Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2018-11-08 12:05:11

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Chrome, chromium, opera, firefox i unprivileged_userns_clone

Jakiś czas temu było głośno o bugach CVE-2017-11600, CVE-2017-14497 i CVE-2017-1000111  i zaleceniami na te podatności było:

# Debian disables unprivileged user namespaces by default, but if they are enabled (via the  kernel.unprivileged_userns_clone sysctl) then CVE-2017-11600, CVE-2017-14497 and CVE-2017-1000111  can be exploited by any local user.

Czyli niby ten kernel.unprivileged_userns_clone ma być wyłączony ale jeśli tak jest, to przeglądarki mają z działaniem. Ostatnio była aktualizacja chromium do wersji v70 i ten z ustawieniem kernel.unprivileged_userns_clone na 0 wyrzuca coś takiego:

Kod:

$ chromium
[20657:20657:1108/110636.508557:FATAL:zygote_host_impl_linux.cc(116)] No usable sandbox! Update
your kernel or see https://chromium.googlesource.com/chromium/src/+/master/docs/linux_suid_sandbox_development.md 
for more information on developing with the SUID sandbox. If you want to live dangerously and need an
immediate workaround, you can try using --no-sandbox.
#0 0x556452f0c9ee <unknown>
#1 0x556452e7899c <unknown>
#2 0x556453b0af90 <unknown>
#3 0x556452b4b365 <unknown>
#4 0x556452b505ce <unknown>
#5 0x556452b49e5a <unknown>
#6 0x55645125be95 ChromeMain
#7 0x7fdb1d3c2b17 __libc_start_main
#8 0x55645125bd3a _start

Received signal 6
#0 0x556452f0c9ee <unknown>
#1 0x556452f0b433 <unknown>
#2 0x556452f0c965 <unknown>
#3 0x7fdb263f98e0 <unknown>
#4 0x7fdb1d3d5f3b gsignal
#5 0x7fdb1d3d72f1 abort
#6 0x556452f0c905 <unknown>
#7 0x556452e78a76 <unknown>
#8 0x556453b0af90 <unknown>
#9 0x556452b4b365 <unknown>
#10 0x556452b505ce <unknown>
#11 0x556452b49e5a <unknown>
#12 0x55645125be95 ChromeMain
#13 0x7fdb1d3c2b17 __libc_start_main
#14 0x55645125bd3a _start
  r8: 0000000000000000  r9: 00007ffda1ac7b10 r10: 0000000000000008 r11: 0000000000000246
 r12: 00007ffda1ac7f90 r13: 00007ffda1ac8150 r14: 000000000000016d r15: 00007ffda1ac7d90
  di: 0000000000000002  si: 00007ffda1ac7b10  bp: 00007ffda1ac7d60  bx: 0000000000000006
  dx: 0000000000000000  ax: 0000000000000000  cx: 00007fdb1d3d5f3b  sp: 00007ffda1ac7b10
  ip: 00007fdb1d3d5f3b efl: 0000000000000246 cgf: 002b000000000033 erf: 0000000000000000
 trp: 0000000000000000 msk: 0000000000000000 cr2: 0000000000000000
[end of stack trace]
Calling _exit(1). Core file will not be generated.

No i jak widać tam jest sugestia by fix'nąć to ustawienie kernela albo odpalać przeglądarkę z --no-sandbox, co nie jest zbytnio rozsądne.

Jeśli się przestawi kernel.unprivileged_userns_clone na "1", to przeglądarki chcą dodatkowo:

Kod:

  capability sys_admin,
  capability sys_chroot,
  owner @{PROC}/@{pid}/setgroups w,
  owner @{PROC}/@{pid}/gid_map w,
  owner @{PROC}/@{pid}/uid_map w,

No i system staje się dodatkowo podatny na tamte trzy CVE.

