Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
[url=https://www.debian.org/security/2017/dsa-3981]Jakiś czas temu[/url] było głośno o bugach CVE-2017-11600, CVE-2017-14497 i CVE-2017-1000111 i zaleceniami na te podatności było:
# Debian disables unprivileged user namespaces by default, but if they are enabled (via the kernel.unprivileged_userns_clone sysctl) then CVE-2017-11600, CVE-2017-14497 and CVE-2017-1000111 can be exploited by any local user.[/quote]
Czyli niby ten kernel.unprivileged_userns_clone ma być wyłączony ale jeśli tak jest, to przeglądarki mają z działaniem. Ostatnio była aktualizacja chromium do wersji v70 i ten z ustawieniem kernel.unprivileged_userns_clone na 0 wyrzuca coś takiego:Kod:
$ chromium [20657:20657:1108/110636.508557:FATAL:zygote_host_impl_linux.cc(116)] No usable sandbox! Update your kernel or see https://chromium.googlesource.com/chromium/src/+/master/docs/linux_suid_sandbox_development.md for more information on developing with the SUID sandbox. If you want to live dangerously and need an immediate workaround, you can try using --no-sandbox. #0 0x556452f0c9ee <unknown> #1 0x556452e7899c <unknown> #2 0x556453b0af90 <unknown> #3 0x556452b4b365 <unknown> #4 0x556452b505ce <unknown> #5 0x556452b49e5a <unknown> #6 0x55645125be95 ChromeMain #7 0x7fdb1d3c2b17 __libc_start_main #8 0x55645125bd3a _start Received signal 6 #0 0x556452f0c9ee <unknown> #1 0x556452f0b433 <unknown> #2 0x556452f0c965 <unknown> #3 0x7fdb263f98e0 <unknown> #4 0x7fdb1d3d5f3b gsignal #5 0x7fdb1d3d72f1 abort #6 0x556452f0c905 <unknown> #7 0x556452e78a76 <unknown> #8 0x556453b0af90 <unknown> #9 0x556452b4b365 <unknown> #10 0x556452b505ce <unknown> #11 0x556452b49e5a <unknown> #12 0x55645125be95 ChromeMain #13 0x7fdb1d3c2b17 __libc_start_main #14 0x55645125bd3a _start r8: 0000000000000000 r9: 00007ffda1ac7b10 r10: 0000000000000008 r11: 0000000000000246 r12: 00007ffda1ac7f90 r13: 00007ffda1ac8150 r14: 000000000000016d r15: 00007ffda1ac7d90 di: 0000000000000002 si: 00007ffda1ac7b10 bp: 00007ffda1ac7d60 bx: 0000000000000006 dx: 0000000000000000 ax: 0000000000000000 cx: 00007fdb1d3d5f3b sp: 00007ffda1ac7b10 ip: 00007fdb1d3d5f3b efl: 0000000000000246 cgf: 002b000000000033 erf: 0000000000000000 trp: 0000000000000000 msk: 0000000000000000 cr2: 0000000000000000 [end of stack trace] Calling _exit(1). Core file will not be generated.No i jak widać tam jest sugestia by fix'nąć to ustawienie kernela albo odpalać przeglądarkę z --no-sandbox, co nie jest zbytnio rozsądne.
Jeśli się przestawi kernel.unprivileged_userns_clone na "1", to przeglądarki chcą dodatkowo:Kod:
capability sys_admin, capability sys_chroot, owner @{PROC}/@{pid}/setgroups w, owner @{PROC}/@{pid}/gid_map w, owner @{PROC}/@{pid}/uid_map w,No i system staje się dodatkowo podatny na tamte trzy CVE.
