A4C0DF60
Bezpečnost v OS A4C0DF60
i uživateli
procesy prostředí
multitasking víceuživatelské souběh, vyzrazení již nepoužívaných dat, ladící režim atp. ladící režim dat, nepoužívaných již vyzrazení souběh, • preemptivně → lze odebrat násilím odebrat → lze preemptivně vzdát prostředku sám musí → proces nepreemptivně vynucuje si „poslušnost“ nad vynucujesi „poslušnost“ problémů bez typicky postupy běžné případech v komplikovaných problémy
– – – – –
zajišťuje zajišťuje zajišťuje zajišťuje prostředky procesům přiděluje i odebírá: přiděluje procesům prostředky jádro se zavádí při startu počítače startu při zavádí se jádro počítačem nad kontrolu přebírá
• • • • • Jádro operačního systému operačního Jádro A4C0DF60
picokernel , kernel
mikrojádrem
kernel nanokernel , monolithic
–
hybrid hybrid
– exokernel microkernel
jádro jádro –
jádro jádro speciální případ speciální
–
něco mezi monolitickým a monolitickým mezi něco obou z lepšího“ o využití „toho snaha idea jako u strukturovaného programování u strukturovaného jako idea menší: ještě varianta: modulární jádro modulární varianta: jeden celek řeší celý problém (průběžný vývoj) (průběžný problém celý řeší celek jeden
– – – – – –
RTOS RTOS hybridní hybridní mikrojádro monolitické monolitické
•
• •
• Typy jader OS jader Typy A4C0DF60
)
space -
kernel
a další
FreeBSD do téže paměti zasahují různé subsystémy různé zasahují paměti téže do jádra) režie (nízká výkon vliv na pozitivní chyba (např. v ovladači) ohrožuje celé jádro celé ohrožuje v ovladači) (např. chyba vše na stejné (absolutní) úrovni oprávnění úrovni (absolutní) stejné na vše
– – – –
dnes Linux, Linux, dnes vývoj náročný na znalost funkce celého jádra celého funkce na znalost náročný vývoj umožňuje efektivní programátorské triky programátorské efektivní umožňuje v souvislém úseku paměti ( paměti úseku souvislém v jádro je jeden celek jeden je jádro Unix) (např. let 80. do konce model původní
• •
• • • • Monolitické jádro Monolitické A4C0DF60
systém)
víceúlohový
běžné procesy (tzv. „servery“) (tzv. procesy běžné snadněji se programuje jádro přepínání kontextu ( kontextu přepínání paměti správa
– – – –
důsledkem je zjednodušení je důsledkem mimo je vyvedeno jádro částí nejvíce co činnost jádra je rozdělena do logických celků (částí) celků logických do je rozdělena jádra činnost části nejdůležitější jen v jádře jádro minimalizováno (jen části) nejnutnější minimalizováno jádro programování strukturovaného důsledek
• •
• • • • Mikrojádro A4C0DF60
RTOS
bezpečná, bezpečná, -
restartovat
o stavu mohou být super mohou být
mikrojádra zaniknou například vytvořená síťová spojení síťová vytvořená například zaniknou
• mikrojádra lze provést audit kódu, dát záruky co se nemůže stát se nemůže co záruky dát audit kódu, provést lze ztratí se informace se informace ztratí chyba v serveru neohrožuje stabilitu systému stabilitu v serveru neohrožuje chyba např. souborový subsystém, síťový subsystém a další a subsystém síťový subsystém, souborový např.
