धति के पक्ष में हटा दिया जाता है <code>prctl()</code>.<ref>{{cite web | url = http://lkml.indiana.edu/hypermail/linux/kernel/0706.1/2525.html | title = [PATCH 1 of 2] move seccomp from /proc to a prctl | access-date = 2013-08-02 | last = Arcangeli | first = Andrea | date = 2007-06-14}}</ref> कुछ कर्नेल संस्करणों में, सेकॉम्प अक्षम होता है <code>[[RDTSC]]</code> x[[86]] निर्देश, जो ऊर्जा-ऑन के बाद से बीता हुआ प्रोसेसर चक्रों की संख्या लौटाता है, उच्च-त्रुटिहीन समय के लिए उपयोग किया जाता है।<ref>{{cite web | url = http://blog.cr0.org/2009/05/time-stamp-counter-disabling-oddities.html | title = लिनक्स कर्नेल में विषमताओं को अक्षम करने वाला टाइम-स्टैम्प काउंटर| access-date = 2013-08-02 | last = Tinnes | first = Julien | date = 2009-05-28 | work = cr0 blog}}</ref> | ||
सेकॉम्प-बीपीएफ, सेकॉम्प का एक विस्तार होता है<ref>{{cite web | url = https://lwn.net/Articles/475043/ | title = फिर भी seccomp के लिए एक और नया दृष्टिकोण| access-date = 2013-08-02 | last = Corbet | first = Jonathan | date = 2012-01-11 | work = [[lWN.net|lwn]]}}</ref> जो [[बर्कले पैकेट फ़िल्टर]] नियमों का उपयोग करके कार्यान्वित एक विन्यास योग्य नीति का उपयोग करके प्रणाली | सेकॉम्प-बीपीएफ, सेकॉम्प का एक विस्तार होता है<ref>{{cite web | url = https://lwn.net/Articles/475043/ | title = फिर भी seccomp के लिए एक और नया दृष्टिकोण| access-date = 2013-08-02 | last = Corbet | first = Jonathan | date = 2012-01-11 | work = [[lWN.net|lwn]]}}</ref> जो [[बर्कले पैकेट फ़िल्टर]] नियमों का उपयोग करके कार्यान्वित एक विन्यास योग्य नीति का उपयोग करके प्रणाली को फिल्टर करने की अनुमति देता है। इसका उपयोग [[OpenSSH|ओपेनएसएसएच]] द्वारा किया जाता है<ref name="OpenSSH 6.0" /> और साथ-साथ गूगल क्रोम वेब ब्राउज़र|[[ChromeOS|क्रोमओएस]] और लिनक्स पर क्रोम/क्रोमीअम वेब ब्राउजर द्वारा किया जाता है।<ref>{{cite web | url = https://blog.chromium.org/2012/11/a-safer-playground-for-your-linux-and.html | title = आपके Linux और Chrome OS रेंडरर्स के लिए एक सुरक्षित खेल का मैदान| access-date = 2013-08-02 | last = Tinnes | first = Julien | date = 2012-11-19 | work = The [[Chromium (web browser)|Chromium]] Blog}}</ref> (इस संबंध में सेकॉम्प-बीपीएफ समान कार्यक्षमता प्राप्त करता है।) | ||
कुछ लोग सेकॉम्प को [[OpenBSD]] प्रतिज्ञा(2) और [[FreeBSD]] [[Capsicum (Unix)|कैप्सकम (यूनिक्स)]](4) के बराबर मानते है। | कुछ लोग सेकॉम्प को [[OpenBSD|ओपेनबीएसडी]] प्रतिज्ञा(2) और [[FreeBSD|फ्रीबीएसडी]] [[Capsicum (Unix)|कैप्सकम (यूनिक्स)]](4) के बराबर मानते है। | ||
== इतिहास == | == इतिहास == | ||
सेकॉम्प को पहली बार सार्वजनिक [[ग्रिड कंप्यूटिंग]] में उपयोग के लिए जनवरी 2005 में एंड्रिया अर्कांगेली द्वारा तैयार किया गया था और मूल रूप से [[अविश्वसनीय कोड]] कंप्यूट-बाउंड प्रोग्राम को सुरक्षित रूप से चलाने के साधन के रूप में अभिप्रेत था। इसे कर्नेल संस्करण 2.6.12 में [[लिनक्स कर्नेल मेनलाइन]] में मिला दिया गया था, जिसे 8 मार्च, 2005 को जारी किया गया था।