No i teraz pytanie, która opcja jest lepsza, ten --no-sandbox czy i kernel.unprivileged_userns_clone=1 ? Bo coś mi się wydaje, że w niedalekiej przyszłości trzeba będzie się na któreś zdecydować. xDOstatnio edytowany przez morfik (2018-11-08 12:06:29)
Offline
[b]morfik[/b] siłujesz się z wiatrakami, dzisiaj wszystko jest do shaczenia, wystarczy spojrzeć na ogrom dziur w hardzie o sofcie nawet nie wspominam. Daj spokój, wszystko co masz na kompie wpiętym do sieci traktuj jak dostępne publicznie co oczywiście nie oznacza, że jest dostępne ale może być w każdej chwili i to wystarczy, zalepianie dziur staje się nudne a ciągłe utwardzanie maszyny to pogoń za marchewką na kiju, oczywiście sprawdza się na 'motłoch' ale dla chcącego (trzylitrówki mające zasięgi i budżet) pokonać taki system to pestka.
btw. ja tam zapinam chromium w firejaila+wspomaganie apparmora (jeżeli chodzi o chromium to korzystam z defaultowego przypięcia do apparmora ograniczającego min dbusa), nie cierpi na funkcjonalności i jakaś tam ochrona dodatkowego mechanizmu jest
Like Firejail, AppArmor restricts programs’ capabilities with per-program profiles. If you have an AppArmor profile for your application, enable it. Firejail should work fine on top of AppArmor. There is some overlap between the two technologies: both of them blacklist the same filesystem. In case one of them misses something important, hopefully the other one picks it up.
If you don’t have an AppArmor profile for your specific application, we give you one.../etc/apparmor.d/firejail-default[/quote]Ostatnio edytowany przez hi (2018-11-08 16:35:32)
"Jeśli wolność słowa w ogóle coś oznacza, to oznacza prawo do mówienia ludziom tego, czego nie chcą słyszeć."
Eric Arthur Blair
Offline
Każde zabezpieczenie można złamać ale czy to znaczy, że z obrony przed tymi, którzy te zabezpieczenia próbują obejść powinniśmy zrezygnować? Jeśli tak, to analogicznie powinniśmy zrezygnować z obrony przed gwałtem/morderstwem/kradzieżą, no bo one też są nieskuteczne, wystarczy, że przyjdzie więcej ludzi i będziesz miał naprawdę ostry ból dupy, pół biedy, gdy cię tylko okradną... xD I czy też taktujesz sobie swój dom czy swoje ciało jako jako przestrzeń publiczną z racji faktu, że ktoś może sobie w nie wejść bez twojej zgody i zrobić wszystko na co ma ochotę? xD Można pójść dalej w świat filozofii i dać taki przykład. Każde życie kończy się śmiercią, walka o przetrwanie, to twoje uganianie się za marchewką na kiju, bo przecie i tak, że śmiercią nikt nie wygra. Więc czemu się po prostu nie poddasz, skoro to takie bez sensu? xD
Zabezpieczenia nie są po to by trwały w nieskończoność i były niezawodne. Zabezpieczenia mają ci dać więcej czasu na reakcję na zagrożenie, które się pod twoim adresem kroi i nic więcej. xD
firejail + apparmor? Po co to, co takiego robi ten firejail czego apparmor nie potrafi?
Offline
firejail + apparmor? Po co to, co takiego robi ten firejail czego apparmor nie potrafi?[/quote]
Nic nowego nie robi w porównaniu z AA.
Opisany przez Ciebie babol wkrótce naprawią, a AA to bardzo solidne zabezpieczenie w razie czego.
Także cierpliwości, nie ma się czym martwić.
W sysctl nie mam klucza, o którym piszesz:Kod:
sysctl -a | grep userns kernel.unprivileged_userns_apparmor_policy = 1Za uwagę dziękuje:
Kod:
Linux 4.19.1-g1Ostatnio edytowany przez Jacekalex (2018-11-08 17:18:00)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
U mnie są:
# sysctl -a | grep userns kernel.unprivileged_userns_apparmor_policy = 1 kernel.unprivileged_userns_clone = 1
W tym 4.19.1 usunęli, czy czegoś tam nie masz wkompilowanego? xD
A po za tym, to który babol usuną? Ten z chromium?
