Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2015-08-08 12:50:39

  iacobus - Członek DUG

iacobus
Członek DUG
Zarejestrowany: 2009-06-02

Jak izolować Iceweasel/Firefoksa?

W związku z nowym "ruskim" expolitem do przeglądarki ([url]http://niebezpiecznik.pl/post/dziura-w-firefoksie-pozwala-wykrasc-dowolny-plik-z-komputera/[/url]) zastanawiam się, jak zwiększyć bezpieczeństwo systemu.
Widzę, że w repo testing jest program firejail [url]https://packages.debian.org/stretch/firejail[/url], który tworzy sandboksy dla Firefoksa. Używał może ktoś?
Wiem, że inną opcją jest użycie LinuXContainers, ale nie mam pojęcia jak to skonfigurować, żeby uruchamiać przeglądarkę. Może ktoś ma gotowy config, którym chciałby się podzielić? :-)


Unix is user-friendly — it’s just choosy about who its friends are.

Offline

 

#2  2015-08-08 13:16:12

  enether - wiecznie niewyspany

enether
wiecznie niewyspany
Zarejestrowany: 2012-05-01

Re: Jak izolować Iceweasel/Firefoksa?

Możesz zawsze użyć AppArmora i obciąć profilem dla Iceweasela by miał dostęp np. tylko do swojego katalogu z configiem i ~/Downloads.

https://wiki.debian.org/AppArmor/HowToUse

Offline

 

#3  2015-08-08 13:23:39

  arturek - Członek DUG

arturek
Członek DUG
Zarejestrowany: 2006-08-19

Re: Jak izolować Iceweasel/Firefoksa?

iceweasel (38.1.1esr-1) unstable; urgency=high
.
   * New upstream release.
   * Fixes for mfsa2015-78, also known as CVE-2015-4495[/quote]

iceweasel (39.0.3-1) experimental; urgency=medium
.
   * New upstream release.
   * Fixes for mfsa2015-78, also known as CVE-2015-4495.[/quote]
już załatane

w jessie oraz testing instalowałem
z [url]http://mozilla.debian.net/[/url]

iceweasel (39.0.3-1~bpo80+1) UNRELEASED; urgency=medium

  * Rebuild for jessie-backports.

— Mike Hommey <glandium@debian.org>  Fri, 07 Aug 2015 09:08:03 +0900

iceweasel (39.0.3-1) experimental; urgency=medium

  * New upstream release.
  * Fixes for mfsa2015-78, also known as CVE-2015-4495.[/quote]

Ostatnio edytowany przez arturek (2015-08-08 13:49:33)


Debian “buster” Xfce

Offline

 

#4  2015-08-08 13:51:45

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Jak izolować Iceweasel/Firefoksa?

Mnie najbardziej wnerwiają te dodatki typu przeglądarka pdf, bo gdyby jej nie było, to:

Mozilla products that don’t contain the PDF Viewer, such as Firefox for Android, are not vulnerable.[/quote]
Ja kiedyś próbowałem wyłączyć ten wbudowany pdf z ff ale pisali, że się nie da. Tam niby są obejścia typu: https://support.mozilla.org/en-US/kb/disable-built-pdf-viewer-and-use-another-viewer ale to chyba nie jest wyłączenie kompletne tego syfu. Ale znowu na http://lwn.net/Articles/653823/ jest ciekawa opcja wskazana: pdfjs.disabled — przestawić to na true i zostawić. xD

Offline

 

#5  2015-08-08 14:41:49

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Jak izolować Iceweasel/Firefoksa?

2119

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:45)

Offline

 

#6  2015-08-08 16:21:53

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Jak izolować Iceweasel/Firefoksa?

Czy aby na pewno ci tego pdfa nie pobiera, ja wiem, gdzieś do cache? xD Po drugie, ja mam ustawiony zewnętrzny program i po kliknięciu w link do pdfa on się automatycznie pobiera i po chwili widzę pdfa załadowanego. Nie muszę nic dodatkowego robić. Sam plik jest zapisywany w /tmp/ , który jest czyszczony co 2h z plików nieużywanych — po 2h zostanie automatycznie usunięty. Ja jednak jestem za wyłączeniem tej wbudowanej przeglądarki.

Ciekawe czy ten katalog idzie dostosować, na wypadek gdyby ktoś chciał kolekcjonować wszystkie otwierane z sieci pdfy (i pewnie pozostałe pliki również). — [url=http://superuser.com/questions/33020/how-to-change-tmp-repertory-for-firefox-downloads]tu[/url] jest info jak zmienić położenie katalogu — w skrócie to wystarczy wyeksportować jedną z tych zmiennych TMPDIR, TMP albo TEMP.

