Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
W związku z nowym "ruskim" expolitem do przeglądarki (http://niebezpiecznik.pl/post/dziura-w-firefoksie-p … -z-komputera/) zastanawiam się, jak zwiększyć bezpieczeństwo systemu.
Widzę, że w repo testing jest program firejail https://packages.debian.org/stretch/firejail, który tworzy sandboksy dla Firefoksa. Używał może ktoś?
Wiem, że inną opcją jest użycie LinuXContainers, ale nie mam pojęcia jak to skonfigurować, żeby uruchamiać przeglądarkę. Może ktoś ma gotowy config, którym chciałby się podzielić? :-)
Offline
Możesz zawsze użyć AppArmora i obciąć profilem dla Iceweasela by miał dostęp np. tylko do swojego katalogu z configiem i ~/Downloads.
https://wiki.debian.org/AppArmor/HowToUse
Offline
iceweasel (38.1.1esr-1) unstable; urgency=high
.
* New upstream release.
* Fixes for mfsa2015-78, also known as CVE-2015-4495
iceweasel (39.0.3-1) experimental; urgency=medium
.
* New upstream release.
* Fixes for mfsa2015-78, also known as CVE-2015-4495.
już załatane
w jessie oraz testing instalowałem
z http://mozilla.debian.net/
iceweasel (39.0.3-1~bpo80+1) UNRELEASED; urgency=medium
* Rebuild for jessie-backports.
— Mike Hommey <glandium@debian.org> Fri, 07 Aug 2015 09:08:03 +0900
iceweasel (39.0.3-1) experimental; urgency=medium
* New upstream release.
* Fixes for mfsa2015-78, also known as CVE-2015-4495.
Ostatnio edytowany przez arturek (2015-08-08 13:49:33)
Offline
Mnie najbardziej wnerwiają te dodatki typu przeglądarka pdf, bo gdyby jej nie było, to:
Mozilla products that don’t contain the PDF Viewer, such as Firefox for Android, are not vulnerable.
Ja kiedyś próbowałem wyłączyć ten wbudowany pdf z ff ale pisali, że się nie da. Tam niby są obejścia typu: https://support.mozilla.org/en-US/kb/disable-built- … nother-viewer ale to chyba nie jest wyłączenie kompletne tego syfu. Ale znowu na http://lwn.net/Articles/653823/ jest ciekawa opcja wskazana: pdfjs.disabled — przestawić to na true i zostawić. xD
Offline
2119
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:45)
Offline
Czy aby na pewno ci tego pdfa nie pobiera, ja wiem, gdzieś do cache? xD Po drugie, ja mam ustawiony zewnętrzny program i po kliknięciu w link do pdfa on się automatycznie pobiera i po chwili widzę pdfa załadowanego. Nie muszę nic dodatkowego robić. Sam plik jest zapisywany w /tmp/ , który jest czyszczony co 2h z plików nieużywanych — po 2h zostanie automatycznie usunięty. Ja jednak jestem za wyłączeniem tej wbudowanej przeglądarki.
Ciekawe czy ten katalog idzie dostosować, na wypadek gdyby ktoś chciał kolekcjonować wszystkie otwierane z sieci pdfy (i pewnie pozostałe pliki również). — tu jest info jak zmienić położenie katalogu — w skrócie to wystarczy wyeksportować jedną z tych zmiennych TMPDIR, TMP albo TEMP.
Ostatnio edytowany przez morfik (2015-08-08 16:34:25)
Offline
W tym przypadku akurat problem dotyczył wbudowanego czytnika PDF, ale problem dotyczy samej przeglądarki, która powinna być odizolowana od reszty systemu.
Offline
U mnie:
EDIT: Poprawione profile - do Firefoxa 40 (plugin-contaner walił Segfaulty, jak nie mógł zajrzeć do /sys/devices/**/config,
)
Firefox: http://wklej.dug.net.pl/5030
Plugin-container: http://wklej.dug.net.pl/5031
SOA#1
Poza tym wyłączyłem przeglądarkę PDF w about:config, wszystkie PDFy FF otwiera od zawsze w Atrillu lub Evince, które mają zrobione podobne profile.
Ostatnio edytowany przez Jacekalex (2015-08-17 18:43:29)
Offline
a te dodatkowe profile, to gdzie wrzuciliście ?
do
/etc/apparmor.d/abstractions/
czy w inne miejsce
Offline
No ja sobie to wrzuciłem w:
# ls -al /etc/apparmor.d/opt.firefox.* -rw-r--r-- 1 root root 4.6K 2015-08-08 17:36:34 opt.firefox.firefox -rw-r--r-- 1 root root 5.9K 2015-08-08 17:24:54 opt.firefox.plugin-container
Tylko z tego co tak patrze po tych wpisach, to one są dość zdezaktualizowane. Przykład: xD
deny /usr/lib/firefox-3.6.*/** w, deny /usr/lib/firefox-3.6.10/update.test w,
Tam to wszystko trzeba przejrzeć i pousuwać zbędny syf i uaktualnić wszystko pozostałe. Ja już wiem, że te profile na systemd nie będą działać. Przynajmniej domyślnie, jeśli się korzysta z systemd-resolved , bo nie ma tam zdefiniowanych odpowiednich wpisów.
Póki co przechodzę bardzo szybki kurs obsługi apparmora i może wieczorem przepiszę te profile.
Offline
Dzięki za odpowiedzi i profile do AA. A kojarzycie może ten firejail?
Offline
2123
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:50)
Offline
morfik napisał(-a):
Póki co przechodzę bardzo szybki kurs obsługi apparmora i może wieczorem przepiszę te profile.
Jak będziesz miał już gotowe to udostępnij
Ostatnio edytowany przez arturek (2015-08-08 19:53:03)
Offline
To się zejdzie trochę, bo skończyło się jak zwykle na czytaniu dokumentacji, bo się okazało, że te pliki to też mają przestarzałą składnię, np. ten #include, bo w dokumentacji piszą: "The # is optional and shouldn't be used in newer profiles". A tak poza tym, to dużo czytania mam, a pogoda nie zachęca. xD
Offline
@morfik - a właściwie dlaczego nie użyć standardowego profilu do Firefoksa (/etc/appardomr.d/usr.bin.firefox)?
Ostatnio edytowany przez iacobus (2015-08-08 21:39:51)
Offline
Ech, edytowałem mój post - w którym sprecyzowałem o co mi chodzi, w czasie gdy Ty napisałeś swój post z pytaniem :-)
chodzi mi o profil z paczki apparmor-profiles albo apparmor-profiles-extra (nie pamiętam). Mam go w /etc/apparmod.d/usr.bin.firefox
Wydaje mi się, że lepszy taki niż żaden. Swoją drogą to dziwne, że tak podatna na ataki aplikacja nie jest domyślnie otoczona opieką AA...
Ostatnio edytowany przez iacobus (2015-08-08 21:44:12)
Offline
On tu jest schowany w /usr/share/doc/apparmor-profiles/extras/usr.lib.firefox.firefox , a czy go użyć, dobrze by było wyjść od niego ale raczej nie zostawiłbym go tak, bo wątpię by był dostosowany on pod konkretny profil. Prędzej ma on spełniać oczekiwania wszystkich, więc się będzie nadawał do przeróbki ale sobie popatrzę co tam dali i jak doczytam dokumentację to napisze sobie własny profil. xD
Ostatnio edytowany przez morfik (2015-08-08 21:52:52)
Offline
2124
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:51)
Offline
Ja próbowałem wywalić ten znaczek # z include ale wtedy mi wyrzuca błąd składni. Chyba oficjalna dokumentacja mija się z prawdą xD
Offline
@Jacekalex , te dwa osobne profile są potrzebne? Bo z tego co zauważyłem, to jeśli włączę flasha, to aa-status zwraca:
3 processes are in enforce mode. /opt/firefox/firefox (111276) /opt/firefox/firefox (111425) /usr/sbin/dnscrypt-proxy (1598)
Zatem są dwa procesy firefoxa. jeśli wyłączę odtwarzanie flasha, to wtedy będzie jeden proces.