A i apparmor to nie jest też coś pięknego -- brakuje mu całej masy ficzerów i czasami dziwnie się zachowuje, o np. tu:
https://lists.ubuntu.com/archives/apparmor/2018-November/011846.html
Ostatnio edytowany przez morfik (2018-11-08 17:30:41)
Offline
[b]morfik[/b] porównywanie zabezpieczania kompa do zabezpieczania domu to trochę pokrętna logika. Wiedz, że dzisiejszy sprzęt jest tak robiony aby miał te luki, patrz klocki i nie tylko zresztą, wystarczy chociażby codzienna lektura niebezpiecznika czy z3s i włos sie jeży na głowie :)
Zabezpieczenia nie są po to by trwały w nieskończoność i były niezawodne. Zabezpieczenia mają ci dać więcej czasu na reakcję na zagrożenie, które się pod twoim adresem kroi i nic więcej[/quote]
problem w tym, że będzie to za chwilę bardzo trudne do osiągnięcia bo luki schodzą coraz częściej do hardwaru a tam już sobie nie pogrzebiesz :)
Oczywiście wiem o co Ci chodzi i też nie jestem w tej kwestii kompletnym ignorantem ale nie popadajmy w paranoję z drugiej strony nie łudźmy się, że mamy system jak skała.
Złoty środek Panowie :)
[quote="morfik"]firejail + apparmor? Po co to, co takiego robi ten firejail czego apparmor nie potrafi?[/quote]
działa :) u mnie apparmor ma czasami zadyszki przy chromie/chromium albo steamie a nie mam czasu się babrać i poprawiać profile po każdej aktualizacji tych apek a są one dosyć częste, do reszty preferuję jak najbardziej czysty aa :)Ostatnio edytowany przez hi (2018-11-08 17:53:06)
"Jeśli wolność słowa w ogóle coś oznacza, to oznacza prawo do mówienia ludziom tego, czego nie chcą słyszeć."
Eric Arthur Blair
Offline
W tym 4.19.1 usunęli, czy czegoś tam nie masz wkompilowanego? xD[/quote]
Chyba usunęli, bo nic nie zmieniałem w konfigu NS czy Cgroup, jechałem przez oldconfig.
Sprawa wygląda tak:Kod:
grep USER_NS /boot/config-4.1* config-4.18.16-g1:CONFIG_USER_NS=y config-4.19.1-g1:CONFIG_USER_NS=yWygląda na to, że przypomniałeś sobie o CVE z 2017 które ze względu na treść (namespace) zostały załatane w trybie pilnym w ciągu 2 tygodni.
Zobacz na Aptosidowym, czy będzie jak u mnie.
Na pewno mają 4.19.1 tylko pewnie bez AA, jak znam Aptosida. :P
Poza tym nie czaję,czy ja jestem ślepy czy głupi, ale to są te Twoje 3 CVE:
https://security-tracker.debian.org/tracker/CVE-2017-1000111
https://security-tracker.debian.org/tracker/CVE-2017-14497
https://security-tracker.debian.org/tracker/CVE-2017-11600
We wszystkich 3 widzę coś takiego:Kod:
stretch (security) 4.9.110-3+deb9u6 fixed buster, sid 4.18.10-2 fixedOstatnio edytowany przez Jacekalex (2018-11-08 17:55:01)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
@hi -- a domy to nie są tak robione, żeby łato można było się do nich włamać? Pokaż mi kraty w oknach czy pancerne szyby albo jakieś zapory ogniotrwałe i ściany grubości metra, a całość schowana głęboko pod Racoon City... xD Właśnie po to się stosuje zabezpieczenia, by atakujący tak łatwo nie mógł się poruszać po naszym środowisku... Poza tym, ja się nie łudzę, że mam system jak skała, ja to po prostu wiem.... Przekonałem się parę miechów temu jak pendrive próbowałem zamontować w systemie i mi nie wyszło, bo zapomniałem o regułach polkita... xD Ale system zabronił podłączyć obcego pendrive, a skoro mi zabronił, to i każdemu, kto by próbował coś podłączyć, również... i o to chodzi w tych zabezpieczeniach. :]
@Jacekalex zaraz popatrzę na te 4.19
Ostatnio edytowany przez morfik (2018-11-08 17:49:04)
Offline
Przeczytaj jeszcze raz mojego wcześniejszego posta, sporo tam dodałem.
