forum.opennet.ru - "Выпуск системы изоляции приложений Firejail 0.9.62" (83)

"Выпуск системы изоляции приложений Firejail 0.9.62"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
Сообщение от opennews (??), 30-Дек-19, 10:40
После шести месяцев разработки доступен релиз проекта Firejail 0.9.62, в рамках которого развивается система для изолированного выполнения графических, консольных и серверных приложений. Применение Firejail позволяет минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora)... Подробнее: https://www.opennet.me/opennews/art.shtml?num=52115
Ответить \| Правка \| Cообщить модератору

Оглавление

Вроде бы и ничего, но suid-ная программа напрягает как-то , Аноним (1), 10:40 , 30-Дек-19, (1) +1

Bubblewrap тогда , Аноним (3), 11:32 , 30-Дек-19, (3)

к нему уже нормальный туториал появился Я честно пытался настроить сабж для это, Аноним (-), 14:17 , 31-Дек-19, (53)

Bubbllewrap достаточно канительный в этом плане При том by design Поэтому с юз, Аноним (-), 20:34 , 31-Дек-19, (62)

Можно попробовать снять SUID и настроить полномочия с помощью CAPABILITIES , Аноним (4), 11:36 , 30-Дек-19, (4)

Боюсь, что тут нужен CAP_SYS_ADMIN, что эквивалентно руту Причём, если euid про, Аноним (8), 12:28 , 30-Дек-19, (8) +3

Во-первых, можно разрешить запуск firejail только определенными пользователями , Аноним (23), 15:04 , 30-Дек-19, (23)
Ну так для того что он делает повышенные права нужны Если любой пользователь см, Аноним (-), 02:38 , 31-Дек-19, (39) +1

При очень большом желании, пробовали , Annoynymous (ok), 10:58 , 30-Дек-19, (2)

Это как сразу два презeрватива натягивать 8212 в том же докере изоляция через, Аноним (8), 12:26 , 30-Дек-19, (6)

Более того, если использовать Podman, вместо докера, то можно его исполозовать в, Аноним (-), 13:03 , 30-Дек-19, (11)

Не будет По той простой причине, что для настройки действительно эффективных ме, Аноним (8), 13:58 , 30-Дек-19, (14) +1

Сильно отличается от jail в freebsd , Аноним (5), 11:43 , 30-Дек-19, (5)

да, например - отсутствием линуксатора, хотя в iOS его тоже нет а вообще, BSD-ja, Аноним (7), 12:28 , 30-Дек-19, (7)

Идея запихивания в джейл линукса врядли сильно востребована Как забавный курьёз, abi (?), 17:01 , 30-Дек-19, (29)

Но иногда имеет место быть bhyve издержки все-таки повыше , bOOster (ok), 08:12 , 31-Дек-19, (48)

Черт знает, но конкретно сабж удобнее всего для запихивания отдельных апликух в , Аноним (-), 02:43 , 31-Дек-19, (40) –1

SYSCALLS в пользовательских приложениях это дрянной стиль программирования котор, bOOster (ok), 08:21 , 31-Дек-19, (49) –6

Ага, то есть ваши приложения не делают open , read , write , malloc , free , Аноним (8), 12:54 , 31-Дек-19, (52) +1

Ты че иди от Каким образом эти операции относяться к SYSCAL open,read,write эт, bOOster (ok), 15:22 , 01-Янв-20, (72) –3

Взоржал Ну и каша у вас в голове Сразу видно настоящего компьютерного эксперта, Аноним (8), 18:58 , 01-Янв-20, (74)

Документация по Linux будет последней на что я буду обращать внимание , bOOster (ok), 23:56 , 01-Янв-20, (75) –1

Естественно, вы же не претендуете на звание программиста , Аноним (8), 14:34 , 02-Янв-20, (76)

Конечно, и первым делом я посмотрю исходные тексты той-же например read Внезапн, bOOster (ok), 17:54 , 02-Янв-20, (77)

Ну я знаю И чего Сишники, для начала, из сей сисколы дергают На совсем уж гол, Аноним (-), 09:02 , 08-Янв-20, (81)

А я то думал из стана стандарта POSIX, под который Linux и мимикрирует с точки з, Аноним (-), 15:47 , 31-Дек-19, (54)

SYSCALL, POSIX, IOCTL 8212 какая разница Главное, сказать, что Линукс 8212, Аноним (8), 16:59 , 31-Дек-19, (59)
gt оверквотинг удален Posix враппер read может быть оперативно подменен другой, bOOster (ok), 15:26 , 01-Янв-20, (73) –2

Подменять враппер - прерогатива троянцев руткитов да может IDS Ну еще для тести, Аноним (-), 08:54 , 08-Янв-20, (79)

gt оверквотинг удален Да как раз наоборот Именно из-за этой паршивой тенденци, bOOster (ok), 10:56 , 03-Янв-20, (78)

Пруф Что там под чем собирается - вообще второй вопрос Возможно, разработчики п, Аноним (-), 08:59 , 08-Янв-20, (80)

Раньше запускал в нем фф, но часто приходилось какие-то правила дописывать, т к , yu (??), 12:51 , 30-Дек-19, (9)
Нужно, пользуюсь для сетевых приложух и всякой проприетари, Fracta1L (ok), 12:52 , 30-Дек-19, (10) +1

О, почти то, чего спрашивал Сетевые приложухи это что , user90 (?), 13:49 , 30-Дек-19, (13)

Приложения лезущие в сеть, очевидно Отпилить их в отдельный контейнер, если не , Аноним (-), 02:44 , 31-Дек-19, (41)

А оно реально надо Или это для проприетарщины Вопросы, вопросы , user90 (?), 13:48 , 30-Дек-19, (12) +1

Как Вы предполагаете, зачем оно, Аноним (15), 14:05 , 30-Дек-19, (15) +1

А с недоверенным драйвером ты чо будешь делать , user90 (?), 14:18 , 30-Дек-19, (17)

C недоверенным телефоном с проприетарными чипами без свободных дров вообще, зало, Аноним (20), 14:45 , 30-Дек-19, (20) +4

Не буду доверять ему важных данных Если пойду грабить банк 8212 оставлю теле, Аноним (8), 00:20 , 31-Дек-19, (38)

А моя бабушка обманывает любой DRM Просто наводит фотик на экран - и DRM пролет, Аноним (-), 15:53 , 31-Дек-19, (55) –1

То и другое Первый пример - собственно файрфокс, для изоляции которого эту соф, Crazy Alex (ok), 14:45 , 30-Дек-19, (21)

Воу-воу, полехче Сам же понимаешь, в чем тут лажа Режешь жс первым делом ах н, user90 (?), 14:55 , 30-Дек-19, (22) –2

Firefox в виртуалке, drTrue (?), 15:18 , 30-Дек-19, (25)
Со скайпом - в чём лажа Если в том, что скайповладелец сейчас это Майкрософт, , CrazyAlex (?), 18:57 , 30-Дек-19, (30)

В чем лажа Ты же помнишь наверно, если возраст позволяет, уж извини что из се, user90 (?), 19:07 , 30-Дек-19, (31)

Ну помню, лез везде где мог, поэтому и огораживали Возраст позволяет - И что , CrazyAlex (?), 19:30 , 30-Дек-19, (32)

Ты ему доступ к камере и микрофону скормил - и какие гарантии что он ими пользуе, Аноним (63), 20:39 , 31-Дек-19, (63)

Баги бывают и в открытом софте В том числе и проблемы безопасности И будет оче, Аноним (42), 02:47 , 31-Дек-19, (42)

