The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск системы изоляции приложений Firejail 0.9.62

30.12.2019 10:27

После шести месяцев разработки доступен релиз проекта Firejail 0.9.62, в рамках которого развивается система для изолированного выполнения графических, консольных и серверных приложений. Применение Firejail позволяет минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora).

Для изоляции в Firejail используются пространства имён (namespaces), AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. При желании Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ.

В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступ к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.

Для большого числа популярных приложений, в том числе для Firefox, Chromium, VLC и Transmission, подготовлены готовые профили изоляции системных вызовов. Для получения привилегий, необходимых для настройки изолированного окружения, исполняемый файл firejail устанавливается с флагом SUID root (после инициализации привилегии сбрасываются). Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента утилиты firejail, например, "firejail firefox" или "sudo firejail /etc/init.d/nginx start".

В новом выпуске:

  • В файл конфигурации /etc/firejail/firejail.config добавлена настройка file-copy-limit, позволяющая ограничить размер файлов, которые будут скопированы в память при использовании опций "--private-*" (по умолчанию ограничение выставлено в 500MB).
  • В каталог /usr/share/doc/firejail добавлены шаблоны для создания новых профилей ограничения приложений.
  • В профилях разрешено использование отладчиков.
  • Улучшена фильтрация системных вызовов при помощи механизма seccomp.
  • Обеспечено автоопределение флагов компилятора.
  • Вызов chroot теперь выполняется не на основе пути, а используя точки монтирования на базе файлового дескриптора.
  • Каталог /usr/share помещён в белый список разнообразных профилей.
  • В секцию conrib добавлены новые вспомогательные скрипты gdb-firejail.sh и sort.py.
  • Усилена защита на стадии выполнения привилегированного кода (SUID).
  • Для профилей реализованы новые условные признаки HAS_X11 и HAS_NET для проверки наличия X-сервера и сетевого доступа.
  • Добавлены профили для изолированного запуска приложений (общее число профилей доведено до 884):
    • i2p,
    • tor-browser (AUR),
    • Zulip,
    • rsync,
    • signal-cli,
    • tcpdump,
    • tshark,
    • qgis,
    • OpenArena,
    • godot,
    • klatexformula,
    • klatexformula_cmdl,
    • links,
    • xlinks,
    • pandoc,
    • teams-for-linux,
    • gnome-sound-recorder,
    • newsbeuter,
    • keepassxc-cli,
    • keepassxc-proxy,
    • rhythmbox-client,
    • jerry,
    • zeal,
    • mpg123,
    • conplay,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dump,
    • out123,
    • mpg123-jack,
    • mpg123-nas,
    • mpg123-openal,
    • mpg123-oss,
    • mpg123-portaudio,
    • mpg123-pulse,
    • mpg123-strip,
    • pavucontrol-qt,
    • gnome-characters,
    • gnome-character-map,
    • Whalebird,
    • tb-starter-wrapper,
    • bzcat,
    • kiwix-desktop,
    • bzcat,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • zstdless,
    • zstdmt,
    • unzstd,
    • ar,
    • gnome-latex,
    • pngquant,
    • kalgebra,
    • kalgebramobile,
    • amuled,
    • kfind,
    • profanity,
    • audio-recorder,
    • cameramonitor,
    • ddgtk,
    • drawio,
    • unf,
    • gmpc,
    • electron-mail,
    • gist,
    • gist-paste.


  1. Главная ссылка к новости (https://github.com/netblue30/f...)
  2. OpenNews: Выпуск Bubblewrap 0.4.0, прослойки для создания изолированных окружений
  3. OpenNews: Выпуск Whonix 15, дистрибутива для обеспечения анонимных коммуникаций
  4. OpenNews: Выпуск системы изоляции приложений Firejail 0.9.60
  5. OpenNews: Серия уязвимостей в Firejail
  6. OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.6.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/52115-firejail
Ключевые слова: firejail, chroot, container
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (83) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:40, 30/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вроде бы и ничего, но suid-ная программа напрягает как-то.
     
     
  • 2.3, Аноним (3), 11:32, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Bubblewrap тогда.
     
