Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
Сообщение от opennews (??), 30-Дек-19, 10:40
После шести месяцев разработки доступен релиз проекта Firejail 0.9.62, в рамках которого развивается система для изолированного выполнения графических, консольных и серверных приложений. Применение Firejail  позволяет минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora)... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52115
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 30-Дек-19, 10:40	+1 +/–
Вроде бы и ничего, но suid-ная программа напрягает как-то.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4, #23, #39

2. Сообщение от Annoynymous (ok), 30-Дек-19, 10:58	+/–
> При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ. При очень большом желании, пробовали.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

3. Сообщение от Аноним (3), 30-Дек-19, 11:32	+/–
Bubblewrap тогда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #53

4. Сообщение от Аноним (4), 30-Дек-19, 11:36	+/–
Можно попробовать снять SUID и настроить полномочия с помощью CAPABILITIES.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #8

5. Сообщение от Аноним (5), 30-Дек-19, 11:43	+/–
Сильно отличается от jail в freebsd?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #40

6. Сообщение от Аноним (8), 30-Дек-19, 12:26	+/–
Это как сразу два презeрватива натягивать — в том же докере изоляция через namespaces является core feature, а apparmor и seccomp подключаются через security-opt. В lxc в целом аналогично. Да даже в systemd для любого сервиса можно всё это в пару строчек юнит-файла настроить. Кроме десктопных приложений, о которых все эти серверные ребята как-то не подумали, других ниш применения firejail не видно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #11

7. Сообщение от Аноним (7), 30-Дек-19, 12:28	+/–
да, например - отсутствием линуксатора, хотя в iOS его тоже нет. а вообще, BSD-jail в iOS и BSD лучше сравнивать с LXC и OpenVZ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #29

8. Сообщение от Аноним (8), 30-Дек-19, 12:28	+3 +/–
Боюсь, что тут нужен CAP_SYS_ADMIN, что эквивалентно руту. Причём, если euid программа наверняка сбросит перед exec, то капу — вряд ли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

9. Сообщение от yu (??), 30-Дек-19, 12:51	+/–
Раньше запускал в нем фф, но часто приходилось какие-то правила дописывать, т к что-то не работало, особенно после обновления фф.
Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Fracta1L (ok), 30-Дек-19, 12:52	+1 +/–
Нужно, пользуюсь для сетевых приложух и всякой проприетари
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

11. Сообщение от Аноним (-), 30-Дек-19, 13:03	+/–
Более того, если использовать Podman, вместо докера, то можно его исполозовать в rootless режиме, что будет секьюрнее докера и SUID'ного firejail.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #14

12. Сообщение от user90 (?), 30-Дек-19, 13:48	+1 +/–
А оно реально надо? Или это для проприетарщины? Вопросы, вопросы..
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #21, #42

13. Сообщение от user90 (?), 30-Дек-19, 13:49	+/–
О, почти то, чего спрашивал. "Сетевые приложухи" это что?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #41

14. Сообщение от Аноним (8), 30-Дек-19, 13:58	+1 +/–
Не будет. По той простой причине, что для настройки действительно эффективных механизмов изоляции нужны рутовые полномочия. Вообще, podman не является альтернативой docker/containerd, в отличие от cri-o, например. Это просто тество-отладочный инструмент для запуска на рабочем компе девопса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

15. Сообщение от Аноним (15), 30-Дек-19, 14:05	+1 +/–
Как Вы предполагаете, зачем оно > для проприетарщины?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #17

16. Сообщение от Аноим (?), 30-Дек-19, 14:13	+/–
Если у меня selinux в enforcing, мне не нужно такое?
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от user90 (?), 30-Дек-19, 14:18	+/–
А с недоверенным драйвером ты чо будешь делать? ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #20

18. Сообщение от Аноним (-), 30-Дек-19, 14:41	+/–
Вкратце: нужно/ненужно?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #33

19. Сообщение от bOOster (ok), 30-Дек-19, 14:45	–2 +/–
Все гениальное просто, и это не про линь.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #28, #44

