apparmor для стима

подписался

У кого есть рабочий apparmor профиль для стима?

Он будет бесполезен.

Ты стиму (и играм) даешь доступ к видеокарте, а это такая область где о безопасности думают в последнюю очередь, поэтому дырок там может быть очень много.

Видиокарта не может читать диск.

Правами доступа к диску даются исходя из прав процесса...причем тут видеокарта?

По твоей логике-все браузеры имеющие вебГл-дают рут?

Вообще теоретически да-но фактически стим для миллионов,и там просто встроен баналный зонд,я хочу его ограничить-apparmor-а для этого вполне хватит.

Видиокарта не может читать диск

Драйверы тоже не могут читать диск?

Ты говоришь о целенаправленной атаке на определенный драйвер....я говорю о ширпотребном стиме...хватит крайностей.

Правами доступа к диску даются исходя из прав процесса...причем тут видеокарта?

Драйвер видеокарты работает в пространстве ядра. И конечно он может все делать и в нем есть уязвимости, особенно если этот драйвер у тебя является проприетарным блобом.

По твоей логике-все браузеры имеющие вебГл-дают рут?

Если бы webgl работал не через прослойки (т.к не на всех дровах есть поддержка opengl es), то да, через webgl можно было бы получить рута.

Вообще теоретически да-но фактически стим для миллионов

Поэтому просто ограничь доступ к файлам, этого более чем достаточно. :)

Да не нужен стиму твой диск, а если будет нужен, то он сам тебя попросит и ты согласишься. :)

То что стим лезит в нестандартные каталоги /home/user/xxx совсем не круто.

...тут вообще я спросил о apparmor профиле,а не рассуждаю о теплоте зондов.

Ограничить доступ только к одному каталогу и запуску бинарников(игр) только с него

запусти его от своего отдельного юзера. Iptables умеет фильтровать траф по имени юзера. Ядро умеет фильтровать доступ к файлам.

Не вижу проблемы.

Ты стиму (и играм) даешь доступ к видеокарте, а это такая область где о безопасности думают в последнюю очередь, поэтому дырок там может быть очень много.

ты никогда не задумывался, что враги про видеокарту ТОЖЕ думают в последнюю очередь? Видел эксплоит к видеодрайверу? Я что-то не припоминаю…

Он будет бесполезен.

по твоей логике жопу подтирать не нужно. Всё равно обосрёшься. Я тебя правильно понимаю?

по твоей логике жопу подтирать не нужно. Всё равно обосрёшься. Я тебя правильно понимаю?

Нет, просто не стоит хранить важные данные на машине где ты играешь в игрушки.

Стим постоянно обновляется, запускает другие бинарники которые тоже постоянно обновляются, они вечно будут хотеть разные библиотеки и доступ к разным директория. AppArmor/SELinux не предназначены для контроля над постоянно изменяющимся софтом.

Поэтому твой совет про отдельного юзера самый логичный и правильный.

Весеннее обострение паранойи? Санитары, сделайте пациенту укол.

Параноик, который использует стим. Замечательно.
Подозреваю, что при использовании AppArmor Steam тебя спросит про доступ. Или что-то перестанет работать.
А вообще вот про это:

держать виртуалку ради пары часов на игры в месяц-абсурд

Если ты хочешь поиграть пару часов в месяц, то зачем тебе такие извращения?

запускай в отдельном X-сеансе от отдельного юзера

Отличные истории сочиняешь :)

Подозреваю, что при использовании AppArmor Steam тебя спросит про доступ. Или что-то перестанет работать.

О да...лор во всей красе-не знает что делает apparmor и что будет при отказе доступа...ах да-скайп вполне нормально работает,ему даже чтение из /home запрещен-и ничего,все норм.

О да...лор во всей красе-не знает что делает apparmor и что будет при отказе доступа...ах да-скайп вполне нормально работает,ему даже чтение из /home запрещен-и ничего,все норм.

Это проблема не лора, а моя, сударь. Но моё заявление про абсурдность этих телодвижений при паре часов игры в месяц остаётся в силе.

запускай в отдельном X-сеансе от отдельного юзера

И всем советчикам отдельного юзера:
На дворе 21 век,четырехядерники,сотни памяти,по две видиокарты на ПК...а ваши советы времен 90-х годов...

apparmor был создан для удобства пользователя-на одном юзере ограничивать процессы правами доступа.

