Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: ◀ 1 … 4 5 6 7 8 … 15 ▶
A po co przechodzić?
Flash już jest zdychającym wielorybem, za dwa lata standardem będzie html5, java chodzi ze standardem Netscape API, podobnie jak reszta wtyczek.
Dla jednego zdychającego flasha rozpieprzać całe API do wtyczek?
Flash i tak w cywilizowanym świecie nie jest formatem przechowywania filmów, tylko programem do wyświetlania.
Od lat jest konkurencyjny format object=video - który odtwarza video we wtyczce WMP albo innej,
gier flashowych na Linuxie i tak zbyt wielu nie odpalisz, a w Windows wywalenie flasha zaoszczędzi co najmniej 1/3 infekcji wirusami komputerowymi.
W dodatku html5 ma już suport DRM, także do szyfrowanych materiałów też już ani Flash, ani Silveright nie są potrzebne, więcej z nimi kłopotów, niż to warte.
To tylko w Poslce portale są 5000 lat za szympansami, dlatego tutaj flash to standard, chyba ze akwizytorzy M$ wcisną w jego miejsce Silverighta.
Ale to też się w końcu zmieni, jak M# wywali flasha z WIndows, już w 8-ce miało go nie być, na razie na samych desktopach się ostał.
W Apple i Androidzie sytuacja wygląda podobnie.
IOS i WIndows Mobile już flasha nie mają, i mieć nie będą. :D
Pozdrawiam
;-)
Offline
gier flashowych na Linuxie i tak zbyt wielu nie odpalisz[/quote]
Przecież wszystkie działają :P Chyba, że mówisz o Gnashu
Ogólnie liczę na rozwój Lightspark + Gnash + Linterna Magica + HTML5, takie Combo Flashkillerów (działających równolegle)
Fervi
Offline
Cześć. Kolejna aktualizacja bezpieczeństwa. Więcej info w oficjalnym biuletynie [url=https://www.adobe.com/support/security/bulletins/apsb13-17.html][color=blue]APSB13-17[/color][/url]. Nowa wersja: Firefox (Mozilla, SeaMonkey) [tt][color=green]11.2.202.297[/tt][/color], Chrome (Pepper-based Flash Player) [tt][color=green]11.8.800.97[/color][/tt].
Pozdrawiam serdecznie.
Ostatnio edytowany przez remi (2013-07-11 19:16:10)
Offline
[quote=fervi]
gier flashowych na Linuxie i tak zbyt wielu nie odpalisz[/quote]
Przecież wszystkie działają :P Chyba, że mówisz o Gnashu
Ogólnie liczę na rozwój Lightspark + Gnash + Linterna Magica + HTML5, takie Combo Flashkillerów (działających równolegle)
Fervi[/quote]
Linterna Mgica chętnie spróbuję, Gnasha testuję co jakiś czas, zapomniałeś o [url=https://blog.mozilla.org/research/2012/11/12/introducing-the-shumway-open-swf-runtime-project/]Shumwayu[/url].
Lightspark nie chce się u mnie skompilować prawidłowo za Chiny Ludowe, co nieźle świadczy o autorach. :D
Jednym słowem, jak wszystko, co *buntowe. :D
[quote=remi]Cześć. Kolejna aktualizacja bezpieczeństwa. Więcej info w oficjalnym biuletynie [url=https://www.adobe.com/support/security/bulletins/apsb13-17.html][color=blue]APSB13-17[/color][/url]. Nowa wersja: [tt][color=green]11.2.202.297[/tt][/color].
Pozdrawiam serdecznie.[/quote]
Dzięki.
