AppArmor szigorú Firefox profil

Habár Ubuntu szállít gyárilag is Firefox profilt AppArmorhoz, szerettem volna egy include-ok és előre gyártott sablonok nélküli szigorúbb sajátot, mely számomra áttekinthetőbb és dbus hívásokhoz nem ad engedélyt.

Fájl elérhető itt (magyarázat a használatra a fájl elején):
https://github.com/log69/myscripts/blob/master/etc/apparmor.d/usr.lib.f…

Ubuntu 13.10 x64 alatt tesztelem több flash-es weboldallal. Ha valakit érdekel és segítene a tesztelésben és javításban, azt megköszönöm.

( uid_7086 | 2013. 10. 19., szo – 12:43 )

Ez nekem nem teljesen tiszta.
Egyrészt miért jó, hogy megtiltod neki a dbus használatát?
Másrészt a /home/andras/Desktop vs /home/*/Downloads valahogy nem tűnik túl következetesnek.
(lehet, hogy van rá ok csak én nem értem, de a /home/ után vagy bedrótozom a user nevet vagy *-ot írok, de a kettőt így nem keverném)

Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Korlát nélkül küldhet dbus-on keresztül bármilyen üzenetet bármelyik alkalmazásnak akárki.

Ezen kívül még meg kellene nézni, hogy a capability és network résznél mit lehetne még szűkíteni. Utánaolvashatnál és megírhatnád ha van kedved :)

Illetve tmp résznél segíthetne még valaki, hogy hogyan lehetne tovább szigorítani úgy, hogy még működjön.

Ebben a "korlát nélkül"-ben biztos vagy?
Nekem rémlik valami (nem néztem alaposabban utána), hogy a /etc/dbus-1/... alatt van pár (XML! :D ) konfig, amiben többek közt a jogosultságok is állíthatóak, de tény, hogy csak halvány emlék, semmi konkrétum.

Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Biztos, mivel az AppArmor hivatalos doksija írja. Ha van dbus capability, akkor minden alkalmazásnak küldhet üzenetet - persze az operendszer által megengedett kereteken belül.

De az oprendszer meg nem szabályoz semmit a user appjai között - talán még külön userek appjai között sem, ezt nem tudom de nem is érdekes mert saját user nevében futó más appokhoz sem akarom hogy hozzáférjen.

Konktréten lehetne játszani a dbus paramétereivel, de én egyáltalán nem akarok dbus-t.

http://penguindroppings.wordpress.com/2013/10/18/application-isolation-…
Itt írnak valamit arról, hogy hogyan lehet finomítani a dbus hozzáférést, ha jól értem.
Kicsit macerásnak tűnik, viszont képes lehet úgy működni a FF is, hogy közben nem szórja a hibákat folyamatosan.

Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Miután ilyen mélységig nem ismerem sem a dbus, sem az apparmor (pláne a 12.04 utáni verziókban lévők) működését, megcáfolni biztosan nem tudlak. :)
Csak valahogy úgy vagyok vele, hogy OK, kell a biztonság, de lehetőleg ne olyan áron, hogy közben az üzemszerű működést is megakadályozzuk, amíg nem konkrét hibát próbálunk kiszűrni.
(tehát pl. letiltom a java plugint, bár ez is része a normál működésnek, de konkrétan tudom, hogy van benne olyan biztonsági lyuk, amit a mai napig nem javítottak. De nem tiltom meg a javascript működését olyan mértékben, hogy ne tudjam könnyen engedélyezni, amint szükség van rá -> noscript)

Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Mérlegelje mindenki maga.

Az a baj a biztonságra való törekedéssel, hogy nincs megfelelő kontroll visszajelzés. Tehát állíthatok én akármit akárhogy, ha soha nem lehetek benne biztos hogy, hogy jó-e az amit csináltam. Nincs-e tele rohadt sok hibával, vagy nem lőttem-e túl az igényeimmel úgy, hogy túl engedékenyre állítottam.

