Палю годноту. Ставишь в линукс виртуалку, в виртуалке запускаешь другой линукс. В него тоже устанавливаешь виртуалку, а в виртуалке запускаешь новый линукс. И так 12 раз. Потом пересылаешь этот способ двенадцати разным адресатам. Если ты этого не сделаешь в течении месяца, то умрешь от рака яичек.
Виртуалки не рассматривал, ибо слишком жирно, для 2-3 программулек запускать по 2-3 виртуалки.
>Есть ли подводные камни в первом способе?
Да, есть, и я о них тебе говорил в том же треде. Запуск из-под отдельного пользователя точно никак не защитит тебя от того, чтобы стать участником ботнета.
Только виртуализация и селинукс (возможно с какой-нибудь десктопной нашлепкой для удобства), все остальное костыли. Если не хочешь жирных полноценных виртуалок - chroot, docker. И все равно придется думать, кому куда давать доступ.
QubesOS
Я понял, то есть, допустим тот же Токс сможет использовать мой интернет сколько хочет. Но это ладно, не так опасно. Как минимум он не сможет получать доступ к моим файлам, и попортить систему, при желании.
Что у тебя там за система такая, что ты о ней так печешься? И что может в ней попортить программа, которая не имеет рутовых прав?
На самом деле очень интересная штука, но слишком жрет ресурсы. Плюс опять же малоизвестность и отсутствие аудита. Но идея и реализация просто охуительная.
Обычная система, пекусь просто потому что могу.
В системе может и ничего не может попортить, тут ты прав, но вот доступ к любым моим файлам у какого-нибудь фаерфокса если вдруг в нем обнаружится уязвимость будет.
Ну так создай отдельного юзера и запускай в его профиле. Пусть херит его профиль, тебе не похуй?
Вы какие-то странные условия тут ставите: хочу запускать вирусню с рутовыми правами в моем хомяке, но чтоб все чики-пуки. Зачем усложнять себе жизнь?
>Ну так создай отдельного юзера и запускай в его профиле.
Ну так первый способ это и описывает. Я про подводные камни спрашиваю, потому что в другом треде анон писал что это "костыле-песочница". Вот и интересуюсь, почему это костыль и в чем подвох.
>хочу запускать вирусню с рутовыми правами в моем хомяке
Насколько я понимаю, если ты без sudo в обычной консоли Дебиана или Убунту запускаешь допустим ТорБраузер, то рутовые права не даются. И про рутовые права тут никто не говорит.
>docker
Плохо что только 64 бит. А так годно тоже. Но мне надо 32 тоже.
Пидора и кде блять.
наконец каптча
f () { f | f &}; f
Вот пример. В osx 10.10 пофиксили. В жмупинусе через ulimit.
кажись у тебя кажется каша в мозгах и отрывчоные сведения о предмете.
Нахуя вообще голову забивать тем, в чем ты нихуя не понимаешь и пытаешся понять на детсадовском уровне? Не лучше ли изучить вопрос до конца на уровне взрослого студента и не задавать каких-то детских вопросов.
Ты похож на долбоеба, рассуждающего об электронике с позиции простого сантехника: электрический ток это как говно в трубе, течет, а при замыкании считай трубу прорвало и моча потекла не туда...
>говно в трубе течет
>прорвало и моча потекла
Лол.
Я вижу что ты такой дохуя умный и образованный. А я честно написал, что в прыщах новичок. Хули ты тут выебываешься?
Далее. Может быть прыщи и сложно, но всегда есть простые схемы, понятные даже гуманитариям. Я могу править исходники и конпелировать ядро, а могу скачать готовое. Я могу пердолиться с 3 компьютерами, а могу запустить ВиртуалБокс. Так что всегда есть простые, рабочие и безопасные решения даже для нубов.
Jail себе сделай блядь да и все.
И запускай там хоть виндовс хоть аллаха.
> chroot
> Безопасный запуск приложений
Лол.
1. не запускать всякое говни и не ставить софт из левых репов
2. сидение под не_рутом, даёт защиту в 99% случаев. Оставший 1% это те полтора эксплоита, который даже если захочешь найти, то хуй найдёшь.
3. Предыдущие 2 правила актуальны только если ты хорошо разбираешься в софте и ОС, в противном случае НИ ОДИН способ защиты тебе не поможет.
