Паранойя. SELinux на десктопе

Использую Apparmor на десктопе. Знаний по написанию профилей хватит на отдельную книгу по apparmor. Если будут вопросы обращайся.

Так какой нибудь эксплойт удалось поймать? Расскажи...

Но это все полумеры, так как через какую-нибудь дырку в программе злоумышленники могут что-нибудь натворить

Да. В твою дырку могут лом засунуть и провернуть пару раз, если нужен будешь. Не спасёт тогда шифрование.

В Fedora оно давно уже по дефолту в enforcing. Не вижу причин отключать. Есть-пить не просит. Всё настраивается один раз после установки системы в графической конфигурялке, установкой/снятием тычек-галочек.

а потом и в компьютеры людей неугодных лезть начнут.

Главное заблуждение. Залезут ко всем подряд. Подряд, понимаешь? Твой трафик, переговоры, переписка уже в их руках полностью.

Тоже не жаловался, при всей его избыточности.

Согласен с господарем Anakros. У Вас, батенька, параноя, нафиг вы никому не сдались.

Пробовал ли кто-нибудь использовать SELinux на десктопе? Такой уж ли большой от него профит, если учитывать сложность правильной настройки?

Работает по умолчанию, никаких настроек, всё из коробки.

Пробовал ли кто-нибудь использовать SELinux на десктопе?

Skype изолирован. К сожалению не на всех машинах, но я стремлюсь :)

если учитывать сложность правильной настройки?

Это не сложно. Нужен SELinux sandbox, audit2allow и нормальный дистр.

Еще можно использовать systemd-nspawn (свежий) и SELinux. В итоге получится тоже самое, что и lxc-контейнеры, только без cgroups.

Если у вас паранойя - это ещё не значит что за вами никто не следит.

... Карл...

Какая ещё сложность настройки? Работает из коробки, конфигурялка графическая, материала в интернете полно в пережеванном и местами даже переваренном виде.

Нет. Но есть софт, в основном проприетарный, который читает machine-id, добавляет свои репозитории, отсылает статистику (например smartgit), о /etc/passwd я не говорю, так как считаю это в порядке вещей. читает профиль браузера (skype). Очень много софта имеет доступ в те каталоги, которые мне не нужно, например весь ~/, и некоторые скрытые директории (это описывается в private files). Есть тенденция читать machine-id направо и налево, даже софтом который не использует pulseaudio. Также есть некоторый софт, например читалки, которые лезут в интернет, простое правило 'deny network', также пару раз я ловил на сайтах с adult контентом, что flash пытался запустить /bin/bash и xterm. VirtualBox тоже один раз пытался запускать команды, похожие на попытку определить ip aдрес человеком вручную. Steam к слову не в чем плохом не замечен, но если закрыть доступ к machine-id, то встроенный flash плеер, будет иногда виснуть. Раньше без доступа к machine-id, pulseaudio не работал, но сейчас он может работать вполне нормально, главное дасть доступ к dbus, при этом чтение machine-id можно запретить.

Ого! Да ты дал прекрасную х-ку SELinux. Впилю себе.

Пробовал ли кто-нибудь использовать SELinux на десктопе?

Стоит такая образина и хз что полезное делает, а политики безопасности ему шлют из большого брата репозитория. И показывает он проблемы только типа «процесс такой-то, mmap_zero». До касперыча в винде его функционал не дотягивает, никаких тебе опасных процессов лезущих не туда - тишь да благодать, берегите нервы, товарищи.

Залезут ко всем подряд

Начнут все равно сначала с неугодных.

Я имел ввиду, относительную сложность писания своих правил.

Боюсь что спецслужбы давно протроянили БИОС,так что selinux им пофигу,
влезут по сети и сопрут ключи шифрования из ОЗУ.

Тогда нафиг отрубить сеть)

Odesk клиент лезет к камере. Но наверно, просто это у него такая фича. Еще из перлов Counter Strike не работает нормально, если процесс запускать strict c ix, он работает только с Ux и ux. Я предполагаю, что это из-за того, что он пилился далеко не под NT, а под 9x.

А они уже встроили радио! xD

Будем глушилки паять)

Odesk клиент лезет к камере

А вот это не есть гуд.

Правильнее сделать железный корпус без дырок,и наполнить его гелием.
Сообщение с компом вести по rxtx оптоволокну

У Вас, батенька, параноя, нафиг вы никому не сдались.