– – – –
jen vzájemná komunikace přes API (zasílání zpráv) (zasílání API přes komunikace vzájemná pádu po lze (server) proces vše „vlastní píseček“ je snadné pochopit kód pochopit snadné je píseček“ „vlastní vše rozvržení kódu do (malých) částí do (malých) kódu rozvržení kód přehledný
• • • • • • Výhody Výhody A4C0DF60
stále není finální stále
–
)
GNU Mach GNU
cache
(zejména při vzájemné při vzájemné (zejména mikrojádra mikrojádro funkční, navíc RTOS navíc funkční,
–
kontextu kontextu Tanenbaum
+
Symbian Minix GNU Hurd + Hurd GNU snaha o minimalizaci kopírování dat (API) dat kopírování o minimalizaci snaha řeší se pečlivýmnávrhem řeší
– – – – –
společnými daty (např. (např. daty společnými zástupci: samostatné procesy nemohou manipulovat se manipulovat nemohou procesy samostatné přepínání přepínání komunikaci) výkonnostní problémy (někdy nemusí vadit) nemusí (někdy problémy výkonnostní řetězové znamenat může jádra služby vyvolání
• • • • Nevýhody Nevýhody A4C0DF60
, ... Phone
mikrojádra mikrojádrem
cache PC, Windows PC, Windows
Pocket NT 3.1, 3.5, 3.51, 2000, XP, 2003, Vista, 2008, 7, ... 2008, Vista, 2003, XP, 3.51,2000,NT 3.1, 3.5, Mobile, Windows grafický subsystém, správa správa subsystém, grafický
• • • Microsoft Windows CE Windows Microsoft Microsoft Windows NT Windows Microsoft blíží se z druhé strany modulárnímu monolitu modulárnímu strany druhé z se blíží včetně částí citlivých na výkonnost na citlivých částí včetně
– – – –
kompromis mezi monolitem a monolitem mezi kompromis základní jádro je větší je jádro základní kombinuje výhody výhody a monolitu kombinuje
• • • Hybridní jádro Hybridní A4C0DF60
System
li ultimáta splnit li ultimáta -
garantovaný strojový čas čas strojový garantovaný
Operating
úloha alespoň úloha Time
časová ultimáta časová Real Real
– latence (doba od vzniku události po její obsloužení) události (doba od vzniku latence . daný čas dostane dostane čas daný minimalizace režie změny kontextu změny režie minimalizace tzv ale i ovladače programy, pro doby maximální garance může si rozmyslet, co je nebytně nutné spočítat a co může může a co je nebytně co spočítat nutné si rozmyslet, může počkat nemůže proces, další spustit nedovolí RTOS za za procesoru
– – – – – –
rychlé přepínání úloh přepínání rychlé krátká doba reakce na událost doba reakce krátká úloha má garantovaný běh v jednotce času běh v jednotce garantovaný úloha má tzv. operační systém času reálného systém operační tzv. definována
• • • • • RTOS RTOS A4C0DF60
(vlákno)
odlehčený proces (proces má jedno či více vláken) či více jedno má (proces proces odlehčený spuštěný program (se daty svými daty v paměti) daty svými daty (se program spuštěný zápis algoritmu v nějakém programovacím jazyce programovacím nějakém v algoritmu zápis zápis postupu pro vyřešení úlohy vyřešení pro postupu zápis
– – – –
thread proces program algoritmus
•
• •
• Vznik procesu Vznik A4C0DF60
rychlé střídání procesů na CPU procesů střídání rychlé dat
– procesorem kódu programu kódu vícekrát s různými daty různými s vícekrát
operační paměti počítače paměti operační procesy jsou v systému navzájem odděleny navzájem systému v jsou procesy multitasking multitasking vlastního vlastního proměnlivých v prováděn spustit spustit
– – – – – – –
typicky v OS prováděno více procesů zároveň procesů více prováděno v OS typicky proces se skládá z: se proces spuštěný program spuštěný
• •
• Proces A4C0DF60
soubory, přidělená soubory,
Block
knihovny Control
vlastník, priorita, otevřené otevřené priorita, vlastník,
o použití knihoven rozhoduje programátor rozhoduje knihoven o použití knihovna je v paměti součástí procesu součástí paměti je v knihovna číslo, číslo, ... čas, spotřebovaný paměti, mapa paměť, Process
– – – –
proces používá používá proces jádro registruje popis každého procesu v PCB v procesu každého popis registruje jádro procesy spravuje jádro systému jádro spravuje procesy
• • • Vlastnosti procesu Vlastnosti A4C0DF60
Flash ,
