From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: To: ALT Linux Community References: <20060707114220.347909f5@linux.site> X-Request-PGP: x-hkp://random.sks.keyserver.penguin.de X-PGP-KeyID: 4A101D3B From: Maxim Tyurin Date: Fri, 07 Jul 2006 12:06:39 +0300 In-Reply-To: <20060707114220.347909f5@linux.site> (Grigory Tuboltsev's message of "Fri, 7 Jul 2006 11:42:20 +0400") Message-ID: User-Agent: Gnus/5.11 (Gnus v5.11) Emacs/22.0.50 (gnu/linux) MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit Subject: Re: [Comm] user apps security X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.7 Precedence: list Reply-To: ALT Linux Community List-Id: ALT Linux Community List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 07 Jul 2006 09:06:50 -0000 Archived-At: List-Archive: List-Post: Grigory Tuboltsev writes: > У меня несколько "юзерских" вопросов про безопасность: > > 1. Если я правильно понимаю, тот факт, что приложения исполняются не > из-под рута, говорит лишь о том, что "захваченное" вирусом или > нападющим пользовательское приложение не может получить права рута и > полный контроль над системой. Однако такое приложение > а) получает > доступ к о всем файлам того пользователя, из-под которого оно запущено. > Оно может прочитать, стереть, послать нападающему и т.д. как минимум > все данные в домашнем каталоге этого пользователя. Обратиться к любому > узлу в инете. Разослать спам, или поучаствовать в бот-сети, или стать > перевалочной станцией для атаки на другие хосты. Правильно понимаете. Но демоны работают под псевдопользователями. Так что рассматривать в таком ключе нужно только пользовательские приложения. > Незачем искать пароль > рута - на рабочей станции работает обычно один человек и все его > документы обычно в одном лишь домашнем каталоге того юзера, из-под > которого запускаются потенциально опасные программы. "Невзламываемость" > файрфокса, мозиллы, конкверора, оперы и прочих, думаю, уже никто из > здравомыслящих людей не воспринимает всерьёз. firefox, openoffice, .... можно запускать в hasher > б)захваченное приложение может запустить > локальный клавиатурный сниффер из-под этого пользователя, перехватив > все его пароли к почте, гпг-ключам, и проч., в т.ч. пароль, вводимый > из-под su , пароли, вводимые при telnet к другим хостам и т.п. > в) захваченное приложение может таки получить доступ к руту, > воспользовавшись одной из свежих local-root уязвимостей, которые нельзя > применить издалека, а при наличии локального шелла - запросто. > > 2. Если я прав хотя бы в пункте "а", то у меня возникает вопрос. Как бы > мне средствами rsbac (?), novell appArmor (?) или другими устроить для > всех потенциально опасных пользовательских приложений локальную > "клетку", jail. Самые опасные: броузер, почтовая программа, фтп-клиент, > аська, клиенты файлообменников и вообще всё, что общается с сетью. Плюс > то, что работает с полученными из внешнего мира документами - ОпенОффис > и т.п. Очень хочется, например, броузеру, запретить абсолютно всё, > кроме > 1) ходить в инет через порты х, у, z > 2) читать/писать в один > отдельный каталог + читать свой конф. файл. Доступ ко всем другим > каталогам запретить даже на чтение. Запускай в hasher. Порты можно ограничить iptables > То же самое с ОпенОффис - в свете последних уязвимостей захват > ОпенОффиса вирусом перестал быть фантастикой. Что для этого нужно ? > Кто-нибудь уже это делал ? Я так понимаю, надо брать каждое отдельное > приложение и как-то выяснять его стандартное поведение, составлять > профиль ? Кто уже решал задачку по сочетанию одной из вышеупомянутых > систем с X-ами ? МСВС не предлагать - они вряд ли станут с нами > делиться наработками :) Работа по совмещению X и RSBAC это очень большая работа. Про реализованную систему которая была бы при этом еще и достаточно универсальной я не слышал. > 3. Как (и какими средствами) запретить всем локальным приложениям > ходить в интернет ? Как бы так сделать,чтобы "всем нельзя в интернет, а > вот этому конкретному бинарнику можно, но только после проверки его md5 > и только вот на этот порт, и то только с трех до шести вечера" :) Мне, > например, совсем не нравится когда свежеустановленное приложение при > первом запуске радостно без спросу лезет в сеть и где-то там что-то > регистрирует. Откуда я знаю,что оно не мой секретный ключ отсылает > кому-то ? :) Если с гнутыми прораммами ещё есть какая-то уверенность, > то с проприетарными, которые - alas! - иногда всё же приходится > устанавливать, никакой уверенности нету. Запускайте закрытый софт под отдельным пользователем. > 4. Есть ли хоть какой-то удобоваримый гуй для создания шифрованных > партиций\контейнеров наподобие pgp disk ? Желательно на GTK... Я знаю, > что можно пошаманить с losetup, но хочется гуй... > я не админ, я юзер, В свете этой фразы про rsbac, SELinux и т.п. можно смело забыть > мне мышкокнопочки нужны. В сузе есть такой довольно кривой гуй в рамках > Yast но у меня он не работает. Насчет шифрованных разделов - у нас пользователи без проблем используют encfs. Несмотря на консольность сего действа. > Хотелось бы дискуссии на этот счёт... а если есть готовые решения, > пожалуйста, ткните в нужные ссылки. -- With Best Regards, Maxim Tyurin JID: MrKooll@jabber.pibhe.com ___ / _ )__ _____ ___ ____ _______ _____ / _ / // / _ \/ _ `/ _ `/ __/ // (_-< /____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/ /___/