Если у меня selinux в enforcing, мне не нужно такое , Аноим (?), 14:13 , 30-Дек-19, (16)
Вкратце нужно ненужно , Аноним (-), 14:41 , 30-Дек-19, (18)

Да , мудрый КАА (?), 15:06 , 30-Дек-19, (24) +11
Программа, имеющая suid 8212 потенциальная дыра , Сейд (ok), 19:44 , 30-Дек-19, (33)

С другой стороны, он в основном действует при запуске программы - а потом его пр, Аноним (42), 02:49 , 31-Дек-19, (43)

https www opennet ru opennews art shtml num 45824, Сейд (ok), 12:52 , 31-Дек-19, (51)

Если уж мы об этом, то между нами, есть пара нюансов 1 nix вообще и стандарты , Аноним (-), 16:01 , 31-Дек-19, (56) +1

policycoreutils-sandboxhttps github com SELinuxProject selinux, Сейд (ok), 21:00 , 31-Дек-19, (65)

Не, спасибо, это счастье вы как-нибудь себе оставьте Мне этого code Build depe, Аноним (-), 21:46 , 31-Дек-19, (66)

Такая точка зрения в корне не верна, SELinux намного проще и удобнее в использов, Сейд (ok), 23:10 , 31-Дек-19, (67)

Во первых, я просто не буду использовать УГ где для просто операций с политиками, Аноним (68), 23:52 , 31-Дек-19, (68)

Мы говорим про Firejail, а не контейнеры , Сейд (ok), 00:17 , 01-Янв-20, (69)

Firejail наполовину об контейнерах и есть Он умеет собирать например отдельную , Аноним (-), 01:16 , 01-Янв-20, (70) +1

А с его помощью можно запрещать или разрешать привязку процесса к определённым п, Сейд (ok), 10:53 , 01-Янв-20, (71)
Мне проще оперировать иным уровнем абстракций отправить процесс в собственный н, Аноним (-), 09:09 , 08-Янв-20, (82)

Скрыто модератором, bOOster (ok), 14:45 , 30-Дек-19, (19) –2

Скрыто модератором, Аноним (27), 16:27 , 30-Дек-19, (27)
Скрыто модератором, Аноним (7), 16:37 , 30-Дек-19, (28)

Скрыто модератором, Анонимко (?), 20:12 , 30-Дек-19, (34) +1

Скрыто модератором, Аноним (8), 00:17 , 31-Дек-19, (37)

Скрыто модератором, bOOster (ok), 08:08 , 31-Дек-19, (47)

Скрыто модератором, Аноним (42), 02:50 , 31-Дек-19, (44)

Скрыто модератором, bOOster (ok), 08:02 , 31-Дек-19, (46) +1

Неудобная штука Изоляция файловой системы сделана на основе чёрных списков, чт, Аноним (26), 15:21 , 30-Дек-19, (26) –4

Наоборот - для большинства типовых прог есть готовые профайлы, так что вообще ни, Аноним (-), 16:05 , 31-Дек-19, (57)

а где смые главные - logind, gdm3, Xwayland, , Аноним (35), 22:21 , 30-Дек-19, (35)

И так урезан по самые гланды DeviceAllow char- dev console rwDeviceAllow char-dr, Аноним (8), 00:13 , 31-Дек-19, (36)

У Поттеринга вообще можно поучиться всякие стремные сервисы правильно изолироват, Аноним (42), 02:51 , 31-Дек-19, (45)

Это противоречит юниксовой философии Инит не должен заниматься ограничением пра, Аноним (8), 12:52 , 31-Дек-19, (50) –4

И я должен в каждый контейнер класть SUID бинарники при формировании контейнера , Аноним (-), 16:07 , 31-Дек-19, (58)

Какие контейнеры, родной В юниксах 30 лет назад не было никаких контейнеров Со, Аноним (8), 17:01 , 31-Дек-19, (60)

Какой софт, родной 100 лет назад никакого софта не было Пользоваться надо конв, Аноним (-), 20:27 , 31-Дек-19, (61)

Какой конвейер, родной 1000 лет назад не было двигателей, так что айда кирпичи , Аноним (63), 20:42 , 31-Дек-19, (64)

Можно ли через firejail наоборот, разрешить firefox-у доступ к mozilla, к кот, Ilya Indigo (ok), 01:14 , 05-Ноя-20, (83)

Сообщения [Сортировка по времени | RSS]

1. "Выпуск системы изоляции приложений Firejail 0.9.62" +1 +/–

Сообщение от Аноним (1), 30-Дек-19, 10:40

Вроде бы и ничего, но suid-ная программа напрягает как-то.

Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (3), 30-Дек-19, 11:32

Bubblewrap тогда.

Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (-), 31-Дек-19, 14:17

к нему уже нормальный туториал появился? Я честно пытался настроить сабж для этого вашего фаерфокса но ниасилил: терминальные приложения работают нормально, гуйня - нет, что и где подкручивать - нигде не написано, ломай голову самостоятельно

Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (-), 31-Дек-19, 20:34

Bubbllewrap достаточно канительный в этом плане. При том by design. Поэтому с юзерской точки зрения сабж заметно проще в использовании.

Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (4), 30-Дек-19, 11:36

Можно попробовать снять SUID и настроить полномочия с помощью CAPABILITIES.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

8. "Выпуск системы изоляции приложений Firejail 0.9.62" +3 +/–

Сообщение от Аноним (8), 30-Дек-19, 12:28

Боюсь, что тут нужен CAP_SYS_ADMIN, что эквивалентно руту. Причём, если euid программа наверняка сбросит перед exec, то капу — вряд ли.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (23), 30-Дек-19, 15:04

Во-первых, можно разрешить запуск firejail только определенными пользователями. Во-вторых, не ставить проприетарное что-попало, по крайней мере, без профиля, где suid-бинарник отфильтровывается белым списком.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

39. "Выпуск системы изоляции приложений Firejail 0.9.62" +1 +/–

Сообщение от Аноним (-), 31-Дек-19, 02:38

> Вроде бы и ничего, но suid-ная программа напрягает как-то.
Ну так для того что он делает повышенные права нужны. Если любой пользователь сможет в любой программе так же - в системе начнется вакханалия, где каждый пользователь по сути близок к руту.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Annoynymous (ok), 30-Дек-19, 10:58

> При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ.
При очень большом желании, пробовали.

Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (8), 30-Дек-19, 12:26

Это как сразу два презeрватива натягивать — в том же докере изоляция через namespaces является core feature, а apparmor и seccomp подключаются через security-opt. В lxc в целом аналогично. Да даже в systemd для любого сервиса можно всё это в пару строчек юнит-файла настроить.
Кроме десктопных приложений, о которых все эти серверные ребята как-то не подумали, других ниш применения firejail не видно.

Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (-), 30-Дек-19, 13:03

Более того, если использовать Podman, вместо докера, то можно его исполозовать в rootless режиме, что будет секьюрнее докера и SUID'ного firejail.

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск системы изоляции приложений Firejail 0.9.62" +1 +/–

Сообщение от Аноним (8), 30-Дек-19, 13:58

Не будет. По той простой причине, что для настройки действительно эффективных механизмов изоляции нужны рутовые полномочия.
Вообще, podman не является альтернативой docker/containerd, в отличие от cri-o, например. Это просто тество-отладочный инструмент для запуска на рабочем компе девопса.

Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (5), 30-Дек-19, 11:43

Сильно отличается от jail в freebsd?

Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (7), 30-Дек-19, 12:28

да, например - отсутствием линуксатора, хотя в iOS его тоже нет.
а вообще, BSD-jail в iOS и BSD лучше сравнивать с LXC и OpenVZ.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от abi (?), 30-Дек-19, 17:01

Идея запихивания в джейл линукса врядли сильно востребована. Как забавный курьёз да, но реально лучше в bhyve.

