Forum Debian Users Gang

Jacekalex · 2013-06-12 19:53:59

A po co przechodzić?
Flash już jest zdychającym wielorybem, za dwa lata standardem będzie html5, java chodzi ze standardem Netscape API, podobnie jak reszta wtyczek.

Dla jednego zdychającego flasha rozpieprzać całe API do wtyczek?

Flash i tak w cywilizowanym świecie nie jest formatem przechowywania filmów, tylko programem do wyświetlania.
Od lat jest konkurencyjny format object=video - który odtwarza video we wtyczce WMP albo innej,
gier flashowych na Linuxie i tak zbyt wielu nie odpalisz, a w Windows wywalenie flasha zaoszczędzi co najmniej 1/3 infekcji wirusami komputerowymi.
W dodatku html5 ma już suport DRM, także do szyfrowanych materiałów też już ani Flash, ani Silveright nie są potrzebne, więcej z nimi kłopotów, niż to warte.

To tylko w Poslce portale są 5000 lat za szympansami, dlatego tutaj flash to standard, chyba ze akwizytorzy M$ wcisną w jego miejsce Silverighta.

Ale to też się w końcu zmieni, jak M# wywali flasha z WIndows, już w 8-ce miało go nie być, na razie na samych desktopach się ostał.
W Apple i Androidzie sytuacja wygląda podobnie.
IOS i WIndows Mobile już flasha nie mają, i mieć nie będą. :D

Pozdrawiam
;-)

fervi · 2013-06-12 20:10:07

gier flashowych na Linuxie i tak zbyt wielu nie odpalisz

Przecież wszystkie działają :P Chyba, że mówisz o Gnashu

Ogólnie liczę na rozwój Lightspark + Gnash + Linterna Magica + HTML5, takie Combo Flashkillerów (działających równolegle)

Fervi

remi · 2013-07-10 16:36:20

Cześć. Kolejna aktualizacja bezpieczeństwa. Więcej info w oficjalnym biuletynie APSB13-17. Nowa wersja: Firefox (Mozilla, SeaMonkey) 11.2.202.297, Chrome (Pepper-based Flash Player) 11.8.800.97.

Pozdrawiam serdecznie.

Ostatnio edytowany przez remi (2013-07-11 19:16:10)

Jacekalex · 2013-07-10 17:31:31

fervi napisał(-a):
gier flashowych na Linuxie i tak zbyt wielu nie odpalisz
Przecież wszystkie działają :P Chyba, że mówisz o Gnashu

Ogólnie liczę na rozwój Lightspark + Gnash + Linterna Magica + HTML5, takie Combo Flashkillerów (działających równolegle)

Fervi

Linterna Mgica chętnie spróbuję, Gnasha testuję co jakiś czas, zapomniałeś o Shumwayu.

Lightspark nie chce się u mnie skompilować prawidłowo za Chiny Ludowe, co nieźle świadczy o autorach. :D

Jednym słowem, jak wszystko, co *buntowe. :D

remi napisał(-a):
Cześć. Kolejna aktualizacja bezpieczeństwa. Więcej info w oficjalnym biuletynie APSB13-17. Nowa wersja: 11.2.202.297.

Pozdrawiam serdecznie.

Dzięki.
Na 11.2.202.291 cały YT miał niebieskie pyski, dlatego siedziałem na 11.2.202.285, ten *.297 działa - wydaje się, że dobrze (jak na flasha oczywiście). :D

Chociaż flasha odpalam może raz na tydzień przez pomyłkę, lub na stronach, gdzie nic innego nie idzie. :D
Ostatnio coraz częściej przy przeglądarkach jest moja "tajna broń" w robocie. :D

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-07-10 18:32:21)

remi · 2013-07-14 16:36:35

Cześć. Jacku a nie próbowałeś wyłączyć tzw. Przyśpieszenia sprzętowego (ang. Enable Hardware Acceleration)? Opcja dostępna w panelu Wyświetlacz. Podobno owa funkcja, pomaga w różnych sytuacjach, takich jak np. niska jakość obrazu lub wolne odtwarzanie etc. Pytam z czystej ciekawości, ponieważ wersja o której wspominasz (*.291), powodująca niebieskie pyski, w moim przypadku nie stwarzała absolutnie żadnych problemów.