No i teraz pytanie, która opcja jest lepsza, ten --no-sandbox czy i kernel.unprivileged_userns_clone=1 ? Bo coś mi się wydaje, że w niedalekiej przyszłości trzeba będzie się na któreś zdecydować. xD

Ostatnio edytowany przez morfik (2018-11-08 12:06:29)

Offline

 

#2  2018-11-08 16:07:12

  hi - Zbanowany

hi
Zbanowany
Zarejestrowany: 2016-03-24

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

morfik siłujesz się z wiatrakami, dzisiaj wszystko jest do shaczenia, wystarczy spojrzeć na ogrom dziur w hardzie o sofcie nawet nie wspominam. Daj spokój, wszystko co masz na kompie wpiętym do sieci traktuj jak dostępne publicznie co oczywiście nie oznacza, że jest dostępne ale może być w każdej chwili i to wystarczy, zalepianie dziur staje się nudne a ciągłe utwardzanie maszyny to pogoń za marchewką na kiju, oczywiście sprawdza się na 'motłoch' ale dla chcącego (trzylitrówki mające zasięgi i budżet) pokonać taki system to pestka.

btw. ja tam zapinam chromium w firejaila+wspomaganie apparmora (jeżeli chodzi o chromium to korzystam z defaultowego przypięcia do apparmora ograniczającego min dbusa), nie cierpi na funkcjonalności i jakaś tam ochrona dodatkowego mechanizmu jest

Like Firejail, AppArmor restricts programs’ capabilities with per-program profiles. If you have an AppArmor profile for your application, enable it. Firejail should work fine on top of AppArmor. There is some overlap between the two technologies: both of them blacklist the same filesystem. In case one of them misses something important, hopefully the other one picks it up.

If you don’t have an AppArmor profile for your specific application, we give you one.../etc/apparmor.d/firejail-default

Ostatnio edytowany przez hi (2018-11-08 16:35:32)


"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu

Offline

 

#3  2018-11-08 17:08:38

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

Każde zabezpieczenie można złamać ale czy to znaczy, że z obrony przed tymi, którzy te zabezpieczenia próbują obejść powinniśmy zrezygnować? Jeśli tak, to analogicznie powinniśmy zrezygnować z obrony przed gwałtem/morderstwem/kradzieżą, no bo one też są nieskuteczne, wystarczy, że przyjdzie więcej ludzi i będziesz miał naprawdę ostry ból dupy, pół biedy, gdy cię tylko okradną... xD I czy też taktujesz sobie swój dom czy swoje ciało jako jako przestrzeń publiczną z racji faktu, że ktoś może sobie w nie wejść bez twojej zgody i zrobić wszystko na co ma ochotę? xD Można pójść dalej w świat filozofii i dać taki przykład. Każde życie kończy się śmiercią, walka o przetrwanie, to twoje uganianie się za marchewką na kiju, bo przecie i tak, że śmiercią nikt nie wygra. Więc czemu się po prostu nie poddasz, skoro to takie bez sensu? xD

Zabezpieczenia nie są po to by trwały w nieskończoność i były niezawodne. Zabezpieczenia mają ci dać więcej czasu na reakcję na zagrożenie, które się pod twoim adresem kroi i nic więcej. xD

firejail + apparmor? Po co to, co takiego robi ten firejail czego apparmor nie potrafi?

Offline

 

#4  2018-11-08 17:13:28

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

firejail + apparmor? Po co to, co takiego robi ten firejail czego apparmor nie potrafi?

Nic nowego nie robi w porównaniu z AA.

Opisany przez Ciebie babol wkrótce naprawią, a AA to bardzo solidne zabezpieczenie w razie czego.
Także cierpliwości, nie ma się czym martwić.

W sysctl nie mam klucza, o którym piszesz:

Kod:

sysctl -a | grep  userns
kernel.unprivileged_userns_apparmor_policy = 1

Za uwagę dziękuje:

Kod:

Linux 4.19.1-g1

Ostatnio edytowany przez Jacekalex (2018-11-08 17:18:00)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2018-11-08 17:26:49

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

U mnie są:

Kod:

 # sysctl -a | grep  userns
kernel.unprivileged_userns_apparmor_policy = 1
kernel.unprivileged_userns_clone = 1

W tym 4.19.1 usunęli, czy czegoś tam nie masz wkompilowanego? xD

A po za tym, to który babol usuną? Ten z chromium?