Na 11.2.202.291 cały YT miał niebieskie pyski, dlatego siedziałem na 11.2.202.285, ten *.297 działa - wydaje się, że dobrze (jak na flasha oczywiście). :D
Chociaż flasha odpalam może raz na tydzień przez pomyłkę, lub na stronach, gdzie nic innego nie idzie. :D
Ostatnio coraz częściej przy przeglądarkach jest moja [url=http://jacekalex.sh.dug.net.pl/rssperl]"tajna broń"[/url] w robocie. :D
Pozdro
;-)Ostatnio edytowany przez Jacekalex (2013-07-10 18:32:21)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Cześć. [b]Jacku[/b] a nie próbowałeś wyłączyć tzw. [tt][color=darkblue]Przyśpieszenia sprzętowego[/color][/tt] (ang. Enable Hardware Acceleration)? Opcja dostępna w panelu [tt][color=darkblue]Wyświetlacz[/color][/tt]. Podobno owa funkcja, pomaga w różnych sytuacjach, takich jak np. niska jakość obrazu lub wolne odtwarzanie etc. Pytam z czystej ciekawości, ponieważ wersja o której wspominasz ([tt]*.291[/tt]), powodująca [i]niebieskie pyski[/i], w moim przypadku nie stwarzała absolutnie żadnych problemów.
Pozdrawiam serdecznie.
Offline
Mam włączoną akcelerację flasha.
Ostatnio chodzi całkiem grzecznie, choć całkowicie mu zablokowałem zapis jakiegokolwiek pliku w ~/.macromedia/. :)
grep macromedia /etc/apparmor.d/usr.lib64.firefox.plugin-container owner @{HOME}/.macromedia/ r, owner @{HOME}/.macromedia/** r,
Teraz mam:
www-plugins/adobe-flash-11.2.202.297 (32bit 64bit multilib selinux sse2 vdpau)
Konfiguracja?
egrep -v '#|^$' /etc/adobe/mms.cfg AllowUserLocalTrust = 0 OverrideGPUValidation = true EnableLinuxHWVideoDecode = 1 WindowlessDisable = 1
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2013-07-15 01:51:19)
Offline
Cześć, dzięki za odpowiedź. Słuchaj, mógłbyś podać pełny profil dla [tt]AppArmor[/tt] odnoszący się do [tt]usr.lib64.firefox.plugin-container[/tt]? [b]Jacku[/b], czy według Ciebie opcje odnoszące się do [tt]plugin-containera[/tt] (oczywiście mam na myśli te, które podałeś), można umieścić w istniejącym profilu przeglądarki www (Firefox etc.)? Rozumiem, że masz oddzielny profil dla Flash'a?
Pozdrawiam serdecznie.
Offline
Profil plugin-container?
Niezbyt udany, na razie jest w nim cała java, sypie troszkę błędami, ale proszę:
http://jacekalex.sh.dug.net.pl/apparmor/usr.lib64.firefox.plugin-container
i do Firefoxa:
http://jacekalex.sh.dug.net.pl/apparmor/usr.lib64.firefox.firefox
Jeszcze sporo roboty z tymi profilami i dokumentacją Apparmora przed mną, ale akurat mam na to sporo czasu ;).
Plugin-container z Frefoxa-22 nie umiał u mnie znaleźć bibliotek siedzących w /usr/lib64/firefox (niezależnie od Apparmora, po prostu tam nie szukał), podlinkowałem 3 szt do /usr/lib64 i już chodzi.
To te:
/usr/lib64/firefox/libxul.so /usr/lib64/firefox/libmozalloc.so /usr/lib64/firefox/libmozsqlite3.so
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2013-07-16 13:07:19)
Offline
Serwus. Dzięki za sznurki. Faktycznie profil dla [tt]plugin-container[/tt], nie jest jeszcze skończony. Profil dla Firefox'a utworzonego przez Strandboge'a, poddałeś modyfikacji. Spełnia swoje zadanie?
Offline
U mnie działa w FF i java i flash, innych wtyczek na razie nie dodawałem.
Z obu chcę zrobić abstractions/* dla różnych przeglądarek.
Chociaż na razie to dla mnie maleńki horror.
Np Akregator po zablokowaniu dostępu do /sys/ pluje logami DENIED, Chrome się w ogóle nie chce odpalić.
Dla porównania, jak w Grscurity zablokowałem dostęp do /sys wszystkim, to ani Akregator ani Chrome nie miauczały, bo grsec ukrywa istnienie pliku/folderu - tak, jakby w ogóle nie istniał.