     
  • 3.53, Аноним (-), 14:17, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    к нему уже нормальный туториал появился? Я честно пытался настроить сабж для этого вашего фаерфокса но ниасилил: терминальные приложения работают нормально, гуйня - нет, что и где подкручивать - нигде не написано, ломай голову самостоятельно
     
     
  • 4.62, Аноним (-), 20:34, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Bubbllewrap достаточно канительный в этом плане. При том by design. Поэтому с юзерской точки зрения сабж заметно проще в использовании.
     
  • 2.4, Аноним (4), 11:36, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Можно попробовать снять SUID и настроить полномочия с помощью CAPABILITIES.
     
     
  • 3.8, Аноним (8), 12:28, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Боюсь, что тут нужен CAP_SYS_ADMIN, что эквивалентно руту. Причём, если euid программа наверняка сбросит перед exec, то капу — вряд ли.
     
  • 2.23, Аноним (23), 15:04, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, можно разрешить запуск firejail только определенными пользователями. Во-вторых, не ставить проприетарное что-попало, по крайней мере, без профиля, где suid-бинарник отфильтровывается белым списком.
     
  • 2.39, Аноним (-), 02:38, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вроде бы и ничего, но suid-ная программа напрягает как-то.

    Ну так для того что он делает повышенные права нужны. Если любой пользователь сможет в любой программе так же - в системе начнется вакханалия, где каждый пользователь по сути близок к руту.

     

  • 1.2, Annoynymous (ok), 10:58, 30/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ.

    При очень большом желании, пробовали.

     
     
  • 2.6, Аноним (8), 12:26, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это как сразу два презeрватива натягивать — в том же докере изоляция через namespaces является core feature, а apparmor и seccomp подключаются через security-opt. В lxc в целом аналогично. Да даже в systemd для любого сервиса можно всё это в пару строчек юнит-файла настроить.

    Кроме десктопных приложений, о которых все эти серверные ребята как-то не подумали, других ниш применения firejail не видно.

     
     
  • 3.11, Аноним (-), 13:03, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Более того, если использовать Podman, вместо докера, то можно его исполозовать в rootless режиме, что будет секьюрнее докера и SUID'ного firejail.
     
     
  • 4.14, Аноним (8), 13:58, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не будет. По той простой причине, что для настройки действительно эффективных механизмов изоляции нужны рутовые полномочия.

    Вообще, podman не является альтернативой docker/containerd, в отличие от cri-o, например. Это просто тество-отладочный инструмент для запуска на рабочем компе девопса.

     

  • 1.5, Аноним (5), 11:43, 30/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сильно отличается от jail в freebsd?
     
     
  • 2.7, Аноним (7), 12:28, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    да, например - отсутствием линуксатора, хотя в iOS его тоже нет.
    а вообще, BSD-jail в iOS и BSD лучше сравнивать с LXC и OpenVZ.
     
     
  • 3.29, abi (?), 17:01, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Идея запихивания в джейл линукса врядли сильно востребована. Как забавный курьёз да, но реально лучше в bhyve.
     
     
  • 4.48, bOOster (ok), 08:12, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Идея запихивания в джейл линукса врядли сильно востребована. Как забавный курьёз да,
    > но реально лучше в bhyve.

    Но иногда имеет место быть. bhyve издержки все-таки повыше.

     
  • 2.40, Аноним (-), 02:43, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Сильно отличается от jail в freebsd?

    Черт знает, но конкретно сабж удобнее всего для запихивания отдельных апликух в изолированные от основной системы "контейнеры". При том он неплохо работает в том числе и для десктопных штук, без лишней возни. Вероятно, благодаря многочисленным конфигам в дефолтной поставке, более или менее корректно прописывающие чего кому из типовых программ реально требуется (из сисколов и проч). А что, jail в фряхе умеет разрешать только нужные сисколы? Или пространства имен, допустим, сети переключать? Так что сетевая конфигурация у программы - вообще отдельная (firejail немного умеет создавать/настравать сетевые интерфейсы в контейнерах).

     
     
  • 3.49, bOOster (ok), 08:21, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • –6 +/
    SYSCALLS в пользовательских приложениях это дрянной стиль программирования котор... большой текст свёрнут, показать
     
     
  • 4.52, Аноним (8), 12:54, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, то есть ваши приложения не делают open(), read(), write(), malloc(), free()? Тогда вообще что они делают, если не секрет?

    Ах да, ничего, вы же не пишете приложения. Только рассуждаете о "дрянном стиле".

     
     
  • 5.72, bOOster (ok), 15:22, 01/01/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ты че иди от Каким образом эти операции относяться к SYSCAL open,read,write эт... большой текст свёрнут, показать
     
     
  • 6.74, Аноним (8), 18:58, 01/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Каким образом эти операции относяться к SYSCAL? open,read,write это врапперы, posix абстракция для ioctl - ИМЕННО КОТОРЫЙ уже работает с ядром и является SYSCALL.

    Взоржал. Ну и каша у вас в голове! Сразу видно настоящего компьютерного эксперта.

    > ПыСы если претендуешь на звание программиста - то хоть изучай о чем говоришь.

    Ну, так как вы не претендуете, то вот по этой сслыке http://man7.org/linux/man-pages/man2/syscalls.2.html ни в коем случае не ходите. Она для тех, кого случайно занесёт в это обсуждение, на случай, если ваша глупость для них будет не очевидна.

     
     
  • 7.75, bOOster (ok), 23:56, 01/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Каким образом эти операции относяться к SYSCAL? open,read,write это врапперы, posix абстракция для ioctl - ИМЕННО КОТОРЫЙ уже работает с ядром и является SYSCALL.
    > Взоржал. Ну и каша у вас в голове! Сразу видно настоящего компьютерного
    > эксперта.
    >> ПыСы если претендуешь на звание программиста - то хоть изучай о чем говоришь.
    > Ну, так как вы не претендуете, то вот по этой сслыке http://man7.org/linux/man-pages/man2/syscalls.2.html
    > ни в коем случае не ходите. Она для тех, кого случайно
    > занесёт в это обсуждение, на случай, если ваша глупость для них
    > будет не очевидна.

    Документация по Linux будет последней на что я буду обращать внимание.

     
     
  • 8.76, Аноним (8), 14:34, 02/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Естественно, вы же не претендуете на звание программиста ... текст свёрнут, показать
     
     
  • 9.77, bOOster (ok), 17:54, 02/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно, и первым делом я посмотрю исходные тексты той-же например read Внезапн... текст свёрнут, показать
     
     
  • 10.81, Аноним (-), 09:02, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я знаю И чего Сишники, для начала, из сей сисколы дергают На совсем уж гол... текст свёрнут, показать
     
  • 4.54, Аноним (-), 15:47, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > SYSCALLS в пользовательских приложениях это дрянной стиль программирования который и пополз из стана Linux

    А я то думал из стана стандарта POSIX, под который Linux и мимикрирует с точки зрения софта.

    > Даже Андроид такой стиль не поддерживает маскируя системные вызовы библиотекой wrapperом.

    Так в Linux нормальные люди тоже обычно враппер вызывают. Тем не менее враппер сискола read тоже называется read() и предоставляется реализацией libc.

    Ну а пойнт сабжа в том что если мы уверены что программа вообще никогда не должна записывать никакие файлы, мы рубим ей write() - и он завалится и через враппер, и напрямую, и как там еще. Программа просто не сможет записывать файлы. Довольно неудобный сюрприз для атакующих, которые сумеют нае...ть прогу, не так ли? :)

     
     
  • 5.59, Аноним (8), 16:59, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    SYSCALL, POSIX, IOCTL — какая разница? Главное, сказать, что Линукс — это плохо. Быть экспертом в компьютерах для этого вообще не надо.
     
  • 5.73, bOOster (ok), 15:26, 01/01/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    gt оверквотинг удален Posix враппер read может быть оперативно подменен другой... большой текст свёрнут, показать
     
     
  • 6.79, Аноним (-), 08:54, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Posix враппер read может быть оперативно подменен другой реализацией, виртуальной в случае присутствися ограничений

    Подменять враппер - прерогатива троянцев/руткитов да может IDS. Ну еще для тестирования реакции программ на нестандартные ситуации и прочих лулзов. А так это что, достаточно сделать сискол - и я уже вне песочницы? Так это не песочница а джамшутинг какой-то?!

