[Comm] user apps security

[Comm] user apps security

[Grigory Tuboltsev]

У меня несколько "юзерских" вопросов про безопасность:

1. Если я правильно понимаю, тот факт, что приложения исполняются не
из-под рута, говорит лишь о том, что "захваченное" вирусом или
нападющим пользовательское приложение не может получить права рута и
полный контроль над системой. Однако такое  приложение 
а) получает
доступ к о всем файлам того пользователя, из-под которого оно запущено.
Оно может прочитать, стереть, послать нападающему и т.д. как минимум
все данные в домашнем каталоге этого пользователя. Обратиться к любому
узлу в инете. Разослать спам, или поучаствовать в бот-сети, или стать
перевалочной станцией для атаки на другие хосты. Незачем искать пароль
рута - на рабочей станции работает обычно один человек и все его
документы обычно в одном лишь домашнем каталоге того юзера, из-под
которого запускаются потенциально опасные программы. "Невзламываемость"
файрфокса, мозиллы, конкверора, оперы и прочих, думаю, уже никто из
здравомыслящих людей не воспринимает всерьёз. 
б)захваченное приложение может запустить
локальный клавиатурный сниффер из-под этого пользователя, перехватив
все его пароли к почте, гпг-ключам, и проч., в т.ч. пароль, вводимый
из-под su , пароли, вводимые при telnet к другим хостам и т.п. 
в) захваченное приложение может таки получить доступ к руту,
воспользовавшись одной из свежих local-root уязвимостей, которые нельзя
применить издалека, а при наличии локального шелла - запросто.

2. Если я прав хотя бы в пункте "а", то у меня возникает вопрос. Как бы
мне средствами rsbac (?), novell appArmor (?) или другими устроить для
всех потенциально опасных пользовательских приложений локальную
"клетку", jail. Самые опасные: броузер, почтовая программа, фтп-клиент,
аська, клиенты файлообменников и вообще всё, что общается с сетью. Плюс
то, что работает с полученными из внешнего мира документами - ОпенОффис
и т.п. Очень хочется, например, броузеру, запретить абсолютно всё,
кроме 
1) ходить в инет через порты х, у, z  
2) читать/писать в один
отдельный каталог + читать свой конф. файл. Доступ ко всем другим
каталогам запретить даже на чтение.  
То же самое с ОпенОффис - в свете последних уязвимостей захват
ОпенОффиса вирусом перестал быть фантастикой. Что для этого нужно ?
Кто-нибудь уже это делал ? Я так понимаю, надо брать каждое отдельное
приложение и как-то выяснять его стандартное поведение, составлять
профиль ? Кто уже решал задачку по сочетанию одной из вышеупомянутых
систем с X-ами ? МСВС не предлагать - они вряд ли станут с нами
делиться наработками :)

3. Как (и какими средствами) запретить всем локальным приложениям
ходить в интернет ? Как бы так сделать,чтобы "всем нельзя в интернет, а
вот этому конкретному бинарнику можно, но только после проверки его md5
и только вот на этот порт, и то только с трех до шести вечера" :) Мне,
например, совсем не нравится когда свежеустановленное приложение при
первом запуске радостно без спросу лезет в сеть и где-то там что-то
регистрирует. Откуда я знаю,что оно не мой секретный ключ отсылает
кому-то ? :) Если с гнутыми прораммами ещё есть какая-то уверенность,
то с проприетарными, которые - alas! - иногда всё же приходится
устанавливать, никакой уверенности нету.

4. Есть ли хоть какой-то удобоваримый гуй для создания шифрованных
партиций\контейнеров наподобие pgp disk ? Желательно на GTK...  Я знаю,
что можно пошаманить с losetup, но хочется гуй... я не админ, я юзер,
мне мышкокнопочки нужны. В сузе есть такой довольно кривой гуй в рамках
Yast но у меня он не работает.

Хотелось бы дискуссии на этот счёт... а если есть готовые решения,
пожалуйста, ткните в нужные ссылки.