20. Сообщение от Аноним (20), 30-Дек-19, 14:45	+4 +/–
C недоверенным телефоном с проприетарными чипами без свободных дров вообще, залоченным бутлодером, кирпичащим телефон при прошивке прошивки с недоверенной подписью, и с критическими уязвимостями в проприетарных прошивках чипов что делать будешь? Вы уже проиграли. Сопротивление бесполезно, ведь за взлом, реверсинг и написание свободных прошивок программерам никто не заплатит, и даже если заплатит, то пока они допилят, устройства на помойке уже будут, ибо запланированный выход из строя. Дешевле будет купить самсунг с потрохами и заставить его делать все прошивки и драйвера изначально открытыми. Но вам никто это не позволит сделать, даже если бы у вас были на это деньги. Вам придётся либо юзать проприетарь, либо не юзать ничего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #38

21. Сообщение от Crazy Alex (ok), 30-Дек-19, 14:45	+/–
То  и другое. Первый пример - собственно файрфокс, для изоляции которого эту софтину изначаль и сделали. Второй классический пример - скайп в него засунуть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #22

22. Сообщение от user90 (?), 30-Дек-19, 14:55	–2 +/–
> скайп Воу-воу, полехче! Сам же понимаешь, в чем тут лажа. > файрфокс Режешь жс первым делом.. ах нет? тогда тебя будут иметь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #25, #30

23. Сообщение от Аноним (23), 30-Дек-19, 15:04	+/–
Во-первых, можно разрешить запуск firejail только определенными пользователями. Во-вторых, не ставить проприетарное что-попало, по крайней мере, без профиля, где suid-бинарник отфильтровывается белым списком.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

24. Сообщение от мудрый КАА (?), 30-Дек-19, 15:06	+11 +/–
Да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

25. Сообщение от drTrue (?), 30-Дек-19, 15:18	+/–
Firefox в виртуалке
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

26. Сообщение от Аноним (26), 30-Дек-19, 15:21	–4 +/–
Неудобная штука. Изоляция файловой системы сделана  на основе чёрных списков, что на мой взгляд изначально неправильно (непонятно, как можно было так извратить идею filesystem namespaces, ведь по умолчанию в линуксе создаётся полноценный отдельный namespcae, а firejail уже пытается объединить всё обратно для создания иллюзии запуска в пользовательском /home). А линуксовый seccomp так вообще не пригоден к использованию в том виде, в котором они его пытаются готовить — вся эта канитель с готовыми профилями не подходит для основной целевой аудитории, — варезных прог и сетевого софта, обновляющегося чаще чем раз в год.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57

27. Сообщение от Аноним (27), 30-Дек-19, 16:27	+/–
Какая разница в любой другой системе будет такая же виртуализация вызовов с предварительной проверко разрешений. Другое дело, что тут уже готово, а для того же виндоса вроде как нужно покупать какие-то цитриксы и т/д/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

28. Сообщение от Аноним (7), 30-Дек-19, 16:37	+/–
про вантуз?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #34

29. Сообщение от abi (?), 30-Дек-19, 17:01	+/–
Идея запихивания в джейл линукса врядли сильно востребована. Как забавный курьёз да, но реально лучше в bhyve.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #48

30. Сообщение от CrazyAlex (?), 30-Дек-19, 18:57	+/–
Со скайпом - в чём лажа? Если в том, что скайповладелец (сейчас это Майкрософт, но скайп начали стараться огородить горпздо раньше) может получить твои звонки/переписку - то мимо, это данные, которые ты явным образом скормил. А идея - в трм, чтобы оно не лезло к остальному. С файрфоксом - конкретно я жс режу, но в принципе дополнительная песочница вполне неплохо защищает от возможных проблем. Особенно если за ней - линукс, да ещё не убунта, а какая-нибудь гента или другая экзотика.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #31, #63

31. Сообщение от user90 (?), 30-Дек-19, 19:07	+/–
В чем лажа? Ты же помнишь (наверно, если возраст позволяет, уж извини) что из себя представлял скайп на старте, до того, как был куплен-перекуплен - ну а чо он представляет из себя ща сам сказал. Насчет ФФ - кокая-то перестраховка, однако. Это ж какая должна быть дырень, чтобы переживать за компрометацию локальной фс из-за браузера! Или речь про что-то другое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #32