Dlatego idealny model bezpieczeństwa, to Grsec+Apparmor.
Grsec na prosty konfig na poziomie rootfs i zablokowania możliwości wyłączenia Apparmora (/sys/modules/apparmor/parameters), i innych krytycznych miejsc w /proc, /dev i /sys.
Apparmor za to ma bardziej elastyczny konfig dzięki opcjom owner i regexom, których na razie nie ma w gracl.
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2013-07-17 20:04:03)
Offline
Właśnie - [tt]AppArmor[/tt] jest bardziej elastyczny. Powoli zaczynam go poznawać. [tt]Grsec[/tt] musi troszeczkę poczekać. A tak przy okazji: dlaczego zmodyfikowałeś domyślny profil dla Firefoxa? Z tego, co pamiętam działał Flash etc.
Offline
[quote=remi]Właśnie - [tt]AppArmor[/tt] jest bardziej elastyczny. Powoli zaczynam go poznawać. [tt]Grsec[/tt] musi troszeczkę poczekać. A tak przy okazji: dlaczego zmodyfikowałeś domyślny profil dla Firefoxa? Z tego, co pamiętam działał Flash etc.[/quote]
Dlaczego?
Dlatego, ze tamten profil był do FF-3.6 - a ja go dopasowałem do FF-22 i FF-25.
Między tymi wersjami jest kilka różnic, prawda?
W tej chwili mam trochę czasu, w tym czasie robię sobie profile do wszystkiego, co łączy się z netem, lub otwiera jakieś pliki z netu, a także do rożnych rozwiązań sieciowych,
które czasem stawiam na serwerach.
Robota wygląda rożnie, czasem gotowy profil, czasem trzeba go mniej lub bardziej przerabiać, czasem pisać do zera.
Zgadnij, które zrobiłem od zera, a które pochodzą z netu, i były mniej lub bardziej poprawiane, które natomiast są bez zmian?
/usr/bin/gimp-2.8 (enforce) /usr/bin/spamc (enforce) /usr/sbin/amavisd (enforce) /usr/sbin/rsyslogd (enforce) /usr/sbin/clamav-milter (enforce) /usr/bin/freshclam (enforce) /usr/sbin/dkim-filter (enforce) /usr/bin/dk-filter (enforce) /usr/sbin/sendmail.postfix (enforce) /usr/libexec/postfix/virtual (enforce) /usr/libexec/postfix/verify (enforce) /usr/libexec/postfix/trivial-rewrite (enforce) /usr/libexec/postfix/tlsmgr (enforce) /usr/libexec/postfix/spfperl (enforce) /usr/libexec/postfix/spawn (enforce) /usr/libexec/postfix/smtpd (enforce) /usr/libexec/postfix/smtp (enforce) /usr/libexec/postfix/showq (enforce) /usr/libexec/postfix/scache (enforce) /usr/libexec/postfix/qmqpd (enforce) /usr/libexec/postfix/qmgr (enforce) /usr/libexec/postfix/proxymap (enforce) /usr/libexec/postfix/pipe (enforce) /usr/libexec/postfix/pickup (enforce) /usr/libexec/postfix/oqmgr (enforce) /usr/libexec/postfix/nqmgr (enforce) /usr/libexec/postfix/master (enforce) /usr/libexec/postfix/local (enforce) /usr/libexec/postfix/lmtp (enforce) /usr/libexec/postfix/flush (enforce) /usr/libexec/postfix/error (enforce) /usr/libexec/postfix/discard (enforce) /usr/libexec/postfix/cleanup (enforce) /usr/libexec/postfix/bounce (enforce) /usr/libexec/postfix/anvil (enforce) /usr/{sbin/traceroute,bin/traceroute.db} (enforce) /usr/sbin/tcpdump (enforce) /usr/sbin/sshd (enforce) /usr/sbin/sshd//PRIVSEP_MONITOR (enforce) /usr/sbin/sshd//PRIVSEP (enforce) /usr/sbin/sshd//EXEC (enforce) /usr/sbin/sshd//AUTHENTICATED (enforce) /usr/sbin/spamd (enforce) /usr/sbin/smbldap-useradd (enforce) /usr/sbin/smbldap-useradd///etc/init.d/nscd (enforce) /usr/sbin/smbd (enforce) /usr/sbin/sendmail (enforce) /usr/sbin/proftpd (enforce) /usr/sbin/postqueue (enforce) /usr/sbin/postmap (enforce) /usr/sbin/postgrey (enforce) /usr/sbin/postdrop (enforce) /usr/sbin/nscd (enforce) /usr/sbin/nmbd (enforce) /usr/sbin/named (enforce) /usr/sbin/mysqld (enforce) /usr/sbin/mtr (enforce) /usr/sbin/lighttpd (enforce) /usr/sbin/dovecot (enforce) /usr/sbin/clamd (enforce) /usr/local/bin/rssperl (enforce) /usr/libexec/gweather-applet-2 (enforce) /usr/libexec/dovecot/pop3-login (enforce) /usr/libexec/dovecot/pop3 (enforce) /usr/libexec/dovecot/managesieve-login (enforce) /usr/libexec/dovecot/lmtp (enforce) /usr/libexec/dovecot/imap-login (enforce) /usr/libexec/dovecot/imap (enforce) /usr/libexec/dovecot/dovecot-lda (enforce) /usr/libexec/dovecot/auth (enforce) /usr/lib/apache2/mpm-prefork/apache2 (enforce) /usr/lib/apache2/mpm-prefork/apache2//phpsysinfo (enforce) /usr/lib/apache2/mpm-prefork/apache2//HANDLING_UNTRUSTED_INPUT (enforce) /usr/lib/apache2/mpm-prefork/apache2//DEFAULT_URI (enforce) /usr/lib64/thunderbird/thunderbird (enforce) /usr/lib64/php5.3/bin/php-fpm (enforce) /usr/lib64/libreoffice/program/soffice.bin (enforce) /usr/lib64/libreoffice/program/soffice (enforce) /usr/lib64/firefox/plugin-container (enforce) /usr/lib64/firefox/firefox (enforce) /usr/bin/wget (enforce) /usr/bin/vlc (enforce) /usr/bin/totem-video-thumbnailer (enforce) /usr/bin/totem-video-indexer (enforce) /usr/bin/totem-audio-preview (enforce) /usr/bin/totem (enforce) /usr/bin/snort (enforce) /usr/bin/smplayer (enforce) /usr/bin/rtmpdump (enforce) /usr/bin/qbittorrent (enforce) /usr/bin/pidgin (enforce) /usr/bin/opera (enforce) /usr/bin/mplayer (enforce) /usr/bin/mencoder (enforce) /usr/bin/lft (enforce) /usr/bin/gthumb (enforce) /usr/bin/file-roller (enforce) /usr/bin/ffprobe (enforce) /usr/bin/ffplay (enforce) /usr/bin/ffmpeg (enforce) /usr/bin/evince-thumbnailer (enforce) /usr/bin/evince-previewer (enforce) /usr/bin/evince (enforce) /usr/bin/eog (enforce) /usr/bin/curl (enforce) /usr/bin/axel (enforce) /usr/bin/akregator (enforce) /usr/bin/AbiWord-2.8 (enforce) /sbin/klogd (enforce) /opt/google/chrome/nacl_helper_bootstrap (enforce) /opt/google/chrome/google-chrome (enforce) /opt/google/chrome/chrome-sandbox (enforce) /opt/google/chrome/chrome (enforce) /opt/google/chrome/chrome///usr/bin/xdg-settings (enforce) /opt/google/chrome/chrome///opt/google/chrome/xdg-settings (enforce) /opt/firefox25/plugin-container (enforce) /opt/firefox25/firefox (enforce) /opt/skype/skype(enforce) /{usr/,}bin/ping (enforce)
Z niektórymi są problemy, m.in z Javą, Chrome, Operą i Libreoffice, Gimp już zaczyna działać z AA (od 1/2 godziny, właśnie powstaje :D), FF chodzi wystarczająco dobrze, idealnie wyszły robione od zera, Named i Proftpd, dobrze też chodzi Mysql, dosyć dobrze udały się profile do Mplayera, Totema, Vlc czy wszystkich FFmpegów, a także banalnie prostych programów, jak Wget, Rtmpdump, Axel czy Curl.