Заранее спасибо, 
С уважением,
Григорий Тубольцев.

Re: [Comm] user apps security

[Мерзляков Евгений Анатольевич]

On Fri, 7 Jul 2006 11:42:20 +0400
Grigory Tuboltsev <gtubolcev@newmail.ru> wrote:

> всех потенциально опасных пользовательских приложений локальную
> "клетку", jail. Самые опасные: броузер, почтовая программа, фтп-клиент,
> аська, клиенты файлообменников и вообще всё, что общается с сетью.

эти программы наверное можно попробовать запустить в chroot, это только
предположение, я сам так делать не пробовал, но думаю, что должно сработать

-- 
Мерзляков Е.А.                                           icq: #115657846
ПКБ Акустика

Re: [Comm] user apps security

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 493 bytes --]

* Мерзляков Евгений Анатольевич <hj@> [060707 12:50]:
> эти программы наверное можно попробовать запустить в chroot, это только
> предположение, я сам так делать не пробовал, но думаю, что должно сработать
Это, кстати, позволяет делать hasher начиная с версиии
1.0.17-alt1.  См. hsh-run(1), hsh-install(1).

-- 
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
-------------------------------------------
  Inform-Mobil, Ltd. System Administrator
       http://www.inform-mobil.ru/

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] user apps security

[Мерзляков Евгений Анатольевич]

On Fri, 7 Jul 2006 13:06:15 +0400
"Alexey I. Froloff" <raorn@immo.ru> wrote:

> Это, кстати, позволяет делать hasher начиная с версиии
> 1.0.17-alt1.  См. hsh-run(1), hsh-install(1).

у меня к сожаления не альтлинукс, поэтому я не могу оценить все его прелести и
удбства :(

-- 
Мерзляков Е.А.                                           icq: #115657846
ПКБ Акустика

Re: [Comm] user apps security

[Шенцев Алексей Владимирович]

В сообщении от 7 июля 2006 13:32 Мерзляков Евгений Анатольевич написал(a):
> у меня к сожаления не альтлинукс, поэтому я не могу оценить все его
> прелести и удбства :(

-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

Re: [Comm] user apps security

[Шенцев Алексей Владимирович]

В сообщении от 7 июля 2006 13:33 Шенцев Алексей Владимирович написал(a):
> В сообщении от 7 июля 2006 13:32 Мерзляков Евгений Анатольевич написал(a):
> > у меня к сожаления не альтлинукс, поэтому я не могу оценить все его
> > прелести и удбства :(
Пардон, не ту кнопку нажал ... :)
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

Re: [Comm] user apps security

[Шенцев Алексей Владимирович]

В сообщении от 7 июля 2006 13:32 Мерзляков Евгений Анатольевич написал(a):
> у меня к сожаления не альтлинукс, 
Что ж, на самом деле жаль.
> поэтому я не могу оценить все его 
> прелести и удбства :(
А так же его множество не достатков, которые есть, без них ни куда не 
денешься, но для меня они перевешиваются его плюсами ... :)
А почему бы вам ради пробы не попробывать поставить себе ALC30 или, например, 
поробывать тот же ALC30 в режиме TravelCD ?
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

Re: [Comm] user apps security [JT]

[Мерзляков Евгений Анатольевич]

On Fri, 7 Jul 2006 13:36:08 +0400
Шенцев Алексей Владимирович <ashen@nsrz.ru> wrote:

> А так же его множество не достатков, которые есть, без них ни куда не 
> денешься, но для меня они перевешиваются его плюсами ... :)
> А почему бы вам ради пробы не попробывать поставить себе ALC30 или, например, 
> поробывать тот же ALC30 в режиме TravelCD ?