32. Сообщение от CrazyAlex (?), 30-Дек-19, 19:30	+/–
Ну помню, лез везде где мог, поэтому и огораживали. Возраст позволяет :-) И что? С файрфоксом - самые обычные дыры, их таких пара сотен точно была.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

33. Сообщение от Сейд (ok), 30-Дек-19, 19:44	+/–
Программа, имеющая suid — потенциальная дыра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #43

34. Сообщение от Анонимко (?), 30-Дек-19, 20:12	+1 +/–
Да, там все просто: куяк-куяк и готово, пипл стерпит. Ведь за что ты заплатил, за то и будешь держатся. У маководов еще хлеще - в тридорога переплатил за ширпотреб с шильдиком и стал идейным последователем автоматически. Нахвалиться потом не могут. Прикольно наблюдать, хоть диссертацию пиши. )) Психология, сэр!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #37

35. Сообщение от Аноним (35), 30-Дек-19, 22:21	+/–
а где смые главные - logind, gdm3, Xwayland, ... ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

36. Сообщение от Аноним (8), 31-Дек-19, 00:13	+/–
> logind И так урезан по самые гланды: DeviceAllow=char-/dev/console rw DeviceAllow=char-drm rw DeviceAllow=char-input rw DeviceAllow=char-tty rw DeviceAllow=char-vcs rw FileDescriptorStoreMax=512 IPAddressDeny=any LockPersonality=yes MemoryDenyWriteExecute=yes NoNewPrivileges=yes PrivateTmp=yes ProtectControlGroups=yes ProtectHome=yes ProtectHostname=yes ProtectKernelModules=yes ProtectKernelLogs=yes ProtectSystem=strict ReadWritePaths=/run RestrictAddressFamilies=AF_UNIX AF_NETLINK RestrictNamespaces=yes RestrictRealtime=yes RestrictSUIDSGID=yes RuntimeDirectory=systemd/sessions systemd/seats systemd/users systemd/inhibit systemd/shutdown RuntimeDirectoryPreserve=yes SystemCallArchitectures=native SystemCallErrorNumber=EPERM SystemCallFilter=@system-service Да, философия *nix запрещает так ограничивать свободу программ, но Лёньке пофиг. В результате, не будучи рутом, дотянуться до logind практически нереально, а даже если его удастся каким-то образом ломануть, то максимум в vt можно будет вывести какую-нибудь похабщину, а с сетью, диском и системой — увы, ничего не сделать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #45

37. Сообщение от Аноним (8), 31-Дек-19, 00:17	+/–
Вы полагаете, что в их поведении есть что-то неправильное? По-моему, с этим всё просто. Человек платит за статус, и получает его. В нагрузку к статусу может идти какая-то унылая железка, но это глубоко вторично. Даже если эта железка вообще будет нерабочей, или сгорит при первом включении, статуса это не отменит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #47

38. Сообщение от Аноним (8), 31-Дек-19, 00:20	+/–
> C недоверенным телефоном с проприетарными чипами без свободных дров вообще, залоченным бутлодером, кирпичащим телефон при прошивке прошивки с недоверенной подписью, и с критическими уязвимостями в проприетарных прошивках чипов что делать будешь? Не буду доверять ему важных данных. Если пойду грабить банк — оставлю телефон дома.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #55

39. Сообщение от Аноним (-), 31-Дек-19, 02:38	+1 +/–
> Вроде бы и ничего, но suid-ная программа напрягает как-то. Ну так для того что он делает повышенные права нужны. Если любой пользователь сможет в любой программе так же - в системе начнется вакханалия, где каждый пользователь по сути близок к руту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

40. Сообщение от Аноним (-), 31-Дек-19, 02:43	–1 +/–
> Сильно отличается от jail в freebsd? Черт знает, но конкретно сабж удобнее всего для запихивания отдельных апликух в изолированные от основной системы "контейнеры". При том он неплохо работает в том числе и для десктопных штук, без лишней возни. Вероятно, благодаря многочисленным конфигам в дефолтной поставке, более или менее корректно прописывающие чего кому из типовых программ реально требуется (из сисколов и проч). А что, jail в фряхе умеет разрешать только нужные сисколы? Или пространства имен, допустим, сети переключать? Так что сетевая конфигурация у программы - вообще отдельная (firejail немного умеет создавать/настравать сетевые интерфейсы в контейнерах).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #49