    > в отличие от прямого доступа read который несет адрес устройства.

    Какой еще "адрес устройства"? Что за бред?

     
  • 5.78, bOOster (ok), 10:56, 03/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Да как раз наоборот Именно из-за этой паршивой тенденци... большой текст свёрнут, показать
     
     
  • 6.80, Аноним (-), 08:59, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Да как раз наоборот.

    Пруф?

    > корявый софт под Линь, мимикрирующий как ты говоришь под POSIX, собирается только на Лине

    Что там под чем собирается - вообще второй вопрос. Возможно, разработчики просто никогда не пробовали собирать свой софт под xBSD и прочих posix системах. Потому что их хрен найдешь и разработчикам от них ничего не нужно, например? Есть еще маки, но они сильно кастомные, у них там какой-то io-framework или как там его. О том что это такое - только макинтошные разработчики и знают, потому что в других ОС этого нет.

    > Хорошо если кто-то уже пропатчил, а то еще и в дер&мово писанные мануалы по Linux надо лезть.

    Ну так скиньтесь и проплатите команде техписов написание вам мануалов по вашему вкусу.

     

  • 1.9, yu (??), 12:51, 30/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Раньше запускал в нем фф, но часто приходилось какие-то правила дописывать, т к что-то не работало, особенно после обновления фф.
     
  • 1.10, Fracta1L (ok), 12:52, 30/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Нужно, пользуюсь для сетевых приложух и всякой проприетари
     
     
  • 2.13, user90 (?), 13:49, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    О, почти то, чего спрашивал. "Сетевые приложухи" это что?
     
     
  • 3.41, Аноним (-), 02:44, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Приложения лезущие в сеть, очевидно. Отпилить их в отдельный контейнер, если не виртуалку - отличная идея.
     

  • 1.12, user90 (?), 13:48, 30/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А оно реально надо? Или это для проприетарщины? Вопросы, вопросы..
     
     
  • 2.15, Аноним (15), 14:05, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как Вы предполагаете, зачем оно

    > для проприетарщины?

     
     
  • 3.17, user90 (?), 14:18, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А с недоверенным драйвером ты чо будешь делать? ;)
     
     
  • 4.20, Аноним (20), 14:45, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    C недоверенным телефоном с проприетарными чипами без свободных дров вообще, залоченным бутлодером, кирпичащим телефон при прошивке прошивки с недоверенной подписью, и с критическими уязвимостями в проприетарных прошивках чипов что делать будешь? Вы уже проиграли. Сопротивление бесполезно, ведь за взлом, реверсинг и написание свободных прошивок программерам никто не заплатит, и даже если заплатит, то пока они допилят, устройства на помойке уже будут, ибо запланированный выход из строя. Дешевле будет купить самсунг с потрохами и заставить его делать все прошивки и драйвера изначально открытыми. Но вам никто это не позволит сделать, даже если бы у вас были на это деньги. Вам придётся либо юзать проприетарь, либо не юзать ничего.
     
     
  • 5.38, Аноним (8), 00:20, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > C недоверенным телефоном с проприетарными чипами без свободных дров вообще, залоченным бутлодером, кирпичащим телефон при прошивке прошивки с недоверенной подписью, и с критическими уязвимостями в проприетарных прошивках чипов что делать будешь?

    Не буду доверять ему важных данных. Если пойду грабить банк — оставлю телефон дома.

     
     
  • 6.55, Аноним (-), 15:53, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А моя бабушка обманывает любой DRM. Просто наводит фотик на экран - и DRM пролетает.
     
  • 2.21, Crazy Alex (ok), 14:45, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    То  и другое. Первый пример - собственно файрфокс, для изоляции которого эту софтину изначаль и сделали. Второй классический пример - скайп в него засунуть
     
     
  • 3.22, user90 (?), 14:55, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > скайп

    Воу-воу, полехче! Сам же понимаешь, в чем тут лажа.

    > файрфокс

    Режешь жс первым делом.. ах нет? тогда тебя будут иметь.