taby
způsobí ukončení všech způsobí ukončení
threadu (vlákno)
oblíbené ve Windows ve oblíbené procesy) mezi přepínání (při režii mají větší procesy klasické za cenu komplikací → řešení rizika souběhu rizika → řešení komplikací cenu za jednoho chyba sdílí společný paměťový paměťový prostor společný sdílí ... prostředí, proměnné soubory, otevřené oprávnění, stejná a rušení vlákna vytváření rychlé
– – – – – – –
problém bezpečnosti → webový prohlížeč s → prohlížeč webový bezpečnosti problém využití v masivním paralelismu efektivnější sdílení dat, synchronizace sdílení dat, efektivnější odlehčený proces odlehčený CPU) na procesů (střídání změně při kontextu režie nižší
•
• • • • Thread A4C0DF60
) jazyk
libc
šířeji
zjednodušuje jazyk, standardizuje standardizuje zjednodušuje jazyk, • statické dynamické překrytí funkce u dynamické knihovny u dynamické funkce překrytí program je bezchybný, ale volá knihovní funkci... knihovní volá ale je bezchybný, program knihoven jsou tisíce (jejíjsou tisíceje jednoduché) vytvoření knihoven v jazyce C je standardní knihovna ( knihovna je standardní C jazyce v
– – – – – –
dva základní typy knihoven: typy základní dva knihovna může způsobit problém způsobit může knihovna snaha o opakované použití kódu použití o opakované snaha
• •
• Knihovny A4C0DF60
prohlížeče)
tabech v
(podvržení knihovny) (podvržení zavést též knihovnu též zavést
(ve Windows .DLL) Windows (ve
pluginy
so
loader
loader
knihovny knihovny knihovna může být v paměti sdílena mezi procesy více vsdílena mezi být paměti může knihovna ( riziko být může sdílení být i může rizikem
• • • při spuštění musí při spuštění soubory s příponou . příponou s soubory a funkcí knihoven seznam jen obsahuje program knihovna je linkerem „přilepena“ k programu „přilepena“ linkerem je knihovna soubory s příponou .a příponou s soubory
– – – – –
dynamické dynamické statické statické
•
• Typy knihoven Typy A4C0DF60
systémech
unixových v
(dynamického linkeru) (dynamického
SUID, je LD_PRELOAD ignorováno je LD_PRELOAD SUID, binárek
loaderu binárce např. pro trasování, ale i různé „antiviry“ ale i různé trasování, pro např. li na li - • mohlo by být využito pro elevaci oprávnění elevaci pro být využito by mohlo je funkce této knihovny překryjí pozdější stejnojmenné pozdější překryjí knihovny této funkce knihovně v funkce vadné opravu pro použít lze nástroji ladícími též využíváno při spuštění dynamicky linkovaného programu linkovaného dynamicky spuštění při
– – – – – –
problém u SUID u SUID problém při spuštění je nahrána specifická knihovna specifická nahrána je spuštění při vlastnost vlastnost jádra) (část zavaděčem vyvolán
• • • • Překrytí knihovní funkce knihovní Překrytí A4C0DF60
tzv. ring0, 1... tzv.
–
lze provést jakoukoliv instrukci jakoukoliv provést lze systému operačního jádro přerušení → vnitřní instrukce privilegované použití ukončen nekompromisně jádrem obratem je program programy uživatelské všechny
• • • • • neprivilegovaný privilegovaný instrukce pro I/O, řízení procesoru, ochrana paměti... ochrana procesoru, řízení I/O, pro instrukce
– – –
procesor má 2 stavy (nebo více) (nebo stavy má 2 procesor některé instrukce jsou nebezpečné jsou instrukce některé počítače bezpečnosti nebo stability ohrožení
• • • Privilegovaný režim Privilegovaný A4C0DF60
kontextu například komunikace s I/O (zápis na port, do souboru...) na port, (zápis s I/O komunikace například omezený počet, snadné ohlídat počet, omezený operaci požadovanou provede teprve pak • • • jádro může pro proces provést nedostupné operace nedostupné provést proces pro může jádro procesu oprávnění nejprve zkontroluje jádro vstup do jádra je možný jen softwarovým přerušením jen softwarovým je možný do jádra vstup z uživatelského do jaderného do prostoru uživatelského z
– – – –
jádro je v privilegovaném stavu je v privilegovaném jádro proces je v neprivilegovaném stavu v je neprivilegovaném proces proces žádá jádro o provedení operace o provedení jádro žádá proces (přepnutí) o změnu jde