41. Сообщение от Аноним (-), 31-Дек-19, 02:44	+/–
Приложения лезущие в сеть, очевидно. Отпилить их в отдельный контейнер, если не виртуалку - отличная идея.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

42. Сообщение от Аноним (42), 31-Дек-19, 02:47	+/–
Баги бывают и в открытом софте. В том числе и проблемы безопасности. И будет очень кстати если например браузер из всей файловой системы может аж в свои Downloads ходить. А остальное для него - совершенно пустая система, где брать нечего. Очень кстати если кто-то вдруг сможет убедить эту сложнятину попытаться сделать что-то не то. А тут ему от ворот поворот - бац.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

43. Сообщение от Аноним (42), 31-Дек-19, 02:49	+/–
С другой стороны, он в основном действует при запуске программы - а потом его прошибить ... можно в основном теоретически. А вот программа - заизолирована и если прошибут ее, то урон может быть минимизирован.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #51

44. Сообщение от Аноним (42), 31-Дек-19, 02:50	+/–
> Все гениальное просто, и это не про линь. Сабж довольно прост в использовании. Вот прямо под линем. Более того - аналогов ему даже как-то и не придумывается под другими системами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #46

45. Сообщение от Аноним (42), 31-Дек-19, 02:51	+/–
У Поттеринга вообще можно поучиться всякие стремные сервисы правильно изолировать. Как угодно но куски systemd зарезаны по правам очень неплохо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #50

46. Сообщение от bOOster (ok), 31-Дек-19, 08:02	+1 +/–
Ну точно уж лет 20 как под FreeBSD не придумывается?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

47. Сообщение от bOOster (ok), 31-Дек-19, 08:08	+/–
> Вы полагаете, что в их поведении есть что-то неправильное? > По-моему, с этим всё просто. Человек платит за статус, и получает его. > В нагрузку к статусу может идти какая-то унылая железка, но это > глубоко вторично. Даже если эта железка вообще будет нерабочей, или сгорит > при первом включении, статуса это не отменит. Про какой статус речь идет? Народ на айфонах чтоли помешался? Если речь о компьютерах - то ноуты БЫЛИ у Apple вполне конкурентноспособные, операционка позволяет не задумываться о завтрашнем обновлении системы и работать на нем абсолютно не теряя времени. А доп. фишки типа POSIX совместимость совместно с "бронебойностью" ОСи так конкурентов нет вообще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

48. Сообщение от bOOster (ok), 31-Дек-19, 08:12	+/–
> Идея запихивания в джейл линукса врядли сильно востребована. Как забавный курьёз да, > но реально лучше в bhyve. Но иногда имеет место быть. bhyve издержки все-таки повыше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

49. Сообщение от bOOster (ok), 31-Дек-19, 08:21	–6 +/–
>> Сильно отличается от jail в freebsd? > Черт знает, но конкретно сабж удобнее всего для запихивания отдельных апликух в > изолированные от основной системы "контейнеры". При том он неплохо работает в > том числе и для десктопных штук, без лишней возни. Вероятно, благодаря > многочисленным конфигам в дефолтной поставке, более или менее корректно прописывающие > чего кому из типовых программ реально требуется (из сисколов и проч). > А что, jail в фряхе умеет разрешать только нужные сисколы? Или > пространства имен, допустим, сети переключать? Так что сетевая конфигурация у программы > - вообще отдельная (firejail немного умеет создавать/настравать сетевые интерфейсы в контейнерах). SYSCALLS в пользовательских приложениях это дрянной стиль программирования который и пополз из стана Linux, но  хвала более квалифицированным программистам иных POSIX ОС - за пределами Linux практически не живет. Даже Андроид такой стиль не поддерживает маскируя системные вызовы библиотекой wrapperом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #52, #54

50. Сообщение от Аноним (8), 31-Дек-19, 12:52	–4 +/–
Это противоречит юниксовой философии. Инит не должен заниматься ограничением прав сервисов, для этого должны быть отдельные suid-бинарники, которые нужно вручную вписывать в init-скрипты нужных программ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #58

51. Сообщение от Сейд (ok), 31-Дек-19, 12:52	+/–
https://www.opennet.dev/opennews/art.shtml?num=45824
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #56