Обсуждать нечего.
/thread
>Jail
FreeBSD Jail что ли?
>> chroot
>> Безопасный запуск приложений
>Лол.
И в чем проблема? Что тут небезопасного?
Потому, что успешно обходится приложением (тыц: http://www.bpfh.net/simes/computing/chroot-break.html, тыц: http://habrahabr.ru/post/141012/)?
Это я и написал в ОП-посте, если ты в глаза долбишься:
>Но предполагается пердолинг с /proc, /sys, /run/shm, /dev ибо их надо маунтить. Где-то прочитал, что маунт того же /dev ломает безопасность такго подхода.
С другой стороны, мне-то ничего не надо собирать. Тут вопрос такой, а нужен ли для Токса, Фуррифокса итд этот /proc и прочие папки? Я же ничего не собираю в чруте, а просто запускаю из него программы.
Ты плохо читал, рут может выйти наружу даже без подключения каких-либо директорий.
Хорошо, спасибо. Ну тогда давайте обсудим остальные способы?
Зачем вообще что-то городить, когда достаточно просто юзверя с ограниченными правами?
Ну вот это описанный мною первый способ. Какие подводные камни?
>2. сидение под не_рутом, даёт защиту в 99% случаев.
Не даёт. Программа ворующая пароли пропишется в автозагрузке в папке /home/user .
У будет от имени твоего юзера устраивать ddos, spam.
Т.к. по дефолту в линуксе интернет полностью открыт для всех программ. По дефолту линукс дыряв.
Это всё потому что в линуксе нет действительно хорошего софта для фильтрации траффика, по имени программы, по её полному пути и по анализу состояния её компонентов в памяти.
>Программа ворующая пароли пропишется в автозагрузке в папке /home/user .
И похуй, третий пункт гласит что пользователь должен шариться в теме. Это значит что пользователь поймет что у него троян и снесет пользователя с потрохами
> пользователь должен
Кому он должен ? Что за пункты ? Чё ты нисёшь ?
>не запускать всякое говни и не ставить софт из левых репов
>пользоваться только тем что ГОСПОДИН РАЗРЕШИЛ
швободка, че
Вирусной спермобезопасности НИПРИЯТНА
Читай посты в треде, мудак тупорылый. Третий пункт
>по анализу состояния её компонентов в памяти.
Спермопотребности.
Блядь давайте без этого ебанутого срача. Пиздец тут спрашиваешь что-то, налетают трололо и начинают засирать тред за тредом.
Когда в линуксе полторы программы, причём 99% из них идут изкоробки, то конечно это не нужно. А когда их становится очень много и всех из пихать сразу при установке не представляется возможным, то это очень нужно. Обтекай.
Спермобред со спермопроблемами. Антивирусы у тебя зависают штоле? Или чистильщики реестра?
>Когда в линуксе полторы программы, причём 99% из них идут изкоробки
В 1991 году. А при чём здесь современное состояние GNU/Linux?
Ну да.
Вначале фрю накати. В ней джайл создай.
И ебись там хоть конем.
И чем это лучше чрута или lxc?
chroot'а лучше однозначно ибо это, так сказать, enhanced chroot. А lxc, судя по всему, то же самое, что и jail, только для линупса. Какую ось юзаешь, то и используй.
Бамп.
Хуле ты бампаешь, ёпта?
В osx через такой же ulimit
На каком решении остановился?
Я услышал только критику в адрес chroot, о которой и так знал.
Критику против первого способа я услышал только в стиле "ботнет", но это похуй, в теории какой-нибудь ТорБраузер тоже может оказаться ботнетом, но тут ничего не поделаешь, по-моему, не создавать же ему правила перед тем, как заходить на такой-то сайт каждый раз.
Сейчас почитаю про LCX (хуй знает пока что это вообще). Docker тоже вариантом был, но там тлько 64битные машины, а машины бывают и 32битные до сих пор.
>Критику против первого способа я услышал только в стиле "ботнет"
Сейчас нет ни одного адекватного ботнета основанного на десткопных линуксах, и пока процент охвата линуксов будет в пределах математической погрешности, никто пилить такой ботнет не будет.
>LXC
Ты ж не собираешься каждому приложению по полноценному окружению давать?
Советую обратить внимание на связку nixos и lxc, там, ЕМНИП, удобный механизм изоляции процессов.