Co najmniej polowa czeka jeszcze na zmiany większe lub mniejsze, czasem kosmiczne,
ale na to jeszcze przyjdzie pora.
Największy problem jest z programami, które są na moment otwierane przez inny proces, np Postfix smtpd otwierany na kilka sekund do obsługi połączenia przez Postfix-master.
Ale na to też są sposoby, lepsze lub gorsze. ;)
Pozdro
;-)
Offline
Od kilku(nastu) dni korzystam na Xubuntu z domyślnego profilu apparmor dla Firefoksa i nie zauważyłem jakiejkolwiek różnicy w działaniu z/bez. Tak ma być? Czy Ten ubuntowy profil w ogóle cokolwiek zmienia i dodaje w temacie bezpieczeństwa?
Offline
Serwus. [b]Jacku[/b], oczywiście było wiele różnic pomiędzy wersjami 3.X a 22.X. Szczerze mówiąc, ja również chcę stworzyć profile dla aplikacji łączących się etc. z internetem, czy w jakiś sposób z nim związanych. W tej chwili są, to np. profile dla Firefox'a, Pidgina (przerobiony - "oficjalny" powodował różne dziwne "krzaczki" etc), dhclient etc. Wiesz, [b]Jacku[/b] nie potrafię do końa zgadnąć, które profile są bez zmian, a które pochodzą z internetu etc. Z pewnością w sieci możemy znaleźć np. profil dla [tt]usr.sbin.rsyslogd[/tt], [tt] usr.bin.freshclam[/tt], czy chociażby [tt]/usr/sbin/nscd[/tt] oraz [tt]/usr/sbin/nmbd[/tt]. Dostępne są również profile dla [tt]usr.lib.dovecot.pop3[/tt] (w tym [tt]*pop3-login[/tt], [tt]*dovecot-auth[/tt], [tt]*imap[/tt], [tt]*imap-login[/tt], [tt]*managesieve-login[/tt] etc.) Myślę, że Twoje profile odnoszą się do aplikacji w stylu [tt]/usr/bin/smplayer[/tt], ale mogę się mylić! :-) Rozumiem, że wszystkie profile, a przynajmniej niektóre, są już załadowane vide [tt][color=green]apparmor_status[/color][/tt]?
Cześć [b]dowoszek[/b]. Wiesz, zawsze lepiej mieć odpalony profil niż np. później żałować. Tym bardziej, że owy, domyślny profil wydaje się być naprawdę dobrze napisany. Sprawdzałeś np. plik [tt]/var/log/kern.log[/tt] w poszukiwaniu jakichkolwiek komunikatów dot. [tt]AppArmora[/tt] i akcji podjętych wobec Firefoxa (w moim przypadku jest, to np. akcja [tt]"DENIED"[/tt] dla powiedzmy [tt]"/dev/nvidiactl"[/tt] - Firefox działa dobrze, pomimo wspomnianej operacji)? Oczywiście, że owy profil ma wpływ na bezpieczeństwo. W dodatku z kilkoma dodatkami, jest naprawdę OK. Wystarczy, że go przeglądniesz i dowiesz się, co przeglądarka może a czego nie (przydatna, będzie ze zrozumiałych, względów również dokumentacja dla [url=https://doc.opensuse.org/products/draft/SLES/SLES-security_sd_draft/cha.apparm.profiles.html][color=blue]AppArmor[/color][/url]). Szczerze mówiąc, ja także zmieniłem w pewnym małym stopniu, domyślny profil, ale nie było, to nic szczególnego.
Pozdrawiam serdecznie.
