ПРИМЕР: В KVM/370 была повышенной безопасностью по версии IBM VM/370 монитором виртуальных машин. Это система виртуальных машин для ее пользователей, и одной из его целей является предотвращение связь между виртуальной машины разных классов безопасности, поэтому пользователи в разных классов безопасности может использовать систему одновременно. Как VM/370, она виртуальных машин с minidisks и позволяет систем обмена некоторых областях диска. В отличие от VM/370, он использует политики безопасности посредничество доступ к общей области на диске, чтобы ограничить связи между системами.

ПРИМЕР: Каргер и коллег в Digital Equipment Corporation разработали монитор виртуальных машин (VMM) для DEC VAX. Монитор - это ядро безопасности и может идти либо СМС или Ultrix операционной системы. В VMM работает на родной VAX оборудования и применяется в тех случаях, когда виртуальная машина выполняет привилегированное инструкции. Его структура является типичной для виртуальных машин для обеспечения безопасности.

В VAX имеет четыре уровня привилегий: пользователь, руководителю исполнительной власти, и ядро режимах. В целях обеспечения совместимого виртуальной машине, виртуальных машин, должны также иметь четыре уровня привилегий. Однако в режиме ядра процесс позволяет получить доступ к привилегированным инструкциям на VAX аппаратурой напрямую. Только VMM, разрешается сделать это. В виртуальных машин не может получить доступ режиме ядра. Решение предоставить виртуальных режимах. Эти режимы В.М. пользователя (соответствует пользовательском режиме), В.М. руководитель режиме, и VM исполнительной и VM ядра видов (как, фактически исполнительная режим).

В VMM вопросы пользователей и виртуальных машин. VMM имеет основные, плоской файловой системы для собственного использования и остальных разделов на диске среди виртуальных машин. Эти машины могут использовать любой файл структуры по своему желанию, и каждая виртуальная машина имеет свой собственный набор файловых систем. Каждый субъектом и объектом имеет многоуровневую безопасность и целостность ярлык, а также безопасность и целостность уровней образуют доступа класса. Два лица имеют доступ же класса, только если их безопасность и целостность этикетки и в то же время один субъект доминирует другой, только если оба безопасности и целостности классов доминировать.

Неотъемлемой составной частью VMM является механизма ревизии. Этот механизм действия записей для последующего анализа.

ПРИМЕР: Оперативный ядра из Сидевиндер брандмауэр использует тип исполнения ограничиться процессов. Это пример в песочнице встроена в ядро, и оно имущества, что песочница определяется продавцом. Она не должна быть изменена на месте. Такой дизайн типичен для ключ системы, которая является использование для Сидевиндер брандмауэр.

В Java виртуальная машина, в которой загруженные апплеты будут выполнены, - это еще один пример в песочнице. В песочнице ограничивает набор файлов, что апплет может получить доступ к и хосты, к которым апплет может подключиться. Другие механизмы безопасности, повышения песочнице.

DTE, типа механизма для DTEL, является примером, в котором ядро изменения позволяют системным администраторам настраивать собственные песочницах. Ядро обеспечивает ограничений.

ПРИМЕР: Janus осуществляет песочнице. Это исполнение условий, в которых система требует застрял и проверять. Пользователи выполнить ограничить объектов и способов доступа в ненадежные программы. Janus состоит из основы, которая делает на выполнении проверки, и модулей, которые определяют обращений, которые должны быть разрешены.

Янус первый читает файл конфигурации. Этот файл инструктирует их загрузить некоторые модули. Наряду с модулем идентификации список ограничений. В следующем примере конфигурационного файла определяется переменной среды МФС для ребенка и ограничивает ребенка доступ к файловой системе. Ребенок не могу открыть никакие файлы кроме тех, что называются ниже. Ребенок может читать или писать в любой файл в / usr файловой системы, за исключением тех, в / usr / lib и / usr / местные / lib директории (которые только чтение) и в / usr / бен (читать и исполнять). Ребенок может читать любой файл в / lib директорию и может читать и исполнить любой файл в / sbin и / бен каталоги. В файл конфигурации ниже, первое слово в каждой строке инструкция - это имя модуля и других слов аргументы передаются в модули ( "#" начинается комментарий).

  # базовых модуля базового 

  # subprocess определение переменных окружения putenv МФС = "\ т \ н" PATH = / sbin: / бен: / usr / бен TZ = PST8PDT 

  # отказать в доступе на все, кроме файлов в / usr путь отрицать читать, писать * путь, чтобы читать, писать / usr / * # subprocess позволяет читать файлы в библиотеку справочников #, необходимых для загрузки динамических путь позволяет читать / lib / * / usr / lib / * / usr / местные / lib / * # необходимо так ребенок может запускать программы путь позволяет читать, запустить / sbin / * / бин / * / usr / бин / * 

Каждый модуль сдерживает системных вызовов. В рамках использует модули для создания связана список для каждого мониторинг системы слово. Этот список определяет возможность и запрещенные действия. После этого список был построен в рамках Janus ссылается на программу таким образом, чтобы контролировать всех системных вызовов оказались в ловушке.

Когда программа выполняет мониторинг системы слово, программа ловушек и Janus рамок нет. Он имеет доступ к аргументам, поставляется на sysem слово. Он подтверждает, что система слово, с этим конкретным параметрам, не допускается. Если система слово не допускается, в рамках наборов ребенка среды, чтобы система слово, по-видимому, не удалось. Если система призыв разрешена, в рамках возвращения контроля ребенка, который, в свою очередь, передает контроль ядра. По возвращении, контроль выходит на рамки, в которых обновления любого внутреннего состояния и возвращает результаты для ребенка.

Примером использования будет чтение почты MIME. Можно установили программу чтения почты пройти контроль на Postscript отображения двигателя. Некоторые такие двигатели имеют механизма исполнения системы на уровне команд встроенных в файл Postscript. Следовательно, злоумышленник может создать файл исключения команду в файл Postscript. Получатель бы запустить движок отображения прочитать файл, и некоторые ее файлы будут удалены. Однако, пользователь (или системный администратор) может создать Janus конфигурационного файла, чтобы запретить исполнение любых подпрограмм. Затем встроенной команды будут обнаружены (в системе слово исполнить его), и отвергли.