Offline
Ale ty widzisz, jaki tam jest fix? kernel.unprivileged_userns_clone=0 . To było poprawione już od początku. Ale z takim ustawieniem to przeglądarki się rzucają, i tego dotyczy ten wątek.
W sumie to tylko jeden został fix'nięty w kodzie. Drugi to nie wiem przez co, a trzeci przez ustawienie 0 w kernel.unprivileged_userns_clone . Więc co najmniej jeden błąd wciąż jest do wykorzystania. xD
Ostatnio edytowany przez morfik (2018-11-08 18:03:40)
Offline
Chromium nie chce mi się kompilować, ale Chrome Chodzi, FF też.
Qtwebengine (ma Chromium w brzuchu, używa tego draństwa Akregator, RSSGuard i Trojita) też chodzi.
Chromium Embeded wygląda tak:
pacjent 28796 0.0 0.4 458128 39492 pts/1 S+ 18:04 0:00 /usr/lib64/qt5/libexec/QtWebEngineProcess --type=zygote --lang=pl pacjent 28798 0.0 0.1 458128 9388 pts/1 S+ 18:04 0:00 /usr/lib64/qt5/libexec/QtWebEngineProcess --type=zygote --lang=pl pacjent 28823 0.4 0.9 1908380 74384 pts/1 Sl+ 18:04 0:00 /usr/lib64/qt5/libexec/QtWebEngineProcess --type=renderer --disable-gpu-memory-buffer-video-frames --enable-threaded-compositing --disable-mojo-local-storage --use-gl=egl --enable-features=AllowContentInitiatedDataUrlNavigations --disable-features=SurfaceSynchronization,TouchpadAndWheelScrollLatching --service-pipe-token=A750F56CAACC1CDFC4ECB6E0BF9D9968 --lang=pl --num-raster-threads=1 --service-request-channel-token=A750F56CAACC1CDFC4ECB6E0BF9D9968 --renderer-client-id=3 --shared-files
Ostatnio edytowany przez Jacekalex (2018-11-08 18:08:51)
Offline
No tak, wszystkie chodzą póki co za wyjątkiem chromium v70. Więc skoro wszystkie poza FF są podobne do chromium, to pewnie niedługo też przestaną działać.
Offline
[quote="morfik"]Poza tym, ja się nie łudzę, że mam system jak skała, ja to po prostu wiem[/quote]
dzisiejsze luki w klockach omijają ten Twój mega zapięty system jak drzwi do lasu :)
[quote="morfik"]Przekonałem się parę miechów temu jak pendrive próbowałem zamontować w systemie i mi nie wyszło, bo zapomniałem o regułach polkita[/quote]
No i co Ci to da jak odpalisz sobie maszynkę na takim vboksie i beng: (to tylko przykład ale dosyć dosadny)
https://vimeo.com/299325088
Nie zrozum mnie źle, ale system zapięty i twardy jak skała w dzisiejszych czasach to mrzonka, życzeniowe myślenie, może być zajebiście zapięty ale zawsze będzie z plastiku :)
Ostatnio edytowany przez hi (2018-11-08 18:09:18)
Offline
Nie znam szczegółów tego ataku to ci nie powiem jak on działa i czy cokolwiek w naszej rzeczywistości jest jeszcze na to podatne poza płytką ubuntu 8.04, która mam jeszcze w szafce. xD
Offline
[quote=morfik]No tak, wszystkie chodzą póki co za wyjątkiem chromium v70. Więc skoro wszystkie poza FF są podobne do chromium, to pewnie niedługo też przestaną działać.[/quote]
www-client/google-chrome-70.0.3538.77
Właśnie z niego piszę, wiec chyba niekoniecznie.
Chociaż pojawiają się takie zdechłe procesy:
root 25914 0.0 0.0 0 0 ? ZN 17:23 0:00 [chrome-sandbox] <defunct> root 28441 0.0 0.0 0 0 ? ZN 17:58 0:00 [chrome-sandbox] <defunct> root 28444 0.0 0.0 0 0 ? ZN 17:58 0:00 [chrome-sandbox] <defunct>
To pewnie AA albo brak tego parametru userns.clone, ale w używaniu przeglądarki nie zawadza.