A i apparmor to nie jest też coś pięknego -- brakuje mu całej masy ficzerów i czasami dziwnie się zachowuje, o np. tu:
https://lists.ubuntu.com/archives/apparmor/2018-November/011846.html

Ostatnio edytowany przez morfik (2018-11-08 17:30:41)

Offline

 

#6  2018-11-08 17:37:11

  hi - Zbanowany

hi
Zbanowany
Zarejestrowany: 2016-03-24

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

morfik porównywanie zabezpieczania kompa do zabezpieczania domu to trochę pokrętna logika. Wiedz, że dzisiejszy sprzęt jest tak robiony aby miał te luki, patrz klocki i nie tylko zresztą, wystarczy chociażby codzienna lektura niebezpiecznika czy z3s i włos sie jeży na głowie :)

Zabezpieczenia nie są po to by trwały w nieskończoność i były niezawodne. Zabezpieczenia mają ci dać więcej czasu na reakcję na zagrożenie, które się pod twoim adresem kroi i nic więcej

problem w tym, że będzie to za chwilę bardzo trudne do osiągnięcia bo luki schodzą coraz częściej do hardwaru a tam już sobie nie pogrzebiesz :)

Oczywiście wiem o co Ci chodzi i też nie jestem w tej kwestii kompletnym ignorantem ale nie popadajmy w paranoję z drugiej strony nie łudźmy się, że mamy system jak skała.

Złoty środek Panowie :)

morfik napisał(-a):

firejail + apparmor? Po co to, co takiego robi ten firejail czego apparmor nie potrafi?

działa :) u mnie apparmor ma czasami zadyszki przy chromie/chromium albo steamie a nie mam czasu się babrać i poprawiać profile po każdej aktualizacji tych apek a są one dosyć częste, do reszty preferuję jak najbardziej czysty aa :)

Ostatnio edytowany przez hi (2018-11-08 17:53:06)


"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu

Offline

 

#7  2018-11-08 17:37:12

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

W tym 4.19.1 usunęli, czy czegoś tam nie masz wkompilowanego? xD

Chyba usunęli, bo nic nie zmieniałem w konfigu NS czy Cgroup, jechałem przez oldconfig.

Sprawa wygląda tak:

Kod:

grep USER_NS /boot/config-4.1* 
config-4.18.16-g1:CONFIG_USER_NS=y
config-4.19.1-g1:CONFIG_USER_NS=y

Wygląda na to, że przypomniałeś sobie o CVE z 2017 które ze względu na treść (namespace) zostały załatane w trybie pilnym w ciągu 2 tygodni.

Zobacz na Aptosidowym, czy będzie jak u mnie.
Na pewno mają 4.19.1 tylko pewnie bez AA, jak znam Aptosida. :P

Poza tym nie czaję,czy ja jestem ślepy czy głupi, ale to są te Twoje 3 CVE:
https://security-tracker.debian.org/tracker/CVE-2017-1000111
https://security-tracker.debian.org/tracker/CVE-2017-14497
https://security-tracker.debian.org/tracker/CVE-2017-11600

We wszystkich 3 widzę coś takiego:

Kod:

stretch (security)    4.9.110-3+deb9u6    fixed
buster, sid          4.18.10-2       fixed

Ostatnio edytowany przez Jacekalex (2018-11-08 17:55:01)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2018-11-08 17:47:29

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

@hi -- a domy to nie są tak robione, żeby łato można było się do nich włamać? Pokaż mi kraty w oknach czy pancerne szyby albo jakieś zapory ogniotrwałe i ściany grubości metra, a całość schowana głęboko pod Racoon City... xD Właśnie po to się stosuje zabezpieczenia, by atakujący tak łatwo nie mógł się poruszać po naszym środowisku... Poza tym, ja się nie łudzę, że mam system jak skała, ja to po prostu wiem.... Przekonałem się parę miechów temu jak pendrive próbowałem zamontować w systemie i mi nie wyszło, bo zapomniałem o regułach polkita... xD Ale system zabronił podłączyć obcego pendrive, a skoro mi zabronił, to i każdemu, kto by próbował coś podłączyć, również... i o to chodzi w tych zabezpieczeniach. :]

@Jacekalex zaraz popatrzę na te 4.19

Ostatnio edytowany przez morfik (2018-11-08 17:49:04)

Offline

 

#9  2018-11-08 17:54:31

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

Przeczytaj jeszcze raz mojego wcześniejszego posta, sporo tam dodałem.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#10  2018-11-08 17:58:54

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

Ale ty widzisz, jaki tam jest fix? kernel.unprivileged_userns_clone=0 . To było poprawione już od początku. Ale z takim ustawieniem to przeglądarki się rzucają, i tego dotyczy ten wątek.

