Защитить Телеграм от кражи сессии (защитить файл tdata)

Создать отдельного пользователя для ТГ и запускать ТГ от этого пользователя.

This. Если не доверяешь своему пользователю, это традиционный вариант.

Т.е. надо будет ещё как-то запускать Gnome для пользователя telegram?

Просто прокинь DISPLAY (или сокет, если вейланд)

Если этот файл украдёт злоумышленник

Интересно, как часто это происходит

Если этот файл украдёт злоумышленник

Какие могут быть сценарии кражи?

Злоумышленник воспользуется 0day уязвимостью в каком-либо приложении и украдёт этот файл.

Это не сценарий, а некие общие слова. Но если хочется защитить файл от доступа неопределённого круга приложений, то стандартным решением является SELinux. Для защиты от физического доступа используется шифрование.

Отдельный пользователь в данном случае какой-то особой безопасности не добавляет.

Почему не добавит? У меня браузер и всё остальное работает от имени пользователя Vasya (к примеру). Телеграм будет работать от пользователя telegram.

И если вдруг кто-то найдёт уязвимость в каком-то приложении, либо просто внедрить вредоносный скрипт, он это сделает для пользователя Vasya, который не будет иметь доступа к файлу tdata. Т.е. Tekegram-сессии не украдут.

Понятное дело, если кто-то захочет прям взломать по-серьёзному, это не особо поможет. Но вот от автоматических скриптов для кражи данных это должно защитить.

Если этот файл украдёт злоумышленник, то он украдёт и учётку. Появилось желание защитить этот файл от кражи.

Это каталог :)

Но вот от автоматических скриптов для кражи данных это должно защитить.

Скрипт тебе поправит $PATH и накидает обёрток для sudo, su, pkexec и прочих runuser с $LD_PRELOAD для полного спектра удобств. Честно говоря, я всего-то имел в виду, что ты защищаешься от очень гипотетической проблемы. А если нет, то выше уже назвал нормальные решения.

Но с помощью каких инструментов это сделать?

Монтируешь в этот каталог(и) файл с luksfs к примеру.

Звучит разумно. От горячей утечки предохранит selinux, а от холодной шифрование файла.

А Вася как запустит телеграм? Он то должен иметь такую возможность?

От горячей кражи это не спасет никак.

.local/share/TelegramDesktop/tdata

сейчас не помню, но могу домой прийти помотреть - по моему вроде как это все в /.config живет, дело в том что у меня и /.config и /.local в tmpfs и что бы пользоваться телегой и не регистрироваться каждый раз = копирую заренее сохраненую дирректрию, но вроде как в /.config копирую - точно не помню, очень редко пользуюсь этим гамном, а сим карта на которую все это оформлена вообще потеряна и заблокирована - такая вот безопасность.

мне кажется этот файл сессии работает только с твоего IP

Увы, но нет.

зато теперь вася оформит эту твою симку и угонит твою телегу. такая вот безопасность

Сделал. Если кому интересно:

1. Создаём пользователя TG sudo useradd telegram
2. Копируем каталог TG: sudo cp -r /home/vodka/.local/share/TelegramDesktop /home/telegram/.local/share/
3. Меняем права sudo chown -R telegram:telegram /home/telegram/.local/share/TelegramDesktop
4. Убираем права у other на всякий случай:

sudo chmod -R o-r /home/telegram/.local/share/TelegramDesktop
sudo chmod -R o-w /home/telegram/.local/share/TelegramDesktop
sudo chmod -R o-x /home/telegram/.local/share/TelegramDesktop

5. Выключаем shell sudo usermod -s /usr/sbin/nologin telegram
6. Даём безпарольный запуск ТГ (sudo visudo): vodka ALL=(ALL) NOPASSWD: /usr/sbin/runuser -u telegram /opt/telegram/telegram
7. Прокидываем дисплей: в «./.bashrc» добавляем xhost +SI:localuser:telegram &>/dev/null
8. Удаляем старый каталог /home/vodka/.local/share/TelegramDesktop

Для шифрования можно использовать что-то типа encfs. Но это никак не поможет от кражи, если тг в данный момент работает!

Следующей весной, когда шиза даст новый импульс, начнешь запускать telegram внутри контейнера, работающего внутри виртуальной машины

Телеграм хранит сессии в файле /home/<Имя пользователя>/.local/share/TelegramDesktop/tdata. Если этот файл украдёт злоумышленник, то он украдёт и учётку.

Так а ты проверял это? С 99% утверждаю, что если скопировать эту директорию на другой компухтер, то телеграм запросит авторизацию т.к он по-любому привязывается к какому-то hardwareid

Ну это же известный метод угона аккаунтов в ТГ.

https://habr.com/ru/companies/pt/articles/889692/

Раздел «Получение доступа к устройству, копирование файлов с активными пользовательскими сессиями».

Я просто скопировал с одного ноута на другой. Пришло уведомление на планшетную телегу (где тоже установлена), что произошла авторизация на новом устройстве.

Включить локальный пасскод не вариант? Будешь при каждом запуске pin вводить.

Нет. Это никак не спасёт от кражи файлов и перебора паролей.

Так а ты проверял это?

Стало интересно, только что скопировал tdata из Вин11 на нулевую Телегу из snap в Убунту. Телега запустилась без всяких авторизаций.

Компьютер, конечно, один и тот же, но ОС совершенно разные, не ожидал.

Надо попробовать на другом компьютере.

Upd: перекинул на ноутбук с Виндой – не работает.

Ну вот! Как минимум нотифи приходит о новой сессии, как максимум перестает работать

SELinux для кого придумали?

Просто не выходи в интернет с компьютера, на котором лежит каталог tdata

в линуксах каталог это файл, выкуси))

Сложно. На оффтопике решил портативной версией телеграмма в veracrypt контейнере, туда же всякий сигнал сложил.

Раньше 100% банальное копирование профиля помогало. Не знаю как сейчас, но явно телега не о безопасности

разве это решение защищает от копирования другим процессом, работающим под той же учетной записью, что процесс TG?
Или ты TG под отдельным пользователем запускаешь?

Довольно часто, если судить по количеству продаваемых в даркнете сессий.