Ответить | Правка | Наверх | Cообщить модератору

48. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от bOOster (ok), 31-Дек-19, 08:12

> Идея запихивания в джейл линукса врядли сильно востребована. Как забавный курьёз да,
> но реально лучше в bhyve.
Но иногда имеет место быть. bhyve издержки все-таки повыше.

Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск системы изоляции приложений Firejail 0.9.62" –1 +/–

Сообщение от Аноним (-), 31-Дек-19, 02:43

> Сильно отличается от jail в freebsd?
Черт знает, но конкретно сабж удобнее всего для запихивания отдельных апликух в изолированные от основной системы "контейнеры". При том он неплохо работает в том числе и для десктопных штук, без лишней возни. Вероятно, благодаря многочисленным конфигам в дефолтной поставке, более или менее корректно прописывающие чего кому из типовых программ реально требуется (из сисколов и проч). А что, jail в фряхе умеет разрешать только нужные сисколы? Или пространства имен, допустим, сети переключать? Так что сетевая конфигурация у программы - вообще отдельная (firejail немного умеет создавать/настравать сетевые интерфейсы в контейнерах).

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

49. "Выпуск системы изоляции приложений Firejail 0.9.62" –6 +/–

Сообщение от bOOster (ok), 31-Дек-19, 08:21

>> Сильно отличается от jail в freebsd?
> Черт знает, но конкретно сабж удобнее всего для запихивания отдельных апликух в
> изолированные от основной системы "контейнеры". При том он неплохо работает в
> том числе и для десктопных штук, без лишней возни. Вероятно, благодаря
> многочисленным конфигам в дефолтной поставке, более или менее корректно прописывающие
> чего кому из типовых программ реально требуется (из сисколов и проч).
> А что, jail в фряхе умеет разрешать только нужные сисколы? Или
> пространства имен, допустим, сети переключать? Так что сетевая конфигурация у программы
> - вообще отдельная (firejail немного умеет создавать/настравать сетевые интерфейсы в контейнерах).
SYSCALLS в пользовательских приложениях это дрянной стиль программирования который и пополз из стана Linux, но  хвала более квалифицированным программистам иных POSIX ОС - за пределами Linux практически не живет. Даже Андроид такой стиль не поддерживает маскируя системные вызовы библиотекой wrapperом.

Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск системы изоляции приложений Firejail 0.9.62" +1 +/–

Сообщение от Аноним (8), 31-Дек-19, 12:54

Ага, то есть ваши приложения не делают open(), read(), write(), malloc(), free()? Тогда вообще что они делают, если не секрет?
Ах да, ничего, вы же не пишете приложения. Только рассуждаете о "дрянном стиле".

Ответить | Правка | Наверх | Cообщить модератору

72. "Выпуск системы изоляции приложений Firejail 0.9.62" –3 +/–

Сообщение от bOOster (ok), 01-Янв-20, 15:22

> Ага, то есть ваши приложения не делают open(), read(), write(), malloc(), free()?
> Тогда вообще что они делают, если не секрет?
> Ах да, ничего, вы же не пишете приложения. Только рассуждаете о "дрянном
> стиле".
Ты че иди%от? Каким образом эти операции относяться к SYSCAL? open,read,write это врапперы, posix абстракция для ioctl - ИМЕННО КОТОРЫЙ уже работает с ядром и является SYSCALL.
malloc, free это индентичные врапперы для операций выделения памяти, системный вызов  которых сильно меняется от системы к системе.
Госпади, мое первое сообщение в этой теме подтверждает что многие "программисты" линукс оиды вообще тупо не понимают что делают.
Зато пишут приложения, видимо на питоне или php.
ПыСы если претендуешь на звание программиста - то хоть изучай о чем говоришь. Тебе сюда - https://www.opennet.me/docs/RUS/lkmpg/node18.html

Ответить | Правка | Наверх | Cообщить модератору

74. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (8), 01-Янв-20, 18:58

> Каким образом эти операции относяться к SYSCAL? open,read,write это врапперы, posix абстракция для ioctl - ИМЕННО КОТОРЫЙ уже работает с ядром и является SYSCALL.
Взоржал. Ну и каша у вас в голове! Сразу видно настоящего компьютерного эксперта.
> ПыСы если претендуешь на звание программиста - то хоть изучай о чем говоришь.
Ну, так как вы не претендуете, то вот по этой сслыке http://man7.org/linux/man-pages/man2/syscalls.2.html ни в коем случае не ходите. Она для тех, кого случайно занесёт в это обсуждение, на случай, если ваша глупость для них будет не очевидна.

Ответить | Правка | Наверх | Cообщить модератору

75. "Выпуск системы изоляции приложений Firejail 0.9.62" –1 +/–

Сообщение от bOOster (ok), 01-Янв-20, 23:56

>> Каким образом эти операции относяться к SYSCAL? open,read,write это врапперы, posix абстракция для ioctl - ИМЕННО КОТОРЫЙ уже работает с ядром и является SYSCALL.
> Взоржал. Ну и каша у вас в голове! Сразу видно настоящего компьютерного
> эксперта.
>> ПыСы если претендуешь на звание программиста - то хоть изучай о чем говоришь.
> Ну, так как вы не претендуете, то вот по этой сслыке http://man7.org/linux/man-pages/man2/syscalls.2.html
> ни в коем случае не ходите. Она для тех, кого случайно
> занесёт в это обсуждение, на случай, если ваша глупость для них
> будет не очевидна.
Документация по Linux будет последней на что я буду обращать внимание.

Ответить | Правка | Наверх | Cообщить модератору

76. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (8), 02-Янв-20, 14:34

> Документация по Linux будет последней на что я буду обращать внимание.
Естественно, вы же не претендуете на звание программиста.

Ответить | Правка | Наверх | Cообщить модератору

77. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от bOOster (ok), 02-Янв-20, 17:54

>> Документация по Linux будет последней на что я буду обращать внимание.
> Естественно, вы же не претендуете на звание программиста.
Конечно, и первым делом я посмотрю исходные тексты той-же например read. Внезапно да?
Например
https://code.woboq.org/userspace/glibc/sysdeps/unix/sysv/lin...
И сразу же там вижу wrapper. Ну я думаю разберешься вокруг чего, надеюсь знаешь что такое macros и реальный ASM вызов syscall.
Хотя откуда? На Go видать программируешь или еще каком-нить новомодном трэше.

Ответить | Правка | Наверх | Cообщить модератору

81. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (-), 08-Янв-20, 09:02

> надеюсь знаешь что такое macros и реальный ASM вызов syscall.
Ну я знаю. И чего? Сишники, для начала, из сей сисколы дергают. На совсем уж гольном асме это оформлять - можно, конечно, но зачем? Это вообще совсем не портабельно. Тогда как вызваный из си сискол open работает одинаково и на ARM, и на MIPS, и на PowerPC, и даже на RISC-V каком-нибудь.

Ответить | Правка | Наверх | Cообщить модератору

54. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (-), 31-Дек-19, 15:47

> SYSCALLS в пользовательских приложениях это дрянной стиль программирования который и пополз из стана Linux
А я то думал из стана стандарта POSIX, под который Linux и мимикрирует с точки зрения софта.
> Даже Андроид такой стиль не поддерживает маскируя системные вызовы библиотекой wrapperом.
Так в Linux нормальные люди тоже обычно враппер вызывают. Тем не менее враппер сискола read тоже называется read() и предоставляется реализацией libc.
Ну а пойнт сабжа в том что если мы уверены что программа вообще никогда не должна записывать никакие файлы, мы рубим ей write() - и он завалится и через враппер, и напрямую, и как там еще. Программа просто не сможет записывать файлы. Довольно неудобный сюрприз для атакующих, которые сумеют нае...ть прогу, не так ли? :)

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

59. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (8), 31-Дек-19, 16:59

SYSCALL, POSIX, IOCTL — какая разница? Главное, сказать, что Линукс — это плохо. Быть экспертом в компьютерах для этого вообще не надо.

Ответить | Правка | Наверх | Cообщить модератору

73. "Выпуск системы изоляции приложений Firejail 0.9.62" –2 +/–

Сообщение от bOOster (ok), 01-Янв-20, 15:26

>[оверквотинг удален]
> А я то думал из стана стандарта POSIX, под который Linux и
> мимикрирует с точки зрения софта.
>> Даже Андроид такой стиль не поддерживает маскируя системные вызовы библиотекой wrapperом.
> Так в Linux нормальные люди тоже обычно враппер вызывают. Тем не менее
> враппер сискола read тоже называется read() и предоставляется реализацией libc.
> Ну а пойнт сабжа в том что если мы уверены что программа
> вообще никогда не должна записывать никакие файлы, мы рубим ей write()
> - и он завалится и через враппер, и напрямую, и как
> там еще. Программа просто не сможет записывать файлы. Довольно неудобный сюрприз
> для атакующих, которые сумеют нае...ть прогу, не так ли? :)
Posix враппер read может быть оперативно подменен другой реализацией, виртуальной в случае присутствися ограничений и это возможно так как несет дескриптор, в отличие от прямого доступа read который несет адрес устройства.

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

79. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (-), 08-Янв-20, 08:54

> Posix враппер read может быть оперативно подменен другой реализацией, виртуальной в случае присутствися ограничений
Подменять враппер - прерогатива троянцев/руткитов да может IDS. Ну еще для тестирования реакции программ на нестандартные ситуации и прочих лулзов. А так это что, достаточно сделать сискол - и я уже вне песочницы? Так это не песочница а джамшутинг какой-то?!
> в отличие от прямого доступа read который несет адрес устройства.
Какой еще "адрес устройства"? Что за бред?

Ответить | Правка | Наверх | Cообщить модератору

78. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от bOOster (ok), 03-Янв-20, 10:56

>[оверквотинг удален]
> А я то думал из стана стандарта POSIX, под который Linux и
> мимикрирует с точки зрения софта.
>> Даже Андроид такой стиль не поддерживает маскируя системные вызовы библиотекой wrapperом.
> Так в Linux нормальные люди тоже обычно враппер вызывают. Тем не менее
> враппер сискола read тоже называется read() и предоставляется реализацией libc.
> Ну а пойнт сабжа в том что если мы уверены что программа
> вообще никогда не должна записывать никакие файлы, мы рубим ей write()
> - и он завалится и через враппер, и напрямую, и как
> там еще. Программа просто не сможет записывать файлы. Довольно неудобный сюрприз
> для атакующих, которые сумеют нае...ть прогу, не так ли? :)
Да как раз наоборот. Именно из-за этой паршивой тенденции - корявый софт под Линь, мимикрирующий как ты говоришь под POSIX, собирается только на Лине, и не собирается на xBSD и других POSIX системах. И приходиться тратить время чтобы привести это "га:но" в порядок. Хорошо если кто-то уже пропатчил, а то еще и в дер&мово писанные мануалы по Linux надо лезть.

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

80. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (-), 08-Янв-20, 08:59

> Да как раз наоборот.
Пруф?
> корявый софт под Линь, мимикрирующий как ты говоришь под POSIX, собирается только на Лине
Что там под чем собирается - вообще второй вопрос. Возможно, разработчики просто никогда не пробовали собирать свой софт под xBSD и прочих posix системах. Потому что их хрен найдешь и разработчикам от них ничего не нужно, например? Есть еще маки, но они сильно кастомные, у них там какой-то io-framework или как там его. О том что это такое - только макинтошные разработчики и знают, потому что в других ОС этого нет.
> Хорошо если кто-то уже пропатчил, а то еще и в дер&мово писанные мануалы по Linux надо лезть.
Ну так скиньтесь и проплатите команде техписов написание вам мануалов по вашему вкусу.

Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от yu (??), 30-Дек-19, 12:51

Раньше запускал в нем фф, но часто приходилось какие-то правила дописывать, т к что-то не работало, особенно после обновления фф.

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск системы изоляции приложений Firejail 0.9.62" +1 +/–

Сообщение от Fracta1L (ok), 30-Дек-19, 12:52

Нужно, пользуюсь для сетевых приложух и всякой проприетари

Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от user90 (?), 30-Дек-19, 13:49

О, почти то, чего спрашивал. "Сетевые приложухи" это что?

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (-), 31-Дек-19, 02:44

Приложения лезущие в сеть, очевидно. Отпилить их в отдельный контейнер, если не виртуалку - отличная идея.

Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск системы изоляции приложений Firejail 0.9.62" +1 +/–

Сообщение от user90 (?), 30-Дек-19, 13:48

А оно реально надо? Или это для проприетарщины? Вопросы, вопросы..

Ответить | Правка | Наверх | Cообщить модератору

15. "Выпуск системы изоляции приложений Firejail 0.9.62" +1 +/–

Сообщение от Аноним (15), 30-Дек-19, 14:05

Как Вы предполагаете, зачем оно
> для проприетарщины?

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от user90 (?), 30-Дек-19, 14:18

А с недоверенным драйвером ты чо будешь делать? ;)

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск системы изоляции приложений Firejail 0.9.62" +4 +/–

Сообщение от Аноним (20), 30-Дек-19, 14:45

C недоверенным телефоном с проприетарными чипами без свободных дров вообще, залоченным бутлодером, кирпичащим телефон при прошивке прошивки с недоверенной подписью, и с критическими уязвимостями в проприетарных прошивках чипов что делать будешь? Вы уже проиграли. Сопротивление бесполезно, ведь за взлом, реверсинг и написание свободных прошивок программерам никто не заплатит, и даже если заплатит, то пока они допилят, устройства на помойке уже будут, ибо запланированный выход из строя. Дешевле будет купить самсунг с потрохами и заставить его делать все прошивки и драйвера изначально открытыми. Но вам никто это не позволит сделать, даже если бы у вас были на это деньги. Вам придётся либо юзать проприетарь, либо не юзать ничего.

Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (8), 31-Дек-19, 00:20

> C недоверенным телефоном с проприетарными чипами без свободных дров вообще, залоченным бутлодером, кирпичащим телефон при прошивке прошивки с недоверенной подписью, и с критическими уязвимостями в проприетарных прошивках чипов что делать будешь?
Не буду доверять ему важных данных. Если пойду грабить банк — оставлю телефон дома.

Ответить | Правка | Наверх | Cообщить модератору

55. "Выпуск системы изоляции приложений Firejail 0.9.62" –1 +/–

Сообщение от Аноним (-), 31-Дек-19, 15:53

А моя бабушка обманывает любой DRM. Просто наводит фотик на экран - и DRM пролетает.

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Crazy Alex (ok), 30-Дек-19, 14:45

То  и другое. Первый пример - собственно файрфокс, для изоляции которого эту софтину изначаль и сделали. Второй классический пример - скайп в него засунуть

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

22. "Выпуск системы изоляции приложений Firejail 0.9.62" –2 +/–

Сообщение от user90 (?), 30-Дек-19, 14:55

> скайп
Воу-воу, полехче! Сам же понимаешь, в чем тут лажа.
> файрфокс
Режешь жс первым делом.. ах нет? тогда тебя будут иметь.

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от drTrue (?), 30-Дек-19, 15:18

Firefox в виртуалке

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от CrazyAlex (?), 30-Дек-19, 18:57

Со скайпом - в чём лажа? Если в том, что скайповладелец (сейчас это Майкрософт, но скайп начали стараться огородить горпздо раньше) может получить твои звонки/переписку - то мимо, это данные, которые ты явным образом скормил. А идея - в трм, чтобы оно не лезло к остальному.
С файрфоксом - конкретно я жс режу, но в принципе дополнительная песочница вполне неплохо защищает от возможных проблем. Особенно если за ней - линукс, да ещё не убунта, а какая-нибудь гента или другая экзотика.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

31. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от user90 (?), 30-Дек-19, 19:07

В чем лажа? Ты же помнишь (наверно, если возраст позволяет, уж извини) что из себя представлял скайп на старте, до того, как был куплен-перекуплен - ну а чо он представляет из себя ща сам сказал.
Насчет ФФ - кокая-то перестраховка, однако. Это ж какая должна быть дырень, чтобы переживать за компрометацию локальной фс из-за браузера! Или речь про что-то другое?

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от CrazyAlex (?), 30-Дек-19, 19:30

Ну помню, лез везде где мог, поэтому и огораживали. Возраст позволяет :-) И что?
С файрфоксом - самые обычные дыры, их таких пара сотен точно была.

Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (63), 31-Дек-19, 20:39

> твои звонки/переписку - то мимо, это данные, которые ты явным образом скормил.
Ты ему доступ к камере и микрофону скормил - и какие гарантии что он ими пользуется только во время звонков? Теоретически конечно можно оттрассировать и запалить, а практически - проще избавиться от этой каки. Хомяки его уже посносили все-равно :)

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

42. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (42), 31-Дек-19, 02:47

Баги бывают и в открытом софте. В том числе и проблемы безопасности. И будет очень кстати если например браузер из всей файловой системы может аж в свои Downloads ходить. А остальное для него - совершенно пустая система, где брать нечего. Очень кстати если кто-то вдруг сможет убедить эту сложнятину попытаться сделать что-то не то. А тут ему от ворот поворот - бац.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

16. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноим (?), 30-Дек-19, 14:13

Если у меня selinux в enforcing, мне не нужно такое?

Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (-), 30-Дек-19, 14:41

Вкратце: нужно/ненужно?

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск системы изоляции приложений Firejail 0.9.62" +11 +/–

Сообщение от мудрый КАА (?), 30-Дек-19, 15:06

Да.

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Сейд (ok), 30-Дек-19, 19:44

Программа, имеющая suid — потенциальная дыра.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

43. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (42), 31-Дек-19, 02:49

С другой стороны, он в основном действует при запуске программы - а потом его прошибить ... можно в основном теоретически. А вот программа - заизолирована и если прошибут ее, то урон может быть минимизирован.

Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Сейд (ok), 31-Дек-19, 12:52

https://www.opennet.me/opennews/art.shtml?num=45824

Ответить | Правка | Наверх | Cообщить модератору

56. "Выпуск системы изоляции приложений Firejail 0.9.62" +1 +/–

Сообщение от Аноним (-), 31-Дек-19, 16:01

Если уж мы об этом, то между нами, есть пара нюансов:
1) *nix вообще и стандарты posix в частности вообще не создавались в допущении активной агрессии со стороны пользователей - на момент появления основ этого самого реалии были другими.
2) Это верно и для реализации пространств имен и всего такого. Чтобы это было правильно, надо было вколотить такое требование еще на уровне прикидок архитектуры ядра! Но хорошая мысля всем приходит опосля. И в реально существующих и используемых ядрах это было прикручено к уже существующим конструкциям на изоленту и спички. Что конечно же добавило багов на стыках технологий.
Однако постепенно спички и изолента заменится на что-то более потребное, глюки отловят и странные взаимодействия - пролечат. А таки без повышенных привилегий не удастся нормально сконфигурить новое окружение. Потому что если вдруг удастся - так, стоп, это что, все бесправные пользователи смогут систему переконфигурять на уроане рута? Так это ж еще большая дыра.

Ответить | Правка | Наверх | Cообщить модератору

65. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Сейд (ok), 31-Дек-19, 21:00

policycoreutils-sandbox
https://github.com/SELinuxProject/selinux

Ответить | Правка | Наверх | Cообщить модератору

66. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (-), 31-Дек-19, 21:46

> policycoreutils-sandbox
> https://github.com/SELinuxProject/selinux
Не, спасибо, это счастье вы как-нибудь себе оставьте. Мне этого:

Build dependencies on Fedora:
yum install audit-libs-devel bison bzip2-devel dbus-devel dbus-glib-devel flex flex-devel flex-static glib2-devel libcap-devel libcap-ng-devel pam-devel pcre-devel python3-devel python3-setools swig xmlto redhat-rpm-config

...достаточно чтобы не подходить к этому калу на пушечный выстрел! Не говоря о том что политики SELinux - та еще камасутра. Если в сабже что-то не сработает - я это починю. Если же лыжи не поедут с SELinux - упс. Всерьез в этом копаться можно только будучи клерком в NSA, которому за это оклад платят.

Ответить | Правка | Наверх | Cообщить модератору

67. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Сейд (ok), 31-Дек-19, 23:10

Такая точка зрения в корне не верна, SELinux намного проще и удобнее в использовании, чем это кажется на первый взгляд.

Ответить | Правка | Наверх | Cообщить модератору

68. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (68), 31-Дек-19, 23:52

> Такая точка зрения в корне не верна, SELinux намного проще и удобнее
> в использовании, чем это кажется на первый взгляд.
Во первых, я просто не буду использовать УГ где для просто операций с политиками надо какие-то пихоны, XML и прочий мегаэнтерпрайзный крап.
Во вторых, пофтыкав на эти политики, а также аппармор я пришел к выводу: контейнеры и виртуалки достигают такой же или даже более прочный результат с МНОГОКРАТНО МЕНЬШЕЙ ДОЛБОТНЕЙ.
У контейнеров и vm есть большой плюс: они не рушат секурити-модель *никс. Они просто создают новое окружение, где будет то что я хочу вывесить программе, и не бита больше. А эта штука - некий оверлэй. Оценить эффективный набор доступов может быть довольно трудно и не наглядно. У конкретно NSA регламенты есть, так что у них выбора не было. Но я - не NSA, поэтому могу положить на их регламенты мандатного контроля.

Ответить | Правка | Наверх | Cообщить модератору

69. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Сейд (ok), 01-Янв-20, 00:17

Мы говорим про Firejail, а не контейнеры.

Ответить | Правка | Наверх | Cообщить модератору

70. "Выпуск системы изоляции приложений Firejail 0.9.62" +1 +/–

Сообщение от Аноним (-), 01-Янв-20, 01:16

> Мы говорим про Firejail, а не контейнеры.
Firejail наполовину об контейнерах и есть. Он умеет собирать например отдельную сеть в отдельном namespace, менять область видимости ФС и все такое. Довольно похоже по смыслу. Ну и он как-то не требует пихонов, XML и проч. Мне нравятся простые приятные тулсы без оверинженерии ради хз чего.

Ответить | Правка | Наверх | Cообщить модератору

71. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Сейд (ok), 01-Янв-20, 10:53

А с его помощью можно запрещать или разрешать привязку процесса к определённым портам?

Ответить | Правка | Наверх | Cообщить модератору

82. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (-), 08-Янв-20, 09:09

> А с его помощью можно запрещать или разрешать привязку процесса к определённым портам?
Мне проще оперировать иным уровнем абстракций: отправить процесс в собственный неймспейс и там пусть хоть обпривязывается к любым портам, если хочет. Это не означает что он сможет создать хосту какие-то проблемы или получить доступ хоть куда-то. Это отдельная сеточка с отдельной конфигурацией и портами. Доступ наружу может быть, может не быть, может быть не такой как у хоста, ... по вкусу в общем.

Ответить | Правка | Наверх | Cообщить модератору

19. Скрыто модератором –2 +/–

Сообщение от bOOster (ok), 30-Дек-19, 14:45

Все гениальное просто, и это не про линь.

Ответить | Правка | Наверх | Cообщить модератору

27. Скрыто модератором +/–

Сообщение от Аноним (27), 30-Дек-19, 16:27

Какая разница в любой другой системе будет такая же виртуализация вызовов с предварительной проверко разрешений. Другое дело, что тут уже готово, а для того же виндоса вроде как нужно покупать какие-то цитриксы и т/д/

Ответить | Правка | Наверх | Cообщить модератору

28. Скрыто модератором +/–

Сообщение от Аноним (7), 30-Дек-19, 16:37

про вантуз?

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

34. Скрыто модератором +1 +/–

Сообщение от Анонимко (?), 30-Дек-19, 20:12

Да, там все просто: куяк-куяк и готово, пипл стерпит. Ведь за что ты заплатил, за то и будешь держатся.
У маководов еще хлеще - в тридорога переплатил за ширпотреб с шильдиком и стал идейным последователем автоматически. Нахвалиться потом не могут. Прикольно наблюдать, хоть диссертацию пиши. ))
Психология, сэр!

Ответить | Правка | Наверх | Cообщить модератору

37. Скрыто модератором +/–

Сообщение от Аноним (8), 31-Дек-19, 00:17

Вы полагаете, что в их поведении есть что-то неправильное?
По-моему, с этим всё просто. Человек платит за статус, и получает его. В нагрузку к статусу может идти какая-то унылая железка, но это глубоко вторично. Даже если эта железка вообще будет нерабочей, или сгорит при первом включении, статуса это не отменит.

Ответить | Правка | Наверх | Cообщить модератору

47. Скрыто модератором +/–

Сообщение от bOOster (ok), 31-Дек-19, 08:08

> Вы полагаете, что в их поведении есть что-то неправильное?
> По-моему, с этим всё просто. Человек платит за статус, и получает его.
> В нагрузку к статусу может идти какая-то унылая железка, но это
> глубоко вторично. Даже если эта железка вообще будет нерабочей, или сгорит
> при первом включении, статуса это не отменит.
Про какой статус речь идет? Народ на айфонах чтоли помешался?
Если речь о компьютерах - то ноуты БЫЛИ у Apple вполне конкурентноспособные, операционка позволяет не задумываться о завтрашнем обновлении системы и работать на нем абсолютно не теряя времени. А доп. фишки типа POSIX совместимость совместно с "бронебойностью" ОСи так конкурентов нет вообще.

Ответить | Правка | Наверх | Cообщить модератору

44. Скрыто модератором +/–

Сообщение от Аноним (42), 31-Дек-19, 02:50

> Все гениальное просто, и это не про линь.
Сабж довольно прост в использовании. Вот прямо под линем. Более того - аналогов ему даже как-то и не придумывается под другими системами.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

46. Скрыто модератором +1 +/–

Сообщение от bOOster (ok), 31-Дек-19, 08:02

Ну точно уж лет 20 как под FreeBSD не придумывается?

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск системы изоляции приложений Firejail 0.9.62" –4 +/–

Сообщение от Аноним (26), 30-Дек-19, 15:21

Неудобная штука. Изоляция файловой системы сделана  на основе чёрных списков, что на мой взгляд изначально неправильно (непонятно, как можно было так извратить идею filesystem namespaces, ведь по умолчанию в линуксе создаётся полноценный отдельный namespcae, а firejail уже пытается объединить всё обратно для создания иллюзии запуска в пользовательском /home).
А линуксовый seccomp так вообще не пригоден к использованию в том виде, в котором они его пытаются готовить — вся эта канитель с готовыми профилями не подходит для основной целевой аудитории, — варезных прог и сетевого софта, обновляющегося чаще чем раз в год.

Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (-), 31-Дек-19, 16:05

> Неудобная штука.
Наоборот - для большинства типовых прог есть готовые профайлы, так что вообще ничего делать не требуется.
> Изоляция файловой системы сделана  на основе чёрных списков
Там и белые вроде бы можно изобразить.
> пытается объединить всё обратно для создания иллюзии запуска в пользовательском /home
Это позволяет пользователю запустить типовые апликухи с повышенной изоляцией не ломая их работу. Если программе зарезать доступ к ее данным - она, внезапно, сломается. И врядли кто захочет например браузер перенастраивать с ноля.
> варезных прог и сетевого софта, обновляющегося чаще чем раз в год.
Я его использую для изоляции обычных программ, так что мне нормалек.

Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (35), 30-Дек-19, 22:21

а где смые главные - logind, gdm3, Xwayland, ... ?

Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (8), 31-Дек-19, 00:13

> logind
И так урезан по самые гланды:
DeviceAllow=char-/dev/console rw
DeviceAllow=char-drm rw
DeviceAllow=char-input rw
DeviceAllow=char-tty rw
DeviceAllow=char-vcs rw
FileDescriptorStoreMax=512
IPAddressDeny=any
LockPersonality=yes
MemoryDenyWriteExecute=yes
NoNewPrivileges=yes
PrivateTmp=yes
ProtectControlGroups=yes
ProtectHome=yes
ProtectHostname=yes
ProtectKernelModules=yes
ProtectKernelLogs=yes
ProtectSystem=strict
ReadWritePaths=/run
RestrictAddressFamilies=AF_UNIX AF_NETLINK
RestrictNamespaces=yes
RestrictRealtime=yes
RestrictSUIDSGID=yes
RuntimeDirectory=systemd/sessions systemd/seats systemd/users systemd/inhibit systemd/shutdown
RuntimeDirectoryPreserve=yes
SystemCallArchitectures=native
SystemCallErrorNumber=EPERM
SystemCallFilter=@system-service
Да, философия *nix запрещает так ограничивать свободу программ, но Лёньке пофиг.
В результате, не будучи рутом, дотянуться до logind практически нереально, а даже если его удастся каким-то образом ломануть, то максимум в vt можно будет вывести какую-нибудь похабщину, а с сетью, диском и системой — увы, ничего не сделать.

Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (42), 31-Дек-19, 02:51

У Поттеринга вообще можно поучиться всякие стремные сервисы правильно изолировать. Как угодно но куски systemd зарезаны по правам очень неплохо.

Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск системы изоляции приложений Firejail 0.9.62" –4 +/–

Сообщение от Аноним (8), 31-Дек-19, 12:52

Это противоречит юниксовой философии. Инит не должен заниматься ограничением прав сервисов, для этого должны быть отдельные suid-бинарники, которые нужно вручную вписывать в init-скрипты нужных программ.

Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (-), 31-Дек-19, 16:07

И я должен в каждый контейнер класть SUID бинарники при формировании контейнера и следить за их обновлениями, чтоб не дай боже дыры не проскочили? Ну или как я буду вызывать suid бинарник из контейнера весь пойнт которого - обуть программу на доступ в систему?

Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (8), 31-Дек-19, 17:01

Какие контейнеры, родной? В юниксах 30 лет назад не было никаких контейнеров. Софт надо ставить только через ./configure && make && make install.

Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (-), 31-Дек-19, 20:27

Какой софт, родной? 100 лет назад никакого софта не было. Пользоваться надо конвейерной лентой.

Ответить | Правка | Наверх | Cообщить модератору

64. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Аноним (63), 31-Дек-19, 20:42

> Какой софт, родной? 100 лет назад никакого софта не было. Пользоваться надо
> конвейерной лентой.
Какой конвейер, родной? 1000 лет назад не было двигателей, так что айда кирпичи к пирамиде таскать.

Ответить | Правка | Наверх | Cообщить модератору

83. "Выпуск системы изоляции приложений Firejail 0.9.62" +/–

Сообщение от Ilya Indigo (ok), 05-Ноя-20, 01:14

Можно ли через firejail наоборот, разрешить firefox-у доступ к ~/.mozilla, к которому изначально не будет доступа у обычного пользователя?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Выпуск системы изоляции приложений Firejail 0.9.62"	+1 +/–
Сообщение от Аноним (1), 30-Дек-19, 10:40
Вроде бы и ничего, но suid-ная программа напрягает как-то.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от Аноним (3), 30-Дек-19, 11:32
	Bubblewrap тогда.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от Аноним (-), 31-Дек-19, 14:17
	к нему уже нормальный туториал появился? Я честно пытался настроить сабж для этого вашего фаерфокса но ниасилил: терминальные приложения работают нормально, гуйня - нет, что и где подкручивать - нигде не написано, ломай голову самостоятельно
	Ответить \| Правка \| Наверх \| Cообщить модератору


	62. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от Аноним (-), 31-Дек-19, 20:34
	Bubbllewrap достаточно канительный в этом плане. При том by design. Поэтому с юзерской точки зрения сабж заметно проще в использовании.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от Аноним (4), 30-Дек-19, 11:36
	Можно попробовать снять SUID и настроить полномочия с помощью CAPABILITIES.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	8. "Выпуск системы изоляции приложений Firejail 0.9.62"	+3 +/–
	Сообщение от Аноним (8), 30-Дек-19, 12:28
	Боюсь, что тут нужен CAP_SYS_ADMIN, что эквивалентно руту. Причём, если euid программа наверняка сбросит перед exec, то капу — вряд ли.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от Аноним (23), 30-Дек-19, 15:04
	Во-первых, можно разрешить запуск firejail только определенными пользователями. Во-вторых, не ставить проприетарное что-попало, по крайней мере, без профиля, где suid-бинарник отфильтровывается белым списком.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	39. "Выпуск системы изоляции приложений Firejail 0.9.62"	+1 +/–
	Сообщение от Аноним (-), 31-Дек-19, 02:38
	> Вроде бы и ничего, но suid-ная программа напрягает как-то. Ну так для того что он делает повышенные права нужны. Если любой пользователь сможет в любой программе так же - в системе начнется вакханалия, где каждый пользователь по сути близок к руту.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
Сообщение от Annoynymous (ok), 30-Дек-19, 10:58
> При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ. При очень большом желании, пробовали.
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от Аноним (8), 30-Дек-19, 12:26
	Это как сразу два презeрватива натягивать — в том же докере изоляция через namespaces является core feature, а apparmor и seccomp подключаются через security-opt. В lxc в целом аналогично. Да даже в systemd для любого сервиса можно всё это в пару строчек юнит-файла настроить. Кроме десктопных приложений, о которых все эти серверные ребята как-то не подумали, других ниш применения firejail не видно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от Аноним (-), 30-Дек-19, 13:03
	Более того, если использовать Podman, вместо докера, то можно его исполозовать в rootless режиме, что будет секьюрнее докера и SUID'ного firejail.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Выпуск системы изоляции приложений Firejail 0.9.62"	+1 +/–
	Сообщение от Аноним (8), 30-Дек-19, 13:58
	Не будет. По той простой причине, что для настройки действительно эффективных механизмов изоляции нужны рутовые полномочия. Вообще, podman не является альтернативой docker/containerd, в отличие от cri-o, например. Это просто тество-отладочный инструмент для запуска на рабочем компе девопса.
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
Сообщение от Аноним (5), 30-Дек-19, 11:43
Сильно отличается от jail в freebsd?
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от Аноним (7), 30-Дек-19, 12:28
	да, например - отсутствием линуксатора, хотя в iOS его тоже нет. а вообще, BSD-jail в iOS и BSD лучше сравнивать с LXC и OpenVZ.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от abi (?), 30-Дек-19, 17:01
	Идея запихивания в джейл линукса врядли сильно востребована. Как забавный курьёз да, но реально лучше в bhyve.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от bOOster (ok), 31-Дек-19, 08:12
	> Идея запихивания в джейл линукса врядли сильно востребована. Как забавный курьёз да, > но реально лучше в bhyve. Но иногда имеет место быть. bhyve издержки все-таки повыше.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Выпуск системы изоляции приложений Firejail 0.9.62"	–1 +/–
	Сообщение от Аноним (-), 31-Дек-19, 02:43
	> Сильно отличается от jail в freebsd? Черт знает, но конкретно сабж удобнее всего для запихивания отдельных апликух в изолированные от основной системы "контейнеры". При том он неплохо работает в том числе и для десктопных штук, без лишней возни. Вероятно, благодаря многочисленным конфигам в дефолтной поставке, более или менее корректно прописывающие чего кому из типовых программ реально требуется (из сисколов и проч). А что, jail в фряхе умеет разрешать только нужные сисколы? Или пространства имен, допустим, сети переключать? Так что сетевая конфигурация у программы - вообще отдельная (firejail немного умеет создавать/настравать сетевые интерфейсы в контейнерах).
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	49. "Выпуск системы изоляции приложений Firejail 0.9.62"	–6 +/–
	Сообщение от bOOster (ok), 31-Дек-19, 08:21
	>> Сильно отличается от jail в freebsd? > Черт знает, но конкретно сабж удобнее всего для запихивания отдельных апликух в > изолированные от основной системы "контейнеры". При том он неплохо работает в > том числе и для десктопных штук, без лишней возни. Вероятно, благодаря > многочисленным конфигам в дефолтной поставке, более или менее корректно прописывающие > чего кому из типовых программ реально требуется (из сисколов и проч). > А что, jail в фряхе умеет разрешать только нужные сисколы? Или > пространства имен, допустим, сети переключать? Так что сетевая конфигурация у программы > - вообще отдельная (firejail немного умеет создавать/настравать сетевые интерфейсы в контейнерах). SYSCALLS в пользовательских приложениях это дрянной стиль программирования который и пополз из стана Linux, но хвала более квалифицированным программистам иных POSIX ОС - за пределами Linux практически не живет. Даже Андроид такой стиль не поддерживает маскируя системные вызовы библиотекой wrapperом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Выпуск системы изоляции приложений Firejail 0.9.62"	+1 +/–
	Сообщение от Аноним (8), 31-Дек-19, 12:54
	Ага, то есть ваши приложения не делают open(), read(), write(), malloc(), free()? Тогда вообще что они делают, если не секрет? Ах да, ничего, вы же не пишете приложения. Только рассуждаете о "дрянном стиле".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	72. "Выпуск системы изоляции приложений Firejail 0.9.62"	–3 +/–
	Сообщение от bOOster (ok), 01-Янв-20, 15:22
	> Ага, то есть ваши приложения не делают open(), read(), write(), malloc(), free()? > Тогда вообще что они делают, если не секрет? > Ах да, ничего, вы же не пишете приложения. Только рассуждаете о "дрянном > стиле". Ты че иди%от? Каким образом эти операции относяться к SYSCAL? open,read,write это врапперы, posix абстракция для ioctl - ИМЕННО КОТОРЫЙ уже работает с ядром и является SYSCALL. malloc, free это индентичные врапперы для операций выделения памяти, системный вызов которых сильно меняется от системы к системе. Госпади, мое первое сообщение в этой теме подтверждает что многие "программисты" линукс оиды вообще тупо не понимают что делают. Зато пишут приложения, видимо на питоне или php. ПыСы если претендуешь на звание программиста - то хоть изучай о чем говоришь. Тебе сюда - https://www.opennet.me/docs/RUS/lkmpg/node18.html
	Ответить \| Правка \| Наверх \| Cообщить модератору


	74. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от Аноним (8), 01-Янв-20, 18:58
	> Каким образом эти операции относяться к SYSCAL? open,read,write это врапперы, posix абстракция для ioctl - ИМЕННО КОТОРЫЙ уже работает с ядром и является SYSCALL. Взоржал. Ну и каша у вас в голове! Сразу видно настоящего компьютерного эксперта. > ПыСы если претендуешь на звание программиста - то хоть изучай о чем говоришь. Ну, так как вы не претендуете, то вот по этой сслыке http://man7.org/linux/man-pages/man2/syscalls.2.html ни в коем случае не ходите. Она для тех, кого случайно занесёт в это обсуждение, на случай, если ваша глупость для них будет не очевидна.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	75. "Выпуск системы изоляции приложений Firejail 0.9.62"	–1 +/–
	Сообщение от bOOster (ok), 01-Янв-20, 23:56
	>> Каким образом эти операции относяться к SYSCAL? open,read,write это врапперы, posix абстракция для ioctl - ИМЕННО КОТОРЫЙ уже работает с ядром и является SYSCALL. > Взоржал. Ну и каша у вас в голове! Сразу видно настоящего компьютерного > эксперта. >> ПыСы если претендуешь на звание программиста - то хоть изучай о чем говоришь. > Ну, так как вы не претендуете, то вот по этой сслыке http://man7.org/linux/man-pages/man2/syscalls.2.html > ни в коем случае не ходите. Она для тех, кого случайно > занесёт в это обсуждение, на случай, если ваша глупость для них > будет не очевидна. Документация по Linux будет последней на что я буду обращать внимание.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	76. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от Аноним (8), 02-Янв-20, 14:34
	> Документация по Linux будет последней на что я буду обращать внимание. Естественно, вы же не претендуете на звание программиста.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	77. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от bOOster (ok), 02-Янв-20, 17:54
	>> Документация по Linux будет последней на что я буду обращать внимание. > Естественно, вы же не претендуете на звание программиста. Конечно, и первым делом я посмотрю исходные тексты той-же например read. Внезапно да? Например https://code.woboq.org/userspace/glibc/sysdeps/unix/sysv/lin... И сразу же там вижу wrapper. Ну я думаю разберешься вокруг чего, надеюсь знаешь что такое macros и реальный ASM вызов syscall. Хотя откуда? На Go видать программируешь или еще каком-нить новомодном трэше.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	81. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от Аноним (-), 08-Янв-20, 09:02
	> надеюсь знаешь что такое macros и реальный ASM вызов syscall. Ну я знаю. И чего? Сишники, для начала, из сей сисколы дергают. На совсем уж гольном асме это оформлять - можно, конечно, но зачем? Это вообще совсем не портабельно. Тогда как вызваный из си сискол open работает одинаково и на ARM, и на MIPS, и на PowerPC, и даже на RISC-V каком-нибудь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от Аноним (-), 31-Дек-19, 15:47
	> SYSCALLS в пользовательских приложениях это дрянной стиль программирования который и пополз из стана Linux А я то думал из стана стандарта POSIX, под который Linux и мимикрирует с точки зрения софта. > Даже Андроид такой стиль не поддерживает маскируя системные вызовы библиотекой wrapperом. Так в Linux нормальные люди тоже обычно враппер вызывают. Тем не менее враппер сискола read тоже называется read() и предоставляется реализацией libc. Ну а пойнт сабжа в том что если мы уверены что программа вообще никогда не должна записывать никакие файлы, мы рубим ей write() - и он завалится и через враппер, и напрямую, и как там еще. Программа просто не сможет записывать файлы. Довольно неудобный сюрприз для атакующих, которые сумеют нае...ть прогу, не так ли? :)
	Ответить \| Правка \| К родителю #49 \| Наверх \| Cообщить модератору


	59. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от Аноним (8), 31-Дек-19, 16:59
	SYSCALL, POSIX, IOCTL — какая разница? Главное, сказать, что Линукс — это плохо. Быть экспертом в компьютерах для этого вообще не надо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	73. "Выпуск системы изоляции приложений Firejail 0.9.62"	–2 +/–
	Сообщение от bOOster (ok), 01-Янв-20, 15:26
	>[оверквотинг удален] > А я то думал из стана стандарта POSIX, под который Linux и > мимикрирует с точки зрения софта. >> Даже Андроид такой стиль не поддерживает маскируя системные вызовы библиотекой wrapperом. > Так в Linux нормальные люди тоже обычно враппер вызывают. Тем не менее > враппер сискола read тоже называется read() и предоставляется реализацией libc. > Ну а пойнт сабжа в том что если мы уверены что программа > вообще никогда не должна записывать никакие файлы, мы рубим ей write() > - и он завалится и через враппер, и напрямую, и как > там еще. Программа просто не сможет записывать файлы. Довольно неудобный сюрприз > для атакующих, которые сумеют нае...ть прогу, не так ли? :) Posix враппер read может быть оперативно подменен другой реализацией, виртуальной в случае присутствися ограничений и это возможно так как несет дескриптор, в отличие от прямого доступа read который несет адрес устройства.
	Ответить \| Правка \| К родителю #54 \| Наверх \| Cообщить модератору


	79. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от Аноним (-), 08-Янв-20, 08:54
	> Posix враппер read может быть оперативно подменен другой реализацией, виртуальной в случае присутствися ограничений Подменять враппер - прерогатива троянцев/руткитов да может IDS. Ну еще для тестирования реакции программ на нестандартные ситуации и прочих лулзов. А так это что, достаточно сделать сискол - и я уже вне песочницы? Так это не песочница а джамшутинг какой-то?! > в отличие от прямого доступа read который несет адрес устройства. Какой еще "адрес устройства"? Что за бред?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	78. "Выпуск системы изоляции приложений Firejail 0.9.62"	+/–
	Сообщение от bOOster (ok), 03-Янв-20, 10:56
	>[оверквотинг удален] > А я то думал из стана стандарта POSIX, под который Linux и > мимикрирует с точки зрения софта. >> Даже Андроид такой стиль не поддерживает маскируя системные вызовы библиотекой wrapperом. > Так в Linux нормальные люди тоже обычно враппер вызывают. Тем не менее > враппер сискола read тоже называется read() и предоставляется реализацией libc. > Ну а пойнт сабжа в том что если мы уверены что программа > вообще никогда не должна записывать никакие файлы, мы рубим ей write() > - и он завалится и через враппер, и напрямую, и как > там еще. Программа просто не сможет записывать файлы. Довольно неудобный сюрприз > для атакующих, которые сумеют нае...ть прогу, не так ли? :) Да как раз наоборот. Именно из-за этой паршивой тенденции - корявый софт под Линь, мимикрирующий как ты говоришь под POSIX, собирается только на Лине, и не собирается на xBSD и других POSIX системах. И приходиться тратить время чтобы привести это "га:но" в порядок. Хорошо если кто-то уже пропатчил, а то еще и в дер&мово писанные мануалы по Linux надо лезть.
	Ответить \| Правка \| К родителю #54 \| Наверх \| Cообщить модератору