Pozdrawiam serdecznie.

Jacekalex · 2013-07-15 01:47:27

Mam włączoną akcelerację flasha.

Ostatnio chodzi całkiem grzecznie, choć całkowicie mu zablokowałem zapis jakiegokolwiek pliku w ~/.macromedia/. :)

Kod:

grep macromedia /etc/apparmor.d/usr.lib64.firefox.plugin-container
  owner @{HOME}/.macromedia/     r,
  owner @{HOME}/.macromedia/**   r,

Teraz mam:

Kod:

www-plugins/adobe-flash-11.2.202.297 (32bit 64bit multilib selinux sse2 vdpau)

Konfiguracja?

Kod:

egrep -v '#|^$' /etc/adobe/mms.cfg 
AllowUserLocalTrust = 0
OverrideGPUValidation = true
EnableLinuxHWVideoDecode = 1
WindowlessDisable = 1

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-07-15 01:51:19)

remi · 2013-07-16 12:32:39

Cześć, dzięki za odpowiedź. Słuchaj, mógłbyś podać pełny profil dla AppArmor odnoszący się do usr.lib64.firefox.plugin-container? Jacku, czy według Ciebie opcje odnoszące się do plugin-containera (oczywiście mam na myśli te, które podałeś), można umieścić w istniejącym profilu przeglądarki www (Firefox etc.)? Rozumiem, że masz oddzielny profil dla Flash'a?

Pozdrawiam serdecznie.

Jacekalex · 2013-07-16 12:58:03

Profil plugin-container?
Niezbyt udany, na razie jest w nim cała java, sypie troszkę błędami, ale proszę:
http://jacekalex.sh.dug.net.pl/apparmor/usr.lib64.f … gin-container
i do Firefoxa:
http://jacekalex.sh.dug.net.pl/apparmor/usr.lib64.firefox.firefox

Jeszcze sporo roboty z tymi profilami i dokumentacją Apparmora przed mną, ale akurat mam na to sporo czasu ;).

Plugin-container z Frefoxa-22 nie umiał u mnie znaleźć bibliotek siedzących w /usr/lib64/firefox (niezależnie od Apparmora, po prostu tam nie szukał), podlinkowałem 3 szt do /usr/lib64 i już chodzi.
To te:

Kod:

/usr/lib64/firefox/libxul.so
/usr/lib64/firefox/libmozalloc.so    
/usr/lib64/firefox/libmozsqlite3.so

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-07-16 13:07:19)

remi · 2013-07-17 19:31:29

Serwus. Dzięki za sznurki. Faktycznie profil dla plugin-container, nie jest jeszcze skończony. Profil dla Firefox'a utworzonego przez Strandboge'a, poddałeś modyfikacji. Spełnia swoje zadanie?

Jacekalex · 2013-07-17 20:00:17

U mnie działa w FF i java i flash, innych wtyczek na razie nie dodawałem.
Z obu chcę zrobić abstractions/* dla różnych przeglądarek.

Chociaż na razie to dla mnie maleńki horror.
Np Akregator po zablokowaniu dostępu do /sys/ pluje logami DENIED, Chrome się w ogóle nie chce odpalić.
Dla porównania, jak w Grscurity zablokowałem dostęp do /sys wszystkim, to ani Akregator ani Chrome nie miauczały, bo grsec ukrywa istnienie pliku/folderu - tak, jakby w ogóle nie istniał.

