web-dev-qa-db-ja.com

Chrome OS)の「サンドボックス化」とはどういう意味ですか?

セキュリティセクションでChrome OSについて読みましたが、彼らが言及し続けている「サンドボックス化」の意味は何だろうと思っていました。このサンドボックス化はSelinuxやApparmorのようなものですか?

7
user53427
  • Google Chrome OSはLinuxベースのオペレーティングシステムで、Chromeブラウザーであり、Googleに属するオンラインアプリケーション(Google Drive、Youtube ...)の使用に焦点を当てています。これは、MicrosoftのWindows OSと直接競合するものです。
  • Centos OSもLinuxベースのオペレーティングシステムですが、Chromeモバイルで実行されるOSとは異なり、Centos OSは広くサーバーに使用されます。
  • サンドボックス化は、Chrome Osが無料でオープンソースの商用バージョンであるため、Osで頻繁に見られる概念ですサンドボックス化メカニズムに依存するプロジェクトChromium OS。非常に簡単に言えば、サンドボックス化は、特にOSへのマルウェアの影響を防ぐためのセキュリティに関連しています。たとえば、Chromium OSのブラウザでWebサイトにアクセスできます。URLがJavaScriptをホストしている場合マルウェア(ドライブバイダウンロード攻撃)の場合、サンドボックス化の概念の原理を説明すると、マルウェアがOSに影響を与える可能性はありません こちら

サンドボックスは、サンドボックスプロセス(非常に制限された環境内で実行されるプロセス)の作成を可能にするC++ライブラリです。サンドボックスプロセスが自由に使用できる唯一のリソースは、CPUサイクルとメモリです。たとえば、サンドボックスプロセスはディスクに書き込むことも、独自のウィンドウを表示することもできません。彼らが正確にできることは、明示的なポリシーによって制御されます。 Chromiumレンダラーはサンドボックス化されたプロセスです。

AppArmorとSelinuxはサンドボックスの概念と同じ目標を持っていますが、それらの機能の原理は異なります。主にサンドボックスでは、他の2つのLinuxソフトウェアとは異なり、セキュリティの境界を超えることはできません。

11
user45139

サンドボックスは、コンピューターの他の部分へのアクセスがブロックされているコンピューターの特別な「セクション」のようなものです。完璧なサンドボックスでは、その中でやりたいことは何でもできますが、コンピュータの他の部分には影響しません。これはセキュリティの一種として使用され、ダウンロードしたマルウェアがコンピュータの他の部分に影響を与えるのを防ぎます。サンドボックスにのみ影響します。

「サンドボックス」という名前は、その中のすべてが永続的ではないという考えに由来しています。いつでも、サンドボックスをリセットして元の場所に戻すことができます。すべてが砂でできています。

ChromeOSは、実行するすべてのアプリケーションとプラグインプロセスにサンドボックスを適用します。各プロセスは、2つの異なるサンドボックスに入れられます。最初のサンドボックスはSETUIDサンドボックスです。これは、各アプリケーションがディスクから離れることができない場所を提供します。ディスクの残りの部分は影響を受けません。 2番目のサンドボックスは、seccomp-bpfと呼ばれ、オペレーティングシステム自体が悪用されるのを防ぎます。

SelinuxとAppArmorは、OS自体ではなくディスクを主に保護するという点で、SETUIDとほとんど同じです。ただし、サンドボックス化の原理を使用して機能しません。代わりに、彼らは何かを行う「行為」のプロセスを捕まえ、それが機能しないようにします。

ChromeOSとCentOSについては、まったく異なるものです。 CentOSは、RedHatに基づいた単なる従来のLinuxオペレーティングシステムです。これは、さまざまな目的に使用できる完全なオペレーティングシステムです。一方、ChromeOSは、消費者と低消費電力のラップトップ用に特別に設計された、変更されたLinuxオペレーティングシステムです。インターネットベースのコンピューティングモデルを使用し、すべてのアプリケーションがWebブラウザー上で実行されます。

ChromeOSは最初からCentOSよりも安全である可能性がありますが、できることははるかに制限されています。また、必要に応じてChromeOSと同じ保護機能を使用するようにCentOSを構成できます。または、他のセキュリティ対策を採用することもできます。

6
trlkly