Ostatnio edytowany przez remi (2013-07-18 16:38:39)
Offline
W necie są stare wersje, poza tym robione na Ubuntu.
W Gentoo jest trochę inna struktura niektórych bibliotek i katalogów, dlatego cześć profilów się wywala.
Dlatego je poprawiam.
Do Rsysloga , Binda (named) czy Proftpd nigdzie nie znalazłem żadnego profilu,
podobnie jak do Mysql, Wgeta, Axela, Rtmpdumpa, Curla czy Ffmpega.
Mam prawie wszystkie załadowane, bo praktycznie nie używam aa-logprof - za duży bajzel robi, jak coś jest blokowane, to poprawiam profil z palca.
W ten sposób coraz mniej mam do roboty z tymi profilami.
Bardzo mi brakuje opcji, żeby aa-logprof zajmował się tylko profilami o statusie Complain, nie ruszając profili w trybie Enforce.
Bo inaczej się ciężki burdel w profilach robi.
Idealnie byłoby
aa-logprof {program}
dla pojedynczego profilu,
ale bałwaneria *buntowa do takiego poziomu umysłowego zbyt prędko nie dorośnie, jeśli w ogóle kiedykolwiek.
Ciekawe, kto i kiedy napisze do Apparmora takie narzędzia, jak audit2why i audit2allow z Selinuxa.
Technicznie problemu nie ma, o ile sprawy nie pilotuje Cannonical. :D
Poza tym aa-status tez jest do dooopy, spróbuj z niego np grepem się dowiedzieć, o status konkretnego programu.
aa-status {program}
Taka składnia u Ciebie działa?
O wiele wygodniej jest dać:
grep {cośtam} /sys/kernel/security/apparmor/profiles
Porównaj aa-status Aparmora z takim aastatus:
#!/bin/bash PROGRAM=$1 if [ ! -z $PROGRAM ] then grep $PROGRAM /sys/kernel/security/apparmor/profiles; else cat /sys/kernel/security/apparmor/profiles; fi; exit 0;
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2013-07-18 16:46:39)
Offline
Cześć. Polecenie: [tt][color=green]aa-status {program}[/color][/tt] wywala u mnie komunikat dot. opcji do wykorzystania. Natomiast owe polecenie z wykorzystaniem [tt]grep[/tt] działa OK, czyli np. [tt][color=green]aa-status |grep firefox[/color][/tt], ale nie wyświetla informacji na temat statusu profilu, tak jak w przypadku polecenia podanego przez Ciebie. [b]Jacku[/b] nie rozumiem dokładnie tego, co piszesz odnośnie [tt]aa-logprof[/tt]. Wszakże istnieje możliwość wywołania [tt][color=green]aa-logprof -d /path/to/profile/directory/[/color][/tt]. Flaga [tt]-d[/tt] oznacza, że profil nie znajduje się w standardowym katalogu. W dokumentacji openSuse, można znaleźć kilka ciekawych informacji [url=https://doc.opensuse.org/documentation/html/openSUSE/opensuse-security/cha.apparmor.commandline.html#sec.apparmor.commandline.profiling.summary.logprof][color=blue]źródło[/color][/url]. Ale prawdopodobnie nie zrozumiałem tego, co masz na myśli :-)
Odnośnie [tt]aa-status[/tt] i informacji o których wspomniałem. Wygląda na to, że z tego polecenia można wyciągnąć jedynie liczby odnośnie profili:
# aa-status --complaining 2 # aa-status --enforced 10 # aa-stats --verbose lista podobna do wywołanej via aa-status
Trzymaj się.
