А может быть, Landlock? Что используете лично Вы для защиты своих систем?

превосходящие по функциональности и удобству традиционные механизмы

Дык чего тебе конкретно не хватает? Сформулируй для себя список сначала и от него уже пляши.

Что используете лично Вы для защиты своих систем?

Отдельного пользователя.

Ограничение прав. И про отдельного пользователя уже упомянули.

Не совсем аналог SELinux и AppArmor (пусть и умеет не пускать программы в ту или иную директорию), но я использую firejail.

Дык чего тебе конкретно не хватает? Сформулируй для себя список сначала и от него уже пляши.

Понимаю, что это невозможно, но было бы здорово, если бы были встроенные механизмы автоматической генерации политик на основе поведения приложений. Также хотелось бы динамической адаптации правил, учета особенностей графических программ и автоматизации рутинных задач. Может, уже есть какие-то «умные» системы безопасности?

Спасибо за совет использовать отдельного пользователя для повышения безопасности системы. Про Firejail, конечно, слышал, но руки до него так и не доходили. Обязательно присмотрюсь.

Разговоры о безопасности не имеют смысла без модели угроз.

Размышляя о том, чего не хватает и чего хотелось бы, перевёл неосознанное в осознанное. Поэтому отмечаю тему как решённую - основная задача выполнена. Вектор поиска найден. )

По идее да, меры безопасности будут либо избыточными, либо недостаточными. Пожалуй, подумаю и над этим. Сходу и не сформулирую.

Когда я сидел на фряхе я решил запариться и попробовать сделать все максимально безопасно и кастомно. Для начала я думал запускать весь GUI софт в виртуалке под линуксом или jails и пробрасывать через X, но не хватило терпения это все настроить. В итоге запускал весь софт, которому нужно лазить по сети – под отдельными, dedicated-для-этого-софта, юзерами. А своему юзеру через pf был запрещен доступ в сеть в принципе.

Все это работает, но жутко раздражает – когда надо какой-нибудь файл загрузить через браузер, то приходилось его копировать рутом в папку браузерного пользователя, менять права и только потом загружать. Если надо было скачать какие-нибудь модули для go, гемы для Руби, crates для раста, npm-пакеты итп – приходилось либо отключать pf, либо добавлять исключения по ip, либо еще что-то придумывать. Сплошной геморой.

Когда вернулся в линукс – решил конкретно забить болт на все это и юзать только докер, когда надо поставить сотню каких-то левых npm-пакетов для проекта. На остальное нет времени.

Существуют ли более эффективные решения для обеспечения безопасности десктопных Linux-систем

Допуск к компу только после сдачи экзамена на правила пользования им.

юзать только докер

Для разовых задач почему бы и нет. Но тут, скорее, изоляция версий зависимостей. Благодарю, что поделились опытом.

Допуск к компу только после сдачи экзамена на правила пользования им.

Зачем нам полумеры? Просто запретим всем пользователям вообще прикасаться к клавиатуре. )

Да нет, почему только изоляция версий зависимостей – не только. Это еще изоляция от вредоносных пакетов, которые могут быть в любом пакетном менджере для любого языка. Историй на этот счет полно.

Ну сама идея интересная, не спорю. Но есть определенные ограничения, например, для GUI/десктоп-приложений. Вы то решаете другие задачи.

Это верно. Для GUI-приложений я и хотел из виртуалок пробрасывать через Xorg по ssh. И тогда была бы полная изоляция. И при желании можно было бы даже смонтировать shared папочки в виртуалке (в фре это был бы nullfs) и без проблем шарить файлы между изолированным от внешнего мира хостом и виртуалкой с гуи-аппом и доступом в интернет. Но это, повторюсь, геморой и время (если хотите, я готов запариться и сделать вам эту фигню за деньги – будет работать!).

Чем плох AppArmor?

AppArmor, будучи проще, иногда сложен в анализе блокировок. К примеру, у SELinux есть утилиты audit2why, sealert, semanage для диагностики.

Несмотря на то что идея хороша, но apparmor бесполезен чуть менее чем полностью. В арче ты можешь поставить apparmor и посмотреть профили. Там есть куча встроенных… которые РАЗРЕШАЮТ ВСЕ. Сконфигурированы только профили для апач и тп - вебни. И то это нк имеет смысла, так как везде используется докер. Остальное ты должен настроить сам. В убунте apparmor включен по умолчанию… включен, но не настроен (в арче тупо профили из убунты своровали). Казалось бы хай будет, но apparmor снижает производительность системы на 5% - вроде мелочь, а вроде там эти проверки могут и на порядки замедлять проги… На гитхабе есть задроты, которые там по 100-200 профилей написали, можешь скачать и использовать… Либо писать их самому - путь, достойный для самурая… Проще взять и поставить приложение через flatpak. Будет тот же apparmor/selinux, но с интуитивной настройкой через гуй. Первые можно использовать разве что на стенде каком чтобы перед лошками какими выставить себя псевдоэкспертом-бесполезником.

На системах с AppArmor никогда не требовалось что-то анализировать. А с selinux постоянно вылетают диагностики, что что-то там запрещено, только и делаешь, что анализируешь, как что исправить.

Вообще, я не доволен, что openSUSE перешла на selinux. Но я на своей системе не буду мигрировать с AppArmor на selinux. И так всё работает.

превосходящие по функциональности и удобству традиционные механизмы, такие как SELinux, AppArmor?

Функциональность и удобство обратно пропорциональны доступным мерам безопасности. Да, можно заморочиться с тонкой настройкой appramor, selinux, bubblewrap или firejail, с покрытием каждого доступного вектора атаки. Только потом на каждый чих придётся ковырять конфиги и дебажить часами - и вообще не факт, что ты добьёшься успеха.

Остальное ты должен настроить сам.

Стандартные профили - по сути черновик, заготовка, которую пользователь должен сам адаптировать под свои нужды. Но об этом почему то все забывают рассказать.

apparmor снижает производительность системы

И 5% - это для простых задач. А теперь, представим, что у нас СУБД. :(

Проще взять и поставить приложение через flatpak.

Главное - чтобы пакет не был собран с --filesystem=home )) А так, да - Sandbox из коробки.

с selinux постоянно вылетают диагностики, что что-то там запрещено

Более строгие настройки, о чем и написал выше rtxtxtrx. К тому же, AppArmor использует профили на основе путей, а SELinux - метки и политики на основе типов. При частом обновлении или изменении системы, SELinux - так себе вариант. В какой-то мере помогают sealert, audit2allow, режим permissive... Но, при этом в голове всегда немой вопрос. Да, тот самый.

Функциональность и удобство обратно пропорциональны доступным мерам безопасности.

В идеале, вообще хотелось бы решать эти задачи с помощью машинного обучения и автоматизации политик на основе паттернов. Но это пока футурология. Как выяснилось, есть ряд проектов, у всех одни и те же проблемы. Ложные срабатывания, недостаток обучающих данных и... ну да, конечно - производительность.

Собственно, об этом направлении и думал, когда говорил о векторе. Но, как оказалось, «фигвам».

конечно, хотелось бы анальную безопасность как в ведре, но там она достигается путем использования кастомной явамашины. в линуксе скорее всего невозможно сделать так чтобы при запуске программы выводилось окошечко с промптом «разрешить доступ к сети», «разрешить доступ к устройствам»… арморы и se лишь помогут утонуть в микроменеджменте, а в flatpak/snap не все можно засунуть, да и в них реализация вся эта тоже не очень. это не докер, где можно доставить утилиты для ide в контейнер