- log69 blogja
- A hozzászóláshoz be kell jelentkezni
- 1337 megtekintés
Hozzászólások
Ez nekem nem teljesen tiszta.
Egyrészt miért jó, hogy megtiltod neki a dbus használatát?
Másrészt a /home/andras/Desktop vs /home/*/Downloads valahogy nem tűnik túl következetesnek.
(lehet, hogy van rá ok csak én nem értem, de a /home/ után vagy bedrótozom a user nevet vagy *-ot írok, de a kettőt így nem keverném)
Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)
- A hozzászóláshoz be kell jelentkezni
es ugyanez a tmp-ben:
/tmp/orbit-andras/ rw,
/tmp/orbit-andras/* rw,
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Kösz az észrevételt. Javítva.
- A hozzászóláshoz be kell jelentkezni
A dbus-t direkt tiltom meg. Az nélkül nem sokat ér az egész. (Ha kell dbus vagy sokkal lazább szabály, akkor lehet használni a gyárilag szállított FF profilt - nekem egy kimondottan szigorú kell, valószínűleg még ezt is alakítom).
A nevet véletlen hagytam benne.
- A hozzászóláshoz be kell jelentkezni
Azt értem, hogy direkt, de mi okod van erre? Nem ismerem a dbus tényleges funkcióját, pontosabban azt, hogy hol okozhat gondot.
Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)
- A hozzászóláshoz be kell jelentkezni
Korlát nélkül küldhet dbus-on keresztül bármilyen üzenetet bármelyik alkalmazásnak akárki.
Ezen kívül még meg kellene nézni, hogy a capability és network résznél mit lehetne még szűkíteni. Utánaolvashatnál és megírhatnád ha van kedved :)
Illetve tmp résznél segíthetne még valaki, hogy hogyan lehetne tovább szigorítani úgy, hogy még működjön.
- A hozzászóláshoz be kell jelentkezni
Ebben a "korlát nélkül"-ben biztos vagy?
Nekem rémlik valami (nem néztem alaposabban utána), hogy a /etc/dbus-1/... alatt van pár (XML! :D ) konfig, amiben többek közt a jogosultságok is állíthatóak, de tény, hogy csak halvány emlék, semmi konkrétum.
Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)
- A hozzászóláshoz be kell jelentkezni
Biztos, mivel az AppArmor hivatalos doksija írja. Ha van dbus capability, akkor minden alkalmazásnak küldhet üzenetet - persze az operendszer által megengedett kereteken belül.
De az oprendszer meg nem szabályoz semmit a user appjai között - talán még külön userek appjai között sem, ezt nem tudom de nem is érdekes mert saját user nevében futó más appokhoz sem akarom hogy hozzáférjen.
Konktréten lehetne játszani a dbus paramétereivel, de én egyáltalán nem akarok dbus-t.
- A hozzászóláshoz be kell jelentkezni
OK, ez a része már számomra kínai. :)
Én ott elakadtam, hogy elméletileg a firefox-nak is lehet rá szüksége pl. gnome alatt.
Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)
- A hozzászóláshoz be kell jelentkezni
Kellhetne neki pl. a gnome keyring eléréséhez, mert ott tárolná a jelszavakat stb, de ha ez kell valakinek, akkor ahogy írtam is, van gyári profil. De tele van sok sebezhetőnek tűnő résszel.
- A hozzászóláshoz be kell jelentkezni
http://penguindroppings.wordpress.com/2013/10/18/application-isolation-…
Itt írnak valamit arról, hogy hogyan lehet finomítani a dbus hozzáférést, ha jól értem.
Kicsit macerásnak tűnik, viszont képes lehet úgy működni a FF is, hogy közben nem szórja a hibákat folyamatosan.
Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)
- A hozzászóláshoz be kell jelentkezni
Az nem gond ha szórja a hibát, a log kikapcsolható lenne akár - vagy egy deny sor teljesen meg is szünteti az adott szabályhoz tartozó log bejegyzéseket.
Nézegetem, de a dbus akkor is nagy kaput hagy általánosságban szerintem. De cáfolj meg.
- A hozzászóláshoz be kell jelentkezni
Miután ilyen mélységig nem ismerem sem a dbus, sem az apparmor (pláne a 12.04 utáni verziókban lévők) működését, megcáfolni biztosan nem tudlak. :)
Csak valahogy úgy vagyok vele, hogy OK, kell a biztonság, de lehetőleg ne olyan áron, hogy közben az üzemszerű működést is megakadályozzuk, amíg nem konkrét hibát próbálunk kiszűrni.
(tehát pl. letiltom a java plugint, bár ez is része a normál működésnek, de konkrétan tudom, hogy van benne olyan biztonsági lyuk, amit a mai napig nem javítottak. De nem tiltom meg a javascript működését olyan mértékben, hogy ne tudjam könnyen engedélyezni, amint szükség van rá -> noscript)
Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)
- A hozzászóláshoz be kell jelentkezni
Mérlegelje mindenki maga.
Az a baj a biztonságra való törekedéssel, hogy nincs megfelelő kontroll visszajelzés. Tehát állíthatok én akármit akárhogy, ha soha nem lehetek benne biztos hogy, hogy jó-e az amit csináltam. Nincs-e tele rohadt sok hibával, vagy nem lőttem-e túl az igényeimmel úgy, hogy túl engedékenyre állítottam.
Jelen esetben nekem nem kell dbus és minél szigorúbb szabályt akarok. Ugyanis ilyen _nincs_. Tehát engedékenyebbet tudsz a gyárival vagy ki is lehet kapcsolni, de ha én inkább a szigorúbb felé lennék hajlandó mozdulni, akkor nincs.