Ostatnio edytowany przez remi (2013-07-18 17:29:54)
Offline
[quote=remi]Cześć. Polecenie: [tt][color=green]aa-status {program}[/color][/tt] wywala u mnie komunikat dot. opcji do wykorzystania. Natomiast owe polecenie z wykorzystaniem [tt]grep[/tt] działa OK, czyli np. [tt][color=green]aa-status |grep firefox[/color][/tt], ale nie wyświetla informacji na temat statusu profilu, tak jak w przypadku polecenia podanego przez Ciebie. [b]Jacku[/b] nie rozumiem dokładnie tego, co piszesz odnośnie [tt]aa-logprof[/tt]. Wszakże istnieje możliwość wywołania [tt][color=green]aa-logprof -d /path/to/profile/directory/[/color][/tt]. Flaga [tt]-d[/tt] oznacza, że profil nie znajduje się w standardowym katalogu. W dokumentacji openSuse, można znaleźć kilka ciekawych informacji [url=https://doc.opensuse.org/documentation/html/openSUSE/opensuse-security/cha.apparmor.commandline.html#sec.apparmor.commandline.profiling.summary.logprof][color=blue]źródło[/color][/url]. Ale prawdopodobnie nie zrozumiałem tego, co masz na myśli :-)
Odnośnie [tt]aa-status[/tt] i informacji o których wspomniałem. Wygląda na to, że z tego polecenia można wyciągnąć jedynie liczby odnośnie profili:
# aa-status --complaining 2 # aa-status --enforced 10 # aa-stats --verbose lista podobna do wywołanej via aa-status
Trzymaj się.[/quote]
Zamiast pisać, czego nie rozumiesz, napisz, co rozumiesz, będzie szybciej i prościej. :D
Opcja -d wskazuje katalog z profilami, i aa-logprof chce je wszystkie aktualizować, czyli przy okazji spartolić wszystkie gotowe profile, które aktualizacji nie wymagają, zamiast aktualizować ten jeden, który trzeba poprawić.
Spróbuj zablokować dla Akretatora folder /sys z opcją deny, potem włącz profil w tryb enforce, a przez następne 50 tysięcy lat każde uruchomienie aa-logprof będzie pytał,
czy dać dostęp programowi Akregator (a dokładnie odpalonemu przez niego kdeinit) dostęp do każdego pliku w /sys, przy okazji o każdy plik zapyta osobno.
I gówno go będzie obchodzić, że w profilu stoi jak byk, czarno na białym:
deny /sys/ mrwxlk,
Wiele z tego nie zrozumiesz, ale może przynajmniej na własne oczy conieco zobaczysz. :D
Albo np Opera?
Z uporem maniaka chce sprawdzać /proc/$PID/status wszystkich procesów począwszy od procesu 1 czyli init.
Nie wspominając o "bezpiecznych" przeglądarkach chrome i chromium, które do działania potrzebują uprawnień CAP_SYS_ADMIN, a ich sandobx nie wstanie, jeśli nie ma praktycznie pełnej kontroli nad standardowym systemem.
Powyższe zdanie adresuję do osób, które wiedzą, co to jest Linux Capabilities.
Sznurek:
https://www.gentoo.org/proj/pl/hardened/capabilities.xml
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2013-07-22 14:14:10)
Offline
Serwus. A nie jest czasem tak, że stosując jakąkolwiek regułe dla katalogu i plików w nim zawartych, zasada powinna zawierać [tt]*[/tt]? Być może się mylę, ale wydaje mi się, że [tt][color=green]deny /sys/* mrwxlk,[/color][/tt], jest odpowiedniejsze(?) Poniższy przykład umożliwia dostęp odczytu/zapisu do wszystkiego z katalogu użytkownika, z wyjątkiem zapisu do plików SSH/.:
deny /home/*/.ssh/** w, /home/*/** rw,
Jak widzisz [b]Jacku[/b], owe gwiazdki są [u]chyba[/u] potrzebne. Być może się mylę, ale chciałbym być pewny. Odnośnie reszty Twojego postu, nie mam dzisiaj siły pomyśleć nad sensowną odpowiedzią.
Trzymaj się, pozdrawiam serdecznie.
Offline
RTFM:
http://wiki.apparmor.net/index.php/Documentation
To by było na tyle
;-)
Offline
Serwus. Fakt, masz rację. Napisałbym: [color=darknavy][i]Lesson learned, wish me luck[/i][/color], ale widziałem/czytałem już ową stronę i chyba wolę oficjalną dokumentację od openSUSE.