Выже предлагаете то что сделали неосиляторы с андроидом-по одному юзеру на программу-идиотское решение,ладно это андроид,но у меня вполне десктопный с одним юзером(не считая рута и системные имена),когда можно настроить apparmor и пользоваться одним-заводить отдельного юзера глупо,и неудобно.(я просто прям чувствую дух дуалбутчиков тут...когда можно иметь одну нормальную систему с настроенными правами)

Хватит глупость говорить про отдельного юзера,как сказал уже-это неудобно,и это неосиляторство apparmor-а с вашей стороны,и лени.

Но да тред показателен-за все время существование зонда-никто даже не задумался ограничить его...

Но моё заявление про абсурдность этих телодвижений при паре часов игры в месяц остаётся в силе.

Давай серьезно говорить:
Ты на лоре,пишешь тупой пост,в то время как можешь просто закрыть лор,выключить интернет,и пойти работать 24 часа в сутки-вполне логично и соответствует духу-максималистической логике(которую ты применяешь).

Т.е. ты применяешь свою ультимативность к окружающим,но не к себе.

У меня впечатление-что стим сканил жесткий и слал всю структуру каталогов/файлов с именами-для онализа «какую рекламу мне впаривать».Но это совсем не круто.

А Вам не приходило в голову, что он просто раздает игровые данные другим пользователям?

Ты какой-то агрессивный.

Какие игровые данные со всего раздела /home/user ??

Я знаю про стим-облако.Синхронизация не проводилась,стим лазил по всему диску и что-то нещадно аплоадил.

Уже даже боюсь спрашивать-сколько юзеров лора(исключая 90% виндузятников) запилили apparmor профиль на скайпо зонд,и хотяб браузер?

Я запилил(в первый день как установил скайт,и как запустил браузер)),со стимом(такими лаунчерами и кучей бинарников раньше не сталкивался) немного сложно-вот и интересуюсь.

И в чемже тогда для 99% незапиливших ничего лентяев-разница между виндой и линуксом?Выж банальный apparmor для себя не в состоянии сделать...

Буду благодарен, если свои apparmor для skype выложите в pulic.

Нет, просто не стоит хранить важные данные на машине где ты играешь в игрушки.

вопросы «откуда взять компютеров?», «куда их поставить?», и «кто их будет админить?» решать будешь ты?

Стим постоянно обновляется, запускает другие бинарники которые тоже постоянно обновляются, они вечно будут хотеть разные библиотеки и доступ к разным директория. AppArmor/SELinux не предназначены для контроля над постоянно изменяющимся софтом.

разве этот ваш стим нельзя анально огородить в специально выделенный /home/steam/ ? И пусть оно там варится, даже с кучей вирусов, если их конечно придумают.

Поэтому твой совет про отдельного юзера самый логичный и правильный.

насколько я знаю, apparmor - это тоже что-то подобное, только уже готовое, и от Марка. Потому что именно использовать(«от меня» или от Марка) — дело вкуса. Принципиальной разницы нет.

Что касается SELinux, то это решение совсем НЕ для дома/для семьи. Это годная штука, если у тебя 100500 юзеров, и из них Over9000 администраторов(с разными правами). Для «я и моя кошка» это глупо. Для меня, моей жены, и детей - тоже глупо. Да и для многих серверов тоже. В серверах, кстати, данный подход(по юзеру на сервис) используется изначально, и отлично работает. SELinux нужен только если у тебя не только куча сервисов, но и как минимум два root'а, которые их(сервисы) одминят.

На дворе 21 век,четырехядерники,сотни памяти,по две видиокарты на ПК...а ваши советы времен 90-х годов...

прости, но я не понимаю: вообще-то, в 90х ты мог мне возразить, что держать скажем два Firefox'а, каждый со своими кешами - больно накладно. А уж запускать два Firefox'а, один для игрушек в быдлофлеш фермеров, а второй для операций с деньгами - никакой RAM не хватит, если сразу. Но сейчас-то хватает? В чём проблема?

Наделать Over9000 юзеров - это тоже ресурсы, но в 2013ом году за ресурсы это можно не считать. Их стало намного больше.

apparmor был создан для удобства пользователя-на одном юзере ограничивать процессы правами доступа.

используй его. Я разрешаю.

когда можно иметь одну нормальную систему с настроенными правами

это ПРИНЦИПИАЛЬНО НЕВОЗМОЖНО. Невозможно что-то разрешить и запретить одновременно. А система не в состоянии отличить вредоносный код от полезного, если обе программы запущены тобой. Можно конечно накостылить антивирус, который на лету ищет известные ему вирусы, но эта защита очень ненадёжна, ибо бессильна против новых вирусов, а именно новые вирусы и представляют опасность. Покупая и используя антивирус, ты финансируешь вирусмейкеров, стимулируя их «писать» новые вирусы, единственное отличие от старых - они не содержат известных сигнатур.