<ref>{{cite web | url = https://git.kernel.org/?p=linux/kernel/git/tglx/history.git;a=commit;h=d949d0ec9c601f2b148bed3cdb5f87c052968554 | archive-url = https://archive.today/20130415050745/http://git.kernel.org/?p=linux/kernel/git/tglx/history.git;a=commit;h=d949d0ec9c601f2b148bed3cdb5f87c052968554 | url-status = dead | archive-date = 2013-04-15 | title = [PATCH] seccomp: secure computing support | access-date = 2013-08-02 | date = 2005-03-08 | work = Linux kernel history | publisher = Kernel.org git repositories }}</ref> | सेकॉम्प को पहली बार सार्वजनिक [[ग्रिड कंप्यूटिंग]] में उपयोग के लिए जनवरी 2005 में एंड्रिया अर्कांगेली द्वारा तैयार किया गया था और मूल रूप से [[अविश्वसनीय कोड]] कंप्यूट-बाउंड प्रोग्राम को सुरक्षित रूप से चलाने के साधन के रूप में अभिप्रेत था। इसे कर्नेल संस्करण 2.6.12 में [[लिनक्स कर्नेल मेनलाइन]] में मिला दिया गया था, जिसे 8 मार्च, 2005 को जारी किया गया था।<ref>{{cite web | url = https://git.kernel.org/?p=linux/kernel/git/tglx/history.git;a=commit;h=d949d0ec9c601f2b148bed3cdb5f87c052968554 | archive-url = https://archive.today/20130415050745/http://git.kernel.org/?p=linux/kernel/git/tglx/history.git;a=commit;h=d949d0ec9c601f2b148bed3cdb5f87c052968554 | url-status = dead | archive-date = 2013-04-15 | title = [PATCH] seccomp: secure computing support | access-date = 2013-08-02 | date = 2005-03-08 | work = Linux kernel history | publisher = Kernel.org git repositories }}</ref> | ||
== सेकॉम्प या सेकॉम्प-बीपीएफ का उपयोग करने वाला | == सेकॉम्प या सेकॉम्प-बीपीएफ का उपयोग करने वाला सॉफ्टवेयर == | ||
* [[Android (ऑपरेटिंग सिस्टम)| | * [[Android (ऑपरेटिंग सिस्टम)|एंड्रॉयड (ऑपरेटिंग प्रणाली)]] एंड्रॉयड 8.0 ओरियो के बाद से युग्मज में एक सेकॉम्प-बीपीएफ फिल्टर का उपयोग करता है।<ref>{{Cite web|url=https://android-developers.googleblog.com/2017/07/seccomp-filter-in-android-o.html|title=Android O में Seccomp फ़िल्टर|website=Android Developers Blog}}</ref> | ||
* [[systemd]] के [[सैंडबॉक्स (कंप्यूटर सुरक्षा)]] विकल्प सेकॉम्प पर आधारित है।<ref>{{Cite web|url=https://www.freedesktop.org/software/systemd/man/systemd.exec.html|title=systemd.exec — Execution environment configuration|website=freedesktop.org|access-date=2017-10-14}}</ref> | * [[systemd|प्रणालीडी]] के [[सैंडबॉक्स (कंप्यूटर सुरक्षा)]] विकल्प सेकॉम्प पर आधारित है।<ref>{{Cite web|url=https://www.freedesktop.org/software/systemd/man/systemd.exec.html|title=systemd.exec — Execution environment configuration|website=freedesktop.org|access-date=2017-10-14}}</ref> | ||
* [[QEMU]], क्विक एम्यूलेटर, [[कर्नेल वर्चुअल मशीन]] के साथ मिलकर आधुनिक वर्चुअलाइजेशन का मुख्य घटक पैरामीटर पर सेकॉम्प का उपयोग करता है <code>--sandbox</code><ref>{{Cite web|url=https://lists.gnu.org/archive/html/qemu-devel/2017-09/msg04072.html|title=QEMU सैंडबॉक्सिंग नया मॉडल पुल अनुरोध|last=Otubo|first=Eduardo|date=2017-09-15|website=qemu-devel mailing list archive}}</ref> | * [[QEMU|क्यूईएमयू]], क्विक एम्यूलेटर, [[कर्नेल वर्चुअल मशीन]] के साथ मिलकर आधुनिक वर्चुअलाइजेशन का मुख्य घटक पैरामीटर पर सेकॉम्प का उपयोग करता है <code>--sandbox</code><ref>{{Cite web|url=https://lists.gnu.org/archive/html/qemu-devel/2017-09/msg04072.html|title=QEMU सैंडबॉक्सिंग नया मॉडल पुल अनुरोध|last=Otubo|first=Eduardo|date=2017-09-15|website=qemu-devel mailing list archive}}</ref> | ||
* [[डॉकर (सॉफ्टवेयर)]] - सॉफ्टवेयर जो अनुप्रयोगों को पृथक कंटेनरों के अंदर चलाने की अनुमति देता है। डॉकर एक सेकॉम्प प्रोफ़ाइल को कंटेनर के साथ संबद्ध कर सकता है <code>--security-opt</code> | * [[डॉकर (सॉफ्टवेयर)]] - सॉफ्टवेयर जो अनुप्रयोगों को पृथक कंटेनरों के अंदर चलाने की अनुमति देता है। डॉकर एक सेकॉम्प प्रोफ़ाइल को कंटेनर के साथ संबद्ध कर सकता है <code>--security-opt</code> | ||
* अर्कांगेली का | * अर्कांगेली का सीपीयूशेयर कुछ समय के लिए सेकॉम्प का एकमात्र ज्ञात उपयोगकर्ता था।<ref name="lkml_2009-02-28_141"><nowiki>{{cite web | url = </nowiki>https://lkml.org/lkml/2009/2/28/141 | title = पुन: [स्थिर] [पैच 2/2] x86-64: सेकम्प: 32/64 सिस्कल छेद को ठीक करें| access-date = 2013-08-02 | last = van de Ven | first = Arjan | date = 2009-02-28 | work = Linux Kernel Mailing List}</ref> फरवरी 2009 में लिखते हुए, [[लिनस टोरवाल्ड्स]] ने संदेह व्यक्त किया कि क्या वास्तव में सेकॉम्प का उपयोग किसी के द्वारा किया जाता है।<ref name="lkml_2009-02-28_129"><nowiki>{{cite web | url = </nowiki>https://lkml.org/lkml/2009/2/28/129 | title = पुन: [पैच 2/2] x86-64: seccomp: 32/64 syscall छेद को ठीक करें| access-date = 2013-08-02 | last = Torvalds | first = Linus | date = 2009-02-28 | work = Linux Kernel Mailing List}</ref> चूंकि, एक [[Google|गूगल]] अभियांत्रिकी ने उत्तर दिया कि गूगल अपने [[Google Chrome|गूगल क्रोम]] वेब ब्राउज़र में सैंडबॉक्स (कंप्यूटर सुरक्षा) के लिए सेकॉम्प का उपयोग करके अन्वेषण करता है।<ref name="lkml_2009-05-06_365">{{cite web | url = https://lkml.org/lkml/2009/5/6/365 | title = पुन: [पैच 2/2] x86-64: seccomp: 32/64 syscall छेद को ठीक करें| access-date = 2013-08-02 | last = Gutschke | first = Markus | date = 2009-05-06 | work = Linux Kernel Mailing List}}</ref> | ||
* [[ फिरिजैल | फिरिजैल]] | * [[ फिरिजैल |फिरिजैल]] एक ओपन सोर्स लिनक्स सैंडबॉक्स प्रोग्राम है जो सैंडबॉक्स लिनक्स अनुप्रयोगों के लिए [[ लिनक्स नामस्थान | लिनक्स नामस्थान]], सेकॉम्प और अन्य कर्नेल-स्तरीय सुरक्षा सुविधाओं का उपयोग करता है। | ||
* क्रोम संस्करण 20 के अनुसार, सेकॉम्प-बीपीएफ का उपयोग [[Adobe Flash Player]] को सैंडबॉक्स करने के लिए किया जाता है। | * क्रोम संस्करण 20 के अनुसार, सेकॉम्प-बीपीएफ का उपयोग [[Adobe Flash Player|एडोब फ्लैश प्लेयर]] को सैंडबॉक्स करने के लिए किया जाता है। | ||
* क्रोम संस्करण 23 के अनुसार, रेंडरर्स को सैंडबॉक्स करने के लिए सेकॉम्प-बीपीएफ का उपयोग किया जाता है। | * क्रोम संस्करण 23 के अनुसार, रेंडरर्स को सैंडबॉक्स करने के लिए सेकॉम्प-बीपीएफ का उपयोग किया जाता है। | ||
* [[स्नैपी (पैकेज मैनेजर)]] | * [[स्नैपी (पैकेज मैनेजर)]] अंतरफलक का उपयोग करके अपने एप्लिकेशन सैंडबॉक्स के आकार को निर्दिष्ट करता है जो स्नैपड को सेकॉम्प, [[AppArmor|एपआर्मर]] और अन्य सुरक्षा निर्माणों में अनुवादित करता है | ||
* | * वीएसएफटीपीडी संस्करण 3.0.0 के अनुसार सेकॉम्प-बीपीएफ सैंडबॉक्सिंग का उपयोग करता है। | ||
* OpenSSH ने 6.0 संस्करण के बाद से सेकॉम्प-बीपीएफ का समर्थन किया है। | * [[OpenSSH|ओपेनएसएसएच]] ने 6.0 संस्करण के बाद से सेकॉम्प-बीपीएफ का समर्थन किया है। | ||
* | * एम बॉक्स अकेले [[ptrace|पीट्रेस]] की तुलना में एक सुरक्षित सैंडबॉक्स बनाने के लिए सेकॉम्प-बीपीएफ के साथ पीट्रेस का उपयोग करता है। | ||
* एलएक्सडी, कंटेनरों के लिए एक [[उबंटू (ऑपरेटिंग सिस्टम)|उबंटू (ऑपरेटिंग प्रणाली)]] [[सूत्र]]<ref>{{cite web | url = http://blog.dustinkirkland.com/2014/11/where-were-going-with-lxd.html | title = हम एलएक्सडी के साथ कहां जा रहे हैं| access-date = 2014-11-08}}</ref> | * एलएक्सडी, कंटेनरों के लिए एक [[उबंटू (ऑपरेटिंग सिस्टम)|उबंटू (ऑपरेटिंग प्रणाली)]] [[सूत्र]]<ref>{{cite web | url = http://blog.dustinkirkland.com/2014/11/where-were-going-with-lxd.html | title = हम एलएक्सडी के साथ कहां जा रहे हैं| access-date = 2014-11-08}}</ref> | ||
* [[फ़ायरफ़ॉक्स]] और [[फ़ायरफ़ॉक्स ओएस]], जो सेकॉम्प-बीपीएफ का उपयोग करते है<ref>{{cite web | url = https://bugzilla.mozilla.org/show_bug.cgi?id=790923 | title = फ़ायरफ़ॉक्स Seccomp सैंडबॉक्स| access-date = 2015-01-13 | last = Destuynder | first = Guillaume | date = 2012-09-13 | work = Mozilla Bugzilla}}</ref><ref>{{cite web | url = https://wiki.mozilla.org/Security/Sandbox/Seccomp | title = फ़ायरफ़ॉक्स Seccomp सैंडबॉक्स| access-date = 2015-01-13 | last = Destuynder | first = Guillaume | date = 2012-09-13 | work = Mozilla Wiki}}</ref> | * [[फ़ायरफ़ॉक्स]] और [[फ़ायरफ़ॉक्स ओएस]], जो सेकॉम्प-बीपीएफ का उपयोग करते है<ref>{{cite web | url = https://bugzilla.mozilla.org/show_bug.cgi?id=790923 | title = फ़ायरफ़ॉक्स Seccomp सैंडबॉक्स| access-date = 2015-01-13 | last = Destuynder | first = Guillaume | date = 2012-09-13 | work = Mozilla Bugzilla}}</ref><ref>{{cite web | url = https://wiki.mozilla.org/Security/Sandbox/Seccomp | title = फ़ायरफ़ॉक्स Seccomp सैंडबॉक्स| access-date = 2015-01-13 | last = Destuynder | first = Guillaume | date = 2012-09-13 | work = Mozilla Wiki}}</ref> | ||
* | * तोर 0.2.5.1-अल्फा के बाद से सेकॉम्प का समर्थन करता है<ref>{{cite web | url = https://gitweb.torproject.org/tor.git/plain/ChangeLog | title = Tor ChangeLog}}</ref> | ||
* लेप्टन, [[ ड्रॉपबॉक्स (सेवा) | ड्रॉपबॉक्स (सेवा)]] द्वारा विकसित एक [[जेपीईजी]] कम्प्रेशन टूल सेकॉम्प का उपयोग करता है<ref>{{Cite web|url=https://blogs.dropbox.com/tech/2016/07/lepton-image-compression-saving-22-losslessly-from-images-at-15mbs/|title=Lepton image compression: saving 22% losslessly from images at 15MB/s|website=Dropbox Tech Blog|access-date=2016-07-15}}</ref> | * लेप्टन, [[ ड्रॉपबॉक्स (सेवा) |ड्रॉपबॉक्स (सेवा)]] द्वारा विकसित एक [[जेपीईजी]] कम्प्रेशन टूल सेकॉम्प का उपयोग करता है<ref>{{Cite web|url=https://blogs.dropbox.com/tech/2016/07/lepton-image-compression-saving-22-losslessly-from-images-at-15mbs/|title=Lepton image compression: saving 22% losslessly from images at 15MB/s|website=Dropbox Tech Blog|access-date=2016-07-15}}</ref> | ||
* काफेल एक विन्यास भाषा है, जो पठनीय नीतियों को | * काफेल एक विन्यास भाषा है, जो पठनीय नीतियों को सेकॉम्पबी-बीपीएफ [[bytecode|बाईटकोड]] में परिवर्तित करती है<ref>{{Cite web|url=https://google.github.io/kafel/|title=Kafel: A language and library for specifying syscall filtering policies}}</ref> | ||
* [[सबग्राफ (ऑपरेटिंग सिस्टम)|सबग्राफ (ऑपरेटिंग प्रणाली)]] सेकॉम्प-बीपीएफ का उपयोग करता है<ref>{{Cite web|url=https://subgraph.com/|title=सबग्राफ ओएस|website=Subgraph|access-date=2016-12-18}}</ref><ref>{{Cite web|url=https://www.youtube.com/watch?v=Nol8kKoB-co&t=48m56s |archive-url=https://ghostarchive.org/varchive/youtube/20211221/Nol8kKoB-co |archive-date=2021-12-21 |url-status=live|title=LoganCIJ16: Future of OS|website=YouTube|access-date=2016-12-18}}{{cbignore}}</ref> | * [[सबग्राफ (ऑपरेटिंग सिस्टम)|सबग्राफ (ऑपरेटिंग प्रणाली)]] सेकॉम्प-बीपीएफ का उपयोग करता है<ref>{{Cite web|url=https://subgraph.com/|title=सबग्राफ ओएस|website=Subgraph|access-date=2016-12-18}}</ref><ref>{{Cite web|url=https://www.youtube.com/watch?v=Nol8kKoB-co&t=48m56s |archive-url=https://ghostarchive.org/varchive/youtube/20211221/Nol8kKoB-co |archive-date=2021-12-21 |url-status=live|title=LoganCIJ16: Future of OS|website=YouTube|access-date=2016-12-18}}{{cbignore}}</ref> | ||