Pozdrawiam.
Offline
Cześć. Kolejna aktualizacja pakietu Adobe Flash Player (flashplugin). Uaktualniona wersja rozwiązuje kilka problemów, związanych z bezpieczeństwem, które mogą spowodować awarię i/lub pozwolić osobie atakującej na przejęcie kontroli nad zaatakowanym systemem. Więcej Informacji można znaleźć w oficjalnym biuletynie Adobe: [url=https://www.adobe.com/support/security/bulletins/apsb13-21.html][tt]APSB13-21[/tt][/url].
[tt]*[/tt] [b]Pakiet:[/b] [tt]flashplugin-nonfree[/tt]
[tt]*[/tt] [b]Poprzednia wersja[/b] (Mozilla, Firefox, Iceweasel): [tt][color=red]11.2.202.297[/color][/tt]
[tt]*[/tt] [b]Zaktualizowana wersja[/b] (Mozilla, Firefox, Iceweasel): [tt][color=green]11.2.202.310[/color][/tt]
W przypadku Google Chrome, Flash Player (tzw. Pepper-based Flash Player) zaktualizowany zostanie automagicznie do najnowszej wersji oznaczonej numerem: [tt]11.8.800.170[/tt].
Pozdrawiam serdecznie.
Ostatnio edytowany przez remi (2013-09-16 14:07:33)
Offline
Na szczęście zbliżamy się do końca Flasha (na szczęście dla nas i dla użytkowników)
Fervi
Offline
U mnie w FF-23 już to szczęście nastąpiło, choć wcale o nie nie prosiłem:
tail -n5 pluginreg.dat 43:audio/x-flac:FLAC audio:flac:$ [INVALID] /opt/Adobe/flash-player/flash-plugin/libflashplayer.so:$ 1378889925000:$
Da się to jakoś poprawić?
Próbowałem usuwać pluginreg.dat, wywalać wpis, a Firefox dalej swoje. ;P
Offline
[quote=Jacekalex]U mnie w FF-23 już to szczęście nastąpiło, choć wcale o nie nie prosiłem:
tail -n5 pluginreg.dat 43:audio/x-flac:FLAC audio:flac:$ [INVALID] /opt/Adobe/flash-player/flash-plugin/libflashplayer.so:$ 1378889925000:$
Da się to jakoś poprawić?
Próbowałem usuwać pluginreg.dat, wywalać wpis, a Firefox dalej swoje. ;P[/quote]
U mnie Flash dokonał samobójstwa, ale zaktualizowałem go ręcznie (Jessie) - i działa dalej bez problemów, ale mam też Shumway'a i patrzę jak działa (Shumway jest ustawiony tak, że włącza się automatycznie, ale potem klikasz "X" i się wyłącza Shumway i jest Flash (więc masz 2 obok siebie)
Fervi
Offline
Naprawione:
[12734.755425] type=1400 audit(1378891618.522:2102): apparmor="DENIED" operation="open" parent=1 profile="/usr/lib64/firefox/firefox" name="/opt/Adobe/flash-player/flash-plugin/libflashplayer.so" pid=8369 comm="firefox" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Z jakiegoś powodu w poprzednich wersjach flasha nie było tego problemu, prawo czytania flasha miał tylko plugin-container,
i starczało. :D
Offline
Strony: ◀ 1 … 4 5 6 7 8 … 15 ▶
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00079 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.221.175.48' WHERE u.id=1 |
0.00211 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.221.175.48', 1732281761) |
0.00066 | SELECT * FROM punbb_online WHERE logged<1732281461 |
0.00024 | SELECT topic_id FROM punbb_posts WHERE id=237283 |
0.00031 | SELECT id FROM punbb_posts WHERE topic_id=21755 ORDER BY posted |
0.00044 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=21755 AND t.moved_to IS NULL |
0.00051 | SELECT search_for, replace_with FROM punbb_censoring |
0.00303 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=21755 ORDER BY p.id LIMIT 125,25 |
0.00092 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=21755 |
Total query time: 0.00917 s |