52. Сообщение от Аноним (8), 31-Дек-19, 12:54	+1 +/–
Ага, то есть ваши приложения не делают open(), read(), write(), malloc(), free()? Тогда вообще что они делают, если не секрет? Ах да, ничего, вы же не пишете приложения. Только рассуждаете о "дрянном стиле".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #72

53. Сообщение от Аноним (-), 31-Дек-19, 14:17	+/–
к нему уже нормальный туториал появился? Я честно пытался настроить сабж для этого вашего фаерфокса но ниасилил: терминальные приложения работают нормально, гуйня - нет, что и где подкручивать - нигде не написано, ломай голову самостоятельно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #62

54. Сообщение от Аноним (-), 31-Дек-19, 15:47	+/–
> SYSCALLS в пользовательских приложениях это дрянной стиль программирования который и пополз из стана Linux А я то думал из стана стандарта POSIX, под который Linux и мимикрирует с точки зрения софта. > Даже Андроид такой стиль не поддерживает маскируя системные вызовы библиотекой wrapperом. Так в Linux нормальные люди тоже обычно враппер вызывают. Тем не менее враппер сискола read тоже называется read() и предоставляется реализацией libc. Ну а пойнт сабжа в том что если мы уверены что программа вообще никогда не должна записывать никакие файлы, мы рубим ей write() - и он завалится и через враппер, и напрямую, и как там еще. Программа просто не сможет записывать файлы. Довольно неудобный сюрприз для атакующих, которые сумеют нае...ть прогу, не так ли? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #59, #73, #78

55. Сообщение от Аноним (-), 31-Дек-19, 15:53	–1 +/–
А моя бабушка обманывает любой DRM. Просто наводит фотик на экран - и DRM пролетает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

56. Сообщение от Аноним (-), 31-Дек-19, 16:01	+1 +/–
Если уж мы об этом, то между нами, есть пара нюансов: 1) *nix вообще и стандарты posix в частности вообще не создавались в допущении активной агрессии со стороны пользователей - на момент появления основ этого самого реалии были другими. 2) Это верно и для реализации пространств имен и всего такого. Чтобы это было правильно, надо было вколотить такое требование еще на уровне прикидок архитектуры ядра! Но хорошая мысля всем приходит опосля. И в реально существующих и используемых ядрах это было прикручено к уже существующим конструкциям на изоленту и спички. Что конечно же добавило багов на стыках технологий. Однако постепенно спички и изолента заменится на что-то более потребное, глюки отловят и странные взаимодействия - пролечат. А таки без повышенных привилегий не удастся нормально сконфигурить новое окружение. Потому что если вдруг удастся - так, стоп, это что, все бесправные пользователи смогут систему переконфигурять на уроане рута? Так это ж еще большая дыра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #65

57. Сообщение от Аноним (-), 31-Дек-19, 16:05	+/–
> Неудобная штука. Наоборот - для большинства типовых прог есть готовые профайлы, так что вообще ничего делать не требуется. > Изоляция файловой системы сделана  на основе чёрных списков Там и белые вроде бы можно изобразить. > пытается объединить всё обратно для создания иллюзии запуска в пользовательском /home Это позволяет пользователю запустить типовые апликухи с повышенной изоляцией не ломая их работу. Если программе зарезать доступ к ее данным - она, внезапно, сломается. И врядли кто захочет например браузер перенастраивать с ноля. > варезных прог и сетевого софта, обновляющегося чаще чем раз в год. Я его использую для изоляции обычных программ, так что мне нормалек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

58. Сообщение от Аноним (-), 31-Дек-19, 16:07	+/–
И я должен в каждый контейнер класть SUID бинарники при формировании контейнера и следить за их обновлениями, чтоб не дай боже дыры не проскочили? Ну или как я буду вызывать suid бинарник из контейнера весь пойнт которого - обуть программу на доступ в систему?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #60

59. Сообщение от Аноним (8), 31-Дек-19, 16:59	+/–
SYSCALL, POSIX, IOCTL — какая разница? Главное, сказать, что Линукс — это плохо. Быть экспертом в компьютерах для этого вообще не надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