1. Лениво
2. Сейчас пока нет времени
3. Нету дистрибутива в наличии (специально искать лениво)
4. Меня пока устраивает тот дистрибутив, которым я пользуюсь

Но, как только условия 2 и 3 выполнятся, я посмотрю что это за зверь такой
А если перестанет выполняться условие 4 я может даже им пользоваться начну :)

-- 
Мерзляков Е.А.                                           icq: #115657846
ПКБ Акустика

Re: [Comm] user apps security [JT]

[Шенцев Алексей Владимирович]

В сообщении от 7 июля 2006 13:58 Мерзляков Евгений Анатольевич написал(a):
> 1. Лениво
> 2. Сейчас пока нет времени
> 3. Нету дистрибутива в наличии (специально искать лениво)
> 4. Меня пока устраивает тот дистрибутив, которым я пользуюсь
>
> Но, как только условия 2 и 3 выполнятся, я посмотрю что это за зверь такой
> А если перестанет выполняться условие 4 я может даже им пользоваться начну
> :)
Самое главное - лень матушка вперёд вас родилась .... :)
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

Re: [Comm] user apps security [JT]

[Мерзляков Евгений Анатольевич]

On Fri, 7 Jul 2006 14:03:06 +0400
Шенцев Алексей Владимирович <ashen@nsrz.ru> wrote:

> Самое главное - лень матушка вперёд вас родилась .... :)

Эт точно :)

-- 
Мерзляков Е.А.                                           icq: #115657846
ПКБ Акустика

Re: [Comm] user apps security

[ABATAPA]

7 июля 2006 13:32, Мерзляков Евгений Анатольевич написал:
> у меня к сожаления не альтлинукс, поэтому я не могу оценить все его
> прелести и удбства :(
Этот список _пользователей_ AltLinux, а не общий всех пользователей Linux. 
Вы читали на что подписывались?!

Для ограничения доступа _отдельных_ программ есть масса расширений модели 
безопастности Linux, в некоторых из них можно указать список объектов, к 
которым разрешен доступ, и разрешенные к ним операции. А "выносить" в 
chroot/VM/vserver/etc _отдельную_ задачу нельзя, т.к. любое приложение 
потянет массу зависимостей - библиотеку, окружение... Ну как Вы запустите 
KMail без KDE (или его части)?!
Так что тут немного пахнет утопией...


-- 
ABATAPA

Re: [Comm] user apps security

[Maxim Tyurin]

Grigory Tuboltsev writes:

> У меня несколько "юзерских" вопросов про безопасность:
>
> 1. Если я правильно понимаю, тот факт, что приложения исполняются не
> из-под рута, говорит лишь о том, что "захваченное" вирусом или
> нападющим пользовательское приложение не может получить права рута и
> полный контроль над системой. Однако такое  приложение 
> а) получает
> доступ к о всем файлам того пользователя, из-под которого оно запущено.
> Оно может прочитать, стереть, послать нападающему и т.д. как минимум
> все данные в домашнем каталоге этого пользователя. Обратиться к любому
> узлу в инете. Разослать спам, или поучаствовать в бот-сети, или стать
> перевалочной станцией для атаки на другие хосты. 

Правильно понимаете. Но демоны работают под псевдопользователями.
Так что рассматривать в таком ключе нужно только пользовательские
приложения. 

> Незачем искать пароль
> рута - на рабочей станции работает обычно один человек и все его
> документы обычно в одном лишь домашнем каталоге того юзера, из-под
> которого запускаются потенциально опасные программы. "Невзламываемость"
> файрфокса, мозиллы, конкверора, оперы и прочих, думаю, уже никто из
> здравомыслящих людей не воспринимает всерьёз. 