У мну тоже паранойя. Стянул с сайта карикатур красивую картинку с пиндофлагом в виде матраса и подушки на раскладушке, а потом однажды захотел приложить его к сообщению (второй или третий раз) и не нашёл. Точного названия работы к сожалению не запомнил, поэтому теоретически на сайте первоисточнике теоретически мог его и не найти, в своих прошлых сообщениях на лоре - потёрли матрасники, но ведь бегло просмотрел за несколько часов всю коллекцию карикатур и тоже ничего не нашёл. Теоретически, там он мог пролистаться и где-нибудь лежит на винте и ухмыляется, но осадочек остался. Какой-нибудь бот вполне мог проследить картинку порочащую СШП: кто её просматривал и скачивал а потом зачистить на компах, как минимум, пользователей, уязвимостей то дофига, просто мы не про все знаем, и даже если можно скачать обновления, то не гарантия что они помогут.

Нельзя доверять железяке подключенной к интернету. Лучший интернет, это флешка для стягивания файлов с другого компа.

На какой системе это было?!

Федора 17, снята с поддержки.

А нефиг себе привелегии повышать.

Вообще, рут в ОС должен вымереть как явление.

Пробовал ли кто-нибудь использовать SELinux на десктопе

Нахрен он не нужен. Вся суть SELinux сводится к тому, что необходимо убить много и прочитать много литературы по этому SELinux, ради того чтобы красноглазить и убивать много часов на конфиги. В итоге настоящее предназначение SELinux - это не безопасность, а тупо поубивать время, которое можно потратить но более серьезые вещи.

Написали же про человеческую дыру, а не про компьютерную.
Поэтому, чтобы не были страшны ни троян ни паяльник, в виртуальном пространстве лучше иметь минимум привилегий, а в реальном - максимум.

в selinux вроде есть какой-то режим, когда фактически у системы есть два админа, собственно, системный, и человек, ответственный за иб. У кого паранойя, будьте осторожны, Вы не можете на 100% довярять себе, ищите партнера, делите с ним отвественность за сохранность Ваших секретов.

Так какой нибудь эксплойт удалось поймать? Расскажи...

скайп, который шарит по диску, в счет?

... Карл...

Ржу :D

Сейчас придёт альфа и расскажет там, что чувство заполенности заднего прохода - это нормально и естественно.

Нет ну правда, есть такая закономерность: чем проще - тем надежнее. Если инструмент переусложнен - то здесь даже больше возможности ошибиться и оставить брешь в безопасности.

В селинуксе, кажется, нельзя оставить брешь в безопасности. Там по умолчанию запрещено всё, вообще всё, кроме явно разрешённого. Поэтому поднятие банального http представляет собой боль. Но у некоторых эта боль может вызывать оргазм...

И я про человеческую. В любом мире лучше настраивать все так, чтобы от тебя все зависело только на этапе настройки. И тогда не будет смысла тебя ломать.

Всё настраивается один раз после установки системы в графической конфигурялке, установкой/снятием тычек-галочек.

Это что за конфигурялка такая?

В составе SETools, на GTK+ 2

А без иксов жизнь есть?

Napilnik> До касперыча в винде его функционал не дотягивает

А тебе кроме гибкой настройки, которой ни один касперыч похвастаться не может и никогда не сможет, надо, чтобы он ещё NOP'ами сжирал процессор?

Начнут именно со всех подряд, чтобы потом не париться и не копать на неугодных материалы. А когда неугодные закончатся, сделают из угодных неугодных.

system-config-selinux из пакета policycoreutils-gui, вестимо.

ТС говорит о применении SELinux на десктопе же :)

Спасибо!

Реально ли в текущем стабильном дебиане настроиться?

В текущем не знаю. В wheezy ругался на network при загрузке. Но сетевые правила работали.
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=712451
В целом работает, но под Ubuntu с ним удобней, там и пакеты с правилами, и некоторые пакеты уже включают профиль apparmor (впрочем не все хорошо написаны, например дефолтное правила apparmor под firefox слишком многое позволяет, но в качестве базы выступает отлично)

А тебе кроме гибкой настройки, которой ни один касперыч похвастаться не может и никогда не сможет, надо, чтобы он ещё NOP'ами сжирал процессор?

И этот человек ещё что-то говорит про тонкую настройку! Да после таковой касперыч тормозит только при старте операционки, что до гибкой настройки в селинуксе, в удобнейшем интерфейсе - это не иначе шутка юмора такая.

Да, там еще вроде на ncurses что-то есть. Ну и просто CLI утилиты.

это все полумеры

А если паяльник? Надо зацементировать такую дыру в безопасности.