U Ciebie pewnie przez to wywala całą przeglądarkę, ale możesz poczekać,
aż tego babola poprawią.
Ostatnio edytowany przez Jacekalex (2018-11-08 18:16:42)
Offline
[quote="morfik"]Nie znam szczegółów tego ataku to ci nie powiem jak on działa i czy cokolwiek w naszej rzeczywistości jest jeszcze na to podatne poza płytką ubuntu 8.04, która mam jeszcze w szafce. xD[/quote]
https://github.com/MorteNoir1/virtualbox_e1000_0day
Offline
[quote=morfik]Po co to, co takiego robi ten firejail czego apparmor nie potrafi?[/quote]
Piaskownica.
Zresztą to nie są konkurencyjne narzędzia, raczej się uzupełniające.
Offline
@ Jacekalex już chyba wiem o co chodzi z tym brakiem kernel.unprivileged_userns_clone u ciebie. To właśnie był ten fix, tj. danie możliwości wyłączenia tego syfu w debianie. W debianowej 4.19 (z exp) ten parametr dalej figuruje. Czyli nie masz tego pacza w swoim kernelu i masz podatny system na tego CVE. xD
Co do wersji przeglądarki, z reguły jak się aktualizują chrome, chromium i opera u mnie, to ten sam zestaw rzeczy chcą (czasem zmieniane nazwny chromium na opera, itp). Ale ja mam obecnie niby:
$ chromium --version Chromium 70.0.3538.67 built on Debian buster/sid, running on Debian buster/sid $ google-chrome --version Google Chrome 72.0.3595.2 dev
I nawet na tej v70 google-chrome również działał, czyli coś pozmieniali w chromium.
Na bugtrackerze jest jeszcze coś takiego:
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=913116&archived=False&mbox=no
Wygląda na to, że ja nie mam chromium-sandbox w systemie.
Zaraz to sprawdzę czy działa. xD
Offline
Tak, to jest to. Czyli trzeba sobie doinstalować ręcznie póki co ten chromium-sandbox i można dalej mieć kernel.unprivileged_userns_clone=0 i wszystko niby działa. xD
@yossarian, no a apparmor nie daje już wystarczającej piaskownicy? Jak ktoś już ma okrojoną appkę w apparmor to jak instalacja firejail wpłynie na poprawę bezpieczeństwa?
@hi -- serio, bug w aplikacji, którego nie chcą fixnąć przez pół roku? Właśnie po to jest apparmor, by tego typu błędy ograniczyć. Nawet jeśli by u mnie tego typu błąd zaistniał i miałbym profil dla vbox'a, to on nie wywoła już sobie shell'a bo apparmor mu dla po łbie i sam w ten sposób podałeś idealny przykład, dlaczego powinniśmy jednak stosować zabezpieczenia. xD
Ostatnio edytowany przez morfik (2018-11-08 19:03:22)
Offline
[quote="morfik"]serio, bug w aplikacji, którego nie chcą fixnąć przez pół roku? Właśnie po to jest apparmor, by tego typu błędy ograniczyć[/quote]
w tym przypadku prędzej grsecurity, tylko kto tego używa na desktopie?
[quote="morfik"]Nawet jeśli by u mnie tego typu błąd zaistniał i miałbym profi[/quote]
widzę, że u Pana remedium na wszystko to apparmor, niezłe podejście ale zalecam jednak twarde zejście do rzeczywistości i wysłuchanie tego wykładu w całości (szczególnie drugą część o backdorach w oprogramowaniu sprzętowym:
https://www.youtube.com/watch?v=1wO-o_mIUTU
[quote="morfik"]idealny przykład, dlaczego powinniśmy jednak stosować zabezpieczenia.[/quote]
nie napisałem nigdzie, że nie powinniśmy zabezpieczać swoich maszyn, jedyne co to śmieszą mnie takie frazy:
[quote="morfik"]Poza tym, ja się nie łudzę, że mam system jak skała, ja to po prostu wiem[/quote]
sorry ale nawet niebezpieczniaki wiedzą, że to gówno prawda i traktują swoje sprzęty tak jak te które hakują tylko trochę lepiej je zabezpieczają :) Poczytaj co w tym temacie pisze gostek z z3s i jakiego systemu używa i co na jego temat mówi
Ostatnio edytowany przez hi (2018-11-08 20:27:32)
Offline
w tym przypadku prędzej grsecurity, tylko kto tego używa na desktopie?[/quote]
Chyba używał, Grsecurity się skończyło na jaju 4.9.24, w tej chwili łatki umknęły w kierunku Commercial Support.