Dlatego idealny model bezpieczeństwa, to Grsec+Apparmor.
Grsec na prosty konfig na poziomie rootfs i zablokowania możliwości wyłączenia Apparmora (/sys/modules/apparmor/parameters), i innych krytycznych miejsc w /proc, /dev i /sys.
Apparmor za to ma bardziej elastyczny konfig dzięki opcjom owner i regexom, których na razie nie ma w gracl.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-07-17 20:04:03)

remi · 2013-07-17 20:21:50

Właśnie - AppArmor jest bardziej elastyczny. Powoli zaczynam go poznawać. Grsec musi troszeczkę poczekać. A tak przy okazji: dlaczego zmodyfikowałeś domyślny profil dla Firefoxa? Z tego, co pamiętam działał Flash etc.

Jacekalex · 2013-07-18 01:50:21

remi napisał(-a):
Właśnie - AppArmor jest bardziej elastyczny. Powoli zaczynam go poznawać. Grsec musi troszeczkę poczekać. A tak przy okazji: dlaczego zmodyfikowałeś domyślny profil dla Firefoxa? Z tego, co pamiętam działał Flash etc.

Dlaczego?
Dlatego, ze tamten profil był do FF-3.6 - a ja go dopasowałem do FF-22 i FF-25.
Między tymi wersjami jest kilka różnic, prawda?

W tej chwili mam trochę czasu, w tym czasie robię sobie profile do wszystkiego, co łączy się z netem, lub otwiera jakieś pliki z netu, a także do rożnych rozwiązań sieciowych,
które czasem stawiam na serwerach.
Robota wygląda rożnie, czasem gotowy profil, czasem trzeba go mniej lub bardziej przerabiać, czasem pisać do zera.

Zgadnij, które zrobiłem od zera, a które pochodzą z netu, i były mniej lub bardziej poprawiane, które natomiast są bez zmian?

Kod:

/usr/bin/gimp-2.8 (enforce)
/usr/bin/spamc (enforce)
/usr/sbin/amavisd (enforce)
/usr/sbin/rsyslogd (enforce)
/usr/sbin/clamav-milter (enforce)
/usr/bin/freshclam (enforce)
/usr/sbin/dkim-filter (enforce)
/usr/bin/dk-filter (enforce)
/usr/sbin/sendmail.postfix (enforce)
/usr/libexec/postfix/virtual (enforce)
/usr/libexec/postfix/verify (enforce)
/usr/libexec/postfix/trivial-rewrite (enforce)
/usr/libexec/postfix/tlsmgr (enforce)
/usr/libexec/postfix/spfperl (enforce)
/usr/libexec/postfix/spawn (enforce)
/usr/libexec/postfix/smtpd (enforce)
/usr/libexec/postfix/smtp (enforce)
/usr/libexec/postfix/showq (enforce)
/usr/libexec/postfix/scache (enforce)
/usr/libexec/postfix/qmqpd (enforce)
/usr/libexec/postfix/qmgr (enforce)
/usr/libexec/postfix/proxymap (enforce)
/usr/libexec/postfix/pipe (enforce)
/usr/libexec/postfix/pickup (enforce)
/usr/libexec/postfix/oqmgr (enforce)
/usr/libexec/postfix/nqmgr (enforce)
/usr/libexec/postfix/master (enforce)
/usr/libexec/postfix/local (enforce)
/usr/libexec/postfix/lmtp (enforce)
/usr/libexec/postfix/flush (enforce)
/usr/libexec/postfix/error (enforce)
/usr/libexec/postfix/discard (enforce)
/usr/libexec/postfix/cleanup (enforce)
/usr/libexec/postfix/bounce (enforce)
/usr/libexec/postfix/anvil (enforce)
/usr/{sbin/traceroute,bin/traceroute.db} (enforce)
/usr/sbin/tcpdump (enforce)
/usr/sbin/sshd (enforce)
/usr/sbin/sshd//PRIVSEP_MONITOR (enforce)
/usr/sbin/sshd//PRIVSEP (enforce)
/usr/sbin/sshd//EXEC (enforce)
/usr/sbin/sshd//AUTHENTICATED (enforce)
/usr/sbin/spamd (enforce)
/usr/sbin/smbldap-useradd (enforce)
/usr/sbin/smbldap-useradd///etc/init.d/nscd (enforce)
/usr/sbin/smbd (enforce)
/usr/sbin/sendmail (enforce)
/usr/sbin/proftpd (enforce)
/usr/sbin/postqueue (enforce)
/usr/sbin/postmap (enforce)
/usr/sbin/postgrey (enforce)
/usr/sbin/postdrop (enforce)
/usr/sbin/nscd (enforce)
/usr/sbin/nmbd (enforce)
/usr/sbin/named (enforce)
/usr/sbin/mysqld (enforce)
/usr/sbin/mtr (enforce)
/usr/sbin/lighttpd (enforce)
/usr/sbin/dovecot (enforce)
/usr/sbin/clamd (enforce)
/usr/local/bin/rssperl (enforce)
/usr/libexec/gweather-applet-2 (enforce)
/usr/libexec/dovecot/pop3-login (enforce)
/usr/libexec/dovecot/pop3 (enforce)
/usr/libexec/dovecot/managesieve-login (enforce)
/usr/libexec/dovecot/lmtp (enforce)
/usr/libexec/dovecot/imap-login (enforce)
/usr/libexec/dovecot/imap (enforce)
/usr/libexec/dovecot/dovecot-lda (enforce)
/usr/libexec/dovecot/auth (enforce)
/usr/lib/apache2/mpm-prefork/apache2 (enforce)
/usr/lib/apache2/mpm-prefork/apache2//phpsysinfo (enforce)
/usr/lib/apache2/mpm-prefork/apache2//HANDLING_UNTRUSTED_INPUT (enforce)
/usr/lib/apache2/mpm-prefork/apache2//DEFAULT_URI (enforce)
/usr/lib64/thunderbird/thunderbird (enforce)
/usr/lib64/php5.3/bin/php-fpm (enforce)
/usr/lib64/libreoffice/program/soffice.bin (enforce)
/usr/lib64/libreoffice/program/soffice (enforce)
/usr/lib64/firefox/plugin-container (enforce)
/usr/lib64/firefox/firefox (enforce)
/usr/bin/wget (enforce)
/usr/bin/vlc (enforce)
/usr/bin/totem-video-thumbnailer (enforce)
/usr/bin/totem-video-indexer (enforce)
/usr/bin/totem-audio-preview (enforce)
/usr/bin/totem (enforce)
/usr/bin/snort (enforce)
/usr/bin/smplayer (enforce)
/usr/bin/rtmpdump (enforce)
/usr/bin/qbittorrent (enforce)
/usr/bin/pidgin (enforce)
/usr/bin/opera (enforce)
/usr/bin/mplayer (enforce)
/usr/bin/mencoder (enforce)
/usr/bin/lft (enforce)
/usr/bin/gthumb (enforce)
/usr/bin/file-roller (enforce)
/usr/bin/ffprobe (enforce)
/usr/bin/ffplay (enforce)
/usr/bin/ffmpeg (enforce)
/usr/bin/evince-thumbnailer (enforce)
/usr/bin/evince-previewer (enforce)
/usr/bin/evince (enforce)
/usr/bin/eog (enforce)
/usr/bin/curl (enforce)
/usr/bin/axel (enforce)
/usr/bin/akregator (enforce)
/usr/bin/AbiWord-2.8 (enforce)
/sbin/klogd (enforce)
/opt/google/chrome/nacl_helper_bootstrap (enforce)
/opt/google/chrome/google-chrome (enforce)
/opt/google/chrome/chrome-sandbox (enforce)
/opt/google/chrome/chrome (enforce)
/opt/google/chrome/chrome///usr/bin/xdg-settings (enforce)
/opt/google/chrome/chrome///opt/google/chrome/xdg-settings (enforce)
/opt/firefox25/plugin-container (enforce)
/opt/firefox25/firefox (enforce)
/opt/skype/skype(enforce)
/{usr/,}bin/ping (enforce)

Z niektórymi są problemy, m.in z Javą, Chrome, Operą i Libreoffice, Gimp już zaczyna działać z AA (od 1/2 godziny, właśnie powstaje :D), FF chodzi wystarczająco dobrze, idealnie wyszły robione od zera, Named i Proftpd, dobrze też chodzi Mysql, dosyć dobrze udały się profile do Mplayera, Totema, Vlc czy wszystkich FFmpegów, a także banalnie prostych programów, jak Wget, Rtmpdump, Axel czy Curl.