Jelen esetben nekem nem kell dbus és minél szigorúbb szabályt akarok. Ugyanis ilyen _nincs_. Tehát engedékenyebbet tudsz a gyárival vagy ki is lehet kapcsolni, de ha én inkább a szigorúbb felé lennék hajlandó mozdulni, akkor nincs.

Ezért én a túlsó vége felé billenő összeállítást szeretnék csinálni.

A böngésző nagyon fontos, és ez az elsődleges támadott felület. Sok fontos céges adatot hordozok a gépemen, ezért szeretném a lehetőségekhez mérten maximálisan bezárni a böngészőt - persze úgy hogy még használható legyen. A fenti profillal eddig teljes mértékben működik az indításkor felbukkanó dbus sirás ablakát kivéve, de ez nekem megfelelő.

Kezdem hinni, hogy még nem hülyültem el annyira, mint képzeltem.
Kb. negyedóra-félóra alatt ennyit sikerült összeszednem a neten talált anyagokból, meg a konfig fájlokból a témáról. :)
(na jó, nem mindent, de amit így átfutva a szövegen kivettem belőle)

Köszi, azért érdekes olvasmány ez is.
(kicsit elmélyedve benne, azért bővebb, mint amit délután összeolvastam)

Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

( nevergone v | 2013. 10. 19., szo – 13:16 )

Ez tetszik, köszi! :)

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

( log69 | 2013. 10. 19., szo – 13:50 )

Közben utánanéztem sys_ptrace-nek:

"The current kernel requires the SYS_PTRACE capability, if a process tries to access files in /proc/pid/fd/*. New profiles need an entry for the file and the capability where old profiles only needed the file entry."

Akkor ez marad. Jó lenne még kideríteni, hogy van-e valamilyen PID változó, hogy a proc-ban csak a saját PID-jéhez tartozó adatokban turkálhasson a folyamat.

( eax | 2013. 10. 19., szo – 17:00 )

Az jo, es honnan lesz gui isolation? ;)

( uid_7086 | 2013. 10. 21., h – 00:34 )

Nézegetem a 12.04-ben gyárilag meglevő profile-t és néhány dolgot nagyon nem értek a tiéddel kapcsolatban:
- miért a firefox.sh-ra adod meg mindezt? És ha valaki a binárist indítja a wrapper script nélkül? (egyáltalán működik shell scriptekre az apparmor?)
- azok a /home/*/ és ehhez hasonló, csillagot tartalmazó sorok... Mi van, ha valakinek nem a /home alatt van a home-ja? Mi van, ha aki ellen védekezni próbálsz, root joghoz jut? Akkor simán hozzáfér más userek home-jához is.
(nálam valami ilyen van a home-beli fájlokhoz: owner @{HOME}/.local/share/applications/defaults.list r,)

Találtam egy ilyen kommentet:
# These are needed when a new user starts firefox and firefox.sh is used
Kipróbáltad a saját profile-odat olyan user alól, aki még nem futtatta korábban a FF-t?

Vagy valamit félreértettem és ezt nem az eredeti helyett, hanem abba include-olva kellene felhasználni?

Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

A firefox.sh-t az AppArmor vette alapul a aa-genprof futtatásakor. A programot én indítom és nem valaki, én meg tudom mit indítok. A porfilt magamnak készítettem elsősorban. Más dolog nem nagyon érdekel mivel egyszerű, könnyű módosítani.

A /home-ot direkt használom a változó helyett. Include és változó nélküli profilt akartam _magamnak_. Akinek nem a /home a home-ja, az így járt.

az a @{HOME} tulkepp egy /home/*/ valahol az etc/apparmor* konyvtarak melyen, vagyis az apparmor nem azt akadalyozza meg hogy a bela ne tudjon irni a /home/gizi konyvtarba, hanem hogy mashova ne tudjon irni. csak az owner jelent egy plusz megkotest, hogy a fajl tulajnak a futtato usernek kell lennie.

A lucid-ben ilyen a profil sor: /usr/lib/firefox/firefox{,*[^s][^h]}

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( log69 | 2013. 10. 23., sze – 16:21 )

Közben 13.04-hez is leteszteltem + néhány kiegészítés meg fix.