• • • • Systémové volání Systémové A4C0DF60
(TS)
Unix Mac OS X Mac mainframe víceuživatelský Windows NT Windows
DOS CP/M Windows NT Windows jednouživatelský
víceúlohový jednoúlohový OS podle schopností podle OS A4C0DF60
systém privilegovaný režim privilegovaný
ochrany paměti ochrany jádro i všechny úlohy i všechny jádro multitasking se úlohy musí být v RAM být musí úlohy se být vykonávána jiná úloha vykonávána být pomalé → nepraktické o lepší využití počítače o lepší → zavedení tzv. tzv. zavedení → i umět musí CPU velmi velmi oddělit nutnost může může
– – – – –
zavádíme tzv. tzv. zavádíme ochrana paměti vyžaduje podporu v CPU podporu vyžaduje paměti ochrana střídající střídající úloha by mohla být „odložena“ na disk (mg. disk pásku) na „odložena“ mohla být by úloha snaha I/O operace dokončení na čeká procesor když
• •
• • • • Víceúlohový A4C0DF60
)
scheduler
pseudoparalelismus (běžících) procesů, než CPU než procesů, (běžících) (spuštěných) procesů zároveň procesů (spuštěných) vynucené → preemptivní multitasking → preemptivní vynucené zajišťuje jádro OS (tzv. OS (tzv. jádro zajišťuje multitasking → nepreemptivní dobrovolné → rozdělit procesoru o čas musí se procesy DOS neuměl → jednodušší jádro OS jádro jednodušší → neuměl DOS
– – – – – –
střídání procesů na CPU → změna kontextu → změna na CPU procesů střídání více více více více zpracování paralelní → uživatele pohodlí
• • • • Multitasking A4C0DF60
up ) -
wake
) scheduler switch
context
: OS nemá pro CPU práci → úspora energie → úspora práci CPU : OS nemá pro time
instrukce HLT, snížení taktu, vynechání taktu, snížení HLT, instrukce stovky až tisíce změn za vteřinu → vyšší režie vteřinu až tisíce změn za stovky uložení kontextu (do RAM) procesu (do RAM) → přerušení kontextu uložení běhu (z RAM) → obnovení kontextu obnovení s kontextem manipuluje jádro OS ( jádro manipuluje s kontextem oprávnění... procesoru, stav soubory, otevřené PID,
– – – – – –
iddle při střídání procesů na CPU na(multitasking) CPU procesů střídání při datová struktura PCB struktura datová kontext (z anglického (z anglického kontext o procesu informace běhové veškeré zahrnuje
•
• • • • Změna kontextu Změna A4C0DF60
synchronizace výpočtu ve více procesech více ve výpočtu synchronizace paměti → ochrana programů interakce nežádoucí zajištění atomických operací → semafory, RCU atp. RCU semafory, → operací atomických zajištění paralelní výpočty → potřeba vzájemné komunikace vzájemné potřeba výpočty → paralelní serverů síťových programování programátor předpokládá současný běh procesů běh současný předpokládá programátor řešení → systémové multitasking ho obstarává
– – – – – – –
problémy multiprogramování
•
• Využití multitaskingu Využití A4C0DF60
multitasking vybere z fronty proces, který poběží který proces, z fronty vybere multitasking
jádro privilegovaný režim, proces je v neprivilegovaném v neprivilegovaném je proces režim, privilegovaný jádro režimu – po vyčerpání času vyvolá časovač přerušení časovač vyvolá času vyčerpání po uložen a jeho kontext je přerušen proces scheduler úloha proto periodicky volá speciální službu jádra speciální volá periodicky proto úloha
• • • • např. řada Windows NT, Linux, Mac OS X atd. OS Mac Linux, NT, Windows řada např. jádro využije časovač → časové kvantum procesu kvantum časové → časovač využije jádro například Windows pro DOS (tj. včetně Win98) (tj. DOS včetně pro Windows například běžící úloha se musí procesu sama vzdát sama procesu musí úloha se běžící
– – – –
preemptivní preemptivní nepreemptivní nepreemptivní
•
• Jádro a multitasking Jádro A4C0DF60
li knihovna vlastní data, má každý proces vlastní instanci vlastní proces má každý data, vlastní knihovna li -
kód knihovny je pouze pro čtení pro je pouze knihovny kód má na souběh) pozor zápisu (při i zápis čtení pro .) • • • sdílená paměť mezi procesy (řídí programátor) (řídí procesy mezi paměť sdílená sdílené knihovny sdílené využívání stránkování nebo segmentace stránkování využívání typicky metoda zámků a klíčů, též segmenty (mezní (mezní segmenty též a klíčů, zámků metoda typicky reg
