https://www.opennet.ru/openforum/vsluhforumID3/119359.html После шести месяцев разработки доступен релиз проекта Firejail 0.9.62, в рамках которого развивается система для изолированного выполнения графических, консольных и серверных приложений. Применение Firejail позволяет минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora)...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52115<br> https://www.opennet.ru/openforum/vsluhforumID3/119359.html#83 Wed, 04 Nov 2020 22:14:28 GMT Можно ли через firejail наоборот, разрешить firefox-у доступ к ~/.mozilla, к которому изначально не будет доступа у обычного пользователя?<br> https://www.opennet.ru/openforum/vsluhforumID3/119359.html#82 Wed, 08 Jan 2020 06:09:24 GMT &gt; А с его помощью можно запрещать или разрешать привязку процесса к определённым портам?<br><br>Мне проще оперировать иным уровнем абстракций: отправить процесс в собственный неймспейс и там пусть хоть обпривязывается к любым портам, если хочет. Это не означает что он сможет создать хосту какие-то проблемы или получить доступ хоть куда-то. Это отдельная сеточка с отдельной конфигурацией и портами. Доступ наружу может быть, может не быть, может быть не такой как у хоста, ... по вкусу в общем.<br> https://www.opennet.ru/openforum/vsluhforumID3/119359.html#81 Wed, 08 Jan 2020 06:02:35 GMT &gt; надеюсь знаешь что такое macros и реальный ASM вызов syscall.<br><br>Ну я знаю. И чего? Сишники, для начала, из сей сисколы дергают. На совсем уж гольном асме это оформлять - можно, конечно, но зачем? Это вообще совсем не портабельно. Тогда как вызваный из си сискол open работает одинаково и на ARM, и на MIPS, и на PowerPC, и даже на RISC-V каком-нибудь.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/119359.html#80 Wed, 08 Jan 2020 05:59:19 GMT &gt; Да как раз наоборот.<br><br>Пруф?<br><br>&gt; корявый софт под Линь, мимикрирующий как ты говоришь под POSIX, собирается только на Лине<br><br>Что там под чем собирается - вообще второй вопрос. Возможно, разработчики просто никогда не пробовали собирать свой софт под xBSD и прочих posix системах. Потому что их хрен найдешь и разработчикам от них ничего не нужно, например? Есть еще маки, но они сильно кастомные, у них там какой-то io-framework или как там его. О том что это такое - только макинтошные разработчики и знают, потому что в других ОС этого нет.<br><br>&gt; Хорошо если кто-то уже пропатчил, а то еще и в дер&мово писанные мануалы по Linux надо лезть.<br><br>Ну так скиньтесь и проплатите команде техписов написание вам мануалов по вашему вкусу.<br> https://www.opennet.ru/openforum/vsluhforumID3/119359.html#79 Wed, 08 Jan 2020 05:54:45 GMT &gt; Posix враппер read может быть оперативно подменен другой реализацией, виртуальной в случае присутствися ограничений<br><br>Подменять враппер - прерогатива троянцев/руткитов да может IDS. Ну еще для тестирования реакции программ на нестандартные ситуации и прочих лулзов. А так это что, достаточно сделать сискол - и я уже вне песочницы? Так это не песочница а джамшутинг какой-то?!<br><br>&gt; в отличие от прямого доступа read который несет адрес устройства.<br><br>Какой еще "адрес устройства"? Что за бред?<br> https://www.opennet.ru/openforum/vsluhforumID3/119359.html#78 Fri, 03 Jan 2020 07:56:36 GMT &gt;[оверквотинг удален]<br>&gt; А я то думал из стана стандарта POSIX, под который Linux и <br>&gt; мимикрирует с точки зрения софта.<br>&gt;&gt; Даже Андроид такой стиль не поддерживает маскируя системные вызовы библиотекой wrapperом.<br>&gt; Так в Linux нормальные люди тоже обычно враппер вызывают. Тем не менее <br>&gt; враппер сискола read тоже называется read() и предоставляется реализацией libc.<br>&gt; Ну а пойнт сабжа в том что если мы уверены что программа <br>&gt; вообще никогда не должна записывать никакие файлы, мы рубим ей write() <br>&gt; - и он завалится и через враппер, и напрямую, и как <br>&gt; там еще. Программа просто не сможет записывать файлы. Довольно неудобный сюрприз <br>&gt; для атакующих, которые сумеют нае...ть прогу, не так ли? :) <br><br>Да как раз наоборот. Именно из-за этой паршивой тенденции - корявый софт под Линь, мимикрирующий как ты говоришь под POSIX, собирается только на Лине, и не собирается на xBSD и других POSIX системах. И приходиться тратить время чтобы привести это "га:но" в порядок. Хорошо если кто-то уже пропатчил, а то https://www.opennet.ru/openforum/vsluhforumID3/119359.html#77 Thu, 02 Jan 2020 14:54:53 GMT &gt;&gt; Документация по Linux будет последней на что я буду обращать внимание.<br>&gt; Естественно, вы же не претендуете на звание программиста.<br><br>Конечно, и первым делом я посмотрю исходные тексты той-же например read. Внезапно да? <br>Например <br>https://code.woboq.org/userspace/glibc/sysdeps/unix/sysv/linux/read.c.html#__libc_read<br><br>И сразу же там вижу wrapper. Ну я думаю разберешься вокруг чего, надеюсь знаешь что такое macros и реальный ASM вызов syscall.<br>Хотя откуда? На Go видать программируешь или еще каком-нить новомодном трэше. <br> https://www.opennet.ru/openforum/vsluhforumID3/119359.html#76 Thu, 02 Jan 2020 11:34:20 GMT &gt; Документация по Linux будет последней на что я буду обращать внимание. <br><br>Естественно, вы же не претендуете на звание программиста.<br> https://www.opennet.ru/openforum/vsluhforumID3/119359.html#75 Wed, 01 Jan 2020 20:56:56 GMT &gt;&gt; Каким образом эти операции относяться к SYSCAL? open,read,write это врапперы, posix абстракция для ioctl - ИМЕННО КОТОРЫЙ уже работает с ядром и является SYSCALL.<br>&gt; Взоржал. Ну и каша у вас в голове! Сразу видно настоящего компьютерного <br>&gt; эксперта.<br>&gt;&gt; ПыСы если претендуешь на звание программиста - то хоть изучай о чем говоришь.<br>&gt; Ну, так как вы не претендуете, то вот по этой сслыке http://man7.org/linux/man-pages/man2/syscalls.2.html <br>&gt; ни в коем случае не ходите. Она для тех, кого случайно <br>&gt; занесёт в это обсуждение, на случай, если ваша глупость для них <br>&gt; будет не очевидна.<br><br>Документация по Linux будет последней на что я буду обращать внимание. <br>