Co najmniej polowa czeka jeszcze na zmiany większe lub mniejsze, czasem kosmiczne,
ale na to jeszcze przyjdzie pora.

Największy problem jest z programami, które są na moment otwierane przez inny proces, np Postfix smtpd otwierany na kilka sekund do obsługi połączenia przez Postfix-master.
Ale na to też są sposoby, lepsze lub gorsze. ;)

Pozdro
;-)

dowoszek · 2013-07-18 11:49:29

Od kilku(nastu) dni korzystam na Xubuntu z domyślnego profilu apparmor dla Firefoksa i nie zauważyłem jakiejkolwiek różnicy w działaniu z/bez. Tak ma być? Czy Ten ubuntowy profil w ogóle cokolwiek zmienia i dodaje w temacie bezpieczeństwa?

remi · 2013-07-18 12:43:16

Serwus. Jacku, oczywiście było wiele różnic pomiędzy wersjami 3.X a 22.X. Szczerze mówiąc, ja również chcę stworzyć profile dla aplikacji łączących się etc. z internetem, czy w jakiś sposób z nim związanych. W tej chwili są, to np. profile dla Firefox'a, Pidgina (przerobiony - "oficjalny" powodował różne dziwne "krzaczki" etc), dhclient etc. Wiesz, Jacku nie potrafię do końa zgadnąć, które profile są bez zmian, a które pochodzą z internetu etc. Z pewnością w sieci możemy znaleźć np. profil dla usr.sbin.rsyslogd, usr.bin.freshclam, czy chociażby /usr/sbin/nscd oraz /usr/sbin/nmbd. Dostępne są również profile dla usr.lib.dovecot.pop3 (w tym *pop3-login, *dovecot-auth, *imap, *imap-login, *managesieve-login etc.) Myślę, że Twoje profile odnoszą się do aplikacji w stylu /usr/bin/smplayer, ale mogę się mylić! :-) Rozumiem, że wszystkie profile, a przynajmniej niektóre, są już załadowane vide apparmor_status?

Cześć dowoszek. Wiesz, zawsze lepiej mieć odpalony profil niż np. później żałować. Tym bardziej, że owy, domyślny profil wydaje się być naprawdę dobrze napisany. Sprawdzałeś np. plik /var/log/kern.log w poszukiwaniu jakichkolwiek komunikatów dot. AppArmora i akcji podjętych wobec Firefoxa (w moim przypadku jest, to np. akcja "DENIED" dla powiedzmy "/dev/nvidiactl" - Firefox działa dobrze, pomimo wspomnianej operacji)? Oczywiście, że owy profil ma wpływ na bezpieczeństwo. W dodatku z kilkoma dodatkami, jest naprawdę OK. Wystarczy, że go przeglądniesz i dowiesz się, co przeglądarka może a czego nie (przydatna, będzie ze zrozumiałych, względów również dokumentacja dla AppArmor). Szczerze mówiąc, ja także zmieniłem w pewnym małym stopniu, domyślny profil, ale nie było, to nic szczególnego.

Pozdrawiam serdecznie.

Ostatnio edytowany przez remi (2013-07-18 16:38:39)

Jacekalex · 2013-07-18 16:37:49

W necie są stare wersje, poza tym robione na Ubuntu.
W Gentoo jest trochę inna struktura niektórych bibliotek i katalogów, dlatego cześć profilów się wywala.

Dlatego je poprawiam.
Do Rsysloga , Binda (named) czy Proftpd nigdzie nie znalazłem żadnego profilu,
podobnie jak do Mysql, Wgeta, Axela, Rtmpdumpa, Curla czy Ffmpega.

Mam prawie wszystkie załadowane, bo praktycznie nie używam aa-logprof - za duży bajzel robi, jak coś jest blokowane, to poprawiam profil z palca.