     
     
  • 4.25, drTrue (?), 15:18, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Firefox в виртуалке
     
  • 4.30, CrazyAlex (?), 18:57, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Со скайпом - в чём лажа? Если в том, что скайповладелец (сейчас это Майкрософт, но скайп начали стараться огородить горпздо раньше) может получить твои звонки/переписку - то мимо, это данные, которые ты явным образом скормил. А идея - в трм, чтобы оно не лезло к остальному.

    С файрфоксом - конкретно я жс режу, но в принципе дополнительная песочница вполне неплохо защищает от возможных проблем. Особенно если за ней - линукс, да ещё не убунта, а какая-нибудь гента или другая экзотика.

     
     
  • 5.31, user90 (?), 19:07, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В чем лажа? Ты же помнишь (наверно, если возраст позволяет, уж извини) что из себя представлял скайп на старте, до того, как был куплен-перекуплен - ну а чо он представляет из себя ща сам сказал.

    Насчет ФФ - кокая-то перестраховка, однако. Это ж какая должна быть дырень, чтобы переживать за компрометацию локальной фс из-за браузера! Или речь про что-то другое?

     
     
  • 6.32, CrazyAlex (?), 19:30, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну помню, лез везде где мог, поэтому и огораживали. Возраст позволяет :-) И что?

    С файрфоксом - самые обычные дыры, их таких пара сотен точно была.

     
  • 5.63, Аноним (63), 20:39, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > твои звонки/переписку - то мимо, это данные, которые ты явным образом скормил.

    Ты ему доступ к камере и микрофону скормил - и какие гарантии что он ими пользуется только во время звонков? Теоретически конечно можно оттрассировать и запалить, а практически - проще избавиться от этой каки. Хомяки его уже посносили все-равно :)

     
  • 2.42, Аноним (42), 02:47, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Баги бывают и в открытом софте. В том числе и проблемы безопасности. И будет очень кстати если например браузер из всей файловой системы может аж в свои Downloads ходить. А остальное для него - совершенно пустая система, где брать нечего. Очень кстати если кто-то вдруг сможет убедить эту сложнятину попытаться сделать что-то не то. А тут ему от ворот поворот - бац.
     

  • 1.16, Аноим (?), 14:13, 30/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если у меня selinux в enforcing, мне не нужно такое?
     
  • 1.18, Аноним (-), 14:41, 30/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вкратце: нужно/ненужно?
     
     
  • 2.24, мудрый КАА (?), 15:06, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Да.
     
  • 2.33, Сейд (ok), 19:44, 30/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Программа, имеющая suid — потенциальная дыра.
     
     
  • 3.43, Аноним (42), 02:49, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    С другой стороны, он в основном действует при запуске программы - а потом его прошибить ... можно в основном теоретически. А вот программа - заизолирована и если прошибут ее, то урон может быть минимизирован.
     
     
  • 4.51, Сейд (ok), 12:52, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.ru/opennews/art.shtml?num=45824
     
     
  • 5.56, Аноним (-), 16:01, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если уж мы об этом, то между нами, есть пара нюансов 1 nix вообще и стандарты... большой текст свёрнут, показать
     
     
  • 6.65, Сейд (ok), 21:00, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    policycoreutils-sandbox
    https://github.com/SELinuxProject/selinux
     
     
  • 7.66, Аноним (-), 21:46, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > policycoreutils-sandbox
    > https://github.com/SELinuxProject/selinux

    Не, спасибо, это счастье вы как-нибудь себе оставьте. Мне этого:




    Build dependencies on Fedora:
    yum install audit-libs-devel bison bzip2-devel dbus-devel dbus-glib-devel flex flex-devel flex-static glib2-devel libcap-devel libcap-ng-devel pam-devel pcre-devel python3-devel python3-setools swig xmlto redhat-rpm-config



    ...достаточно чтобы не подходить к этому калу на пушечный выстрел! Не говоря о том что политики SELinux - та еще камасутра. Если в сабже что-то не сработает - я это починю. Если же лыжи не поедут с SELinux - упс. Всерьез в этом копаться можно только будучи клерком в NSA, которому за это оклад платят.

