forum.opennet.ru

"Выпуск системы изоляции приложений Firejail 0.9.62"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для сортировки сообщений в нити по дате нажмите "Сортировка по времени, UBB".

. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
Сообщение от Аноним (36), 31-Дек-19, 00:13
> logind И так урезан по самые гланды: DeviceAllow=char-/dev/console rw DeviceAllow=char-drm rw DeviceAllow=char-input rw DeviceAllow=char-tty rw DeviceAllow=char-vcs rw FileDescriptorStoreMax=512 IPAddressDeny=any LockPersonality=yes MemoryDenyWriteExecute=yes NoNewPrivileges=yes PrivateTmp=yes ProtectControlGroups=yes ProtectHome=yes ProtectHostname=yes ProtectKernelModules=yes ProtectKernelLogs=yes ProtectSystem=strict ReadWritePaths=/run RestrictAddressFamilies=AF_UNIX AF_NETLINK RestrictNamespaces=yes RestrictRealtime=yes RestrictSUIDSGID=yes RuntimeDirectory=systemd/sessions systemd/seats systemd/users systemd/inhibit systemd/shutdown RuntimeDirectoryPreserve=yes SystemCallArchitectures=native SystemCallErrorNumber=EPERM SystemCallFilter=@system-service Да, философия *nix запрещает так ограничивать свободу программ, но Лёньке пофиг. В результате, не будучи рутом, дотянуться до logind практически нереально, а даже если его удастся каким-то образом ломануть, то максимум в vt можно будет вывести какую-нибудь похабщину, а с сетью, диском и системой — увы, ничего не сделать.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Выпуск системы изоляции приложений Firejail 0.9.62, opennews, 30-Дек-19, 10:40 [смотреть все]

Вроде бы и ничего, но suid-ная программа напрягает как-то , Аноним, 30-Дек-19, 10:40 (1) //
- Bubblewrap тогда , Аноним, 30-Дек-19, 11:32 (3) //
  - к нему уже нормальный туториал появился Я честно пытался настроить сабж для это, Аноним, 31-Дек-19, 14:17 (53) //
    - Bubbllewrap достаточно канительный в этом плане При том by design Поэтому с юз, Аноним, 31-Дек-19, 20:34 (62)
- Можно попробовать снять SUID и настроить полномочия с помощью CAPABILITIES , Аноним, 30-Дек-19, 11:36 (4) //
  - Боюсь, что тут нужен CAP_SYS_ADMIN, что эквивалентно руту Причём, если euid про, Аноним, 30-Дек-19, 12:28 (8)
- Во-первых, можно разрешить запуск firejail только определенными пользователями , Аноним, 30-Дек-19, 15:04 (23)
- Ну так для того что он делает повышенные права нужны Если любой пользователь см, Аноним, 31-Дек-19, 02:38 (39)
При очень большом желании, пробовали , Annoynymous, 30-Дек-19, 10:58 (2) //
- Это как сразу два презeрватива натягивать 8212 в том же докере изоляция через, Аноним, 30-Дек-19, 12:26 (6) //
  - Более того, если использовать Podman, вместо докера, то можно его исполозовать в, Аноним, 30-Дек-19, 13:03 (11) //
    - Не будет По той простой причине, что для настройки действительно эффективных ме, Аноним, 30-Дек-19, 13:58 (14)
Сильно отличается от jail в freebsd , Аноним, 30-Дек-19, 11:43 (5) //
- да, например - отсутствием линуксатора, хотя в iOS его тоже нет а вообще, BSD-ja, Аноним, 30-Дек-19, 12:28 (7) //
  - Идея запихивания в джейл линукса врядли сильно востребована Как забавный курьёз, abi, 30-Дек-19, 17:01 (29) //
    - Но иногда имеет место быть bhyve издержки все-таки повыше , bOOster, 31-Дек-19, 08:12 (48)
- Черт знает, но конкретно сабж удобнее всего для запихивания отдельных апликух в , Аноним, 31-Дек-19, 02:43 (40) //
  - SYSCALLS в пользовательских приложениях это дрянной стиль программирования котор, bOOster, 31-Дек-19, 08:21 (49) //
    - Ага, то есть ваши приложения не делают open , read , write , malloc , free , Аноним, 31-Дек-19, 12:54 (52)
      - Ты че иди от Каким образом эти операции относяться к SYSCAL open,read,write эт, bOOster, 01-Янв-20, 15:22 (72)
        
