https://www.opennet.ru/openforum/vsluhforumID3/62662.html В рамках проекта Isolate (http://code.google.com/p/isolate/) создана утилита, предназначенная для организации изолированного выполнения приложений с минимальными привилегиями и ограниченным доступом к X-серверу. Идея по созданию isolate возникла после того, как автор проекта столкнулся с уязвимостью в медиа-плеере, позволяющей выполнить код после открытия специально оформленного MP3-файла. Задача isolate - обеспечить возможность защиты системы при выполнении неблагонадежных программ или при обработке полученного из недоверительных источников контента. <br><br><br><br><br>В отличие от похожих по возможностям аналогов, например, завязанной на SELinux утилиты sandbox (http://www.opennet.ru/opennews/art.shtml?num=23481), isolat является многоплатформенным приложением, одинаково хорошо работающим как в Linux, так и во FreeBSD. Для обеспечения изоляции в isolate использован метод динамического формирования croot-окружения, предложенный Daniel J. Bernstein в главе 5.2 документа "Размышления о безопаснос...<br><br>URL: http://lwn.net https://www.opennet.ru/openforum/vsluhforumID3/62662.html#49 Sat, 09 Jan 2010 18:26:30 GMT &gt;&gt;А где идея?! По пунктам можно? <br>&gt;<br>&gt;Идей несколько. <br>&gt;1. Опция "установить в чруте". <br>&gt;Будет актуально, когда в linux хлынет куча софта, который будет ставится не <br>&gt;из репозиториев. &gt;Ну и с играми так же. &gt;Плюс, это может быть полезно для того, <br>&gt; чтобы узнать, какие файлы и куда устанавливаются. <br>&gt; Причем, узнать это ДО реальной установки. <br><br>/etc/skel - давно есть<br>useradd/groupadd - тоже<br>shmfs/tmpfs - уж лет как 10 <br>mount --bind - недавно, но есть.<br>bourne AGAIN shell - молчу.<br><br>складываем ... получаем<br>ID=$RANDOM<br><br>mkdir -p -m 0700 /trash/$ID/<br>groupadd -g $ID<br>useradd -d /trash/$ID/ -g $ID -u $ID <br>mount -t shmfs none /trash/$ID/ -o size 2Gb,mode=0700,gid=$ID,uid=$ID<br>mkdir -p -m 0700 /trash/$ID/bin<br>chown -R $ID:$ID /trash/$ID<br><br>sudo -u $ID /tmp/instal.exe :)<br><br><br>&gt;2. Пункт в меню "проанализировать программу". <br>&gt;Запускается в чруте, собирается инфа о том, <br>&gt; какие функции она пытается выполнить. <br>&gt;Формируется отчет и отправляется кому следует. <br><br>ldd /opt/google/chrome/chrome<br>readelf https://www.opennet.ru/openforum/vsluhforumID3/62662.html#48 Sat, 09 Jan 2010 17:08:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Если за бесплатно не работаете, зачем указываете кому и что делать? <br>&gt;&gt;&gt;Если то что вы перечислили вам нужно, флаг вам в руки. И <br>&gt;&gt;&gt;плата в виде респектов гарантируется. <br>&gt;&gt;<br>&gt;&gt;Прошу прощения, но я не указывал) <br>&gt;&gt;Я лишь описал свою идею. <br>&gt;&gt;Возможно, кому-то она покажется интересной и её реализуют. <br>&gt;<br>&gt;А где идея?! По пунктам можно? <br><br>Идей несколько.<br>1. Опция "установить в чруте".<br>Будет актуально, когда в linux хлынет куча софта, который будет ставится не из рпозиториев.<br>Ну и с играми так же.<br>Плюс, это может быть полезно для того, чтобы узнать, какие файлы и куда устанавливаются.<br>Причем, узнать это ДО реальной установки.<br><br>2. Пункт в меню "проанализировать программу".<br>Запускается в чруте, собирается инфа о том, какие функции она пытается выполнить.<br>Формируется отчет и отправляется кому следует.<br> https://www.opennet.ru/openforum/vsluhforumID3/62662.html#46 Sat, 09 Jan 2010 12:06:52 GMT &gt;Если ставим этот самый переключатель невесть откуда бинарем, либо с сайта никому <br>&gt;не известного автора - ССЗБ. Если же из репозитория, либо софтина <br>&gt;хорошо известна (и, соответственно, почти с гарантией ее код смотрели) - <br>&gt;проблемы вряд ли будут. <br>&gt;<br>&gt;Но в целом - согласен - либо удобная (и вообще годная к <br>&gt;использованию) среда, либо автоматическая защита. Можно еще вистовский UAC припомнить... <br><br>UAC не работает... Он только пользователей напрягает и они думают что в безопасности. А на самом деле вирусам то пофиг))<br>8 из 10 вирусов UAC всё же пропускает... См. http://www.sophos.com/blogs/chetw/g/2009/11/03/windows-7-vulnerable-8-10-viruses/<br> https://www.opennet.ru/openforum/vsluhforumID3/62662.html#45 Thu, 07 Jan 2010 16:52:12 GMT я и на десктопе от такого бы не отказался, это уже больше похоже на действительно надёжный линукс<br> https://www.opennet.ru/openforum/vsluhforumID3/62662.html#44 Thu, 07 Jan 2010 15:29:25 GMT &gt;Самое страшное - это руткит. Потому что ты о нем не знаешь, <br>&gt;а он есть. А спаммера в песочнице прибить не трудно.<br><br>Вообще мне нравится по возможности игра на опережение. Режем все к такой-то фене на контейнеры, по одному на сервис. Ставим на хосте невидимый (из контейнеров) монитор изменений (и прочие причандалы по вкусу). Меняем системные утили в контейнерах на капканы сообщающие хосту что нас поимели. Бурчим под нос "welcome" и ждем хаксоров с их руткитами и чем там еще :). Которые при заходе на такое окружение с двойным дном незамедлительно вкусят все прелести своего же подхода на своей же шкуре. А даже если вдруг рута поимеют - да и хрен с ним. Слепить автоматом снапшотик на изучение да заглушить да и все дела, не долго радоваться будут. А потом поняв как пролезли - откатить на заведомо исправный снапшот и зафиксить дырку. Вот это да, современный подход к борьбе с хаксорами - клин клином вышибают :). Это правда для серверов актуально. А десктоп я просто предпочту на всякий пожарный с доверяемого LiveC https://www.opennet.ru/openforum/vsluhforumID3/62662.html#42 Thu, 07 Jan 2010 10:05:21 GMT &gt; По коду, такое ощущение, что полный даун писал, ну или студент 2-ого курса, который на первом асилил Ц++<br>&gt; uname() и getenv(LD_LIBRARY_PATH), да вообще, весь getenv(), точно ниасили.<br><br>Полагаю он принимает патчи.<br> https://www.opennet.ru/openforum/vsluhforumID3/62662.html#41 Thu, 07 Jan 2010 00:05:53 GMT Не работает<br><br>/isolate /opt/google/chrome/google-chrome<br>Could not execute /opt/google/chrome/google-chrome: No such file or directory <br>suse64:/media/disk/src/Secirity/isolate-read-only # ./isolate /opt/google/chrome/google-chrome<br>google-chrome google-chrome.desktop <br>suse64:/media/disk/src/Secirity/isolate-read-only # ./isolate /opt/google/chrome/google-chrome <br>Could not execute /opt/google/chrome/google-chrome: No such file or directory <br>suse64:/media/disk/src/Secirity/isolate-read-only # ./isolate /opt/google/chrome/chrome<br>/usr/bin/xauth: creating new authority file /root/992d59fe-Xauthority <br>Could not execute /opt/google/chrome/chrome: No such file or directory <br>suse64:/media/disk/src/Secirity/isolate-read-only # ./isolate firefoxc<br>terminate called after throwing an instance of 'std::runtime_error' <br> what(): File not found in $PATH <br>s https://www.opennet.ru/openforum/vsluhforumID3/62662.html#40 Wed, 06 Jan 2010 23:16:45 GMT &gt;&gt; 1. Либо mount -o bind /tmp /chroot/chrome/tmp<br>&gt;&gt; либо отрубать -nolisten tcp у Хorg<br>&gt;<br>&gt;для доступа к X серверу нужно только пару файлов расшарить, а не <br>&gt;весь /tmp/ <br>&gt;предполагаю /tmp/.X11-unix/ и .ICE-unix <br><br>Ну да, их <br>&gt;<br>&gt;&gt; 4. Более того, я пытался запустить в /chroot не от рута, а от юзера, так и не вышло. <br>&gt;<br>&gt;и кажется для авторизации к Xorg файл из /var/run/gdm/... нужен (MIT-MAGIC-COOKIE) <br><br>.Xauthority<br><br>&gt;<br>&gt;&gt; 2. Ему нужон /proc, так что без mount -o bind /proc /chroot/chrome/proc<br>&gt;&gt; не обойтись <br>&gt;<br>&gt;открой для себя pid namespaces и lxc - http://lxc.sourceforge.net/lxc.html <br>&gt;полагаю хрому можно оставить только вид на его процессы. <br><br>30686 ? Sl 0:00 /proc/self/exe --channel=30321.94042f70.1626825946 --type=extension --lang=ru --force-fieldtest=As<br>30694 ? Sl 0:00 /proc/self/exe --channel=30321.94044ac0.590293936 --type=extension --lang=ru --force-fieldtest=Asy<br>30695 ? Sl 0:00 /proc/self/exe --channel=30321.940466c0.777766351 --type=extension --lang=ru https://www.opennet.ru/openforum/vsluhforumID3/62662.html#39 Wed, 06 Jan 2010 22:58:43 GMT &gt; 1. Либо mount -o bind /tmp /chroot/chrome/tmp<br>&gt; либо отрубать -nolisten tcp у Хorg<br><br>для доступа к X серверу нужно только пару файлов расшарить, а не весь /tmp/<br>предполагаю /tmp/.X11-unix/ и .ICE-unix<br><br>&gt; 4. Более того, я пытался запустить в /chroot не от рута, а от юзера, так и не вышло. <br><br>и кажется для авторизации к Xorg файл из /var/run/gdm/... нужен (MIT-MAGIC-COOKIE)<br><br>&gt; 2. Ему нужон /proc, так что без mount -o bind /proc /chroot/chrome/proc<br>&gt; не обойтись <br><br>открой для себя pid namespaces и lxc - http://lxc.sourceforge.net/lxc.html<br>полагаю хрому можно оставить только вид на его процессы.<br>