Ostatnio edytowany przez morfik (2015-08-08 16:34:25)

Offline

 

#7  2015-08-08 16:27:12

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Jak izolować Iceweasel/Firefoksa?

W tym przypadku akurat problem dotyczył wbudowanego czytnika PDF, ale problem dotyczy samej przeglądarki, która powinna być odizolowana od reszty systemu.

Offline

 

#8  2015-08-08 16:54:03

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Jak izolować Iceweasel/Firefoksa?

U mnie:

EDIT: Poprawione profile - do Firefoxa 40 (plugin-contaner walił Segfaulty, jak nie mógł zajrzeć do   /sys/devices/**/config,
)
Firefox:  http://wklej.dug.net.pl/5030
Plugin-container: http://wklej.dug.net.pl/5031

SOA#1

Poza tym wyłączyłem przeglądarkę PDF w [b]about:config[/b], wszystkie PDFy FF otwiera od zawsze w Atrillu lub Evince, które mają zrobione podobne profile.

Ostatnio edytowany przez Jacekalex (2015-08-17 18:43:29)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9  2015-08-08 17:05:46

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Jak izolować Iceweasel/Firefoksa?

Ja sobie właśnie dogrywam te profile dla ff. Przy okazji mi ten apparmor zablokował dnscrypta ale już dopisałem co trza i puścił go. xD

Offline

 

#10  2015-08-08 17:43:04

  arturek - Członek DUG

arturek
Członek DUG
Zarejestrowany: 2006-08-19

Re: Jak izolować Iceweasel/Firefoksa?

a te dodatkowe profile, to gdzie wrzuciliście ?
do

Kod:

/etc/apparmor.d/abstractions/

czy w inne miejsce


Debian “buster” Xfce

Offline

 

#11  2015-08-08 17:56:44

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Jak izolować Iceweasel/Firefoksa?

No ja sobie to wrzuciłem w:

Kod:

# ls -al /etc/apparmor.d/opt.firefox.*
-rw-r--r-- 1 root root 4.6K 2015-08-08 17:36:34 opt.firefox.firefox
-rw-r--r-- 1 root root 5.9K 2015-08-08 17:24:54 opt.firefox.plugin-container

Tylko z tego co tak patrze po tych wpisach, to one są dość zdezaktualizowane. Przykład: xD

Kod:

  deny /usr/lib/firefox-3.6.*/** w,
  deny /usr/lib/firefox-3.6.10/update.test w,

Tam to wszystko trzeba przejrzeć i pousuwać zbędny syf i uaktualnić wszystko pozostałe. Ja już wiem, że te profile na systemd nie będą działać. Przynajmniej domyślnie, jeśli się korzysta z systemd-resolved , bo nie ma tam zdefiniowanych odpowiednich wpisów.

Póki co przechodzę bardzo szybki kurs obsługi apparmora i może wieczorem przepiszę te profile.

Offline

 

#12  2015-08-08 17:59:47

  iacobus - Członek DUG

iacobus
Członek DUG
Zarejestrowany: 2009-06-02

Re: Jak izolować Iceweasel/Firefoksa?

Dzięki za odpowiedzi i profile do AA. A kojarzycie może ten firejail?


Unix is user-friendly — it’s just choosy about who its friends are.

Offline

 

#13  2015-08-08 19:49:13

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Jak izolować Iceweasel/Firefoksa?

2123

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:50)

Offline

 

#14  2015-08-08 19:50:57

  arturek - Członek DUG

arturek
Członek DUG
Zarejestrowany: 2006-08-19

Re: Jak izolować Iceweasel/Firefoksa?

[quote=morfik]Póki co przechodzę bardzo szybki kurs obsługi apparmora i może wieczorem przepiszę te profile.[/quote]
Jak będziesz miał już gotowe to udostępnij

Ostatnio edytowany przez arturek (2015-08-08 19:53:03)


Debian “buster” Xfce

Offline

 

#15  2015-08-08 20:49:17

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Jak izolować Iceweasel/Firefoksa?