60. Сообщение от Аноним (8), 31-Дек-19, 17:01	+/–
Какие контейнеры, родной? В юниксах 30 лет назад не было никаких контейнеров. Софт надо ставить только через ./configure && make && make install.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #61

61. Сообщение от Аноним (-), 31-Дек-19, 20:27	+/–
Какой софт, родной? 100 лет назад никакого софта не было. Пользоваться надо конвейерной лентой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #64

62. Сообщение от Аноним (-), 31-Дек-19, 20:34	+/–
Bubbllewrap достаточно канительный в этом плане. При том by design. Поэтому с юзерской точки зрения сабж заметно проще в использовании.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

63. Сообщение от Аноним (63), 31-Дек-19, 20:39	+/–
> твои звонки/переписку - то мимо, это данные, которые ты явным образом скормил. Ты ему доступ к камере и микрофону скормил - и какие гарантии что он ими пользуется только во время звонков? Теоретически конечно можно оттрассировать и запалить, а практически - проще избавиться от этой каки. Хомяки его уже посносили все-равно :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

64. Сообщение от Аноним (63), 31-Дек-19, 20:42	+/–
> Какой софт, родной? 100 лет назад никакого софта не было. Пользоваться надо > конвейерной лентой. Какой конвейер, родной? 1000 лет назад не было двигателей, так что айда кирпичи к пирамиде таскать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

65. Сообщение от Сейд (ok), 31-Дек-19, 21:00	+/–
policycoreutils-sandbox https://github.com/SELinuxProject/selinux
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #66

66. Сообщение от Аноним (-), 31-Дек-19, 21:46	+/–
> policycoreutils-sandbox > https://github.com/SELinuxProject/selinux Не, спасибо, это счастье вы как-нибудь себе оставьте. Мне этого: Build dependencies on Fedora: yum install audit-libs-devel bison bzip2-devel dbus-devel dbus-glib-devel flex flex-devel flex-static glib2-devel libcap-devel libcap-ng-devel pam-devel pcre-devel python3-devel python3-setools swig xmlto redhat-rpm-config ...достаточно чтобы не подходить к этому калу на пушечный выстрел! Не говоря о том что политики SELinux - та еще камасутра. Если в сабже что-то не сработает - я это починю. Если же лыжи не поедут с SELinux - упс. Всерьез в этом копаться можно только будучи клерком в NSA, которому за это оклад платят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #67

67. Сообщение от Сейд (ok), 31-Дек-19, 23:10	+/–
Такая точка зрения в корне не верна, SELinux намного проще и удобнее в использовании, чем это кажется на первый взгляд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #68

68. Сообщение от Аноним (68), 31-Дек-19, 23:52	+/–
> Такая точка зрения в корне не верна, SELinux намного проще и удобнее > в использовании, чем это кажется на первый взгляд. Во первых, я просто не буду использовать УГ где для просто операций с политиками надо какие-то пихоны, XML и прочий мегаэнтерпрайзный крап. Во вторых, пофтыкав на эти политики, а также аппармор я пришел к выводу: контейнеры и виртуалки достигают такой же или даже более прочный результат с МНОГОКРАТНО МЕНЬШЕЙ ДОЛБОТНЕЙ. У контейнеров и vm есть большой плюс: они не рушат секурити-модель *никс. Они просто создают новое окружение, где будет то что я хочу вывесить программе, и не бита больше. А эта штука - некий оверлэй. Оценить эффективный набор доступов может быть довольно трудно и не наглядно. У конкретно NSA регламенты есть, так что у них выбора не было. Но я - не NSA, поэтому могу положить на их регламенты мандатного контроля.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #69

69. Сообщение от Сейд (ok), 01-Янв-20, 00:17	+/–
Мы говорим про Firejail, а не контейнеры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #70

70. Сообщение от Аноним (-), 01-Янв-20, 01:16	+1 +/–
> Мы говорим про Firejail, а не контейнеры. Firejail наполовину об контейнерах и есть. Он умеет собирать например отдельную сеть в отдельном namespace, менять область видимости ФС и все такое. Довольно похоже по смыслу. Ну и он как-то не требует пихонов, XML и проч. Мне нравятся простые приятные тулсы без оверинженерии ради хз чего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #71

71. Сообщение от Сейд (ok), 01-Янв-20, 10:53	+/–
А с его помощью можно запрещать или разрешать привязку процесса к определённым портам?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #82