Вот если надо

А Вам не приходило в голову, что он просто раздает игровые данные другим пользователям?

Это когда такие нововведения появились? Всегда думал, что для раздачи контента steam используется специальная CDN, но никак не компы пользователей.

Яб посоветовал-делать профиль локально для скайпа,т.к. по ссылке профиль для второй версии,он не подходит для текущей,также как от 4.0 для 4.1.

В скайпе ничего сложного с профилем.

это ПРИНЦИПИАЛЬНО НЕВОЗМОЖНО. Невозможно что-то разрешить и запретить одновременно. А система не в состоянии отличить вредоносный код от полезного

Чтоэто за бред?

Если настроены права-бинарники им будут следовать,и неважно вирус это или нет-права опередлены никуда не денешься.

По этому поводу вопрос ниже.

Мне пришла здравая идея:

Я предполагаю что есть возможность ограничить доступ всем бинарникам из home к определенным каталогам.

Не используя шифрование/юзера/пароли,просто права или тотже apparmor.

Т.е. у стима сотни бинарников в home(и лаунчер скриптовый в /bin),если можно так ограничить(сделав доступ к одному каталогу для всех бинарников из home) то это лучше и проще всего.

Т.е. все бинарники из home имеют доступ только к одному каталогу,а все бинарники из пакетов(тотже скайп и браузер)-имеют нормальный apparmor профиль.

Как такое сделать?

(можно использовать юзера если без перелогина,или группы)

Я вижу только-добавить группу bin которая не имеет доступа к каталогам в home кроме одного,но как сделать чтоб автоматически все бинарники из home запускались не от юзера,а от «спецюзера» группы bin?

Не используя шифрование/юзера/пароли,просто права или тотже apparmor.

С таким ограничением - невозможно.

Я сделаю что тогда?

Чтоэто за бред? Если настроены права-бинарники

бред в твоём вопросе. У процесса нет прав. unix-права есть у файлов/каталогов, а у процесса есть только хозяин/группа. Ты можешь назначить какому-то файлу/каталогу такие права, что-бы их (не)смог читать/менять/использовать какой-то юзер и/или группа.

и неважно вирус это или нет-права опередлены никуда не денешься.

для этого надо сделать юзера steam, запускать все бинарники steam от него-же, и его-же назначить хозяином каталогов. А свой хомячёк поставить 0700, тогда стим туда не пролезет.

Т.е. все бинарники из home имеют доступ только к одному каталогу,а все бинарники из пакетов(тотже скайп и браузер)-имеют нормальный apparmor профиль.

в процессе не написано, из какого он каталога. Это для процесса вообще смысла не имеет, ибо обычно процессы множаться сами по себе, а вовсе не появляются с помощью магии из файлов. С помощью магии появляется только один процесс №1 init, остальные процессы - внуки и дети init. Сам init тоже не из каталогов, ибо он появляется тогда, когда ещё никаких каталогов не существует.

можно использовать юзера если без перелогина,или группы

нужно. Есть утилита sudo, которая именно это и делает.

в процессе не написано, из какого он каталога

Можно написать, при желании.

Сам init тоже не из каталогов

Получается, нам врут про /sbin/init?

в процессе не написано, из какого он каталога

Можно написать, при желании.

хм… Расскажи как, и кого будет волновать, что ты туда напишешь?

Получается, нам врут про /sbin/init?

ладно, про init я погорячился ☺

Расскажи как

Пометить всё содержимое каталога (отдельным пользователем или меткой SMACK).

и кого будет волновать, что ты туда напишешь?

Ядро.

SMACK

WTF?

Ядро.

ну если пользователя менять - да. Будет. Но ещё и процессы надо будет от этого юзера через sudo запускать.

SMACK

WTF?

http://schaufler-ca.com/

процессы надо будет от этого юзера через sudo запускать.

SUID

УМВР

http://schaufler-ca.com/

костыли.

SUID

кривой костыль размером 50 метров. IRL ходить конечно можно, но страшно.

http://schaufler-ca.com/

костыли.

Бгг.

Всегда думал, что для раздачи контента steam используется специальная CDN, но никак не компы пользователей.

Я могу только предполагать. У меня, иногда, скорость загрузки повышается с предельных 1,5 до 2 и более, на достаточно долгое время. Вот и предполагаю, что из локальной сети подтягивает.