セキュリティセクションでChrome OSについて読みましたが、彼らが言及し続けている「サンドボックス化」の意味は何だろうと思っていました。このサンドボックス化はSelinuxやApparmorのようなものですか?
サンドボックスは、サンドボックスプロセス(非常に制限された環境内で実行されるプロセス)の作成を可能にするC++ライブラリです。サンドボックスプロセスが自由に使用できる唯一のリソースは、CPUサイクルとメモリです。たとえば、サンドボックスプロセスはディスクに書き込むことも、独自のウィンドウを表示することもできません。彼らが正確にできることは、明示的なポリシーによって制御されます。 Chromiumレンダラーはサンドボックス化されたプロセスです。
AppArmorとSelinuxはサンドボックスの概念と同じ目標を持っていますが、それらの機能の原理は異なります。主にサンドボックスでは、他の2つのLinuxソフトウェアとは異なり、セキュリティの境界を超えることはできません。
サンドボックスは、コンピューターの他の部分へのアクセスがブロックされているコンピューターの特別な「セクション」のようなものです。完璧なサンドボックスでは、その中でやりたいことは何でもできますが、コンピュータの他の部分には影響しません。これはセキュリティの一種として使用され、ダウンロードしたマルウェアがコンピュータの他の部分に影響を与えるのを防ぎます。サンドボックスにのみ影響します。
「サンドボックス」という名前は、その中のすべてが永続的ではないという考えに由来しています。いつでも、サンドボックスをリセットして元の場所に戻すことができます。すべてが砂でできています。
ChromeOSは、実行するすべてのアプリケーションとプラグインプロセスにサンドボックスを適用します。各プロセスは、2つの異なるサンドボックスに入れられます。最初のサンドボックスはSETUIDサンドボックスです。これは、各アプリケーションがディスクから離れることができない場所を提供します。ディスクの残りの部分は影響を受けません。 2番目のサンドボックスは、seccomp-bpfと呼ばれ、オペレーティングシステム自体が悪用されるのを防ぎます。
SelinuxとAppArmorは、OS自体ではなくディスクを主に保護するという点で、SETUIDとほとんど同じです。ただし、サンドボックス化の原理を使用して機能しません。代わりに、彼らは何かを行う「行為」のプロセスを捕まえ、それが機能しないようにします。
ChromeOSとCentOSについては、まったく異なるものです。 CentOSは、RedHatに基づいた単なる従来のLinuxオペレーティングシステムです。これは、さまざまな目的に使用できる完全なオペレーティングシステムです。一方、ChromeOSは、消費者と低消費電力のラップトップ用に特別に設計された、変更されたLinuxオペレーティングシステムです。インターネットベースのコンピューティングモデルを使用し、すべてのアプリケーションがWebブラウザー上で実行されます。
ChromeOSは最初からCentOSよりも安全である可能性がありますが、できることははるかに制限されています。また、必要に応じてChromeOSと同じ保護機能を使用するようにCentOSを構成できます。または、他のセキュリティ対策を採用することもできます。