| |
| 2.18, Аноним (18), 14:23, 12/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
# Prerequisites:
# - the firejail setuid-root binary needs to be installed and accessible to the
# invoking user
| | |
| 2.39, Аноним (-), 20:38, 12/06/2022 [^] [^^] [^^^] [ответить]
| +14 +/– |
Ты должен был ИЗОЛИРОВАТЬ приложения, а не давать доступ к руту!!!
| | |
|
| |
| 2.15, Аноним (15), 13:29, 12/06/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Классический юниксовый подход - чтобы снизить привилегии, нужно сначала их получить.
Поэтому традиционно демоны стартуют из-под рута, выполняют привилегированные операции (socket bind, chroot и т.д.) и только после этого сбрасывают привилегии. И если их ломануть на этой стадии - получим рута.
Со всяческими "изоляторами" - ровно то же самое. Чтобы нормально заизолировать процесс, то есть настроить namespaces, cgroups и прочее - нужно иметь рута.
Простая аналогия из мира людей: государственная система, эффективно борющаяся с коррупцией, легко уязвима для госпереворота.
| | |
|
| 1.5, Роман (??), 11:29, 12/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Нормально всё - детские болезни вылазят просто. Линукс лезет к конечному пользователю (desktop, laptop ), набивают шишки.
Фряха не лезет и не страдает от такого (ну там конечно будет позже вопрос кто остался на фряхе кроме тех кто может патчить код, но это другое).
| | |
| |
| 2.7, Аноним (15), 11:47, 12/06/2022 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Фряха не лезет и не страдает от такого
В смысле, так и остаётся Неуловимым Джо, в котором дыры есть, но искать их некому, потому что никто не пользуется?
| | |
| |
| |
| 4.46, Аноним (-), 21:53, 12/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Интересно как NetBSD foundation относится к использовнию фряхи, особенно с изоляцией софта на десктопе. Они точно оплатили именно это?
| | |
|
| 3.14, Роман (??), 12:40, 12/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Неуловимым Джо конечно остаётся, и даже прогрессирует в здесь, но давайте оставим это за кадром.
Я слегка о другом - вот это вот всё - firejail, logind, appimage/snap это же про то как технически неграмотному юзеру (тем кто не обладает навыками программирования на С) дать возможность пользоваться линукс не только на серверах. И если MacOS/Windows прошли этот путь давно и собрали много случаев реальных (типа форсить апдейты иначе их не поставят) то тут ещё копать и копать в эту сторону - первые детские шаги.
| | |
| |
| 4.22, борланд (?), 16:22, 12/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
И причем тут снапы с файерджейлами и поэтессами, как они мешают или упрощают возможность простому пользователю что-либо делать?
А главное причем тут бсд. Там нет такого зоопарка с которым,судя по диким тормозам снапа,безуспешно борятся. Во фре вообще все максимально просто, особенно там где в бубунтах стоит отклониться от кликанья далее->далее>ок.
Живу же как-то без альс с пульсами и пипевирами. Нет никаких унылод, а сх портянки в разы проще из-за отсутсвия этих ваших run level.
C не знаю и не собираюсь изучать.
Но речь даже не о б этом. GUI приложения,за редким исключением, абсолютно те же самые что и на линуксе.
| | |
|
|
| 2.10, Аноним (11), 12:24, 12/06/2022 [^] [^^] [^^^] [ответить]
| –4 +/– |
В FreeBSD есть jail, не такой дырявый как firejail. И да, BSD для десктопа лучше, чем Linux, так как там нет таких проблем, как баг 12309.
| | |
| |
| 3.13, Аноним (8), 12:30, 12/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
>баг 12309
Да ладно вам рассказывать, даже в венде есть. Не удалось стриггеррить не равно нет. Зато есть другие, и, в итоге, не юзабельно при ближайшем рассмотрении.
| | |
| 3.20, Роман (??), 14:46, 12/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Я точно не в теме использования Фряхи - можете привести пару примеров использования для приложений "из коробки"? То что с напильником и лишним временем можно самому заморочиться это мне понятно и так.
Я смотрю на
>Firejail uses profiles to set the security protections for each of the applications executed inside of it - you can find the default profiles in /etc/firejail/application.profile
и из этого мне понятно что уже есть подготовленные профили ( https://github.com/netblue30/firejail/tree/master/etc/profile-a-l ) для скажем Chromium или Emacs.
Тут понятно что это экономит мне время, про Jails - есть сомнения.
| | |
| |
| 4.23, борланд (?), 16:28, 12/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Pkg install kde5
Pkg install Firefox
Вот вам пример установки фирифокса из коробки.
Здесь лишь может надо будет один раз прочесть wiki/хендбук о том как установить и испооьзовать драйвер от вашей невидии/ати или интела. Остальное давно уже само подхватывается.
Если многабукв серьезное препятствие, то только маки и винда. Потому как даже в бубунтах придется искать магические заклинания с sudo на askubuntu.com
| | |
| |
| 5.38, Аноним (15), 17:45, 12/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Вот вам пример установки фирифокса из коробки.
А как насчёт запуска firefox в jail, про который вас спрашивали?
| | |
| 5.48, Аноним (-), 22:04, 12/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Pkg install kde5
> Pkg install Firefox
И в каком месте тут наступает изоляция файрфокса от системы? В firejail она наступает после запуска файрфокса как "firejail firefox" - а довольно навороченый профайл расписывающий куда его пустить все же надо чтобы он работал, как и что ему точно не надо уметь - писали другие люди. В чем прелесть сабжа и состоит. Вон то можно даже на ярлычок в десктопе повесить, или что там, и читать хэндбук для этого не надо.
А определить куда фокс пустить а куда нет самому - это так то очень отдельное развлечение.
| | |
| |
| 6.56, Аноним (-), 22:49, 13/06/2022 [^] [^^] [^^^] [ответить] | +/– | И правда, в каком месте jail изолирован от системы, ага Там не нужен навороченн... большой текст свёрнут, показать | | |
| |
| 7.57, Аноним (-), 03:17, 14/06/2022 [^] [^^] [^^^] [ответить] | +/– | В вашем рецепте его не было А так все хорошо А этот темплейт в готовом, актуал... большой текст свёрнут, показать | | |
| |
| 8.58, Аноним (58), 22:52, 14/06/2022 [^] [^^] [^^^] [ответить] | +/– | Читать ветку обсуждения целиком, а не выхватывать частями и все будет хорошо По... большой текст свёрнут, показать | | |
|
|
|
|
|
| 3.25, Аноним (24), 16:33, 12/06/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
[sarcasm]Лучше поддержкой оборудования[/sarcasm] В голове у тебя баг 12309.
| | |
| 3.30, YetAnotherOnanym (ok), 17:04, 12/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
 Во Фряхе свои "нюансы" есть. Но, вообще - да, после зоопарка дистров Линуха с его "кто в лес, кто по дрова" стройная логичность Фряхи - как бальзам для сердца.
| | |
|
| 2.60, Вы забыли заполнить поле Name (?), 01:42, 21/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Это не про desktop, а про то как изолировать приложения без этой вашей оркестрации как в snap или flatpack. А на Linux desktop лезут корпорасты с их "все свое ношу с собой".
| | |
| |
| 3.62, Роман (??), 15:58, 21/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Это не про desktop, а про то как изолировать приложения без этой вашей оркестрации как в snap или flatpack.
Не согласен - кому надо тот давно по старинке в чрутах или еще каких systemd-nspawn демона изолированно крутит. Если приложение или сервис "не демон", для взаимодействия с юзером и обратно (что уже ближе к desktop/laptop), скачан "с интернетов", то провести пару вечером за ручной настройкой такой изоляции нравится не всем, даже если предположить что с такой задачей рандомный пользователь вообще справится.
> А на Linux desktop лезут корпорасты с их "все свое ношу с собой".
Если хоть кто-то лезет, то не так девка^W линукс и страшен. Хотя мне кажется вы слегка приукрашиваете реальность и на самом деле никто не лезет - всем глубоко побую. У условного гугла работают Chromebooks, а бороться за апстриминг этого и мир во всём мире - накой им надо.
Сообщество не смогло сформировать единый центр принятия решений, корпорации значит сформируют за них.
| | |
| |
| 4.63, Вы забыли заполнить поле Name (?), 01:32, 22/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
>> Это не про desktop, а про то как изолировать приложения без этой вашей оркестрации как в snap или flatpack.
> Не согласен - кому надо тот давно по старинке в чрутах или
> еще каких systemd-nspawn демона изолированно крутит. Если приложение или сервис "не
> демон", для взаимодействия с юзером и обратно (что уже ближе к
> desktop/laptop), скачан "с интернетов", то провести пару вечером за ручной настройкой
> такой изоляции нравится не всем, даже если предположить что с такой
> задачей рандомный пользователь вообще справится.
Как раз в firejail есть профили. Можно не париться. Порог ниже чем в apparmor или selinux.
>> А на Linux desktop лезут корпорасты с их "все свое ношу с собой".
> Если хоть кто-то лезет, то не так девка^W линукс и страшен. Хотя
> мне кажется вы слегка приукрашиваете реальность и на самом деле никто
> не лезет - всем глубоко побую. У условного гугла работают Chromebooks,
> а бороться за апстриминг этого и мир во всём мире -
> накой им надо.
> Сообщество не смогло сформировать единый центр принятия решений, корпорации значит сформируют
> за них.
Почему сразу google? Много контор хотят свой софт пихать в линукс в псевдоизоляции (продукты jetbrains, telegram, vscode и др.)
| | |
|
|
|
| 1.9, Аноним (9), 12:08, 12/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Посоветуйте, на что посмотреть кроме firejail? и где какие плюсы минусы?
| | |
| |
| |
| 3.17, Аноним (8), 13:56, 12/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
>хороший уровень изоляции, критичных дыр пока вроде не находили.
Кроме того случая, когда изично поимели всю эту изоляцию ради изоляции?
| | |
| |
| |
| 5.43, Аноним (8), 21:12, 12/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да несколько ж было, иногда упоминали и сабж. Я так понимаю, любая уязвимость в XEN автоматически подразумевает изящное отверстие в нём. Расчёт тут только на то, что ты никому не нужен. Пока у тебя нет ничего интересного, всё в порядке, а в случае таргетированной атаки могут быть уже различные варианты. Стоит ли за это платить такую высокую цену? В итоге, это не более чем исследовательский проект, по фану.
| | |
|
|
| 3.59, Аноним (59), 12:40, 15/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Сейчас бы для каждой программы создавать свою виртуалку. И, тем более, скачивать какой-то qubes, а не настроить самому в любом дистрибутиве.
| | |
| |
| 4.61, slepnoga (??), 13:33, 21/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Давно, уже, лет 15 как все сделано - называется SELINUX.
Кроме изоляции позволяет написать пароль рута на заборе, дать рутовские ключи каждому 1-мы хакеру и вообще не волноватся по этому поводу.
Для совсем уж шапочек из фольги grsec+rsbac вообще творит чудеса.
Но как и везде, если сделать что то, чем может пользоватся и дурак, то только дурак и будет им пользоватся.
| | |
|
|
|
| 1.21, Аноним (21), 15:14, 12/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
Факт, что firejail SUID root - это уже красный флаг.
И уязвимостей подобных в приложении уже был вагон.
// b.
| | |
| |
| 2.34, Аноним (15), 17:38, 12/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Факт, что firejail SUID root - это уже красный флаг.
А есть какие-то средства изоляции приложений в этих линуксах (а даже и юниксах), которые не требует изначально повышенных привилегий?
| | |
| |
| 3.53, Аноним (8), 23:12, 12/06/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
Конечно, user namespaces. Если ты замапил рута в неймспейсе, твои проблемы. В таком случае в неймспейсе появляются права, которых не было вне него.
| | |
|
| 2.52, Аноним (-), 22:29, 12/06/2022 [^] [^^] [^^^] [ответить] | +/– | Тут как бы нюансик в том что иначе обычный бесправный юзер вообще ничего не може... большой текст свёрнут, показать | | |
|
| 1.26, YetAnotherOnanym (ok), 16:48, 12/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
> Для эксплуатации уязвимости атакующий может симулировать фиктивное не изолированное окружение firejail, используя пространство точек монтирования (mount namespace), после чего подключиться к нему при помощи опции "--join".
Всё гениальное - просто. Это как если бы Энди Дюфрейн нарядился в пиджак начальника тюрьмы и спокойно вышел через главные ворота, под равнодушными взглядами охранников.
| | |
| 1.29, Аноним (27), 17:04, 12/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
> Если в настройках не активирован режим запрета получения дополнительных привилегий в новых процессах (prctl NO_NEW_PRIVS)
Чтобы получить рут на Линуксе нужно сперва получить рут на Линуксе. Ок.
| | |
|