firefox, openoffice, .... можно запускать в hasher

> б)захваченное приложение может запустить
> локальный клавиатурный сниффер из-под этого пользователя, перехватив
> все его пароли к почте, гпг-ключам, и проч., в т.ч. пароль, вводимый
> из-под su , пароли, вводимые при telnet к другим хостам и т.п. 
> в) захваченное приложение может таки получить доступ к руту,
> воспользовавшись одной из свежих local-root уязвимостей, которые нельзя
> применить издалека, а при наличии локального шелла - запросто.
>
> 2. Если я прав хотя бы в пункте "а", то у меня возникает вопрос. Как бы
> мне средствами rsbac (?), novell appArmor (?) или другими устроить для
> всех потенциально опасных пользовательских приложений локальную
> "клетку", jail. Самые опасные: броузер, почтовая программа, фтп-клиент,
> аська, клиенты файлообменников и вообще всё, что общается с сетью. Плюс
> то, что работает с полученными из внешнего мира документами - ОпенОффис
> и т.п. Очень хочется, например, броузеру, запретить абсолютно всё,
> кроме 
> 1) ходить в инет через порты х, у, z  
> 2) читать/писать в один
> отдельный каталог + читать свой конф. файл. Доступ ко всем другим
> каталогам запретить даже на чтение.  

Запускай в hasher. Порты можно ограничить iptables

> То же самое с ОпенОффис - в свете последних уязвимостей захват
> ОпенОффиса вирусом перестал быть фантастикой. Что для этого нужно ?
> Кто-нибудь уже это делал ? Я так понимаю, надо брать каждое отдельное
> приложение и как-то выяснять его стандартное поведение, составлять
> профиль ? Кто уже решал задачку по сочетанию одной из вышеупомянутых
> систем с X-ами ? МСВС не предлагать - они вряд ли станут с нами
> делиться наработками :)

Работа по совмещению X и RSBAC это очень большая работа.
Про реализованную систему которая была бы при этом еще и достаточно
универсальной я не слышал.

> 3. Как (и какими средствами) запретить всем локальным приложениям
> ходить в интернет ? Как бы так сделать,чтобы "всем нельзя в интернет, а
> вот этому конкретному бинарнику можно, но только после проверки его md5
> и только вот на этот порт, и то только с трех до шести вечера" :) Мне,
> например, совсем не нравится когда свежеустановленное приложение при
> первом запуске радостно без спросу лезет в сеть и где-то там что-то
> регистрирует. Откуда я знаю,что оно не мой секретный ключ отсылает
> кому-то ? :) Если с гнутыми прораммами ещё есть какая-то уверенность,
> то с проприетарными, которые - alas! - иногда всё же приходится
> устанавливать, никакой уверенности нету.

Запускайте закрытый софт под отдельным пользователем.

> 4. Есть ли хоть какой-то удобоваримый гуй для создания шифрованных
> партиций\контейнеров наподобие pgp disk ? Желательно на GTK...  Я знаю,
> что можно пошаманить с losetup, но хочется гуй... 
> я не админ, я юзер,

В свете этой фразы про rsbac, SELinux и т.п. можно смело забыть

> мне мышкокнопочки нужны. В сузе есть такой довольно кривой гуй в рамках
> Yast но у меня он не работает.

Насчет шифрованных разделов - у нас пользователи без проблем
используют encfs. Несмотря на консольность сего действа.


> Хотелось бы дискуссии на этот счёт... а если есть готовые решения,
> пожалуйста, ткните в нужные ссылки.

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [Comm] user apps security

[ABATAPA]

7 июля 2006 11:42, Grigory Tuboltsev написал:
> 4. Есть ли хоть какой-то удобоваримый гуй для создания шифрованных
> партиций\контейнеров наподобие pgp disk ? Желательно на GTK...  Я знаю,
> что можно пошаманить с losetup, но хочется гуй... я не админ, я юзер,
> мне мышкокнопочки нужны. В сузе есть такой довольно кривой гуй в рамках
> Yast но у меня он не работает.
У Вас, помнится, даже не AltLinux (хотя Вы пишите в этот список рассылки), вот 
Вы и Yast упомянули... А в репозитарии _своего дистрибутива_искать не 
пробовали? А то Вам сейчас скажут, что _в AltLinux_ есть то-то, а Вы 
потом: "Как скачать?", и т.д.
А на sourceforge.net? freshmeat.net?

-- 
ABATAPA