* [[Flatpak]] [[प्रक्रिया अलगाव]] के लिए सेकॉम्प का उपयोग करता है<ref>{{cite web | url = https://blogs.gnome.org/alexl/2017/01/18/the-flatpak-security-model-part-1-the-basics/ | title = The flatpak security model – part 1: The basics | access-date = 2017-01-21}}</ref> | * [[Flatpak|फ्लैटपैक]] [[प्रक्रिया अलगाव]] के लिए सेकॉम्प का उपयोग करता है<ref>{{cite web | url = https://blogs.gnome.org/alexl/2017/01/18/the-flatpak-security-model-part-1-the-basics/ | title = The flatpak security model – part 1: The basics | access-date = 2017-01-21}}</ref> | ||
* बबलरैप फ्लैटपैक से विकसित एक हल्का सैंडबॉक्स एप्लिकेशन है<ref>{{cite web | url = https://wiki.archlinux.org/index.php/Bubblewrap| title = बबल रैप| access-date = 2018-04-14}}</ref> | * बबलरैप फ्लैटपैक से विकसित एक हल्का सैंडबॉक्स एप्लिकेशन है<ref>{{cite web | url = https://wiki.archlinux.org/index.php/Bubblewrap| title = बबल रैप| access-date = 2018-04-14}}</ref> | ||
* मिनिजेल<ref>{{Cite web|url=https://www.chromium.org/chromium-os/developer-guide/chromium-os-sandboxing|title=Chromium OS Sandboxing - the Chromium Projects}}</ref> प्रक्रिया अलगाव के लिए सेकॉम्प का उपयोग करता है<ref>{{Cite web|url=https://lwn.net/Articles/700557/|title=Minijail [LWN.net]|website=lwn.net|access-date=2017-04-11}}</ref> | * मिनिजेल<ref>{{Cite web|url=https://www.chromium.org/chromium-os/developer-guide/chromium-os-sandboxing|title=Chromium OS Sandboxing - the Chromium Projects}}</ref> प्रक्रिया अलगाव के लिए सेकॉम्प का उपयोग करता है<ref>{{Cite web|url=https://lwn.net/Articles/700557/|title=Minijail [LWN.net]|website=lwn.net|access-date=2017-04-11}}</ref> | ||
* | * सिडबॉक्स सेकॉम्प-बीपीएफ का उपयोग करता है<ref>{{Cite web|url=https://dev.exherbo.org/~alip/sydbox/sydbox.html|title=core/trace/use_seccomp|access-date=2021-05-31|website=dev.exherbo.org}}</ref> एक्सहर्बो लिनक्स वितरण पर सैंडबॉक्स पैकेज बनाने के लिए उपयोग किए जाने वाले पीट्रेस सैंडबॉक्सिंग के रनटाइम और सुरक्षा में सुधार करने के लिए होता है। | ||
* | * फाइल निर्धारित करने के लिए एक यूनिक्स प्रोग्राम, अपने रनटाइम वातावरण को प्रतिबंधित करने के लिए सेकॉम्प का उपयोग करता है<ref>{{Cite web|url=https://github.com/file/file/blob/master/src/seccomp.c|title=फ़ाइल आवेदन सैंडबॉक्सिंग|website=[[GitHub]] }}</ref> | ||
* | * जथुरा_(दस्तावेज_दर्शक), एक न्यूनतर दस्तावेज दर्शक, विभिन्न सैंडबॉक्स मोड को लागू करने के लिए सेकॉम्प फ़िल्टर का उपयोग करता है<ref>{{Cite web|url=https://git.pwmt.org/pwmt/zathura/-/blob/master/zathura/seccomp-filters.c|title=Zathura seccomp implementation}}</ref> | ||
* गनोम ट्रैकर, गनोम डेस्कटॉप पर्यावरण के लिए एक अनुक्रमण और पूर्वावलोकन अनुप्रयोग, मीडिया | * गनोम ट्रैकर, गनोम डेस्कटॉप पर्यावरण के लिए एक अनुक्रमण और पूर्वावलोकन अनुप्रयोग, मीडिया फाइलों में कमजोरियों को पार्स करने के स्वचालित शोषण को रोकने के लिए सेकॉम्प का उपयोग करता है।<ref>{{Cite web|url=https://gitlab.gnome.org/GNOME/tracker-miners/-/blob/master/src/libtracker-miners-common/tracker-seccomp.c|title=Gnome tracker seccomp implementation}}</ref> | ||
