Lennart Poettering, développeur de systemd, a conçu ce programme comme remplacement à l'init daemon pour Linux. Ici il veut étendre ce système d'initialisation afin d'inclure le support de seccomp (Secure Computing Mode).
Seccomp est une extension de sécurité dans le noyau Linux qui restreint les appels système qu'un processus peut faire. En gros on place le processus dans une sandbox. Google par exemple, utilise seccomp pour exécuter le plugin Flash dans un environnement sécurisé dans la version 64-bit du navigateur Chrome pour Linux.
Sur Google+, Poettering écrit que, lors de la définition d'un service d'arrière-plan qui doit être lancé au démarrage, les appels système peuvent tout simplement être mentionnés après le SystemCallFilter. Si un service qui a été restreint de cette façon tente de faire un appel système non autorisé, il sera terminé par le kernel. Seccomp nécessite la version 3.5 de Linux, qui est prévue pour arriver dans les prochains jours.
MISES A JOUR DE L'ARTICLE |