72. Сообщение от bOOster (ok), 01-Янв-20, 15:22	–3 +/–
> Ага, то есть ваши приложения не делают open(), read(), write(), malloc(), free()? > Тогда вообще что они делают, если не секрет? > Ах да, ничего, вы же не пишете приложения. Только рассуждаете о "дрянном > стиле". Ты че иди%от? Каким образом эти операции относяться к SYSCAL? open,read,write это врапперы, posix абстракция для ioctl - ИМЕННО КОТОРЫЙ уже работает с ядром и является SYSCALL. malloc, free это индентичные врапперы для операций выделения памяти, системный вызов  которых сильно меняется от системы к системе.   Госпади, мое первое сообщение в этой теме подтверждает что многие "программисты" линукс оиды вообще тупо не понимают что делают. Зато пишут приложения, видимо на питоне или php. ПыСы если претендуешь на звание программиста - то хоть изучай о чем говоришь. Тебе сюда - https://www.opennet.dev/docs/RUS/lkmpg/node18.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #74

73. Сообщение от bOOster (ok), 01-Янв-20, 15:26	–2 +/–
>[оверквотинг удален] > А я то думал из стана стандарта POSIX, под который Linux и > мимикрирует с точки зрения софта. >> Даже Андроид такой стиль не поддерживает маскируя системные вызовы библиотекой wrapperом. > Так в Linux нормальные люди тоже обычно враппер вызывают. Тем не менее > враппер сискола read тоже называется read() и предоставляется реализацией libc. > Ну а пойнт сабжа в том что если мы уверены что программа > вообще никогда не должна записывать никакие файлы, мы рубим ей write() > - и он завалится и через враппер, и напрямую, и как > там еще. Программа просто не сможет записывать файлы. Довольно неудобный сюрприз > для атакующих, которые сумеют нае...ть прогу, не так ли? :) Posix враппер read может быть оперативно подменен другой реализацией, виртуальной в случае присутствися ограничений и это возможно так как несет дескриптор, в отличие от прямого доступа read который несет адрес устройства.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #79

74. Сообщение от Аноним (8), 01-Янв-20, 18:58	+/–
> Каким образом эти операции относяться к SYSCAL? open,read,write это врапперы, posix абстракция для ioctl - ИМЕННО КОТОРЫЙ уже работает с ядром и является SYSCALL. Взоржал. Ну и каша у вас в голове! Сразу видно настоящего компьютерного эксперта. > ПыСы если претендуешь на звание программиста - то хоть изучай о чем говоришь. Ну, так как вы не претендуете, то вот по этой сслыке http://man7.org/linux/man-pages/man2/syscalls.2.html ни в коем случае не ходите. Она для тех, кого случайно занесёт в это обсуждение, на случай, если ваша глупость для них будет не очевидна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #75

75. Сообщение от bOOster (ok), 01-Янв-20, 23:56	–1 +/–
>> Каким образом эти операции относяться к SYSCAL? open,read,write это врапперы, posix абстракция для ioctl - ИМЕННО КОТОРЫЙ уже работает с ядром и является SYSCALL. > Взоржал. Ну и каша у вас в голове! Сразу видно настоящего компьютерного > эксперта. >> ПыСы если претендуешь на звание программиста - то хоть изучай о чем говоришь. > Ну, так как вы не претендуете, то вот по этой сслыке http://man7.org/linux/man-pages/man2/syscalls.2.html > ни в коем случае не ходите. Она для тех, кого случайно > занесёт в это обсуждение, на случай, если ваша глупость для них > будет не очевидна. Документация по Linux будет последней на что я буду обращать внимание.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #76

76. Сообщение от Аноним (8), 02-Янв-20, 14:34	+/–
> Документация по Linux будет последней на что я буду обращать внимание. Естественно, вы же не претендуете на звание программиста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #77

77. Сообщение от bOOster (ok), 02-Янв-20, 17:54	+/–
>> Документация по Linux будет последней на что я буду обращать внимание. > Естественно, вы же не претендуете на звание программиста. Конечно, и первым делом я посмотрю исходные тексты той-же например read. Внезапно да? Например https://code.woboq.org/userspace/glibc/sysdeps/unix/sysv/lin... И сразу же там вижу wrapper. Ну я думаю разберешься вокруг чего, надеюсь знаешь что такое macros и реальный ASM вызов syscall. Хотя откуда? На Go видать программируешь или еще каком-нить новомодном трэше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #81

