========================================================================
- Sandboxing en Mac OS X (I de II)
- Sandboxing en Mac OS X (II de II)
========================================================================
Continuando con la primera entrada del articulo 'Sandboxing en Mac OS X', lo retomaremos con una serie de reglas que nos ayudarán a crear y configurar sandboxs seguras:
network-inbound / network-outbound
Esta regla se aplica al tráfico de red entrante (network-inbound) o saliente (network-outbound). Si se utiliza el comodín ‘*’ en el nombre de la regla (network*), las restricciones se aplicarán tanto al trafico entrante como saliente. El siguiente fichero de reglas nos permite realizar conexiones salientes, pero nos prohíbe las entrantes.
(version 1)
(allow default)
(deny network-inbound)
Este otro script, nos permitirá realizar conexiones salientes, pero no recibir entrantes.
(version 1)
(allow default)
(deny network-outbound)
(allow network-inbound)
file-read-data
Esta regla hace referencia a la lectura del contenido de los ficheros. Si queremos evitar que un proceso pueda tener acceso de lectura al fichero ‘/etc/passwd’, podremos prohibirlo con la siguiente regla.
(version 1)
(allow default)
(deny file-read-data
(regex “/etc/passwd$”))
file-read-metadata
Con esta regla podemos indicar si podemos leer los metadatos de un archivo, o dicho de otro modo, los permisos del archivo.
(version 1)
(allow default)
(deny file-read-metadata
(regex “/etc/passwd$”))
file-write-data
Esta regla evita que se pueda escribir en un archivo ya existente, pero no evita que se pueda crear el archivo con información, si este no existía previamente, o que este pueda ser borrado. Si se desea proteger un fichero, es aconsejable utilizar ‘file-write*’ en su defecto.
(version 1)
(allow default)
(deny file-write-data
(regex “/tmp/i64$”))
file-write*
Esta es la regla aconsejada para la protección de archivos, en vez de ‘file-write-data’. Esta regla protege de la creación, modificación y borrado.
(version 1)
(allow default)
(deny file-write*
(regex “/tmp/i64$”))
process-exec
Evita la ejecución de los procesos indicados. En el siguiente script bloquearemos todos los comandos excepto ‘/bin/echo’ y ‘/bin/bash’.
(version 1)
(allow default)
(deny process-exec)
(allow process-exec)
(regex “/bin/bash$”)
(regex “/bin/echo$”))
Debido a la poca documentación existente sobre la sintaxis de las reglas de sandbox-exec, os invitamos a que publiquéis aquí reglas que os resulten útiles, y se puedan incluir en el artículo.
========================================================================
- Sandboxing en Mac OS X (I de II)
- Sandboxing en Mac OS X (II de II)
========================================================================
- Sandboxing en Mac OS X (I de II)
- Sandboxing en Mac OS X (II de II)
========================================================================
Continuando con la primera entrada del articulo 'Sandboxing en Mac OS X', lo retomaremos con una serie de reglas que nos ayudarán a crear y configurar sandboxs seguras:
network-inbound / network-outbound
Esta regla se aplica al tráfico de red entrante (network-inbound) o saliente (network-outbound). Si se utiliza el comodín ‘*’ en el nombre de la regla (network*), las restricciones se aplicarán tanto al trafico entrante como saliente. El siguiente fichero de reglas nos permite realizar conexiones salientes, pero nos prohíbe las entrantes.
(version 1)
(allow default)
(deny network-inbound)
Este otro script, nos permitirá realizar conexiones salientes, pero no recibir entrantes.
(version 1)
(allow default)
(deny network-outbound)
(allow network-inbound)
file-read-data
Esta regla hace referencia a la lectura del contenido de los ficheros. Si queremos evitar que un proceso pueda tener acceso de lectura al fichero ‘/etc/passwd’, podremos prohibirlo con la siguiente regla.
(version 1)
(allow default)
(deny file-read-data
(regex “/etc/passwd$”))
file-read-metadata
Con esta regla podemos indicar si podemos leer los metadatos de un archivo, o dicho de otro modo, los permisos del archivo.
(version 1)
(allow default)
(deny file-read-metadata
(regex “/etc/passwd$”))
file-write-data
Esta regla evita que se pueda escribir en un archivo ya existente, pero no evita que se pueda crear el archivo con información, si este no existía previamente, o que este pueda ser borrado. Si se desea proteger un fichero, es aconsejable utilizar ‘file-write*’ en su defecto.
(version 1)
(allow default)
(deny file-write-data
(regex “/tmp/i64$”))
file-write*
Esta es la regla aconsejada para la protección de archivos, en vez de ‘file-write-data’. Esta regla protege de la creación, modificación y borrado.
(version 1)
(allow default)
(deny file-write*
(regex “/tmp/i64$”))
process-exec
Evita la ejecución de los procesos indicados. En el siguiente script bloquearemos todos los comandos excepto ‘/bin/echo’ y ‘/bin/bash’.
(version 1)
(allow default)
(deny process-exec)
(allow process-exec)
(regex “/bin/bash$”)
(regex “/bin/echo$”))
Debido a la poca documentación existente sobre la sintaxis de las reglas de sandbox-exec, os invitamos a que publiquéis aquí reglas que os resulten útiles, y se puedan incluir en el artículo.
========================================================================
- Sandboxing en Mac OS X (I de II)
- Sandboxing en Mac OS X (II de II)
========================================================================
No hay comentarios:
Publicar un comentario