W sumie to tylko jeden został fix'nięty w kodzie. Drugi to nie wiem przez co, a trzeci przez ustawienie 0 w kernel.unprivileged_userns_clone . Więc co najmniej jeden błąd wciąż jest do wykorzystania. xD

Ostatnio edytowany przez morfik (2018-11-08 18:03:40)

Offline

 

#11  2018-11-08 18:04:54

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

Chromium nie chce mi się kompilować, ale Chrome Chodzi, FF też.
Qtwebengine (ma Chromium w brzuchu, używa tego draństwa Akregator, RSSGuard  i Trojita) też chodzi.

Chromium Embeded wygląda tak:

Kod:

pacjent     28796  0.0  0.4 458128 39492 pts/1    S+   18:04   0:00 /usr/lib64/qt5/libexec/QtWebEngineProcess --type=zygote --lang=pl
pacjent     28798  0.0  0.1 458128  9388 pts/1    S+   18:04   0:00 /usr/lib64/qt5/libexec/QtWebEngineProcess --type=zygote --lang=pl
pacjent     28823  0.4  0.9 1908380 74384 pts/1   Sl+  18:04   0:00 /usr/lib64/qt5/libexec/QtWebEngineProcess --type=renderer --disable-gpu-memory-buffer-video-frames --enable-threaded-compositing --disable-mojo-local-storage --use-gl=egl --enable-features=AllowContentInitiatedDataUrlNavigations --disable-features=SurfaceSynchronization,TouchpadAndWheelScrollLatching --service-pipe-token=A750F56CAACC1CDFC4ECB6E0BF9D9968 --lang=pl --num-raster-threads=1 --service-request-channel-token=A750F56CAACC1CDFC4ECB6E0BF9D9968 --renderer-client-id=3 --shared-files

Ostatnio edytowany przez Jacekalex (2018-11-08 18:08:51)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#12  2018-11-08 18:06:27

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

No tak, wszystkie chodzą póki co za wyjątkiem chromium v70. Więc skoro wszystkie poza FF są podobne do chromium, to pewnie niedługo też przestaną działać.

Offline

 

#13  2018-11-08 18:06:28

  hi - Zbanowany

hi
Zbanowany
Zarejestrowany: 2016-03-24

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

morfik napisał(-a):

Poza tym, ja się nie łudzę, że mam system jak skała, ja to po prostu wiem

dzisiejsze luki w klockach omijają ten Twój mega zapięty system jak drzwi do lasu :)

morfik napisał(-a):

Przekonałem się parę miechów temu jak pendrive próbowałem zamontować w systemie i mi nie wyszło, bo zapomniałem o regułach polkita

No i co Ci to da jak odpalisz sobie maszynkę na takim vboksie i beng: (to tylko przykład ale dosyć dosadny)
https://vimeo.com/299325088

Nie zrozum mnie źle, ale system zapięty i twardy jak skała w dzisiejszych czasach to mrzonka, życzeniowe myślenie, może być zajebiście zapięty ale zawsze będzie z plastiku :)

Ostatnio edytowany przez hi (2018-11-08 18:09:18)


"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu

Offline

 

#14  2018-11-08 18:12:22

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

Nie znam szczegółów tego ataku to ci nie powiem jak on działa i czy cokolwiek w naszej rzeczywistości jest jeszcze na to podatne poza płytką ubuntu 8.04, która mam jeszcze w szafce. xD

Offline

 

#15  2018-11-08 18:14:22

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

morfik napisał(-a):

No tak, wszystkie chodzą póki co za wyjątkiem chromium v70. Więc skoro wszystkie poza FF są podobne do chromium, to pewnie niedługo też przestaną działać.

Kod:

www-client/google-chrome-70.0.3538.77

Właśnie z niego piszę, wiec chyba niekoniecznie.