78. Сообщение от bOOster (ok), 03-Янв-20, 10:56	+/–
>[оверквотинг удален] > А я то думал из стана стандарта POSIX, под который Linux и > мимикрирует с точки зрения софта. >> Даже Андроид такой стиль не поддерживает маскируя системные вызовы библиотекой wrapperом. > Так в Linux нормальные люди тоже обычно враппер вызывают. Тем не менее > враппер сискола read тоже называется read() и предоставляется реализацией libc. > Ну а пойнт сабжа в том что если мы уверены что программа > вообще никогда не должна записывать никакие файлы, мы рубим ей write() > - и он завалится и через враппер, и напрямую, и как > там еще. Программа просто не сможет записывать файлы. Довольно неудобный сюрприз > для атакующих, которые сумеют нае...ть прогу, не так ли? :) Да как раз наоборот. Именно из-за этой паршивой тенденции - корявый софт под Линь, мимикрирующий как ты говоришь под POSIX, собирается только на Лине, и не собирается на xBSD и других POSIX системах. И приходиться тратить время чтобы привести это "га:но" в порядок. Хорошо если кто-то уже пропатчил, а то еще и в дер&мово писанные мануалы по Linux надо лезть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #80

79. Сообщение от Аноним (-), 08-Янв-20, 08:54	+/–
> Posix враппер read может быть оперативно подменен другой реализацией, виртуальной в случае присутствися ограничений Подменять враппер - прерогатива троянцев/руткитов да может IDS. Ну еще для тестирования реакции программ на нестандартные ситуации и прочих лулзов. А так это что, достаточно сделать сискол - и я уже вне песочницы? Так это не песочница а джамшутинг какой-то?! > в отличие от прямого доступа read который несет адрес устройства. Какой еще "адрес устройства"? Что за бред?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

80. Сообщение от Аноним (-), 08-Янв-20, 08:59	+/–
> Да как раз наоборот. Пруф? > корявый софт под Линь, мимикрирующий как ты говоришь под POSIX, собирается только на Лине Что там под чем собирается - вообще второй вопрос. Возможно, разработчики просто никогда не пробовали собирать свой софт под xBSD и прочих posix системах. Потому что их хрен найдешь и разработчикам от них ничего не нужно, например? Есть еще маки, но они сильно кастомные, у них там какой-то io-framework или как там его. О том что это такое - только макинтошные разработчики и знают, потому что в других ОС этого нет. > Хорошо если кто-то уже пропатчил, а то еще и в дер&мово писанные мануалы по Linux надо лезть. Ну так скиньтесь и проплатите команде техписов написание вам мануалов по вашему вкусу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

81. Сообщение от Аноним (-), 08-Янв-20, 09:02	+/–
> надеюсь знаешь что такое macros и реальный ASM вызов syscall. Ну я знаю. И чего? Сишники, для начала, из сей сисколы дергают. На совсем уж гольном асме это оформлять - можно, конечно, но зачем? Это вообще совсем не портабельно. Тогда как вызваный из си сискол open работает одинаково и на ARM, и на MIPS, и на PowerPC, и даже на RISC-V каком-нибудь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

82. Сообщение от Аноним (-), 08-Янв-20, 09:09	+/–
> А с его помощью можно запрещать или разрешать привязку процесса к определённым портам? Мне проще оперировать иным уровнем абстракций: отправить процесс в собственный неймспейс и там пусть хоть обпривязывается к любым портам, если хочет. Это не означает что он сможет создать хосту какие-то проблемы или получить доступ хоть куда-то. Это отдельная сеточка с отдельной конфигурацией и портами. Доступ наружу может быть, может не быть, может быть не такой как у хоста, ... по вкусу в общем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

83. Сообщение от Ilya Indigo (ok), 05-Ноя-20, 01:14	+/–
Можно ли через firejail наоборот, разрешить firefox-у доступ к ~/.mozilla, к которому изначально не будет доступа у обычного пользователя?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема