| |
| 2.7, Аноним (-), 13:54, 11/09/2016 [^] [^^] [^^^] [ответить] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +5 +/– | |
> А зачем изолировать?
Для уменьшения количества векторов атак.
> Я считаю приложения должны сосуществовать в гармонии.
Гармония - это когда приложение имеет ровно те права, которые необходимы ей для выполнения поставленной задачи.
| | |
|
| |
| |
| 3.66, Аноним (-), 01:19, 13/09/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
> Теоретически. Правила ещё нужны, что ограничивать и к каким директориям у приложения
> будет доступ.
Если правил нет - применяются дефолтные, годная программа.
| | |
|
|
| |
| |
| |
| 4.69, Аноним (-), 06:17, 13/09/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Хорошие tips&tricks по systemd. Можно узнать что:
1) Кто-то сделал переключение пользователей нормально, а не как обычно.
2) Можно управлять сеансами логично, а как привыкли.
3) Ротация логов может не требовать костылей и настроек в трех местах.
4) В системд можно настроить защиту системных дир и home от поползновений программ всего парой директив.
5) systemd умеет в provisioning. Там есть first boot и factory reset и теперь это не надо велосипедить самим.
А еще сайтом владеет Капитан Очевидность. К августу 2016 Капитан заметил что host может делать с guest все что пожелает. Правда не понятно чем тут системд виноват, vzctl виноват не меньше, а теоретически так можно даже с полным виртуализатором, хоть и сложнее.
| | |
|
|
|
| |
| |
| 3.31, ага (?), 12:58, 12/09/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– | |
> это на подобие jail.
не, это херня какая-то. предполагаю - что вредная.
jail - тот как-то чудом обходится без apparmor, без seccomp и прочей неведомой бни, правила к которой пишешь не ты, проверять не просрано ли что - заманаешься, а результат совершенно неясный.
| | |
| |
| 4.64, sage (??), 23:22, 12/09/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Firejail не требует ничего из перечисленного, но может подключать другие технологии по желанию, для более тонкой настройки или более тонких ограничений. И правил seccomp особых нет, это просто ограничение некоторых системных вызовов. Нужен для того, чтобы, например, демон внутри Firejail не мог вызвать, например, mount вообще никак: ни на уровне capability, ни на уровне системного вызова.
| | |
| 4.74, Аноним (-), 15:40, 13/09/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
> не, это херня какая-то. предполагаю - что вредная.
> jail - тот как-то чудом обходится без apparmor, без seccomp и прочей
> неведомой бни, правила к которой пишешь не ты, проверять не просрано
> ли что - заманаешься, а результат совершенно неясный.
бня неведома только для бсдшников которые слаще морковки ничего не ели. сабж отличная программа использующая фичи современных линуксов, за счет готовых правил - пользоваться просто и удобно. seccomp всего-лишь фильтр системных вызовов, наподобие pledge из openbsd. позволяет отпилить программам явно лишние системные вызовы. а если jails так не умеет - тем хуже для него.
| | |
|
|
|
| |
| |
| 3.40, Аноним (-), 14:13, 12/09/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– | |
> А есть в Linux встроенный файрволл
iptables
> чтобы можно было легко запретить сеть выбранным приложениям
Ну я уже говорил выше - создаёшь группу без доступа в нет.
И запускаешь так:
$ sg nointernet command
| | |
| |
| |
| |
| 6.62, Аноним (-), 22:12, 12/09/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– |
Ох вы не представляете сколько лет и сколько вообще я гуглил эту тему, видимо не судьба была... Вообще, на самом деле, не факт, что это сработает: на сколько я помню я читал, что раньше в iptables была такая функция, а в новых ядрах её выпилили...
| | |
| |
| 7.71, Аноним (-), 06:46, 13/09/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
> Вообще, на самом деле, не факт, что это сработает
Я проверил - работает всё по часам.
ПыСы: Оратор ниже дело говорит. Лучше firejail это делать и не парить себе мозг, однако с правами группы + iptable тоже способ.
| | |
|
|
|
| 4.65, sage (??), 23:24, 12/09/2016 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
> Ну я уже говорил выше - создаёшь группу без доступа в нет.
> И запускаешь так:
> $ sg nointernet command
Не очень удобный подход, т.к. не влияет на таблицу маршрутизации и может создавать лаги. Например, DNS-резолвер будет думать, что ему долго не отвечают. С Firejail отбирать интернет у программ куда проще.
| | |
|
|
|
| 1.29, Аноним (-), 11:38, 12/09/2016 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– |
Ну, глядишь, еще лет через 10 будет использоваться в ДЕ, как способ запуска по умолчанию. Тупо доверять мейнтейнеру или еще какому незнакомому чуваку каждой непонятной программы как бы глупо (уж про чтении из исходников и не говорите).
| | |
| |
| 2.36, Кирпич (?), 13:33, 12/09/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –3 +/– |
А что мешает читать исходники? Я вот перед тем как пользоваться новой программой всегда читаю исходники. Зато потом спокойно пользуюсь системой, не ожидая удара ножом из-за спины.
| | |
| |
| 3.41, Аноним (-), 14:15, 12/09/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– |
> А что мешает читать исходники? Я вот перед тем как пользоваться новой
> программой всегда читаю исходники. Зато потом спокойно пользуюсь системой, не ожидая
> удара ножом из-за спины.
А если там исходников на два LibreOffice, тоже читаешь? Или просто предпочитаешь не пользоваться?
| | |
| 3.67, Аноним (-), 03:32, 13/09/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– |
> А что мешает читать исходники? Я вот перед тем как пользоваться новой
> программой всегда читаю исходники.
заведомое вранье - ты даже исходники ядра ос не сможешь прочитать
| | |
|
|
|
