Symposium sur la sécurité des technologies de l'information et des communications

Island est un nouvel outil qui s'appuie sur Landlock pour créer des environnements d'exécution restreints. Chacune de ces sandbox est définie par un ensemble de fichiers de configuration comprenant une politique de sécurité et un contexte d'exécution. Une fois configuré, Island permet de sandboxer automatiquement les commandes lancées dans un terminal Linux, en se basant sur des propriétés comme le dossier courant de l'appelant. Cette approche permet d'automatiser et de généraliser l'usage de commandes shell avec des droits limités afin de protéger efficacement des administrateurs système ou développeurs sur Linux, tout en limitant l'impacte sur leur charge mentale au quotidien.

Cette présentation passera en revue les mécanismes de sécurité utilisés, les propriétés du format de configuration, l'architecture logicielle, et l'usage concret d'un tel outil par rapport aux alternatives.