W ten sposób coraz mniej mam do roboty z tymi profilami.

Bardzo mi brakuje opcji, żeby aa-logprof zajmował się tylko profilami o statusie Complain, nie ruszając profili w trybie Enforce.
Bo inaczej się ciężki burdel w profilach robi.
Idealnie byłoby

Kod:

aa-logprof {program}

dla pojedynczego profilu,
ale bałwaneria *buntowa do takiego poziomu umysłowego zbyt prędko nie dorośnie, jeśli w ogóle kiedykolwiek.

Ciekawe, kto i kiedy napisze do Apparmora takie narzędzia, jak audit2why i audit2allow z Selinuxa.

Technicznie problemu nie ma, o ile sprawy nie pilotuje Cannonical. :D

Poza tym aa-status tez jest do dooopy, spróbuj z niego np grepem się dowiedzieć, o status konkretnego programu.

Kod:

aa-status {program}

Taka składnia u Ciebie działa?

O wiele wygodniej jest dać:

Kod:

grep {cośtam} /sys/kernel/security/apparmor/profiles

Porównaj aa-status Aparmora z takim aastatus:

Kod:

#!/bin/bash

PROGRAM=$1

if [ ! -z $PROGRAM ] 

then 
    grep $PROGRAM /sys/kernel/security/apparmor/profiles;
    
else
    cat /sys/kernel/security/apparmor/profiles;
fi;

exit 0;

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2013-07-18 16:46:39)

remi · 2013-07-18 16:59:48

Cześć. Polecenie: aa-status {program} wywala u mnie komunikat dot. opcji do wykorzystania. Natomiast owe polecenie z wykorzystaniem grep działa OK, czyli np. aa-status |grep firefox, ale nie wyświetla informacji na temat statusu profilu, tak jak w przypadku polecenia podanego przez Ciebie. Jacku nie rozumiem dokładnie tego, co piszesz odnośnie aa-logprof. Wszakże istnieje możliwość wywołania aa-logprof -d /path/to/profile/directory/. Flaga -d oznacza, że profil nie znajduje się w standardowym katalogu. W dokumentacji openSuse, można znaleźć kilka ciekawych informacji źródło. Ale prawdopodobnie nie zrozumiałem tego, co masz na myśli :-)

Odnośnie aa-status i informacji o których wspomniałem. Wygląda na to, że z tego polecenia można wyciągnąć jedynie liczby odnośnie profili:

Kod:

# aa-status --complaining
2
# aa-status --enforced
10
# aa-stats --verbose
lista podobna do wywołanej via aa-status

Trzymaj się.

Ostatnio edytowany przez remi (2013-07-18 17:29:54)

Jacekalex · 2013-07-18 18:27:50

remi napisał(-a):
Cześć. Polecenie: aa-status {program} wywala u mnie komunikat dot. opcji do wykorzystania. Natomiast owe polecenie z wykorzystaniem grep działa OK, czyli np. aa-status |grep firefox, ale nie wyświetla informacji na temat statusu profilu, tak jak w przypadku polecenia podanego przez Ciebie. Jacku nie rozumiem dokładnie tego, co piszesz odnośnie aa-logprof. Wszakże istnieje możliwość wywołania aa-logprof -d /path/to/profile/directory/. Flaga -d oznacza, że profil nie znajduje się w standardowym katalogu. W dokumentacji openSuse, można znaleźć kilka ciekawych informacji źródło. Ale prawdopodobnie nie zrozumiałem tego, co masz na myśli :-)

Odnośnie aa-status i informacji o których wspomniałem. Wygląda na to, że z tego polecenia można wyciągnąć jedynie liczby odnośnie profili:
Kod:
# aa-status --complaining
2
# aa-status --enforced
10
# aa-stats --verbose
lista podobna do wywołanej via aa-status
Trzymaj się.