To się zejdzie trochę, bo skończyło się jak zwykle na czytaniu dokumentacji, bo się okazało, że te pliki to też mają przestarzałą składnię, np. ten #include, bo w dokumentacji piszą: "The # is optional and shouldn't be used in newer profiles". A tak poza tym, to dużo czytania mam, a pogoda nie zachęca. xD

Offline

 

#16  2015-08-08 21:37:24

  iacobus - Członek DUG

iacobus
Członek DUG
Zarejestrowany: 2009-06-02

Re: Jak izolować Iceweasel/Firefoksa?

@morfik - a właściwie dlaczego nie użyć standardowego profilu do Firefoksa (/etc/appardomr.d/usr.bin.firefox)?

Ostatnio edytowany przez iacobus (2015-08-08 21:39:51)


Unix is user-friendly — it’s just choosy about who its friends are.

Offline

 

#17  2015-08-08 21:38:51

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Jak izolować Iceweasel/Firefoksa?

Tzn, którego?

Offline

 

#18  2015-08-08 21:41:13

  iacobus - Członek DUG

iacobus
Członek DUG
Zarejestrowany: 2009-06-02

Re: Jak izolować Iceweasel/Firefoksa?

Ech, edytowałem mój post - w którym sprecyzowałem o co mi chodzi, w czasie gdy Ty napisałeś swój post z pytaniem :-)
chodzi mi o profil z paczki apparmor-profiles albo apparmor-profiles-extra (nie pamiętam). Mam go w /etc/apparmod.d/usr.bin.firefox
Wydaje mi się, że lepszy taki niż żaden. Swoją drogą to dziwne, że tak podatna na ataki aplikacja nie jest domyślnie otoczona opieką AA...

Ostatnio edytowany przez iacobus (2015-08-08 21:44:12)


Unix is user-friendly — it’s just choosy about who its friends are.

Offline

 

#19  2015-08-08 21:48:07

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Jak izolować Iceweasel/Firefoksa?

On tu jest schowany w /usr/share/doc/apparmor-profiles/extras/usr.lib.firefox.firefox , a czy go użyć, dobrze by było wyjść od niego ale raczej nie zostawiłbym go tak, bo wątpię by był dostosowany on pod konkretny profil. Prędzej ma on spełniać oczekiwania wszystkich, więc się będzie nadawał do przeróbki ale sobie popatrzę co tam dali i jak doczytam dokumentację to napisze sobie własny profil. xD

Ostatnio edytowany przez morfik (2015-08-08 21:52:52)

Offline

 

#20  2015-08-08 22:16:11

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Jak izolować Iceweasel/Firefoksa?

2124

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:51)

Offline

 

#21  2015-08-09 08:02:41

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Jak izolować Iceweasel/Firefoksa?

Ja próbowałem wywalić ten znaczek # z include ale wtedy mi wyrzuca błąd składni. Chyba [url=http://wiki.apparmor.net/index.php/QuickProfileLanguage#File_permissions]oficjalna dokumentacja[/url] mija się z prawdą xD

Offline

 

#22  2015-08-10 10:08:21

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Jak izolować Iceweasel/Firefoksa?

@Jacekalex , te dwa osobne profile są potrzebne? Bo z tego co zauważyłem, to jeśli włączę flasha, to aa-status zwraca:

Kod:

3 processes are in enforce mode.
   /opt/firefox/firefox (111276)
   /opt/firefox/firefox (111425)
   /usr/sbin/dnscrypt-proxy (1598)

Zatem są dwa procesy firefoxa. jeśli wyłączę odtwarzanie flasha, to wtedy będzie jeden proces.

Stworzyłem niby osobny profil na plugin-container ale najwyraźniej nie jest on brany w ogóle pod uwagę. Generalnie to na początku nie mogłem korzystać z flasha w ogóle. Dopiero po dodaniu do profilu firefoxa tych linijek poniżej:

Kod:

    # Firefox plugins
    #/usr/lib/mozilla/plugins/** mr,
    /usr/lib/mozilla/plugins/libfreshwrapper-pepperflash.so mr,
    #/usr/lib/mozilla/plugins/flash-mozilla.so mr,
    /usr/lib/mozilla/plugins/libvlcplugin.so mr,
    /opt/google/chrome/PepperFlash/libpepflashplayer.so mr,
    /opt/google/chrome/PepperFlash/manifest.json r,

Szło coś załadować.