Stworzyłem niby osobny profil na plugin-container ale najwyraźniej nie jest on brany w ogóle pod uwagę. Generalnie to na początku nie mogłem korzystać z flasha w ogóle. Dopiero po dodaniu do profilu firefoxa tych linijek poniżej:
# Firefox plugins #/usr/lib/mozilla/plugins/** mr, /usr/lib/mozilla/plugins/libfreshwrapper-pepperflash.so mr, #/usr/lib/mozilla/plugins/flash-mozilla.so mr, /usr/lib/mozilla/plugins/libvlcplugin.so mr, /opt/google/chrome/PepperFlash/libpepflashplayer.so mr, /opt/google/chrome/PepperFlash/manifest.json r,
Szło coś załadować.
Oczywiście póki co bawię się samym ff i próbuję określić wszystkie pliki, z których chce on korzystać i dopiero po tym procesie odhaczyć te zbędne ale na dobrą sprawę, to każdy może sobie wyprofilować dowolne aplikacje bez większego problemu, bo do apparmora jest dołączone narzędzie aa-genprof i wystarczy wskazać plik, czyli w tym przypadku /opt/firefox/firefox , po czym odpalić sobie firefoxa i połazić po menu, stronach, to co zwykle się robi na co dzień. Wszystkie żądania dostępu do plików zostaną zalogowane i na podstawie tego będzie budowany profil interaktywnie, tj. będziemy pytani czy chcemy zezwolić na dostęp. Choć to jest w oparciu o /var/log/syslog i na systemd nie ma tego pliku, przynajmniej u mnie, i musiałem przekierować sobie journal. xD Inny problem jest taki, że to narzędzie nie podstawia zmiennych i trzeba to robić samemu po zakończeniu profilowania. No i oczywiście problematyczne może być określenie czy aplikacja ma mieć dostęp do danego pliku.
Offline
@morfik
Da się w jednym profilu zamknąć FF i plugin-contaner, ja jednak wolę dwie osobne klatki, żeby trzymać plugin-container odseparowany od głównego procesu FF.
Na upartego można w Apparmorze zrobić profil dla GDM i/lub Basha,
i zamykać w nim wszystkie programy, całą sesję użytkownika, ale jak nie chcę, żeby np FF miał wgląd w hasła TB i Pidgina, żaden z programów korzystających z netu nie miał dostępu do kluczy SSH, to w jednym profilu to byłaby kosmiczna gimnastyka.
Apparmor na razie nie ma (przynajmniej ja nie znam) żadnego trybu globalnego, żeby ogarnąć wszystko w systemie, począwszy od inita.
Brakuje w nim czegoś takiego, jak SELINUX - strict czy Grsec RBAC.
Ja próbowałem wywalić ten znaczek # z include ale wtedy mi wyrzuca błąd składni. Chyba oficjalna dokumentacja mija się z prawdą xD
Oficjalna dokumentacja opisuje Apparmor w wersji 3.0 i wyżej, a userspace zatrzymał się na poziomie Apparmora 2.4.
Po prostu modułem w jaju opiekują się Developerzy kernela, userspace to domena "hakierów" z *buntu, dlatego dwie części Apparmora się rozpruły jak gacie w kroku. :DDD
Ostatnio edytowany przez Jacekalex (2015-08-10 17:34:56)
Offline
No tak tylko, że nawet jak ja stworze ten profil dla plugin-container i odpalę flasha, to mi ten profil nie działa w ogóle. xD Zamiast niego jest ładowany ten od firefoxa i są generalnie wylistowane dwa tak jak to widać wyżej.
Ok, już wiem gdzie jest problem -- brakowało wywołania:
@{MOZ_LIBDIR}/plugin-container pux,
Teraz już są osobno:
3 processes have profiles defined. 2 processes are in enforce mode. /opt/firefox/firefox (79088) /usr/sbin/dnscrypt-proxy (1598) 1 processes are in complain mode. /opt/firefox/plugin-container (79262)
Tylko taka sprawa, ty tam masz PUx, a u mnie na tym flash kompletnie nie rusza.
Ostatnio edytowany przez morfik (2015-08-10 18:56:02)
Offline
SOA#1
/usr/lib64/firefox/plugin-container PUx,
Różnica polega an tym, ze przy takim ustawieniu plugin-container nie dostaje żadnych zmiennych od Firefoxa w czasie odpalania.
Działą grzecznie, w dokumentacji AA masz opis użycia tych parametrów U,u,i,m,p,P,r,x.
Offline