ограничение wine

0

1

Хочу сделать так, чтобы приложения в wine не имели доступа к основной файловой системе, в смысле ~ (home) и /media Если в winecfg удалить ссылку диска Z на /, а также перенаправить все домашние директории куда-нибудь в отдельную папку, то этого будет достаточно? или win приложения таки смогут попасть в фс?

Ссылка

←	Защищенность свежесобранной Gentoo в сравнении с другими дистрибутивами

[Боян][LUKS] Two-factor auth

→

Насчет /media не знаю, насчет home может их запускать от другого пользователя?

Tark ★★
(21.03.11 18:42:38 MSK)

Ссылка

Запускай от другого пользователя.

GotF ★★★★★
(21.03.11 18:57:31 MSK)

Ссылка

Для параноиков man chroot.

PS: из параноиков порой получаются очень хорошие специалисты по безопасности.

soomrack ★★★★★
(21.03.11 19:30:12 MSK)

Ответ на: комментарий от soomrack 21.03.11 19:30:12 MSK

> man chroot.
так что, систему изолированную собирать?

TheAnonymous ★★★★★
(21.03.11 20:45:47 MSK) автор топика

да, нихрена эти диски не значат.
в любом диалоге можно выбрать / (см. картинку), при этом путь в винде отображается \\?\unix\.... и всё туда может писаться с правами пользователя
http://img35.imageshack.us/i/34449517.png/

TheAnonymous ★★★★★
(21.03.11 20:56:47 MSK) автор топика

Ссылка

wine ни от чего не защищает. Даже после того, как Вы отключите все виртуальные диски (winetricks sandbox), запускаемые в нём приложения смогут творить всякие непотребства, включая rm -rf ~.

AITap ★★★★★
(21.03.11 21:49:38 MSK)

Ответ на: комментарий от TheAnonymous 21.03.11 20:45:47 MSK

Если таки chroot, то что нужно? как установить эту изолированную среду? Да ещё, чтоб иксовые приложения работали.

TheAnonymous ★★★★★
(21.03.11 22:31:04 MSK) автор топика

Ссылка

Ответ на: комментарий от AITap 21.03.11 21:49:38 MSK

да с ~ то хрен с ним (он будет отдельного пользователя). Главное - огородить примонтированные диски

TheAnonymous ★★★★★
(21.03.11 22:48:39 MSK) автор топика

Ссылка

Удаление ссылки ничего не изменяет - это нововведение Wine ~1.3.12

Безопасным на 100% будет только VM.

Chroot на 95% (Wine приложения могут вызывать любые unix команды).

~~juk4windows~~ ★
(22.03.11 12:32:24 MSK)

Ответ на: комментарий от juk4windows 22.03.11 12:32:24 MSK

VM - слишком тормознуто
А с chroot почему на 95%? Оно же не сможет выйти из среды без прав рута (внутри чрута)

TheAnonymous ★★★★★
(22.03.11 13:18:32 MSK) автор топика

Ответ на: комментарий от TheAnonymous 22.03.11 13:18:32 MSK

В теории — не может. На практике вполне может найтись эксплуатируемая дырка в ядре или suid-ПО.

Deleted
(23.03.11 01:51:20 MSK)

Ответ на: комментарий от Deleted 23.03.11 01:51:20 MSK

На практике в VM тоже может найтись дырка «переполнение чего-нибудь нужного при такой-то последовательности асмовых команд».

ChALkeR ★★★★★
(26.03.11 06:43:51 MSK)

Хороший выход: https://wiki.archlinux.org/index.php/Skype#Use_Skype_with_special_user_.28for... — замени skype на wine и вперёд.

ChALkeR ★★★★★
(26.03.11 06:46:44 MSK)

Ссылка

Ответ на: комментарий от ChALkeR 26.03.11 06:43:51 MSK

> На практике в VM тоже может найтись дырка «переполнение чего-нибудь нужного при такой-то последовательности асмовых команд».

1) Такие дырки находят крайне редко. 2) Никто против вас конкретно такую атаку проводить не будет - подобные разработки - это не хакеры, а security experts проводят.

~~juk4windows~~ ★
(26.03.11 16:05:09 MSK)

Ссылка

Ответ на: комментарий от TheAnonymous 22.03.11 13:18:32 MSK

> VM - слишком тормознуто

Вы из 2000 года?

~~juk4windows~~ ★
(26.03.11 16:05:48 MSK)

Ссылка

На самом деле, wine — это дополнительный слой для библиотек+загрузчик MZ/NE/PE файлов, эти приложения, даже если ты уберешь все виртуальные диски, могут вызывать int 80h, и получать доступ ко всем системным вызовам Linux, то есть удаление диска Z: защитит тебя только от вредоносных программ, которые писались чисто для Windows, но не от тех, создатели которых знали про wine.

Xenius ★★★★★
(29.03.11 00:28:08 MSK)