Oczywiście póki co bawię się samym ff i próbuję określić wszystkie pliki, z których chce on korzystać i dopiero po tym procesie odhaczyć te zbędne ale na dobrą sprawę, to każdy może sobie wyprofilować dowolne aplikacje bez większego problemu, bo do apparmora jest dołączone narzędzie aa-genprof i wystarczy wskazać plik, czyli w tym przypadku /opt/firefox/firefox , po czym odpalić sobie firefoxa i połazić po menu, stronach, to co zwykle się robi na co dzień. Wszystkie żądania dostępu do plików zostaną zalogowane i na podstawie tego będzie budowany profil interaktywnie, tj. będziemy pytani czy chcemy zezwolić na dostęp. Choć to jest w oparciu o /var/log/syslog i na systemd nie ma tego pliku, przynajmniej u mnie, i musiałem przekierować sobie journal. xD Inny problem jest taki, że to narzędzie nie podstawia zmiennych i trzeba to robić samemu po zakończeniu profilowania. No i oczywiście problematyczne może być określenie czy aplikacja ma mieć dostęp do danego pliku.

Offline

 

#23  2015-08-10 17:31:17

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Jak izolować Iceweasel/Firefoksa?

@morfik

Da się w jednym profilu zamknąć FF i plugin-contaner, ja jednak wolę dwie osobne klatki, żeby trzymać plugin-container odseparowany od głównego procesu FF.

Na upartego można w Apparmorze zrobić profil dla GDM i/lub Basha,
i zamykać w nim wszystkie programy, całą sesję użytkownika, ale jak nie chcę, żeby np FF  miał wgląd w hasła TB i Pidgina, żaden z programów korzystających z netu nie miał dostępu do kluczy SSH, to w jednym profilu to byłaby kosmiczna gimnastyka.

Apparmor na razie nie ma (przynajmniej ja nie znam) żadnego trybu globalnego, żeby ogarnąć wszystko w systemie, począwszy od inita.
Brakuje w nim czegoś takiego, jak SELINUX - strict czy Grsec RBAC.

Ja próbowałem wywalić ten znaczek # z include ale wtedy mi wyrzuca błąd składni. Chyba oficjalna dokumentacja mija się z prawdą xD[/quote]
Oficjalna dokumentacja opisuje Apparmor w wersji 3.0 i wyżej, a userspace zatrzymał się na poziomie Apparmora 2.4.

Po prostu modułem w jaju opiekują się Developerzy kernela,  userspace to domena "hakierów" z *buntu, dlatego dwie części Apparmora się rozpruły jak gacie w kroku. :DDD

Ostatnio edytowany przez Jacekalex (2015-08-10 17:34:56)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#24  2015-08-10 18:19:25

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Jak izolować Iceweasel/Firefoksa?

No tak tylko, że nawet jak ja stworze ten profil dla plugin-container i odpalę flasha, to mi ten profil nie działa w ogóle. xD Zamiast niego jest ładowany ten od firefoxa i są generalnie wylistowane dwa tak jak to widać wyżej.

Ok, już wiem gdzie jest problem -- brakowało wywołania:

Kod:

    @{MOZ_LIBDIR}/plugin-container pux,

Teraz już są osobno:


Kod:

3 processes have profiles defined.
2 processes are in enforce mode.
   /opt/firefox/firefox (79088)
   /usr/sbin/dnscrypt-proxy (1598)
1 processes are in complain mode.
   /opt/firefox/plugin-container (79262)

Tylko taka sprawa, ty tam masz PUx, a u mnie na tym flash kompletnie nie rusza.

Ostatnio edytowany przez morfik (2015-08-10 18:56:02)

Offline

 

#25  2015-08-10 19:44:35

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Jak izolować Iceweasel/Firefoksa?

SOA#1

Kod:

  /usr/lib64/firefox/plugin-container PUx,

Różnica polega an tym, ze przy takim ustawieniu plugin-container nie dostaje żadnych zmiennych od Firefoxa w czasie odpalania.

Działą grzecznie, w dokumentacji AA masz opis użycia tych parametrów U,u,i,m,p,P,r,x.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.012 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00013 SET CHARSET latin2
0.00006 SET NAMES latin2
0.00114 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.106.7' WHERE u.id=1
0.00113 UPDATE punbb_online SET logged=1732694908 WHERE ident='3.145.106.7'
0.00090 SELECT * FROM punbb_online WHERE logged<1732694608
0.00048 SELECT topic_id FROM punbb_posts WHERE id=289589
0.00007 SELECT id FROM punbb_posts WHERE topic_id=27628 ORDER BY posted
0.00055 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27628 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00130 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27628 ORDER BY p.id LIMIT 0,25
0.00063 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27628
Total query time: 0.00645 s