== संदर्भ == | == संदर्भ == | ||
{{Reflist}} | {{Reflist}} | ||
Line 93: | Line 93: | ||
{{Linux kernel}} | {{Linux kernel}} | ||
{{Linux}} | {{Linux}} | ||
[[Category:Collapse templates]] | |||
[[Category: | |||
[[Category:Created On 11/05/2023]] | [[Category:Created On 11/05/2023]] | ||
[[Category:Machine Translated Page]] | |||
[[Category:Navigational boxes| ]] | |||
[[Category:Navigational boxes without horizontal lists]] | |||
[[Category:Pages with empty portal template]] | |||
[[Category:Pages with reference errors]] | |||
[[Category:Pages with script errors]] | |||
[[Category:Portal-inline template with redlinked portals]] | |||
[[Category:Sidebars with styles needing conversion]] | |||
[[Category:Template documentation pages|Documentation/doc]] | |||
[[Category:Templates Vigyan Ready]] | |||
[[Category:Templates generating microformats]] | |||
[[Category:Templates that are not mobile friendly]] | |||
[[Category:Templates using TemplateData]] | |||
[[Category:Wikipedia metatemplates]] | |||
[[Category:कंप्यूटर सुरक्षा]] | |||
[[Category:लिनक्स कर्नेल सुविधाएँ]] |
Latest revision as of 16:25, 30 May 2023
Original author(s) | एंड्रिया अर्कांगेली |
---|---|
Initial release | March 8, 2005 |
Written in | सी |
Operating system | लिनक्स |
Type | सैंडबॉक्सिंग |
License | जीएनयू जनरल पब्लिक लाइसेंस |
Website | code |
सेकॉम्प (सिक्योर कंप्यूटिंग मोड) लिनक्स कर्नेल में एक कंप्यूटर सुरक्षा सुविधा होती है। सेकॉम्प एक प्रक्रिया (कंप्यूटिंग) को एक सुरक्षित स्थिति में एक तरफा संक्रमण करने की अनुमति देता है exit()
, sigreturn()
, read()
और write()
पहले से खुले फाइल डिस्क्रिप्टर के लिए होता है। यह किसी अन्य प्रणाली का प्रयास करता है, कर्नेल तो केवल घटना को लॉग करता है या सिगकिल या सिगसीस के साथ प्रक्रिया को समाप्त कर देता है।[1][2] इस अर्थ में, यह प्रणाली के संसाधनों को पूरी तरह से अलग करता है।
सेकॉम्प मोड के माध्यम से सक्षम किया गया है PR_SET_सेकॉम्प
तर्क, या (लिनक्स कर्नेल 3.17[3]) के माध्यम से करता है।[4] फाइल में लिखकर सेकॉम्प मोड को सक्षम किया जाता है, /proc/self/seccomp
, लेकिन इस पद्धति के पक्ष में हटा दिया जाता है prctl()
.[5] कुछ कर्नेल संस्करणों में, सेकॉम्प अक्षम होता है RDTSC
x86 निर्देश, जो ऊर्जा-ऑन के बाद से बीता हुआ प्रोसेसर चक्रों की संख्या लौटाता है, उच्च-त्रुटिहीन समय के लिए उपयोग किया जाता है।[6]
सेकॉम्प-बीपीएफ, सेकॉम्प का एक विस्तार होता है[7] जो बर्कले पैकेट फ़िल्टर नियमों का उपयोग करके कार्यान्वित एक विन्यास योग्य नीति का उपयोग करके प्रणाली को फिल्टर करने की अनुमति देता है। इसका उपयोग ओपेनएसएसएच द्वारा किया जाता है[8] और साथ-साथ गूगल क्रोम वेब ब्राउज़र|क्रोमओएस और लिनक्स पर क्रोम/क्रोमीअम वेब ब्राउजर द्वारा किया जाता है।[9] (इस संबंध में सेकॉम्प-बीपीएफ समान कार्यक्षमता प्राप्त करता है।)
कुछ लोग सेकॉम्प को ओपेनबीएसडी प्रतिज्ञा(2) और फ्रीबीएसडी कैप्सकम (यूनिक्स)(4) के बराबर मानते है।
इतिहास
सेकॉम्प को पहली बार सार्वजनिक ग्रिड कंप्यूटिंग में उपयोग के लिए जनवरी 2005 में एंड्रिया अर्कांगेली द्वारा तैयार किया गया था और मूल रूप से अविश्वसनीय कोड कंप्यूट-बाउंड प्रोग्राम को सुरक्षित रूप से चलाने के साधन के रूप में अभिप्रेत था। इसे कर्नेल संस्करण 2.6.12 में लिनक्स कर्नेल मेनलाइन में मिला दिया गया था, जिसे 8 मार्च, 2005 को जारी किया गया था।[10]