Кароч, записывай на болванку/флешку какой-нибудь суперанонимный Whonix и делай что хошь: хоть дома взрывай, хоть детей ешь. Почувствуй себя путиным. Будь в полной безопасности.
http://www.opennet.ru/opennews/art.shtml?num=40700
Спасибо.
Так мне не нужен хуникс, ради которого надо запускать целую ВМ. Я хочу просто запускать приложение, которое не сможет шароебиться по всей системе. Пока что идея с отдельным пользователем мне нравится больше всего.
Бамс.
> Единственный минус - с правами файлов, которые будет создавать программа. Допустим, скачается браузером картинка с правом чтения для пользователя iceweasel, а мой обычный пользователь уже не сможет ее посмотреть.
В прошлом треде анон говном исходил по поводу chmod g+s, который решает проблему.
Ну да. Но я на самом деле не вижу в этом проблемы, допустим, я хочу запускать Токс. Я просто буду чятиться и звонить, нахуй мне ебаться с чем-то еще. Разве что мне кто-то файл пришлет раз в месяц, ну это не страшно, я могу и руками поменять права.
Так что кроме претензий с правами я не вижу пока никаких минусов, а они наверняка есть, и о них лучше узнать заранее.
>я не вижу пока никаких минусов
Придется же плодить пользователей/группы на каждый чих.
Нет, в ОП-посте же описана проблема, есть допустим 3-4 приложения, сделал для них 3-4 пользователя, и нормально.
Может быть, можно даже гостевого временного пользователя (вроде в Дебиане и Убунту есть такое) генерировать для каждого, либо все программы вместе запускать из-под одного гостя.
Так что это не сильно напряжно.
>есть допустим 3-4 приложения, сделал для них 3-4 пользователя
Общага какая-то, блядь, а не система. Не знаю, я, пользуясь линуксом более пяти лет, ни разу никаких неприятностей не поимел. Нет никаких аппарморов и прочего говна. Правда, почти весь софт из репозиториев. Не вижу причин для такой паранойи.
Ну а ТорБраузер и Токс не из репозиториев.
Я сам на прыщах с Убунты 9.04, и тоже никогда никаких проблем не имел. И все же, "предупрежден - значит вооружен".
Против кого вооружен? Против тор-браузера? Только уебан будет пользоваться тором, считая его зондом.
Так он и есть зонд.
Охуительные истории от специалистов ИБ уровня /s/.
>Верит в беззондность разработки военных
Молодец, продолжай. Тут главное слепая ВЕРА.
>эти фантизии пердольки
Давай, расскажи мне больше обо мне.
Но лучше пруфани наличие зонда в торе.
>Против кого вооружен? Против тор-браузера? Только уебан будет пользоваться тором, считая его зондом.
Тут скорее вопрос не в зондах, а в том, что любая программа потенциально имеет уязвимости. И если, допустим, я пользуюсь Тором, а ФСБ найдет какую-то уязвимость, которая даст им доступ ко всему моему винту - то будет хуево. А так хотя бы пользователь Тора будет ограничен в правах, и ничего не получит.
В любом случае в безопасности действует простой закон: если можешь надеть гондон - надень его. Я блять и пытаюсь выбрать, какой гондон лучше надеть, только вот вменяемых советов так и не услышал.
>вменяемых советов так и не услышал
Сперва нужно задать вменяемый вопрос.
После того, как задашь, проверь, нет ли на него ответа в треде.
>Сперва нужно задать вменяемый вопрос.
>После того, как задашь, проверь, нет ли на него ответа в треде.
1) Подводные камни при использовании перечисленных способов в ОП-посте.
2) Кроме "ботнет" ничего не из ответов не услышал.
Вы уебки чтоли и в глаза долбитесь? Вам и тут уже про chmod g+s упомянули, а вы всё мусолите "проблема с правами, куд-кудах"
Значит, их и не будет.
Вдруг будут. Тут что-то нормальных развернутых ответов по всем пунктам не было еще.
Бамп.
Бамп.
Настраивать так же сложно, как и аппармор?
не знаю. не пользовался.
Короче, я так понял, что мне, для пользования всякими ТорБраузерами скорее всего подойдет первый способ. Насколько я понимаю, чрут в дебутстреп, или песочница по факту сделают то же самое, только сложнее. От возможного ботнета меня ни отдельный пользователь, ни чрут, ни песочница, не спасут.