– – – –
některé úseky paměti jsou mezi procesy sdíleny procesy jsou mezi paměti úseky některé každý proces má vlastní virtuální adresní prostor virtuální adresní vlastní má proces každý jádro při multitaskingu zajišťuje ochranu paměti ochranu zajišťuje při multitaskingu jádro v procesoru podpora nutná
• • • • Ochrana paměti Ochrana A4C0DF60
uživatelé nemají přístup k „cizím k „cizím datům“ nemají přístup uživatelé • správce zakládá (maže) běžné uživatele běžné (maže) zakládá správce uživatel než oprávnění, má vyšší správce společná data, programy (typicky jen pro čtení) pro jen (typicky programy data, společná zápis) (i pro „domácí adresář“ má vlastní uživatel uživatelé nemohou ovlivňovat cizí procesy cizí ovlivňovat nemohou uživatelé uživatel se identifikuje (jméno + heslo) identifikuje se uživatel
– – – – – –
zavedení pozice správce pozice zavedení ochrana uložených dat (podle uživatele) (podle dat uložených ochrana je nutné od sebe v systému uživatele oddělit uživatele systému v sebe od nutné je
• •
• Víceuživatelský systém Víceuživatelský A4C0DF60
)
services
) )
shell PuTTY ,
ssh ,
telnet systém (jižod počátku) systém
Window pracoviště jsou dodnes rarita dodnes jsou pracoviště
multihead Terminal (vyžaduje plocha vzdálená Windows: MS Xmodulární Unix:
• • • původní návrh HW a SW s tím obvykle nepočítá obvykle s tím a SW HW návrh původní přístup + síťový RAM jen v paměti obraz řešení: jedna grafická karta → jak více klávesnic, monitorů? více klávesnic, → jak karta grafická jedna původně terminály → připojeny sériovým kabelem sériovým → připojeny terminály původně ( síť počítačovou přes dnes
– – – – –
grafické rozhraní → problém rozhraní grafické každý uživatel potřebuje vlastní rozhraní vlastní potřebuje uživatel každý tzv. zajišťuje Unixu (v rozhraní textové
• • • Vícenásobné uživatelské rozhraní uživatelské Vícenásobné A4C0DF60
nutnost
přístup na základě existence atributů existence na základě přístup
přístup na základě vlastnictví či skupin či vlastnictví základě na přístup
– – MAC MAC tj. vynucuje respektování řízení přístupu řízení vynucuje respektování tj. DAC zdrojem jsou typicky soubory, adresáře soubory, typickyjsou zdrojem atd. zařízením I/O síti, k i přístup ale tj. co uživatel smí a nesmí využívat a nesmí smí uživatel co tj.
– – – – – –
dvě hlavní metody řízení přístupu: řízení metody hlavní dvě jádro porovná s UID → má uživatel přístup? s UID → má uživatel porovná jádro zavedení oprávnění pro systémové zdroje systémové pro oprávnění zavedení ve víceuživatelském systém systém víceuživatelském ve (UID) identifikátor má přidělen uživatel
• • • • • Řízení přístupu Řízení A4C0DF60
Control
Access Access
“, lze je též předávat (ne nutně (ne vždy) předávat též je lze “, se způsobilostmi se s vlastníkem (a skupinami) (a vlastníkem s
oprávnění na jiný objekt na jiný oprávnění může nastavovat oprávnění pro „své“ objekty „své“ pro oprávnění nastavovat může
capabilities Discretionary
mobily: přístup k síti, čtení telefonního seznamu, fotoaparát... seznamu, telefonního čtení k síti, přístup mobily: předání předání vlastník – • • • program má způsobilost k provedení operace provedení k způsobilost má program tzv. „ tzv. potomek přebírá oprávnění od svého rodiče svého od oprávnění přebírá potomek objektům k přístup řídí který vlastníka, má objekt přístup ponechaný na „volném uvážení“ „volném na ponechaný přístup
– – – – –
implementace implementace implementace implementace DAC je definováno podle TCSEC na úroveň C úroveň na podle TCSEC je definováno DAC
• •
• DAC DAC A4C0DF60
sticky
systémech, Windows NT, ... NT, Windows systémech,
