¿Qué significa "sandboxing" para Chrome OS? [duplicar]

• Google Chrome OS es un sistema operativo basado en Linux en el que Chrome es el navegador y se centra en el uso de las aplicaciones en línea que pertenecen a Google (Google Drive, Youtube ...). Es el competidor directo con el sistema operativo Windows de Microsoft.
• Centos OS también es un sistema operativo basado en Linux, pero a diferencia de Chrome OS que se ejecuta en móviles, Centos OS se usa ampliamente para servidores.
• Sandboxing es un concepto que se ve con frecuencia en Chrome Os porque es la versión comercial del proyecto gratuito y de código abierto Chromium OS, que se basa en el mecanismo de sandboxing. El sandboxing, en términos muy simples, está relacionado con la seguridad, especialmente para evitar los efectos de malware en el sistema operativo. Por ejemplo, puede visitar un sitio web con el navegador Chromium OS: si la URL aloja un malware de JavaScript (ataque de descarga), no existe ninguna posibilidad de que el malware afecte a su SO, dado el principio de sandboxing, que se explica mejor. aquí :

  

El sandbox es una biblioteca de C ++ que permite la creación de sandbox   Procesos - procesos que se ejecutan dentro de un sistema muy restrictivo.   ambiente. Los únicos recursos que los procesos de espacio aislado pueden utilizar libremente son   Ciclos de CPU y memoria. Por ejemplo, los procesos de sandboxes no pueden escribir   A disco o mostrar sus propias ventanas. Lo que exactamente pueden hacer es   Controlado por una política explícita. Los renderizadores de cromo son de caja de arena   procesos.

AppArmor y Selinux tienen los mismos objetivos que la noción de sandboxing, pero el principio de su funcionamiento es diferente. Principalmente, el sandboxing no permite que sus límites de seguridad sean violados a diferencia de los otros 2 softwares de Linux.

Una caja de arena es como una "sección" especial de su computadora a la que se le ha bloqueado el acceso al resto de su computadora. En una caja de arena perfecta, puedes hacer lo que quieras dentro de ella, pero no afectará al resto de tu computadora. Esto se usa como una forma de seguridad, evitando que cualquier malware que pueda descargar pueda afectar al resto de su computadora. Solo puede afectar al arenero.

El nombre "caja de arena" proviene de la idea de que todo lo que hay dentro no es permanente. En cualquier momento, puede restablecer la caja de arena de nuevo a donde estaba. Todo está hecho de arena.

Lo que hace ChromeOS es aplicar sandboxing a cada aplicación y proceso de complemento que se ejecuta. Cada proceso se pone en dos cajas de arena diferentes. La primera caja de arena es la caja de arena de SETUID, que le da a cada aplicación un lugar en el disco que no puede abandonar. El resto del disco no puede verse afectado. La segunda caja de arena se conoce como seccomp-bpf, y protege al sistema operativo de que no se ensucie.

Selinux y AppArmor son en su mayoría similares a SETUID, ya que principalmente protegen el disco en lugar del sistema operativo en sí. Sin embargo, no funcionan utilizando un principio de sandbox. En su lugar, intentan atrapar el proceso "en el acto" de hacer algo mal y evitar que funcione.

En cuanto a ChromeOS versus CentOS, son cosas muy diferentes. CentOS es solo un sistema operativo Linux convencional, basado en RedHat. Es un sistema operativo completo que se puede utilizar para una variedad de propósitos. ChromeOS, por otro lado, es un sistema operativo Linux modificado diseñado específicamente para consumidores y computadoras portátiles de baja potencia. Utiliza un modelo informático basado en Internet, con todas las aplicaciones ejecutándose en la parte superior de un navegador web.

ChromeOS puede ser más seguro fuera de la caja que CentOS, pero también es mucho más limitado en lo que puede hacer. Y puede configurar CentOS para usar las mismas protecciones que usa ChromeOS si lo desea. O puede emplear otras medidas de seguridad, algunas mejores y otras peores.