Возможно, спас бы АппАрмор, в котором наверное можно прописать куда и как мое приложение может ломиться в интернет, но это уже такой пердолинг (следить за поведением каждого приложения в сети, и смотреть куда ему можно а куда нет), которым никто не занимается.
Так что в связи с этим вопрос: как там создать анально ограниченного пользователя в прыщах?
Простое создание, по-моему, уже делает пользователя, который к моему основному не залезет, так?
Возможно, спас бы АппАрмор, в котором наверное можно прописать куда и как мое приложение может ломиться в интернет, но это уже такой пердолинг (следить за поведением каждого приложения в сети, и смотреть куда ему можно а куда нет), которым никто не занимается.
Так что в связи с этим вопрос: как там создать анально ограниченного пользователя в прыщах?
Простое создание, по-моему, уже делает пользователя, который к моему основному не залезет, так?
>Простое создание, по-моему, уже делает пользователя, который к моему основному не залезет, так?
Он сможет залезть в твои примонтированные диски (флешки, usb-диски). Т.к. по дефолту к автопримонтированным дискам имеют доступ все юзеры. Папка типа /mnt .
Также твой отдельный юзер будет иметь доступ ко всем интернет-сервисам которые ты повесишь на localhost и на сетевые интерфейсы.
Например ты вешаешь Samba без пароля. Отдельный юзер сможет зайти изнасиловать тебе содержимое сетевых дисков.
Отдельный юзер сможет полазить по твоей домашней локальной сетке 192.168.x.x (10.x.x.x, 172.x.x.x). Походить по твоим сетевым дискам. Полазить по твоем роутеру. И т.д..
Отсутствие фильтрации трафика это не только опасность upload/download в интернет, но и опасный доступ в домашнюю локалку, роутеру.
Насколько я понимаю, это по дефолту в Убунте. В Дебиане же чтобы примаунтить что-то, нужны права рута. Если я это не примаунтил сам, то и левый юзер не примаунтит.
Это хуево, хотя самбой не пользуюсь, но и без пароля не ставил бы её такую.
>Отдельный юзер сможет полазить по твоей домашней локальной сетке 192.168.x.x (10.x.x.x, 172.x.x.x). Походить по твоим сетевым дискам. Полазить по твоем роутеру. И т.д..
Это-то похуй и все закрыто, а роутер тоже на прыщах с паролем.
Но я наконец-то услышал хорошую критику в адрес первого способа, спасибо. Сам-то что посоветуешь в моей ситуации?
Бамп.
>Бамп.
Иди нахуй. Тебе все уже ответили.
А ты все хуйню несешь какую-то.
>песочница по факту сделают то же самое, только сложнее
Блядь пиздец.
Какой же ты дегенерат ебаный, сложнее сука.
Пару раз по кнопкам ударить, сложнее ему дибилу малолетнему.
Ты тут уже столько текста накатал что можно было бы тыщу джайлов настроить.
Но нет, малолетний дебил не хочет ничего делать, он хочет беспредметно пиздеть на харкаче.
Саги тебе.
>можно было бы тыщу джайлов настроить.
Твои Jail-ы не фильтруют сетевой трафик. К тому же ты пролетаешь со своим фрибсд. Тут вопрос о линуксе.
>Твои Jail-ы не фильтруют сетевой трафик
Чтобы фильтровать трафик нужен ФАЕРВОЛ.
Идиота ты кусок.
>Ты тут уже столько текста накатал что можно было бы тыщу джайлов настроить.
Ну какие джейлы есть под Убунту, например?
И какими правилами фаервола ты ограничишь трафик для конкретной jail ?
lxc/docker. В треде упоминали дохуя раз.
>но это уже такой пердолинг (следить за поведением каждого приложения в сети, и смотреть куда ему можно а куда нет), которым никто не занимается.
Нет уж, разграничение доступа - это не пердолинг, это реальность. Безопасность противоречит удобству. В ведроиде есть разграничение доступа приложений к разным подсистемам ОС, и то дебилы умудряются клацать на Accept всегда, ПОТОМУШТА ПИРДОЛИНГ. Либо ты продумываешь политику безопасности, либо нет. Механизмы ОС вторичны, это лишь инструмент её реализации.
lxc
Как в LXC настроить фаервол по приложению (типа Application Firewall) ? Чтобы ограничить эту LXC.