सेकॉम्प या सेकॉम्प-बीपीएफ का उपयोग करने वाला सॉफ्टवेयर
- एंड्रॉयड (ऑपरेटिंग प्रणाली) एंड्रॉयड 8.0 ओरियो के बाद से युग्मज में एक सेकॉम्प-बीपीएफ फिल्टर का उपयोग करता है।[11]
- प्रणालीडी के सैंडबॉक्स (कंप्यूटर सुरक्षा) विकल्प सेकॉम्प पर आधारित है।[12]
- क्यूईएमयू, क्विक एम्यूलेटर, कर्नेल वर्चुअल मशीन के साथ मिलकर आधुनिक वर्चुअलाइजेशन का मुख्य घटक पैरामीटर पर सेकॉम्प का उपयोग करता है
--sandbox
[13] - डॉकर (सॉफ्टवेयर) - सॉफ्टवेयर जो अनुप्रयोगों को पृथक कंटेनरों के अंदर चलाने की अनुमति देता है। डॉकर एक सेकॉम्प प्रोफ़ाइल को कंटेनर के साथ संबद्ध कर सकता है
--security-opt
- अर्कांगेली का सीपीयूशेयर कुछ समय के लिए सेकॉम्प का एकमात्र ज्ञात उपयोगकर्ता था।[14] फरवरी 2009 में लिखते हुए, लिनस टोरवाल्ड्स ने संदेह व्यक्त किया कि क्या वास्तव में सेकॉम्प का उपयोग किसी के द्वारा किया जाता है।[15] चूंकि, एक गूगल अभियांत्रिकी ने उत्तर दिया कि गूगल अपने गूगल क्रोम वेब ब्राउज़र में सैंडबॉक्स (कंप्यूटर सुरक्षा) के लिए सेकॉम्प का उपयोग करके अन्वेषण करता है।[16]
- फिरिजैल एक ओपन सोर्स लिनक्स सैंडबॉक्स प्रोग्राम है जो सैंडबॉक्स लिनक्स अनुप्रयोगों के लिए लिनक्स नामस्थान, सेकॉम्प और अन्य कर्नेल-स्तरीय सुरक्षा सुविधाओं का उपयोग करता है।
- क्रोम संस्करण 20 के अनुसार, सेकॉम्प-बीपीएफ का उपयोग एडोब फ्लैश प्लेयर को सैंडबॉक्स करने के लिए किया जाता है।
- क्रोम संस्करण 23 के अनुसार, रेंडरर्स को सैंडबॉक्स करने के लिए सेकॉम्प-बीपीएफ का उपयोग किया जाता है।
- स्नैपी (पैकेज मैनेजर) अंतरफलक का उपयोग करके अपने एप्लिकेशन सैंडबॉक्स के आकार को निर्दिष्ट करता है जो स्नैपड को सेकॉम्प, एपआर्मर और अन्य सुरक्षा निर्माणों में अनुवादित करता है
- वीएसएफटीपीडी संस्करण 3.0.0 के अनुसार सेकॉम्प-बीपीएफ सैंडबॉक्सिंग का उपयोग करता है।
- ओपेनएसएसएच ने 6.0 संस्करण के बाद से सेकॉम्प-बीपीएफ का समर्थन किया है।
- एम बॉक्स अकेले पीट्रेस की तुलना में एक सुरक्षित सैंडबॉक्स बनाने के लिए सेकॉम्प-बीपीएफ के साथ पीट्रेस का उपयोग करता है।
- एलएक्सडी, कंटेनरों के लिए एक उबंटू (ऑपरेटिंग प्रणाली) सूत्र[17]
- फ़ायरफ़ॉक्स और फ़ायरफ़ॉक्स ओएस, जो सेकॉम्प-बीपीएफ का उपयोग करते है[18][19]
- तोर 0.2.5.1-अल्फा के बाद से सेकॉम्प का समर्थन करता है[20]
- लेप्टन, ड्रॉपबॉक्स (सेवा) द्वारा विकसित एक जेपीईजी कम्प्रेशन टूल सेकॉम्प का उपयोग करता है[21]
- काफेल एक विन्यास भाषा है, जो पठनीय नीतियों को सेकॉम्पबी-बीपीएफ बाईटकोड में परिवर्तित करती है[22]
- सबग्राफ (ऑपरेटिंग प्रणाली) सेकॉम्प-बीपीएफ का उपयोग करता है[23][24]
- फ्लैटपैक प्रक्रिया अलगाव के लिए सेकॉम्प का उपयोग करता है[25]
- बबलरैप फ्लैटपैक से विकसित एक हल्का सैंडबॉक्स एप्लिकेशन है[26]
- मिनिजेल[27] प्रक्रिया अलगाव के लिए सेकॉम्प का उपयोग करता है[28]
- सिडबॉक्स सेकॉम्प-बीपीएफ का उपयोग करता है[29] एक्सहर्बो लिनक्स वितरण पर सैंडबॉक्स पैकेज बनाने के लिए उपयोग किए जाने वाले पीट्रेस सैंडबॉक्सिंग के रनटाइम और सुरक्षा में सुधार करने के लिए होता है।
- फाइल निर्धारित करने के लिए एक यूनिक्स प्रोग्राम, अपने रनटाइम वातावरण को प्रतिबंधित करने के लिए सेकॉम्प का उपयोग करता है[30]
- जथुरा_(दस्तावेज_दर्शक), एक न्यूनतर दस्तावेज दर्शक, विभिन्न सैंडबॉक्स मोड को लागू करने के लिए सेकॉम्प फ़िल्टर का उपयोग करता है[31]
- गनोम ट्रैकर, गनोम डेस्कटॉप पर्यावरण के लिए एक अनुक्रमण और पूर्वावलोकन अनुप्रयोग, मीडिया फाइलों में कमजोरियों को पार्स करने के स्वचालित शोषण को रोकने के लिए सेकॉम्प का उपयोग करता है।[32]
संदर्भ
- ↑ Corbet, Jonathan (2015-09-02). "एक सेकेंड अवलोकन". lwn. Retrieved 2017-10-05.