Chociaż pojawiają się takie zdechłe procesy:

Kod:

root     25914  0.0  0.0      0     0 ?        ZN   17:23   0:00 [chrome-sandbox] <defunct>
root     28441  0.0  0.0      0     0 ?        ZN   17:58   0:00 [chrome-sandbox] <defunct>
root     28444  0.0  0.0      0     0 ?        ZN   17:58   0:00 [chrome-sandbox] <defunct>

To pewnie AA albo brak tego parametru userns.clone, ale w używaniu przeglądarki nie zawadza.

U Ciebie pewnie przez to wywala całą przeglądarkę, ale możesz poczekać,
aż tego babola poprawią.

Ostatnio edytowany przez Jacekalex (2018-11-08 18:16:42)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#16  2018-11-08 18:21:29

  hi - Zbanowany

hi
Zbanowany
Zarejestrowany: 2016-03-24

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

morfik napisał(-a):

Nie znam szczegółów tego ataku to ci nie powiem jak on działa i czy cokolwiek w naszej rzeczywistości jest jeszcze na to podatne poza płytką ubuntu 8.04, która mam jeszcze w szafce. xD

https://github.com/MorteNoir1/virtualbox_e1000_0day


"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu

Offline

 

#17  2018-11-08 18:21:49

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

morfik napisał(-a):

Po co to, co takiego robi ten firejail czego apparmor nie potrafi?

Piaskownica.

Zresztą to nie są konkurencyjne narzędzia, raczej się uzupełniające.

Offline

 

#18  2018-11-08 18:43:05

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

@ Jacekalex już chyba wiem o co chodzi z tym brakiem kernel.unprivileged_userns_clone u ciebie. To właśnie był ten fix, tj. danie możliwości wyłączenia tego syfu w debianie. W debianowej 4.19 (z exp) ten parametr dalej figuruje. Czyli nie masz tego pacza w swoim kernelu i masz podatny system na tego CVE. xD

Co do wersji przeglądarki, z reguły jak się aktualizują chrome, chromium i opera u mnie, to ten sam zestaw rzeczy chcą (czasem zmieniane nazwny chromium na opera, itp). Ale ja mam obecnie niby:

Kod:

$ chromium --version
Chromium 70.0.3538.67 built on Debian buster/sid, running on Debian buster/sid

$ google-chrome --version
Google Chrome 72.0.3595.2 dev

I nawet na tej v70 google-chrome również działał, czyli coś pozmieniali w chromium.

Na bugtrackerze jest jeszcze coś takiego:
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=9 … e&mbox=no

Wygląda na to, że ja nie mam chromium-sandbox w systemie.

Zaraz to sprawdzę czy działa. xD

Offline

 

#19  2018-11-08 18:53:44

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

Tak, to jest to. Czyli trzeba sobie doinstalować ręcznie póki co ten chromium-sandbox i można dalej mieć kernel.unprivileged_userns_clone=0 i wszystko niby działa.  xD

@yossarian, no a apparmor nie daje już wystarczającej piaskownicy? Jak ktoś już ma okrojoną appkę w apparmor to jak instalacja firejail wpłynie na poprawę bezpieczeństwa?

@hi -- serio, bug w aplikacji, którego nie chcą fixnąć przez pół roku? Właśnie po to jest apparmor, by tego typu błędy ograniczyć. Nawet jeśli by u mnie tego typu błąd zaistniał i miałbym profil dla vbox'a, to on nie wywoła już sobie shell'a bo apparmor mu dla po łbie i sam w ten sposób podałeś idealny przykład, dlaczego powinniśmy jednak stosować zabezpieczenia. xD

Ostatnio edytowany przez morfik (2018-11-08 19:03:22)

Offline

 

#20  2018-11-08 20:13:46

  hi - Zbanowany

hi
Zbanowany
Zarejestrowany: 2016-03-24

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

morfik napisał(-a):

serio, bug w aplikacji, którego nie chcą fixnąć przez pół roku? Właśnie po to jest apparmor, by tego typu błędy ograniczyć

w tym przypadku prędzej grsecurity, tylko kto tego używa na desktopie?

morfik napisał(-a):

Nawet jeśli by u mnie tego typu błąd zaistniał i miałbym profi

widzę, że u Pana remedium na wszystko to apparmor, niezłe podejście ale zalecam jednak twarde zejście do rzeczywistości i wysłuchanie tego wykładu w całości (szczególnie drugą część o backdorach w oprogramowaniu sprzętowym:

https://www.youtube.com/watch?v=1wO-o_mIUTU

morfik napisał(-a):

idealny przykład, dlaczego powinniśmy jednak stosować zabezpieczenia.