U mnie na Desktopie Grsec i Pax działały grzecznie, chociaż trzeba było do nich min łatki na stery Nvidii nakładać.
Pomimo braku Grsec/Pax nie mam z Gentusiem większych problemów,
o zhakowaniu go na razie nie słyszałem.
Żadnych podejrzanych incydentów z bezpieczeństwem na nim nie mam,
ale co ja tam wiem, na Gentusiu siedzę dopiero 8,5 roku. :P
PozdroOstatnio edytowany przez Jacekalex (2018-11-08 20:26:17)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
[quote=hi]nie napisałem nigdzie, że nie powinniśmy zabezpieczać swoich maszyn, jedyne co to śmieszą mnie takie frazy:
[quote="morfik"]Poza tym, ja się nie łudzę, że mam system jak skała, ja to po prostu wiem[/quote]
[/quote]
Przecie to było ironicznie powiedziane. xD Umknęło ci inne moje zdanie, że każde zabezpieczenie można złamać?
[quote=hi]sorry ale nawet niebezpieczniaki wiedzą, że to gówno prawda i traktują swoje sprzęty tak jak te które hakują tylko trochę lepiej je zabezpieczają :)[/quote]
No właśnie jest tutaj ta subtelna różnica "tylko trochę lepiej je zabezpieczają" — ja mam tak samo przecie: mój system niczym się nie różni od twojego, czy przeciętnego kowalskiego, za wyjątkiem pewnych drobnych zmian w kwestii bezpieczeństwa. xD
Przecie apparmor narzuca jedynie restrykcje co do tego co aplikacja może robić, m.in. jakie pliki ma w swoim zasięgu. Domyślnie masz blokowane wszystkie pliki i to nie tylko odczyt i zapis ale również wykonywanie, itd. Więc powiedź mi jak taka trefna appka, mająca profil apparmora, może krzywdę zrobić mi w systemie, jeśli nie ma ona X na shellu? Niech ta apka próbuje sobie wykonać nawet i "rm -Rf /" , to i tak jej nic nie da, bo nie ma X na rm no i oczywiście nie ma zapisu na /** ... Moim skromnym zdaniem ta drobna różnica (posiadanie apparmora) nieco utrudnia aplikacjom wrogie zachowanie i tym wygrywa mój system vs system kowalskiego, nic więcej. xD
Offline
[quote=morfik]@yossarian, no a apparmor nie daje już wystarczającej piaskownicy? Jak ktoś już ma okrojoną appkę w apparmor to jak instalacja firejail wpłynie na poprawę bezpieczeństwa?[/quote]
AppArmor (podobnie jak i SELinux) to zupełnie inne narzędzia nie mające nic wspólnego z sandboksem. Służące do ograniczania uprawnień i dostępu do zasobów.
Piaskownica zaś to dodatkowa izolacja miedzy procesami, które mając w AppArmor ustawiony dostęp do tych samych zasobów mogłyby mieć ze sobą kontakt. Sam AppArmor nie zapewnia takiego typowego sandboksa.
Oba te narzędzia mogą się uzupełniać bo generalnie służą do czegoś innego.
Offline
Piaskownica zaś to dodatkowa izolacja miedzy procesami, które mając w AppArmor ustawiony dostęp do tych samych zasobów mogłyby mieć ze sobą kontakt. Sam AppArmor nie zapewnia takiego typowego sandboksa.[/quote]
To już jest zrobione w samych przeglądarkach jako multiproces, każda karta chodzi w innym procesie, i przynajmniej w teorii powinna korzystać z zabezpieczeń dostępnych w systemach operacyjnych jak seccomp czy capsicum.