Zamiast pisać, czego nie rozumiesz, napisz, co rozumiesz, będzie szybciej i prościej. :D
Opcja -d wskazuje katalog z profilami, i aa-logprof chce je wszystkie aktualizować, czyli przy okazji spartolić wszystkie gotowe profile, które aktualizacji nie wymagają, zamiast aktualizować ten jeden, który trzeba poprawić.

Spróbuj zablokować dla Akretatora folder /sys z opcją deny, potem włącz profil w tryb enforce, a przez następne 50 tysięcy lat każde uruchomienie aa-logprof będzie pytał,
czy dać dostęp programowi Akregator (a dokładnie odpalonemu przez niego kdeinit) dostęp do każdego pliku w /sys, przy okazji o każdy plik zapyta osobno.
I gówno go będzie obchodzić, że w profilu stoi jak byk, czarno na białym:

Kod:

deny /sys/  mrwxlk,

Wiele z tego nie zrozumiesz, ale może przynajmniej na własne oczy conieco zobaczysz. :D

Albo np Opera?

Z uporem maniaka chce sprawdzać /proc/$PID/status wszystkich procesów począwszy od procesu 1 czyli init.

Nie wspominając o "bezpiecznych" przeglądarkach chrome i chromium, które do działania potrzebują uprawnień CAP_SYS_ADMIN, a ich sandobx nie wstanie, jeśli nie ma praktycznie pełnej kontroli nad standardowym systemem.

Powyższe zdanie adresuję do osób, które wiedzą, co to jest Linux Capabilities.
Sznurek:
https://www.gentoo.org/proj/pl/hardened/capabilities.xml

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-07-22 14:14:10)

remi · 2013-07-19 18:23:03

Serwus. A nie jest czasem tak, że stosując jakąkolwiek regułe dla katalogu i plików w nim zawartych, zasada powinna zawierać *? Być może się mylę, ale wydaje mi się, że deny /sys/* mrwxlk,, jest odpowiedniejsze(?) Poniższy przykład umożliwia dostęp odczytu/zapisu do wszystkiego z katalogu użytkownika, z wyjątkiem zapisu do plików SSH/.:

Kod:

deny /home/*/.ssh/** w,
/home/*/** rw,

Jak widzisz Jacku, owe gwiazdki są chyba potrzebne. Być może się mylę, ale chciałbym być pewny. Odnośnie reszty Twojego postu, nie mam dzisiaj siły pomyśleć nad sensowną odpowiedzią.

Trzymaj się, pozdrawiam serdecznie.

Jacekalex · 2013-07-19 19:47:29

RTFM:
http://wiki.apparmor.net/index.php/Documentation

To by było na tyle
;-)

remi · 2013-07-22 13:21:37

Serwus. Fakt, masz rację. Napisałbym: Lesson learned, wish me luck, ale widziałem/czytałem już ową stronę i chyba wolę oficjalną dokumentację od openSUSE.

Pozdrawiam.

remi · 2013-09-11 10:34:52

Cześć. Kolejna aktualizacja pakietu Adobe Flash Player (flashplugin). Uaktualniona wersja rozwiązuje kilka problemów, związanych z bezpieczeństwem, które mogą spowodować awarię i/lub pozwolić osobie atakującej na przejęcie kontroli nad zaatakowanym systemem. Więcej Informacji można znaleźć w oficjalnym biuletynie Adobe: APSB13-21.

* Pakiet: flashplugin-nonfree
* Poprzednia wersja (Mozilla, Firefox, Iceweasel): 11.2.202.297
* Zaktualizowana wersja (Mozilla, Firefox, Iceweasel): 11.2.202.310

W przypadku Google Chrome, Flash Player (tzw. Pepper-based Flash Player) zaktualizowany zostanie automagicznie do najnowszej wersji oznaczonej numerem: 11.8.800.170.

Pozdrawiam serdecznie.

