Os pesquisadores na rede de pesquisa mundial PlanetLab desenvolveram um potencial substituto para a popular ferramenta Unix sudo, chamada Vsys, que pode oferecer aos administradores de sistema um controle muito maior sobre o que usuários podem ou não podem acessar.
"Vsys é uma ferramente para restringir acesso à operações privilegiadas," disse o o pesquisador Sapan Bhatia da Universidade de Princeton, que introduziu a tecnologia na conferência Usenix na última semana em Portland, Oregon.
O pesquisador comparou o Vsys a o sudo usando como analogia uma comparação entre as linguagens C e Assembly. Ambas as tecnologias oferecem os mesmos recursos e resultados finais, contudo, o atrativo do Vsys são as facilidades introduzidas, conveniências mecânicas que, caso seu uso frequente se torne necessário, "terminaria sendo desenvolvida em algo como o Vsys."
Sudo é uma ferramenta de linha de comando amplamento usada nos sistemas Linux e Unix que pode restringir quais operações um usuário pode realizar em um computador. Normalmente é usada por administradores de sistema para dar à usuários alguns privilégios elevados para o uso dos recursos de um sistema, sem conceder controle absoluto de "root" sobre a máquina. Também serve como uma alternativa ao acesso como root, para que os administradores realizem operações potencialmente danosas de forma controlada sobre o sistema.
O Vsys é similar ao sudo, porém a ferramente oferece um acesso mais granular aos recursos do sistema. "Usuários algumas vezes fazem demandas por funções e recursos que não são suportados pelo modelo padrão de segurança," afirma Bhatia. "Eles podem querer arquivos que não podem ler, ou executar comandos que você não autorizaria à usuários comuns."
A PlanetLab criou o Vsys como uma forma de permitir que seus pesquisadores tivessem acesso à recursos de rede de baixo nível, para que pudessem desenvolver novas tecnologias de rede (como sobreposição de redes, sistemas de arquivos no nível do usuário e interruptores virtais) enquanto mantinham seu trabalho experimental isolado dos outros usuários.
Vsys foi construído usando uma série de outras ferramentas Unix, em especial o Ptrace, um rastreador de processos, e ochroot, que define um sistema de arquivo root do usuário.
Com o Vsys os administradores podem criar scripts, chamados de complementos, em que podem detalhar quais ações do usuário são permitidas. Complementos podem ser escritos em qualquer linguagem de programação. Os complementos são arquivos executáveis.
No artigo que acompanha a apresentação do programa os desenvolvedores descreveram como o Vsys se distingue de outras alternativas ao sudo, como o SUS e o ssu.
"Em contraste à essas ferramentas e suas derivações, o objetivo do Vsys vai além de definir listas de controle de acesso (ACLs) para comandos privilegiados. O Vsys foi criado para facilitar a composição de ferramentas existentes para construir operações isoladas," explica o artigo.
O Vsys provavelmente não substituirá o sudo para o usuário casual, a ferramenta seria mais apropriada para administradores de data centers, apontou Eddie Kohler, que moderou a série de apresentações de que Bhatia participou. Um administrador esperto poderia escrever todos os recursos necessários para replicar o Vsys com uma combinação do sudo e outras ferramentas Unix, contudo o lançamento do Vsys poupará os administradores desse trabalho.
Fonte: itworld, em inglês.
0 comentários:
Postar um comentário