From: Maxim Tyurin <mrkooll@bungarus.info> To: ALT Linux Community <community@lists.altlinux.org> Subject: Re: [Comm] user apps security Date: Fri, 07 Jul 2006 12:06:39 +0300 Message-ID: <m38xn5ain4.fsf@mrkooll.tdr.pibhe.com> (raw) In-Reply-To: <20060707114220.347909f5@linux.site> (Grigory Tuboltsev's message of "Fri, 7 Jul 2006 11:42:20 +0400") Grigory Tuboltsev writes: > У меня несколько "юзерских" вопросов про безопасность: > > 1. Если я правильно понимаю, тот факт, что приложения исполняются не > из-под рута, говорит лишь о том, что "захваченное" вирусом или > нападющим пользовательское приложение не может получить права рута и > полный контроль над системой. Однако такое приложение > а) получает > доступ к о всем файлам того пользователя, из-под которого оно запущено. > Оно может прочитать, стереть, послать нападающему и т.д. как минимум > все данные в домашнем каталоге этого пользователя. Обратиться к любому > узлу в инете. Разослать спам, или поучаствовать в бот-сети, или стать > перевалочной станцией для атаки на другие хосты. Правильно понимаете. Но демоны работают под псевдопользователями. Так что рассматривать в таком ключе нужно только пользовательские приложения. > Незачем искать пароль > рута - на рабочей станции работает обычно один человек и все его > документы обычно в одном лишь домашнем каталоге того юзера, из-под > которого запускаются потенциально опасные программы. "Невзламываемость" > файрфокса, мозиллы, конкверора, оперы и прочих, думаю, уже никто из > здравомыслящих людей не воспринимает всерьёз. firefox, openoffice, .... можно запускать в hasher > б)захваченное приложение может запустить > локальный клавиатурный сниффер из-под этого пользователя, перехватив > все его пароли к почте, гпг-ключам, и проч., в т.ч. пароль, вводимый > из-под su , пароли, вводимые при telnet к другим хостам и т.п. > в) захваченное приложение может таки получить доступ к руту, > воспользовавшись одной из свежих local-root уязвимостей, которые нельзя > применить издалека, а при наличии локального шелла - запросто. > > 2. Если я прав хотя бы в пункте "а", то у меня возникает вопрос. Как бы > мне средствами rsbac (?), novell appArmor (?) или другими устроить для > всех потенциально опасных пользовательских приложений локальную > "клетку", jail. Самые опасные: броузер, почтовая программа, фтп-клиент, > аська, клиенты файлообменников и вообще всё, что общается с сетью. Плюс > то, что работает с полученными из внешнего мира документами - ОпенОффис > и т.п. Очень хочется, например, броузеру, запретить абсолютно всё, > кроме > 1) ходить в инет через порты х, у, z > 2) читать/писать в один > отдельный каталог + читать свой конф. файл. Доступ ко всем другим > каталогам запретить даже на чтение. Запускай в hasher. Порты можно ограничить iptables > То же самое с ОпенОффис - в свете последних уязвимостей захват > ОпенОффиса вирусом перестал быть фантастикой. Что для этого нужно ? > Кто-нибудь уже это делал ? Я так понимаю, надо брать каждое отдельное > приложение и как-то выяснять его стандартное поведение, составлять > профиль ? Кто уже решал задачку по сочетанию одной из вышеупомянутых > систем с X-ами ? МСВС не предлагать - они вряд ли станут с нами > делиться наработками :) Работа по совмещению X и RSBAC это очень большая работа. Про реализованную систему которая была бы при этом еще и достаточно универсальной я не слышал. > 3. Как (и какими средствами) запретить всем локальным приложениям > ходить в интернет ? Как бы так сделать,чтобы "всем нельзя в интернет, а > вот этому конкретному бинарнику можно, но только после проверки его md5 > и только вот на этот порт, и то только с трех до шести вечера" :) Мне, > например, совсем не нравится когда свежеустановленное приложение при > первом запуске радостно без спросу лезет в сеть и где-то там что-то > регистрирует. Откуда я знаю,что оно не мой секретный ключ отсылает > кому-то ? :) Если с гнутыми прораммами ещё есть какая-то уверенность, > то с проприетарными, которые - alas! - иногда всё же приходится > устанавливать, никакой уверенности нету. Запускайте закрытый софт под отдельным пользователем. > 4. Есть ли хоть какой-то удобоваримый гуй для создания шифрованных > партиций\контейнеров наподобие pgp disk ? Желательно на GTK... Я знаю, > что можно пошаманить с losetup, но хочется гуй... > я не админ, я юзер, В свете этой фразы про rsbac, SELinux и т.п. можно смело забыть > мне мышкокнопочки нужны. В сузе есть такой довольно кривой гуй в рамках > Yast но у меня он не работает. Насчет шифрованных разделов - у нас пользователи без проблем используют encfs. Несмотря на консольность сего действа. > Хотелось бы дискуссии на этот счёт... а если есть готовые решения, > пожалуйста, ткните в нужные ссылки. -- With Best Regards, Maxim Tyurin JID: MrKooll@jabber.pibhe.com ___ / _ )__ _____ ___ ____ _______ _____ / _ / // / _ \/ _ `/ _ `/ __/ // (_-< /____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/ /___/
next prev parent reply other threads:[~2006-07-07 9:06 UTC|newest] Thread overview: 13+ messages / expand[flat|nested] mbox.gz Atom feed top 2006-07-07 7:42 Grigory Tuboltsev 2006-07-07 8:53 ` Мерзляков Евгений Анатольевич 2006-07-07 9:06 ` Alexey I. Froloff 2006-07-07 9:32 ` Мерзляков Евгений Анатольевич 2006-07-07 9:33 ` Шенцев Алексей Владимирович 2006-07-07 9:36 ` Шенцев Алексей Владимирович 2006-07-07 9:36 ` Шенцев Алексей Владимирович 2006-07-07 9:58 ` [Comm] user apps security [JT] Мерзляков Евгений Анатольевич 2006-07-07 10:03 ` Шенцев Алексей Владимирович 2006-07-07 10:16 ` Мерзляков Евгений Анатольевич 2006-07-07 19:41 ` [Comm] user apps security ABATAPA 2006-07-07 9:06 ` Maxim Tyurin [this message] 2006-07-07 19:45 ` ABATAPA
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=m38xn5ain4.fsf@mrkooll.tdr.pibhe.com \ --to=mrkooll@bungarus.info \ --cc=community@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git