Ostatnio edytowany przez remi (2013-09-16 14:07:33)

fervi · 2013-09-11 11:02:11

Na szczęście zbliżamy się do końca Flasha (na szczęście dla nas i dla użytkowników)

Fervi

Jacekalex · 2013-09-11 11:24:03

U mnie w FF-23 już to szczęście nastąpiło, choć wcale o nie nie prosiłem:

Kod:

tail -n5  pluginreg.dat
43:audio/x-flac:FLAC audio:flac:$

[INVALID]
/opt/Adobe/flash-player/flash-plugin/libflashplayer.so:$
1378889925000:$

Da się to jakoś poprawić?
Próbowałem usuwać pluginreg.dat, wywalać wpis, a Firefox dalej swoje. ;P

fervi · 2013-09-11 11:40:55

Jacekalex napisał(-a):
U mnie w FF-23 już to szczęście nastąpiło, choć wcale o nie nie prosiłem:
Kod:
tail -n5  pluginreg.dat
43:audio/x-flac:FLAC audio:flac:$

[INVALID]
/opt/Adobe/flash-player/flash-plugin/libflashplayer.so:$
1378889925000:$
Da się to jakoś poprawić?
Próbowałem usuwać pluginreg.dat, wywalać wpis, a Firefox dalej swoje. ;P

U mnie Flash dokonał samobójstwa, ale zaktualizowałem go ręcznie (Jessie) - i działa dalej bez problemów, ale mam też Shumway'a i patrzę jak działa (Shumway jest ustawiony tak, że włącza się automatycznie, ale potem klikasz "X" i się wyłącza Shumway i jest Flash (więc masz 2 obok siebie)

Fervi

Jacekalex · 2013-09-11 11:48:43

Naprawione:

Kod:

[12734.755425] type=1400 audit(1378891618.522:2102): apparmor="DENIED" operation="open" parent=1 profile="/usr/lib64/firefox/firefox" name="/opt/Adobe/flash-player/flash-plugin/libflashplayer.so" pid=8369 comm="firefox" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Z jakiegoś powodu w poprzednich wersjach flasha nie było tego problemu, prawo czytania flasha miał tylko plugin-container,
i starczało. :D

Forum Debian Users Gang

Ogłoszenie

#126 2013-06-12 19:53:59

Jacekalex - Podobno człowiek...;)

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

#127 2013-06-12 20:10:07

fervi - Użytkownik

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

#128 2013-07-10 16:36:20

remi - amputować akrobatów

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

#129 2013-07-10 17:31:31

Jacekalex - Podobno człowiek...;)

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

fervi napisał(-a):

remi napisał(-a):

#130 2013-07-14 16:36:35

remi - amputować akrobatów

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

#131 2013-07-15 01:47:27

Jacekalex - Podobno człowiek...;)

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

Kod:

Kod:

Kod:

#132 2013-07-16 12:32:39

remi - amputować akrobatów

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

#133 2013-07-16 12:58:03

Jacekalex - Podobno człowiek...;)

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

Kod:

#134 2013-07-17 19:31:29

remi - amputować akrobatów

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

#135 2013-07-17 20:00:17

Jacekalex - Podobno człowiek...;)

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

#136 2013-07-17 20:21:50

remi - amputować akrobatów

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

#137 2013-07-18 01:50:21

Jacekalex - Podobno człowiek...;)

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

remi napisał(-a):

Kod:

#138 2013-07-18 11:49:29

dowoszek - Użytkownik

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

#139 2013-07-18 12:43:16

remi - amputować akrobatów

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

#140 2013-07-18 16:37:49

Jacekalex - Podobno człowiek...;)

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

Kod:

Kod:

Kod:

Kod:

#141 2013-07-18 16:59:48

remi - amputować akrobatów

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

Kod:

#142 2013-07-18 18:27:50

Jacekalex - Podobno człowiek...;)

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

remi napisał(-a):

Kod:

Kod:

#143 2013-07-19 18:23:03

remi - amputować akrobatów

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

Kod:

#144 2013-07-19 19:47:29

Jacekalex - Podobno człowiek...;)

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

#145 2013-07-22 13:21:37

remi - amputować akrobatów

Re: Adobe porzuca wtyczkę Flash w wersji 11.ej dla Linuksa.

#146 2013-09-11 10:34:52