LINUX.ORG.RU

Как вы огораживаете приложения, запускаемые через Wine?

 , , ,


1

3

Не хочется давать полный доступ к системе всяким игрушкам с рутрекера. И вообще изучить вопрос усиления безопасности десктопного лялекса. Кто чем пользуется для ограничения прав запускаемого вайном софта?

Перемещено hobbit из general

★☆

Последнее исправление: hateWin (всего исправлений: 1)

Аналогично, обо мне заботится протон и изоляция в стим. Lutris тоже умеет в wine sandboxing

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)

Использую bubblewrap. Через него запрещаю доступ ко всем файлам кроме тех, что нужны игре, ну и через него же отключаю доступ к интернету.

Kron4ek ★★★★★
()

Не хочется […] изучить вопрос усиления безопасности

Вот и договорились.

mord0d ★★★★★
()
Ответ на: комментарий от xDShot

Proton, как и Steam Runtime Soldier, по умолчанию не изолируют домашний каталог, все файлы в нем доступны на чтение-запись любым играм. Такая себе изоляция получается.

Kron4ek ★★★★★
()
Последнее исправление: Kron4ek (всего исправлений: 1)

Вообще не парюсь по этому поводу. Что виндовый эрзац-вирус сможет сделать на линуксовой машине? А если что-то и сделает, то всё действительно важное у меня забекаплено. И бОльшая часть не очень важного тоже.

Usruser
()
Ответ на: комментарий от Usruser

виндовый эрзац-вирус сможет сделать на линуксовой машине?

Он кагбэ работает через вайн. То есть, почти как нативное приложение. Значит, он может запустить любой деструктивный код, который использует реализованные в вайне функции WinAPI.

hateWin ★☆
() автор топика
Ответ на: комментарий от hateWin

Ну и что? Ну удалит что-то этот «деструктивный код», и что? Ты же понимаешь, что в большинстве случаев разбираться в этом секьрити-шмукьюрити (Разбираться, а не просто прописать какую-то хрень в какой-то конфиг и успокоиться) потребует больше вложений и нервов чем возможная потенциальная необходимость переустановить систему? Проще просто делать бекапы.

Usruser
()

Никак, гипотетический вендовирус сможет как-то навредить только Вайну, а вылезти за его пределы не сможет

alex1101
()
Ответ на: комментарий от alex1101

а вылезти за его пределы не сможет

Если не убирать доступ к разделу Z:, то сможет. И даже без доступа к Z: наверняка как-то можно вылезти за пределы, так как у самого Wine доступ к корню остается.

Kron4ek ★★★★★
()

дуалбут и запуск в винде. никогда вайнами не пользовался

tz4678_2
()
Ответ на: комментарий от Kron4ek

Так это нужен специальный вирус, который пролезает через Wine на диск Z и как минимум умеет ориентироваться в линуксовой иерархии файлов. Сомневаюсь, что такие существуют в природе.

alex1101
()
Ответ на: комментарий от alex1101

Таких специализированных вирусов может и нет в природе. Однако если мы берем конфигурацию Wine по умолчанию, то она не является безопасной и с ней можно огрести проблем даже без заточенных под Linux вирусов.

По умолчанию Wine дает доступ к Z: и пользовательские каталоги в префиксе («Мои документы», «Загрузки», «Видео», «Картинки») являются символической ссылкой на реальный домашний каталог пользователя. Любой шифровальщик в первую очередь полезет в эти самые «Мои документы» и в итоге зашифрует файлы в домашнем каталоге.

Kron4ek ★★★★★
()
Ответ на: комментарий от Kron4ek

пользовательские каталоги в префиксе («Мои документы», «Загрузки», «Видео», «Картинки»)

А, про это я забыл

alex1101
()
Ответ на: комментарий от Kron4ek

Конечно можно, wine это не песочница, использовать любые линуксовые системные вызовы оно виндопрогам не запрещает никак.

Таких специализированных вирусов может и нет в природе

Уверен, что есть.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)

Определись что ты считаешь полным доступом и насколько ты каким механизмам доверяешь. Если на минуту предположить, что линукс - не решето, то достаточно отдельного юзера создать и не забыть про chmod 700 на $HOME всем, если оно ещё не сделано. Если же вспомнить, что линукс - всё же решето, то есть несколько вариантов:

1) по-моему самый хороший: отдельный комп для сомнительного софта, подключённый через hw-файрволл

2) виртуалка, но она тоже может оказаться решетом + скорее всего будет лагать

3) всякие контейнеры, шансы решета намного выше чем у виртуалки, но лагов не будет

firkax ★★★★★
()

Кто чем пользуется для ограничения прав запускаемого вайном софта?

Игори гоняю в варе. Если и есть там вирусы, то это их проблемы.

utanho ★★★★★
()
Ответ на: комментарий от firkax

то достаточно отдельного юзера создать

Это очевидно. Но прога унутре вайна может запускать любые бинари из корня.

hateWin ★☆
() автор топика
Ответ на: комментарий от hateWin

Ну запустит, и что? С тем же успехом эти бинари она может внутри себя хранить безо всяких корней.

firkax ★★★★★
()
16 июля 2022 г.

юзаю виртуалку винды (можете и линукс, но зачем) с пробросом видеокарты в нее (vfio зовется), а там игра пусть делает, что хочет: кроме игр там ничего нет

baja
()

Steam через flatpak, там песочница.

Aceler ★★★★★
()
Ответ на: комментарий от hobbit

Да, этот.

Он работает с уже установленным wine или тащит в программу свой собственный?

Там собственное управление версиями wine и вариантами сборки (wine, proton, caffe и т.п.). Можно ли подсунуть ему другой wine не знаю, не пробовал. Но т.к. это всё счастье во флатпаке, то пытаться подсовывать системный вайн может быть проблематично, т.к. могут быть проблемы с линковкой.

Но меня лично вполне устраивает то, что он притаскивает сам.

Ivan_qrt ★★★★★
()

Ну я тут скромненько со своим unshare постою

DumLemming ★★★
()

А приложения, запускаемые из DOSBox, стоит огораживать?

Mischutka ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.