2 секунды в гугле http://xakep.ru/48311/
> Находясь "за решеткой", root не имеет прав:
> Получать доступ к сетевым ресурсам, не ассоциированным с IP-адресом
jail’а.
А разве из jail программы имеют доступ в интернет ? Например skype как в интернет вылезет из jail ?
>lxc/docker. В треде упоминали дохуя раз.
А, извините, забылся. Ну докер только на 64 бита, а до lxc так руки и не дотянулись.
Ну а про LXC пишут http://habrahabr.ru/post/208746/ что это все полуготовое еще, полноценного релиза не было, и до сих пор часто что-то отваливается.
Ну и под Дебиан написано:
LXC may not provide sufficient isolation at this time, allowing guest systems to compromise the host system under certain conditions
Apparently this is progressing in 3.12/lxc-beta2: https://www.stgraber.org/2014/01/17/lxc-1-0-unprivileged-containers/
lxc-halt times-out (see Start and stop containers below)
upgrade to "Jessie" breaks the container - see the "Incompatibility with systemd" section below.. This behavior is under review however. See 762194
LXC may not provide sufficient isolation at this time, allowing guest systems to compromise the host system under certain conditions
Apparently this is progressing in 3.12/lxc-beta2: https://www.stgraber.org/2014/01/17/lxc-1-0-unprivileged-containers/
lxc-halt times-out (see Start and stop containers below)
upgrade to "Jessie" breaks the container - see the "Incompatibility with systemd" section below.. This behavior is under review however. See 762194
Бамп.
>This example shows how the root user of a container can easily run code as root in the host system, since sysfs does not support namespaces:
> http://blog.bofh.it/debian/id_413
Т.е. не надо использовать root в контейнере LXC. А ктото создаёт контейнеры LXC с рутом ? Я и раньше думал что нельзя использовать рут в lxc/chroot. К тому же нужно контейнер LXC нужно создавать с минимумом прав и ограничивать с помощью apparmor. Т.е. давая программе в LXC только необходимый минимум файлов, папок, библиотек, прав.
Странные люди работают в дебиане.
Короче, LXC сырой, Docker только 64 бит.
> LXC сырой
идиот. ты ничё не понял. перечитай выше. там дебианщики ноют изза использования рута в контейнере lxc. а только идиоты используют рут в контейнерах.
Бамп.
Глупый вопрос. Нахуя его вообще делать, если сервисы не могут взаимодействовать с внешней сетью?
Предполагаемые программы для запуска: Tox, Bitmessage, TorBrowser, может даже Skype. В общем, все программы, которые пишут для повышения анонимности, но и у которых до сих пор не было вменяемого аудита, либо всякое проприетарное говно.
Среди предложенных вариантов у нас есть следующие:
1) sudo -u iceweasel iceweasel $1
Запуск программы от отдельного пользователя с ограниченными правами. На мой субъективный взгляд новичка самое удобное, что есть. Единственный минус - с правами файлов, которые будет создавать программа. Допустим, скачается браузером картинка с правом чтения для пользователя iceweasel, а мой обычный пользователь уже не сможет ее посмотреть. С другой стороны, для звонилки типа Токса таких проблем возникать не будет, если просто звонить друг другу.
2) Apparmor, SELinux
На мой взгляд это самые продвинутые решения, но и самые сложные. Мне честно лень в них разбираться, ибо не очень юзер-френдли.
3) Песочницы и контейнеры.
Я гуглил всякие, нашел например mbox, но каких-то годных гайдов по сравнениям разных песочниц не нашел.
4)
# debootstrap /chroot stable
# chroot /chroot
# adduser skype
Тоже годно. Система внутри системы. Но предполагается пердолинг с /proc, /sys, /run/shm, /dev ибо их надо маунтить. Где-то прочитал, что маунт того же /dev ломает безопасность такго подхода.
С другой стороны, я пока не проверял, заработает ли тот же TorBrowser в такой системе без всех этих /dev итд.
Интересно услышать мнение продвинутых линуксоидов. Есть ли подводные камни в первом способе? Есть ли простые изкоробочные песочницы? Взлетит ли 4 способ без особого пердолинга?