Oczywiście programiści "powinni", ale nie zawsze tak to działa, jeśli natomiast mam otwarte kilkanaście zakładek w jednym oknie FF, to Firefail poszczególnych kart i tak nie ochroni, bo widzi proces przeglądarki a nie poszczególne procesy kart.
Chyba żeby metodą Morfika robić trzy profile do FF (różne do różnych działań),
albo metodą znaną z QubesOS, czyli kilka VM z osobnymi systemami,
każda do innych działań.
To w Firejailu też jest osiągalne, podobnie jak przy pomocy wszystkich chrootów
na sterydach jak np LXC, Docker czy kiedyś OpenVZ.
EDIT:
Mamy jednak jeszcze troszkę czasu, u mnie w mieście w czytelni jest zainstalowane na publicznych kompach Kubuntu z KDE-3.5 (wersja Ubu 7.10)
i ciągle jeszcze działają, co mnie aż dziwi, bo mają względnie świeże przeglądarki Chrome.
Także z sensownie skonfigurowanym Linuxem mamy trochę spokoju, najwyraźniej nie jest zbyt łatwo ugryźć Linuxa.
EDIT2:
Najciekawszy błąd projektowy, jaki ostatnio widziałem:
https://spidersweb.pl/autoblog/jeep-dywaniki-blokuja-pedal-gazu-usterka/
xDOstatnio edytowany przez Jacekalex (2018-11-08 21:40:21)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
[quote=Jacekalex]To już jest zrobione w samych przeglądarkach jako multiproces, każda karta chodzi w innym procesie, i przynajmniej w teorii powinna korzystać z zabezpieczeń dostępnych w systemach operacyjnych jak seccomp czy capsicum.[/quote]
Tylko wyobraź sobie, że te zabezpieczenia w jądrze są przeznaczone właśnie do działania z sandboksem w przestrzeni użytkownika (jednym z nich jest firejail) — dzięki czemu z nowoczesnych zabezpieczeń jądra mogą korzystać aplikacje, nawet takich, których deweloperzy o bezpieczeństwa nie mają zielonego pojęcia.
System call filtering isn't a sandbox. [b]It provides a clearly defined
mechanism for minimizing the exposed kernel surface. It is meant to be
a tool for sandbox developers to use.[/b] Beyond that, policy for logical
behavior and information flow should be managed with a combination of
other system hardening techniques and, potentially, an LSM of your
choosing.[/quote]
https://www.kernel.org/doc/Documentation/prctl/seccomp_filter.txt
I tak to właśnie działa w praktyce:
[url=https://imgbb.com/][img]https://image.ibb.co/czNAXq/Screenshot-20181108-210318.jpg[/img][/url]Oczywiście programiści "powinni", ale nie zawsze tak to działa, jeśli natomiast mam otwarte kilkanaście zakładek w jednym oknie FF, to Firefail poszczególnych kart i tak nie ochroni, bo widzi proces przeglądarki a nie poszczególne procesy kart.[/quote]
Nie musi chodzić o głupie zakładki, a przykładowo „keyloger” w X.Org (xinput).To w Firejailu też jest osiągalne, podobnie jak przy pomocy wszystkich chrootów
na sterydach jak np LXC, Docker czy kiedyś OpenVZ.[/quote]
Wyobraź sobie też, że Firejail nie ma żadnych swoich mechanizmów bezpieczeństwa, warstw wirtualizacji i innych tego typu wynalazków. Jest tylko pośrednikiem pomiędzy sandboksowana aplikacją, a narzędziami bezpieczeństwa wbudowanymi w kernel. Takie rozwiązanie jest zresztą preferowane przez deweloperów jądra.Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00097 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.224.65.198' WHERE u.id=1 |
0.00072 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.224.65.198', 1732424613) |
0.00043 | SELECT * FROM punbb_online WHERE logged<1732424313 |
0.00038 | SELECT topic_id FROM punbb_posts WHERE id=321885 |
0.00005 | SELECT id FROM punbb_posts WHERE topic_id=30716 ORDER BY posted |
0.00041 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30716 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00107 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30716 ORDER BY p.id LIMIT 0,25 |
0.00077 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30716 |
Total query time: 0.00501 s |