- ↑ "Documentation/prctl/seccomp_filter.txt". Retrieved 2017-10-05.
- ↑ "Linux kernel 3.17, Section 11. Security". kernelnewbies.org. 2013-10-05. Retrieved 2015-03-31.
- ↑ "seccomp: add "seccomp" syscall". kernel/git/torvalds/linux.git - Linux kernel source tree. kernel.org. 2014-06-25. Retrieved 2014-08-22.
- ↑ Arcangeli, Andrea (2007-06-14). "[PATCH 1 of 2] move seccomp from /proc to a prctl". Retrieved 2013-08-02.
- ↑ Tinnes, Julien (2009-05-28). "लिनक्स कर्नेल में विषमताओं को अक्षम करने वाला टाइम-स्टैम्प काउंटर". cr0 blog. Retrieved 2013-08-02.
- ↑ Corbet, Jonathan (2012-01-11). "फिर भी seccomp के लिए एक और नया दृष्टिकोण". lwn. Retrieved 2013-08-02.
- ↑ Cite error: Invalid
<ref>
tag; no text was provided for refs namedOpenSSH 6.0
- ↑ Tinnes, Julien (2012-11-19). "आपके Linux और Chrome OS रेंडरर्स के लिए एक सुरक्षित खेल का मैदान". The Chromium Blog. Retrieved 2013-08-02.
- ↑ "[PATCH] seccomp: secure computing support". Linux kernel history. Kernel.org git repositories. 2005-03-08. Archived from the original on 2013-04-15. Retrieved 2013-08-02.
- ↑ "Android O में Seccomp फ़िल्टर". Android Developers Blog.
- ↑ "systemd.exec — Execution environment configuration". freedesktop.org. Retrieved 2017-10-14.
- ↑ Otubo, Eduardo (2017-09-15). "QEMU सैंडबॉक्सिंग नया मॉडल पुल अनुरोध". qemu-devel mailing list archive.
- ↑ {{cite web | url = https://lkml.org/lkml/2009/2/28/141 | title = पुन: [स्थिर] [पैच 2/2] x86-64: सेकम्प: 32/64 सिस्कल छेद को ठीक करें| access-date = 2013-08-02 | last = van de Ven | first = Arjan | date = 2009-02-28 | work = Linux Kernel Mailing List}
- ↑ {{cite web | url = https://lkml.org/lkml/2009/2/28/129 | title = पुन: [पैच 2/2] x86-64: seccomp: 32/64 syscall छेद को ठीक करें| access-date = 2013-08-02 | last = Torvalds | first = Linus | date = 2009-02-28 | work = Linux Kernel Mailing List}
- ↑ Gutschke, Markus (2009-05-06). "पुन: [पैच 2/2] x86-64: seccomp: 32/64 syscall छेद को ठीक करें". Linux Kernel Mailing List. Retrieved 2013-08-02.
- ↑ "हम एलएक्सडी के साथ कहां जा रहे हैं". Retrieved 2014-11-08.
- ↑ Destuynder, Guillaume (2012-09-13). "फ़ायरफ़ॉक्स Seccomp सैंडबॉक्स". Mozilla Bugzilla. Retrieved 2015-01-13.
- ↑ Destuynder, Guillaume (2012-09-13). "फ़ायरफ़ॉक्स Seccomp सैंडबॉक्स". Mozilla Wiki. Retrieved 2015-01-13.
- ↑ "Tor ChangeLog".
- ↑ "Lepton image compression: saving 22% losslessly from images at 15MB/s". Dropbox Tech Blog. Retrieved 2016-07-15.
- ↑ "Kafel: A language and library for specifying syscall filtering policies".
- ↑ "सबग्राफ ओएस". Subgraph. Retrieved 2016-12-18.
- ↑ "LoganCIJ16: Future of OS". YouTube. Archived from the original on 2021-12-21. Retrieved 2016-12-18.
- ↑ "The flatpak security model – part 1: The basics". Retrieved 2017-01-21.
- ↑ "बबल रैप". Retrieved 2018-04-14.
- ↑ "Chromium OS Sandboxing - the Chromium Projects".
- ↑ "Minijail [LWN.net]". lwn.net. Retrieved 2017-04-11.
- ↑ "core/trace/use_seccomp". dev.exherbo.org. Retrieved 2021-05-31.
- ↑ "फ़ाइल आवेदन सैंडबॉक्सिंग". GitHub.
- ↑ "Zathura seccomp implementation".
- ↑ "Gnome tracker seccomp implementation".
बाहरी संबंध
- Official website (Archived)
- गूगल's Chromium sandbox, LWN.net, August 2009, by Jake Edge
- सेकॉम्प-nurse, a sandboxing framework based on सेकॉम्प
- Documentation/prctl/सेकॉम्प_filter.txt, part of the Linux kernel documentation
- Security In-Depth for Linux Software: Preventing and Mitigating Security Bugs