Ezért én a túlsó vége felé billenő összeállítást szeretnék csinálni.
A böngésző nagyon fontos, és ez az elsődleges támadott felület. Sok fontos céges adatot hordozok a gépemen, ezért szeretném a lehetőségekhez mérten maximálisan bezárni a böngészőt - persze úgy hogy még használható legyen. A fenti profillal eddig teljes mértékben működik az indításkor felbukkanó dbus sirás ablakát kivéve, de ez nekem megfelelő.
- A hozzászóláshoz be kell jelentkezni
Valami teljesítmény-visszaesést érzékeltél a használatakor?
-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)
- A hozzászóláshoz be kell jelentkezni
Nem, semmit. Meg nem is hiszem hogy észrevehetőnek kellene lennie.
Szerk.: SubSpider JS test - kikapcsolt AA = 310 ms, bekapcsolt AA = 309 és 311 ms között.
- A hozzászóláshoz be kell jelentkezni
DBus-ilag itt indulj neki az olvasásnak.
- A hozzászóláshoz be kell jelentkezni
Kezdem hinni, hogy még nem hülyültem el annyira, mint képzeltem.
Kb. negyedóra-félóra alatt ennyit sikerült összeszednem a neten talált anyagokból, meg a konfig fájlokból a témáról. :)
(na jó, nem mindent, de amit így átfutva a szövegen kivettem belőle)
Köszi, azért érdekes olvasmány ez is.
(kicsit elmélyedve benne, azért bővebb, mint amit délután összeolvastam)
Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)
- A hozzászóláshoz be kell jelentkezni
Ez tetszik, köszi! :)
-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)
- A hozzászóláshoz be kell jelentkezni
Közben utánanéztem sys_ptrace-nek:
"The current kernel requires the SYS_PTRACE capability, if a process tries to access files in /proc/pid/fd/*. New profiles need an entry for the file and the capability where old profiles only needed the file entry."
Akkor ez marad. Jó lenne még kideríteni, hogy van-e valamilyen PID változó, hogy a proc-ban csak a saját PID-jéhez tartozó adatokban turkálhasson a folyamat.
- A hozzászóláshoz be kell jelentkezni
Úgy látom PID-re nem lesz egylőre megoldás:
https://lists.ubuntu.com/archives/apparmor/2011-September/001503.html
Akkor még a tmp bejegyzéseket kellene rendbe rakni. A lib meg usr/share meg hansonlók rendben vannak.
- A hozzászóláshoz be kell jelentkezni
Erre feliratkozom!
--
Ingyenes Ubuntu One tárhely:
https://one.ubuntu.com/referrals/referee/170278/
- A hozzászóláshoz be kell jelentkezni
Az jo, es honnan lesz gui isolation? ;)
- A hozzászóláshoz be kell jelentkezni
Az nem lesz. Esetleg Xephyr-t még megnézem ahogy RHEL sandbox-a csinálja.
- A hozzászóláshoz be kell jelentkezni
Úgy látom csak kb. ennyi:
$ Xephyr -screen 1000x700 :1 &
$ DISPLAY=:1 firefox
Még játszadozok vele.
- A hozzászóláshoz be kell jelentkezni
ablak átméretezése működik?
- A hozzászóláshoz be kell jelentkezni
Nézegetem a 12.04-ben gyárilag meglevő profile-t és néhány dolgot nagyon nem értek a tiéddel kapcsolatban:
- miért a firefox.sh-ra adod meg mindezt? És ha valaki a binárist indítja a wrapper script nélkül? (egyáltalán működik shell scriptekre az apparmor?)
- azok a /home/*/ és ehhez hasonló, csillagot tartalmazó sorok... Mi van, ha valakinek nem a /home alatt van a home-ja? Mi van, ha aki ellen védekezni próbálsz, root joghoz jut? Akkor simán hozzáfér más userek home-jához is.
(nálam valami ilyen van a home-beli fájlokhoz: owner @{HOME}/.local/share/applications/defaults.list r,)
Találtam egy ilyen kommentet:
# These are needed when a new user starts firefox and firefox.sh is used
Kipróbáltad a saját profile-odat olyan user alól, aki még nem futtatta korábban a FF-t?
Vagy valamit félreértettem és ezt nem az eredeti helyett, hanem abba include-olva kellene felhasználni?
Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)
- A hozzászóláshoz be kell jelentkezni
A firefox.sh-t az AppArmor vette alapul a aa-genprof futtatásakor. A programot én indítom és nem valaki, én meg tudom mit indítok. A porfilt magamnak készítettem elsősorban. Más dolog nem nagyon érdekel mivel egyszerű, könnyű módosítani.
A /home-ot direkt használom a változó helyett. Include és változó nélküli profilt akartam _magamnak_. Akinek nem a /home a home-ja, az így járt.
- A hozzászóláshoz be kell jelentkezni
az a @{HOME} tulkepp egy /home/*/ valahol az etc/apparmor* konyvtarak melyen, vagyis az apparmor nem azt akadalyozza meg hogy a bela ne tudjon irni a /home/gizi konyvtarba, hanem hogy mashova ne tudjon irni. csak az owner jelent egy plusz megkotest, hogy a fajl tulajnak a futtato usernek kell lennie.
A lucid-ben ilyen a profil sor: /usr/lib/firefox/firefox{,*[^s][^h]}
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Közben 13.04-hez is leteszteltem + néhány kiegészítés meg fix.
- A hozzászóláshoz be kell jelentkezni