     
     
  • 8.67, Сейд (ok), 23:10, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Такая точка зрения в корне не верна, SELinux намного проще и удобнее в использов... текст свёрнут, показать
     
     
  • 9.68, Аноним (68), 23:52, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Во первых, я просто не буду использовать УГ где для просто операций с политиками... большой текст свёрнут, показать
     
     
  • 10.69, Сейд (ok), 00:17, 01/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Мы говорим про Firejail, а не контейнеры ... текст свёрнут, показать
     
     
  • 11.70, Аноним (-), 01:16, 01/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Firejail наполовину об контейнерах и есть Он умеет собирать например отдельную ... текст свёрнут, показать
     
     
  • 12.71, Сейд (ok), 10:53, 01/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А с его помощью можно запрещать или разрешать привязку процесса к определённым п... текст свёрнут, показать
     
     
  • 13.82, Аноним (-), 09:09, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Мне проще оперировать иным уровнем абстракций отправить процесс в собственный н... текст свёрнут, показать
     

  • 1.19, bOOster (ok), 14:45, 30/12/2019 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     

     ....ответы скрыты (7)

  • 1.26, Аноним (26), 15:21, 30/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Неудобная штука. Изоляция файловой системы сделана  на основе чёрных списков, что на мой взгляд изначально неправильно (непонятно, как можно было так извратить идею filesystem namespaces, ведь по умолчанию в линуксе создаётся полноценный отдельный namespcae, а firejail уже пытается объединить всё обратно для создания иллюзии запуска в пользовательском /home).

    А линуксовый seccomp так вообще не пригоден к использованию в том виде, в котором они его пытаются готовить — вся эта канитель с готовыми профилями не подходит для основной целевой аудитории, — варезных прог и сетевого софта, обновляющегося чаще чем раз в год.

     
     
  • 2.57, Аноним (-), 16:05, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Неудобная штука.

    Наоборот - для большинства типовых прог есть готовые профайлы, так что вообще ничего делать не требуется.

    > Изоляция файловой системы сделана  на основе чёрных списков

    Там и белые вроде бы можно изобразить.

    > пытается объединить всё обратно для создания иллюзии запуска в пользовательском /home

    Это позволяет пользователю запустить типовые апликухи с повышенной изоляцией не ломая их работу. Если программе зарезать доступ к ее данным - она, внезапно, сломается. И врядли кто захочет например браузер перенастраивать с ноля.

    > варезных прог и сетевого софта, обновляющегося чаще чем раз в год.

    Я его использую для изоляции обычных программ, так что мне нормалек.

     

  • 1.35, Аноним (35), 22:21, 30/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а где смые главные - logind, gdm3, Xwayland, ... ?
     
     
  • 2.36, Аноним (8), 00:13, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И так урезан по самые гланды DeviceAllow char- dev console rw DeviceAllow char-... большой текст свёрнут, показать
     
     
  • 3.45, Аноним (42), 02:51, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У Поттеринга вообще можно поучиться всякие стремные сервисы правильно изолировать. Как угодно но куски systemd зарезаны по правам очень неплохо.
     
     
  • 4.50, Аноним (8), 12:52, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Это противоречит юниксовой философии. Инит не должен заниматься ограничением прав сервисов, для этого должны быть отдельные suid-бинарники, которые нужно вручную вписывать в init-скрипты нужных программ.
     
     
  • 5.58, Аноним (-), 16:07, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И я должен в каждый контейнер класть SUID бинарники при формировании контейнера и следить за их обновлениями, чтоб не дай боже дыры не проскочили? Ну или как я буду вызывать suid бинарник из контейнера весь пойнт которого - обуть программу на доступ в систему?
     
     
  • 6.60, Аноним (8), 17:01, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Какие контейнеры, родной? В юниксах 30 лет назад не было никаких контейнеров. Софт надо ставить только через ./configure && make && make install.
     
     
  • 7.61, Аноним (-), 20:27, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Какой софт, родной? 100 лет назад никакого софта не было. Пользоваться надо конвейерной лентой.
     
     
  • 8.64, Аноним (63), 20:42, 31/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Какой конвейер, родной 1000 лет назад не было двигателей, так что айда кирпичи ... текст свёрнут, показать
     

  • 1.83, Ilya Indigo (ok), 01:14, 05/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Можно ли через firejail наоборот, разрешить firefox-у доступ к ~/.mozilla, к которому изначально не будет доступа у обычного пользователя?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру