LINUX.ORG.RU

Что нибудь в стиле AppArmor


0

2

А существует ли что-нибудь в стиле SElinux или AppArmor, только менее глобальное? Хотелось бы просто ограничить firefox доступ, ну не писать же для этого километры конфигов для всех программ.

В принципе, AppArmor вроде проще SElinux, но в дебиане она только в репах unstable лежит, и для неё нужен специальный модуль ядра (вроде бы), которого у меня нет.

Что посоветуете?



Последнее исправление: lmtea (всего исправлений: 1)

Ответ на: комментарий от eveel

Я наверно что-то не понимаю, но он вроде для повышения привилегий нужен, а мне понизить надо. Если не прав, ткните носом в строчку мана, пожалуйста.

lmtea
() автор топика
Ответ на: комментарий от lmtea

> Я наверно что-то не понимаю, но он вроде для повышения привилегий нужен, а мне понизить надо. Если не прав, ткните носом в строчку мана, пожалуйста.

Пожалуйста, можно на «ты»? :(

Я не смотрел внутрь PolicyKit, но некоторые приложения (вроде libvirt) у меня отказывались работать без декларации локальных политик.

Не логичнее ли просто использовать NoScript и какой-нибудь Adblock Plus?

eveel ★★
()
Ответ на: комментарий от eveel

Логичней, Firefox привёл для примера, в основном. Но всякую проприетарщину запускать хотелось бы всё же с ограниченными привелегиями (хотя бы ограничить запись в /home, кроме папки самого приложения, остальное ж ro).

lmtea
() автор топика
Ответ на: комментарий от lmtea

> Логичней, Firefox привёл для примера, в основном. Но всякую проприетарщину запускать хотелось бы всё же с ограниченными привелегиями (хотя бы ограничить запись в /home, кроме папки самого приложения, остальное ж ro).

Быть может, тогда стоит научиться SELinux или AppArmor? Если интересно в будущем получать красивые бумажки от линуксовых вендоров, эти навыки будут необходимы.

Как вариант, многие пользователи Windows подозрительный софт обкатывают на виртуальных машинах. Не вижу в этом ничего плохого.

eveel ★★
()
Ответ на: комментарий от eveel

Думаю стоит. А вот насчёт виртуалки внезапно пришла идея. Chroot?

lmtea
() автор топика
Ответ на: комментарий от eveel

Плюс, есть такая новомодная штука, как cgroups (официальный сайт пока лежит). Они ограничивают всякие системные ресурсы, но я здесь вообще ногой не ходил: быть может, имеются и какие-нибудь штуки для непосредственного разруливания полномочий процессов.

eveel ★★
()
Ответ на: комментарий от eveel

Спасибо, решил всё-таки освоить SELinux, а cgroups это же то, о чём я мечтал! Ведь, как я понял так можно выделить программе определённую часть процессора или памяти, и, когда всё будет тормозить она будет работать также?

lmtea
() автор топика
Ответ на: комментарий от lmtea

> Спасибо, решил всё-таки освоить SELinux, а cgroups это же то, о чём я мечтал! Ведь, как я понял так можно выделить программе определённую часть процессора или памяти, и, когда всё будет тормозить она будет работать также?

Теоретически — да. Это весьма милая программная виртуализация.

Кстати, на основе cgroups ребята потихонечку пилят очень (как мне кажется) перспективную штуку по имени Linux Containers http://lxc.sourceforge.net/, хотя это несколько из другой оперы :)

eveel ★★
()
Ответ на: комментарий от eveel

Пилят, пилят, но никак не допилят.
Мой личный выбор schroot + ядро с grsecurity.

Каждый браузер, IM клиент, работают в своем окружении.
Для меня это наиболее наглядный способ их контролировать.

winddos ★★★
()

>>Что посоветуете?

в Fedora есть такая замечательная штука как sandbox для выполнения софта с минимумом привилегий, базируется на selinux.

zloy_linuxoid
()

TOMOYO linux. Второй tomoyo (который в ванильном ядре) может ограничивать в основном доступ к диску, первый (с патчами к ядру) — ещё и интернеты и много прочих вещей. Можно включить только для определённого приложения, в том числе и с путём запуска (например, ограничить огнелис, запущенный откуда угодно, кроме консоли). Доки — на оффсайте и в арчевике (она универсальна, как обычно).

x3al ★★★★★
()
Ответ на: комментарий от lmtea

> Но всякую проприетарщину запускать хотелось бы всё же с ограниченными привелегиями (хотя бы ограничить запись в /home, кроме папки самого приложения, остальное ж ro).

sudo -u nobody program ?

firestarter ★★★☆
()
Ответ на: комментарий от lmtea

Ну так что мешает создать пользователя и сделать его владельцем каталога программы?

firestarter ★★★☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.