nie napisałem nigdzie, że nie powinniśmy zabezpieczać swoich maszyn, jedyne co to śmieszą mnie takie frazy:

morfik napisał(-a):

Poza tym, ja się nie łudzę, że mam system jak skała, ja to po prostu wiem

sorry ale nawet niebezpieczniaki wiedzą, że to gówno prawda i traktują swoje sprzęty tak jak te które hakują tylko trochę lepiej je zabezpieczają :) Poczytaj co w tym temacie pisze gostek z z3s i jakiego systemu używa i co na jego temat mówi

Ostatnio edytowany przez hi (2018-11-08 20:27:32)


"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu

Offline

 

#21  2018-11-08 20:22:13

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

w tym przypadku prędzej grsecurity, tylko kto tego używa na desktopie?

Chyba używał, Grsecurity się skończyło na jaju 4.9.24, w tej chwili łatki umknęły w kierunku Commercial Support.
U mnie na Desktopie Grsec i Pax działały grzecznie, chociaż trzeba było do nich min łatki na stery Nvidii nakładać.

Pomimo braku Grsec/Pax  nie mam z Gentusiem większych problemów,
o zhakowaniu go na razie nie słyszałem.
Żadnych podejrzanych incydentów z bezpieczeństwem na nim nie mam,
ale co ja tam wiem, na Gentusiu siedzę dopiero 8,5 roku. :P

Pozdro

Ostatnio edytowany przez Jacekalex (2018-11-08 20:26:17)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#22  2018-11-08 20:41:40

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

hi napisał(-a):

nie napisałem nigdzie, że nie powinniśmy zabezpieczać swoich maszyn, jedyne co to śmieszą mnie takie frazy:

morfik napisał(-a):

Poza tym, ja się nie łudzę, że mam system jak skała, ja to po prostu wiem

Przecie to było ironicznie powiedziane. xD Umknęło ci inne moje zdanie, że każde zabezpieczenie można złamać?

hi napisał(-a):

sorry ale nawet niebezpieczniaki wiedzą, że to gówno prawda i traktują swoje sprzęty tak jak te które hakują tylko trochę lepiej je zabezpieczają :)

No właśnie jest tutaj ta subtelna różnica "tylko trochę lepiej je zabezpieczają" — ja mam tak samo przecie: mój system niczym się nie różni od twojego, czy przeciętnego kowalskiego, za wyjątkiem pewnych drobnych zmian w kwestii bezpieczeństwa. xD

Przecie apparmor narzuca jedynie restrykcje co do tego co aplikacja może robić, m.in. jakie pliki ma w swoim zasięgu. Domyślnie masz blokowane wszystkie pliki i to nie tylko odczyt i zapis ale również wykonywanie, itd. Więc powiedź mi jak taka trefna appka, mająca profil apparmora, może krzywdę zrobić mi w systemie, jeśli nie ma ona X na shellu?  Niech ta apka próbuje sobie wykonać nawet i "rm -Rf /" , to i tak jej nic nie da, bo nie ma X na rm no i oczywiście nie ma zapisu na /** ... Moim skromnym zdaniem ta drobna różnica (posiadanie apparmora) nieco utrudnia aplikacjom wrogie zachowanie i tym wygrywa mój system vs system kowalskiego, nic więcej. xD

Offline

 

#23  2018-11-08 20:45:35

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

morfik napisał(-a):

@yossarian, no a apparmor nie daje już wystarczającej piaskownicy? Jak ktoś już ma okrojoną appkę w apparmor to jak instalacja firejail wpłynie na poprawę bezpieczeństwa?

AppArmor (podobnie jak i SELinux) to zupełnie inne narzędzia nie mające nic wspólnego z sandboksem. Służące do ograniczania uprawnień i dostępu do zasobów.
Piaskownica zaś to dodatkowa izolacja miedzy procesami, które mając w AppArmor ustawiony dostęp do tych samych zasobów mogłyby mieć ze sobą kontakt. Sam AppArmor nie zapewnia takiego typowego sandboksa.

Oba te narzędzia mogą się uzupełniać bo generalnie służą do czegoś innego.