        Взоржал Ну и каша у вас в голове Сразу видно настоящего компьютерного эксперта, Аноним, 01-Янв-20, 18:58 (74)
        
        Документация по Linux будет последней на что я буду обращать внимание , bOOster, 01-Янв-20, 23:56 (75)
        
        Естественно, вы же не претендуете на звание программиста , Аноним, 02-Янв-20, 14:34 (76)
        
        Конечно, и первым делом я посмотрю исходные тексты той-же например read Внезапн, bOOster, 02-Янв-20, 17:54 (77)
        
        Ну я знаю И чего Сишники, для начала, из сей сисколы дергают На совсем уж гол, Аноним, 08-Янв-20, 09:02 (81)
    - А я то думал из стана стандарта POSIX, под который Linux и мимикрирует с точки з, Аноним, 31-Дек-19, 15:47 (54)
      - SYSCALL, POSIX, IOCTL 8212 какая разница Главное, сказать, что Линукс 8212, Аноним, 31-Дек-19, 16:59 (59)
      - gt оверквотинг удален Posix враппер read может быть оперативно подменен другой, bOOster, 01-Янв-20, 15:26 (73)
        
        Подменять враппер - прерогатива троянцев руткитов да может IDS Ну еще для тести, Аноним, 08-Янв-20, 08:54 (79)
      - gt оверквотинг удален Да как раз наоборот Именно из-за этой паршивой тенденци, bOOster, 03-Янв-20, 10:56 (78)
        
        Пруф Что там под чем собирается - вообще второй вопрос Возможно, разработчики п, Аноним, 08-Янв-20, 08:59 (80)
Раньше запускал в нем фф, но часто приходилось какие-то правила дописывать, т к , yu, 30-Дек-19, 12:51 (9)
Нужно, пользуюсь для сетевых приложух и всякой проприетари, Fracta1L, 30-Дек-19, 12:52 (10) //
- О, почти то, чего спрашивал Сетевые приложухи это что , user90, 30-Дек-19, 13:49 (13) //
  - Приложения лезущие в сеть, очевидно Отпилить их в отдельный контейнер, если не , Аноним, 31-Дек-19, 02:44 (41)
А оно реально надо Или это для проприетарщины Вопросы, вопросы , user90, 30-Дек-19, 13:48 (12) //
- Как Вы предполагаете, зачем оно, Аноним, 30-Дек-19, 14:05 (15) //
  - А с недоверенным драйвером ты чо будешь делать , user90, 30-Дек-19, 14:18 (17) //
    - C недоверенным телефоном с проприетарными чипами без свободных дров вообще, зало, Аноним, 30-Дек-19, 14:45 (20)
      - Не буду доверять ему важных данных Если пойду грабить банк 8212 оставлю теле, Аноним, 31-Дек-19, 00:20 (38)
        
        А моя бабушка обманывает любой DRM Просто наводит фотик на экран - и DRM пролет, Аноним, 31-Дек-19, 15:53 (55)
- То и другое Первый пример - собственно файрфокс, для изоляции которого эту соф, Crazy Alex, 30-Дек-19, 14:45 (21) //
  - Воу-воу, полехче Сам же понимаешь, в чем тут лажа Режешь жс первым делом ах н, user90, 30-Дек-19, 14:55 (22) //
    - Firefox в виртуалке, drTrue, 30-Дек-19, 15:18 (25)
    - Со скайпом - в чём лажа Если в том, что скайповладелец сейчас это Майкрософт, , CrazyAlex, 30-Дек-19, 18:57 (30)
      - В чем лажа Ты же помнишь наверно, если возраст позволяет, уж извини что из се, user90, 30-Дек-19, 19:07 (31)
        
        Ну помню, лез везде где мог, поэтому и огораживали Возраст позволяет - И что , CrazyAlex, 30-Дек-19, 19:30 (32)
      - Ты ему доступ к камере и микрофону скормил - и какие гарантии что он ими пользуе, Аноним, 31-Дек-19, 20:39 (63)
- Баги бывают и в открытом софте В том числе и проблемы безопасности И будет оче, Аноним, 31-Дек-19, 02:47 (42)
Если у меня selinux в enforcing, мне не нужно такое , Аноим, 30-Дек-19, 14:13 (16)
Вкратце нужно ненужно , Аноним, 30-Дек-19, 14:41 (18) //
- Да , мудрый КАА, 30-Дек-19, 15:06 (24)
- Программа, имеющая suid 8212 потенциальная дыра , Сейд, 30-Дек-19, 19:44 (33) //
  - С другой стороны, он в основном действует при запуске программы - а потом его пр, Аноним, 31-Дек-19, 02:49 (43) //
    - https www opennet ru opennews art shtml num 45824, Сейд, 31-Дек-19, 12:52 (51)
      - Если уж мы об этом, то между нами, есть пара нюансов 1 nix вообще и стандарты , Аноним, 31-Дек-19, 16:01 (56)
        
        policycoreutils-sandboxhttps github com SELinuxProject selinux, Сейд, 31-Дек-19, 21:00 (65)
        
        Не, спасибо, это счастье вы как-нибудь себе оставьте Мне этого code Build depe, Аноним, 31-Дек-19, 21:46 (66)
        
        Такая точка зрения в корне не верна, SELinux намного проще и удобнее в использов, Сейд, 31-Дек-19, 23:10 (67)
        
        Во первых, я просто не буду использовать УГ где для просто операций с политиками, Аноним, 31-Дек-19, 23:52 (68)
        
        Мы говорим про Firejail, а не контейнеры , Сейд, 01-Янв-20, 00:17 (69)
        
        Firejail наполовину об контейнерах и есть Он умеет собирать например отдельную , Аноним, 01-Янв-20, 01:16 (70)
        
        А с его помощью можно запрещать или разрешать привязку процесса к определённым п, Сейд, 01-Янв-20, 10:53 (71)
        Мне проще оперировать иным уровнем абстракций отправить процесс в собственный н, Аноним, 08-Янв-20, 09:09 (82)
Все гениальное просто, и это не про линь , bOOster, 30-Дек-19, 14:45 (19) //
- Какая разница в любой другой системе будет такая же виртуализация вызовов с пред, Аноним, 30-Дек-19, 16:27 (27)
- про вантуз , Аноним, 30-Дек-19, 16:37 (28) //
  - Да, там все просто куяк-куяк и готово, пипл стерпит Ведь за что ты заплатил, з, Анонимко, 30-Дек-19, 20:12 (34) //
    - Вы полагаете, что в их поведении есть что-то неправильное По-моему, с этим всё п, Аноним, 31-Дек-19, 00:17 (37)
      - Про какой статус речь идет Народ на айфонах чтоли помешался Если речь о компьют, bOOster, 31-Дек-19, 08:08 (47)
- Сабж довольно прост в использовании Вот прямо под линем Более того - аналогов , Аноним, 31-Дек-19, 02:50 (44) //
  - Ну точно уж лет 20 как под FreeBSD не придумывается , bOOster, 31-Дек-19, 08:02 (46)
Неудобная штука Изоляция файловой системы сделана на основе чёрных списков, чт, Аноним, 30-Дек-19, 15:21 (26) //
- Наоборот - для большинства типовых прог есть готовые профайлы, так что вообще ни, Аноним, 31-Дек-19, 16:05 (57)
а где смые главные - logind, gdm3, Xwayland, , Аноним, 30-Дек-19, 22:21 (35) //
- И так урезан по самые гланды DeviceAllow char- dev console rwDeviceAllow char-dr , Аноним, 31-Дек-19, 00:13 (36) //
  - У Поттеринга вообще можно поучиться всякие стремные сервисы правильно изолироват, Аноним, 31-Дек-19, 02:51 (45) //
    - Это противоречит юниксовой философии Инит не должен заниматься ограничением пра, Аноним, 31-Дек-19, 12:52 (50)
      - И я должен в каждый контейнер класть SUID бинарники при формировании контейнера , Аноним, 31-Дек-19, 16:07 (58)
        
        Какие контейнеры, родной В юниксах 30 лет назад не было никаких контейнеров Со, Аноним, 31-Дек-19, 17:01 (60)
        
        Какой софт, родной 100 лет назад никакого софта не было Пользоваться надо конв, Аноним, 31-Дек-19, 20:27 (61)
        
        Какой конвейер, родной 1000 лет назад не было двигателей, так что айда кирпичи , Аноним, 31-Дек-19, 20:42 (64)
Можно ли через firejail наоборот, разрешить firefox-у доступ к mozilla, к кот, Ilya Indigo, 05-Ноя-20, 01:14 (83)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру