From: Grigory Tuboltsev <gtubolcev@newmail.ru> To: ALT Linux Community <community@lists.altlinux.org> Subject: [Comm] user apps security Date: Fri, 7 Jul 2006 11:42:20 +0400 Message-ID: <20060707114220.347909f5@linux.site> (raw) У меня несколько "юзерских" вопросов про безопасность: 1. Если я правильно понимаю, тот факт, что приложения исполняются не из-под рута, говорит лишь о том, что "захваченное" вирусом или нападющим пользовательское приложение не может получить права рута и полный контроль над системой. Однако такое приложение а) получает доступ к о всем файлам того пользователя, из-под которого оно запущено. Оно может прочитать, стереть, послать нападающему и т.д. как минимум все данные в домашнем каталоге этого пользователя. Обратиться к любому узлу в инете. Разослать спам, или поучаствовать в бот-сети, или стать перевалочной станцией для атаки на другие хосты. Незачем искать пароль рута - на рабочей станции работает обычно один человек и все его документы обычно в одном лишь домашнем каталоге того юзера, из-под которого запускаются потенциально опасные программы. "Невзламываемость" файрфокса, мозиллы, конкверора, оперы и прочих, думаю, уже никто из здравомыслящих людей не воспринимает всерьёз. б)захваченное приложение может запустить локальный клавиатурный сниффер из-под этого пользователя, перехватив все его пароли к почте, гпг-ключам, и проч., в т.ч. пароль, вводимый из-под su , пароли, вводимые при telnet к другим хостам и т.п. в) захваченное приложение может таки получить доступ к руту, воспользовавшись одной из свежих local-root уязвимостей, которые нельзя применить издалека, а при наличии локального шелла - запросто. 2. Если я прав хотя бы в пункте "а", то у меня возникает вопрос. Как бы мне средствами rsbac (?), novell appArmor (?) или другими устроить для всех потенциально опасных пользовательских приложений локальную "клетку", jail. Самые опасные: броузер, почтовая программа, фтп-клиент, аська, клиенты файлообменников и вообще всё, что общается с сетью. Плюс то, что работает с полученными из внешнего мира документами - ОпенОффис и т.п. Очень хочется, например, броузеру, запретить абсолютно всё, кроме 1) ходить в инет через порты х, у, z 2) читать/писать в один отдельный каталог + читать свой конф. файл. Доступ ко всем другим каталогам запретить даже на чтение. То же самое с ОпенОффис - в свете последних уязвимостей захват ОпенОффиса вирусом перестал быть фантастикой. Что для этого нужно ? Кто-нибудь уже это делал ? Я так понимаю, надо брать каждое отдельное приложение и как-то выяснять его стандартное поведение, составлять профиль ? Кто уже решал задачку по сочетанию одной из вышеупомянутых систем с X-ами ? МСВС не предлагать - они вряд ли станут с нами делиться наработками :) 3. Как (и какими средствами) запретить всем локальным приложениям ходить в интернет ? Как бы так сделать,чтобы "всем нельзя в интернет, а вот этому конкретному бинарнику можно, но только после проверки его md5 и только вот на этот порт, и то только с трех до шести вечера" :) Мне, например, совсем не нравится когда свежеустановленное приложение при первом запуске радостно без спросу лезет в сеть и где-то там что-то регистрирует. Откуда я знаю,что оно не мой секретный ключ отсылает кому-то ? :) Если с гнутыми прораммами ещё есть какая-то уверенность, то с проприетарными, которые - alas! - иногда всё же приходится устанавливать, никакой уверенности нету. 4. Есть ли хоть какой-то удобоваримый гуй для создания шифрованных партиций\контейнеров наподобие pgp disk ? Желательно на GTK... Я знаю, что можно пошаманить с losetup, но хочется гуй... я не админ, я юзер, мне мышкокнопочки нужны. В сузе есть такой довольно кривой гуй в рамках Yast но у меня он не работает. Хотелось бы дискуссии на этот счёт... а если есть готовые решения, пожалуйста, ткните в нужные ссылки. Заранее спасибо, С уважением, Григорий Тубольцев.
next reply other threads:[~2006-07-07 7:42 UTC|newest] Thread overview: 13+ messages / expand[flat|nested] mbox.gz Atom feed top 2006-07-07 7:42 Grigory Tuboltsev [this message] 2006-07-07 8:53 ` Мерзляков Евгений Анатольевич 2006-07-07 9:06 ` Alexey I. Froloff 2006-07-07 9:32 ` Мерзляков Евгений Анатольевич 2006-07-07 9:33 ` Шенцев Алексей Владимирович 2006-07-07 9:36 ` Шенцев Алексей Владимирович 2006-07-07 9:36 ` Шенцев Алексей Владимирович 2006-07-07 9:58 ` [Comm] user apps security [JT] Мерзляков Евгений Анатольевич 2006-07-07 10:03 ` Шенцев Алексей Владимирович 2006-07-07 10:16 ` Мерзляков Евгений Анатольевич 2006-07-07 19:41 ` [Comm] user apps security ABATAPA 2006-07-07 9:06 ` Maxim Tyurin 2006-07-07 19:45 ` ABATAPA
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20060707114220.347909f5@linux.site \ --to=gtubolcev@newmail.ru \ --cc=community@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git