výjimky řeší speciální oprávnění (SUID, SGID a (SUID, speciální oprávnění řeší výjimky bit) oprávnění pro vlastníka (UID), skupinu (GID), ostatní (GID), skupinu (UID), vlastníka pro oprávnění operace) provedením (před jádro řeší oprávnění objektem je míněn adresář nebo soubor míněn adresář je objektem každý uživatel má své UID a GID (těch může být více) může (těch GID a UID své má uživatel každý vlastníka svého GID a UID přebírají procesy spuštěné rodiče svého dědí oprávnění procesu potomek
UNIXových
– – – – – – –
přístup procesu k objektům na základě UID, GID UID, základě na k objektům procesu přístup objekty mají definovány vlastníka a skupinu a vlastníka mají definovány objekty v skupiny a uživatele definuje systém
• • • • Implementace s vlastníkem Implementace A4C0DF60
)
thread control
access
paměť... systému operačního jádro centrálně provádí porovnání ke přístup pro politiky garantované definovat umožňuje zdrojům subjekt je typicky proces ( proces je typicky subjekt sdílená port, síťový adresář, soubor, být může objektem
• • • • při přístupu subjektu k objektu jsou atributy porovnány atributy jsou k objektu subjektu přístupu při MAC u jako měnit atributy nemůže vlastník subjekty i objekty mají definovány bezpečnostní bezpečnostní definovány mají i objekty subjekty atributy
– – –
Mandatory B úroveň na TCSEC podle je definováno MAC
• • MAC A4C0DF60
) Control Criteria
security
Integrity Integrity
Common Multilevel Mandatory AppArmor
, SELinux vyšší pověření může poskytnout přístup pro nižší pověření nižší poskytnout pro přístup může pověření vyšší odstranit stupeň na vyšší klasifikovaná data přístupu lze při např. důvěrné, přísně důvěrné, tajné tajné, např. – – – lidé s různým stupněm pověření stupněm s různým lidé dokumenty s různým stupněm utajení stupněm s různým dokumenty doplňky ke klasickému DAC: klasickému doplňky ke systémy s MLS ( s MLS systémy
• • Linux: Vista: Windows zpracovávání dat s různou úrovní zabezpečení úrovní s různou dat zpracovávání definováno podle TCSEC, TCSEC, podle definováno
– – – –
jako jako pro pro
•
• Využití MAC Využití A4C0DF60
(komerční systém) (komerční
systémy, Windows NT Windows systémy,
zakládaní uživatelů, přidělování oprávnění, správa logů správa oprávnění, přidělování uživatelů, zakládaní lidí tří spolupráce je potřeba úspěšnémutj. k útoku problém: něco změní a pak za sebou zamete stopy sebou zamete změní a pak za něco problém: správce oprávnění získá útočník problém:
• • • • OpenVMS (tří správců) od trezoru tří klíčů (alespoň) systém správce může všechno může správce unixové
– – – –
více správců více jeden správce jeden
•
• Správce systému Správce A4C0DF60
atp.)
passwd /
etc sandbox
(vězení)
jail
(možnost podvržení / podvržení (možnost
chroot root proti běžným chybám běžným proti systémové volání systémové
li provedeno správně, lze z něj uniknout lze správně, provedeno li - například smazání souboru omylem, čtení cizího souboru... cizího čtení omylem, souboru smazání například (!) míněno prvek bezpečnostní jako původně nebylo
• • pro bezpečné uzamčení je určen je určen uzamčení bezpečné pro při chybě v jádře nebo programu ztrácí význam ztrácí nebo programu v jádře chybě při ochrana není vytváří tzv. tzv. vytváří jen může
– – – – – –
používá se pro „zvýšení bezpečnosti“ „zvýšení pro se používá unixové adresáře kořenového změnu provede
• • • chroot A4C0DF60
sandboxu
sandbox sandbox je speciální (hardwarový) případ případ (hardwarový) je speciální
uvnitř prohlížeče vyžívají vyžívají prohlížeče uvnitř
možné využít ale i pro vývoj software apod. software vývoj pro využít ale i možné webový prohlížeč Chrome využívá využívá Chrome prohlížeč webový pluginy omezení přístupu k souborovému systému souborovému k přístupu omezení jádra voláním systémovým k přístupu omezení síť) (paměť, prostředkům dalším k přístupu omezení virtualizace
– – – – – – –
oblíbené pro „nedůvěryhodné programy“ „nedůvěryhodné pro oblíbené jádro poskytuje různé úrovně uzavření programu uzavření úrovně různé poskytuje jádro uzavření programu do „bezpečné obálky“ „bezpečné do programu uzavření hledisko bezpečnostní je cíleno návrhu při
• • • • Sandbox