Offline

 

#24  2018-11-08 21:11:09

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

Piaskownica zaś to dodatkowa izolacja miedzy procesami, które mając w AppArmor ustawiony dostęp do tych samych zasobów mogłyby mieć ze sobą kontakt. Sam AppArmor nie zapewnia takiego typowego sandboksa.

To już jest zrobione w samych przeglądarkach jako multiproces, każda karta chodzi w innym procesie, i przynajmniej w teorii powinna korzystać z zabezpieczeń dostępnych w systemach operacyjnych jak seccomp czy capsicum.

Oczywiście programiści "powinni", ale nie zawsze tak to działa, jeśli natomiast mam otwarte kilkanaście zakładek w jednym oknie FF, to Firefail poszczególnych kart i tak nie ochroni, bo widzi proces przeglądarki a nie poszczególne procesy kart.

Chyba żeby metodą Morfika robić trzy profile do FF (różne do różnych działań),
albo metodą znaną z QubesOS, czyli kilka VM z osobnymi  systemami,
każda do innych działań.
To w Firejailu też jest osiągalne, podobnie jak przy pomocy wszystkich chrootów
na sterydach jak np LXC, Docker czy kiedyś OpenVZ.

EDIT:
Mamy jednak jeszcze troszkę czasu, u mnie w mieście w czytelni jest zainstalowane na publicznych kompach  Kubuntu z KDE-3.5 (wersja Ubu 7.10)
i ciągle jeszcze działają, co mnie aż dziwi, bo mają względnie świeże przeglądarki Chrome.

Także z sensownie skonfigurowanym Linuxem mamy trochę spokoju, najwyraźniej nie jest zbyt łatwo ugryźć Linuxa.

EDIT2:
Najciekawszy błąd projektowy, jaki ostatnio widziałem:
https://spidersweb.pl/autoblog/jeep-dywaniki-blokuj … gazu-usterka/
xD

Ostatnio edytowany przez Jacekalex (2018-11-08 21:40:21)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#25  2018-11-08 22:08:26

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Chrome, chromium, opera, firefox i unprivileged_userns_clone

Jacekalex napisał(-a):

To już jest zrobione w samych przeglądarkach jako multiproces, każda karta chodzi w innym procesie, i przynajmniej w teorii powinna korzystać z zabezpieczeń dostępnych w systemach operacyjnych jak seccomp czy capsicum.

Tylko wyobraź sobie, że te zabezpieczenia w jądrze są przeznaczone właśnie do działania z sandboksem w przestrzeni użytkownika (jednym z nich jest firejail) — dzięki czemu z nowoczesnych zabezpieczeń jądra mogą korzystać aplikacje, nawet takich, których deweloperzy o bezpieczeństwa nie mają zielonego pojęcia.

System call filtering isn't a sandbox.  It provides a clearly defined
mechanism for minimizing the exposed kernel surface.  It is meant to be
a tool for sandbox developers to use.
  Beyond that, policy for logical
behavior and information flow should be managed with a combination of
other system hardening techniques and, potentially, an LSM of your
choosing.

https://www.kernel.org/doc/Documentation/prctl/seccomp_filter.txt
I tak to właśnie działa w praktyce:
https://image.ibb.co/czNAXq/Screenshot-20181108-210318.jpg


Oczywiście programiści "powinni", ale nie zawsze tak to działa, jeśli natomiast mam otwarte kilkanaście zakładek w jednym oknie FF, to Firefail poszczególnych kart i tak nie ochroni, bo widzi proces przeglądarki a nie poszczególne procesy kart.

Nie musi chodzić o głupie zakładki, a przykładowo „keyloger” w X.Org (xinput).

To w Firejailu też jest osiągalne, podobnie jak przy pomocy wszystkich chrootów
na sterydach jak np LXC, Docker czy kiedyś OpenVZ.

Wyobraź sobie też, że Firejail nie ma żadnych swoich mechanizmów bezpieczeństwa, warstw wirtualizacji i innych tego typu wynalazków. Jest tylko pośrednikiem pomiędzy sandboksowana aplikacją, a narzędziami bezpieczeństwa wbudowanymi w kernel. Takie rozwiązanie jest zresztą preferowane przez deweloperów jądra.

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)