LINUX.ORG.RU
ФорумTalks

Безопасность в Linux

 , ,


0

2

Привет, ЛОР!

В среде линуксоидов принято считать, что Линукс гораздо безопаснее других операционных систем, в частности Windows, потому что... А почему, собственно?

На эту мысль меня натолкнул тред[1] с участием Daniel Micay — бывшего разработчика CopperheadOS, ныне пилящего GrapheneOS.

В частности, упоминаются такие проблемы, как гигантский attack surface по причине монолитного ядра и, особенно, systemd; отсутствие какого-либо сэндбоксинга приложений, причём попытки это исправить с треском проваливаются (см. Flatpak [2]); повальный культ Настоящих Языков Программирования Без GC, что часто ведёт к куче дыр; отсутствие exploit mitigation. В итоге выходит, что весь современный линуксовый стек — один гигантский ночной кошмар в плане безопасности. Единственный сравнительно адекватный дистрибутив — это QubesOS[3], но с ним куча проблем из-за использования Xen.

Как так получилось, ЛОР? Почему нельзя было за последние 20 лет сделать Линукс нормальной безопасной ОС?

P.S. всё выше написанное относится во многом к BSD. Фанаты Тео могут быть спокойны.

[1]: https://www.reddit.com/r/GrapheneOS/comments/bddq5u/os_security_ios_vs_graphe...

[2]: http://flatkill.org/

[3]: https://www.qubes-os.org/

★★★★★

Последнее исправление: hateyoufeel (всего исправлений: 1)

Немножко цитат из треда:

The userspace Linux desktop software stack is far worse relative to the others. Security and privacy are such low priorities. It's really a complete joke and it's hard to even choose where to start in terms of explaining how bad it is. There's almost a complete disregard for sandboxing / privilege separation / permission models, exploit mitigations, memory safe languages (lots of cultural obsession with using memory unsafe C everywhere), etc. and there isn't even much effort put into finding and fixing the bugs. Look at something like Debian where software versions are totally frozen and only a tiny subset of security fixes receiving CVEs are backported, the deployment of even the legacy exploit mitigations from 2 decades ago is terrible and work on systems integration level security features like verified boot, full system MAC policies, etc. is near non-existent. That's what passes as secure though when it's the opposite. When people tell you that Debian is secure, it's like someone trying to claim that Windows XP with partial security updates (via their extended support) would be secure. It's just not based in any kind of reality with any actual reasoning / thought behind it.

Really, people just like saying that their preferred software stack is secure, or that open source software is secure, when in reality it's not the case. Desktop Linux is falling further and further behind in nearly all of these areas. The work to try catching up like Flatpak is extremely flawed and is a failure from day 1 by not actually aiming to achieve meaningful goals with a proper threat model. There's little attempt to learn from other platforms doing much better and to adopt their privacy and security features to catch up. It's a decade behind at this point, and falling further behind.

hateyoufeel ★★★★★
() автор топика
Последнее исправление: hateyoufeel (всего исправлений: 1)

В среде линуксоидов принято считать, что Линукс гораздо безопаснее других операционных систем, в частности Windows

Так считают только мамкины хацкеры.

mandala ★★★★★
()

Всё так. Десктопный линукс — неуловимый Джо.

intelfx ★★★★★
()
Ответ на: комментарий от hateyoufeel

The work to try catching up like Flatpak is extremely flawed and is a failure from day 1 by not actually aiming to achieve meaningful goals with a proper threat model.

А что не так с флатпаком с точки зрения сесурити? Вроде же всё делают правильно: заменяют исторические костыльные API на стандартизированные порталы, всё остальное заворачивают в песочницу, что ещё забыл?

intelfx ★★★★★
()
Ответ на: комментарий от hateyoufeel

Безопасность обеспечивает прокладка между стулом и монитором – и тут не важно что это: лаптоп/десктоп, носимое устройство или ынтырпрайз-сервер.

У нас хотя бы нет вендорлока (передаю привет миллионам и скоро миллиардам IoT разного).

Ну и в кучу мешать не надо: безопасность кого и чего? Какое применение? Абсолютно безопасной универсальной не бывает. Для конкретной цели это решается.

mandala ★★★★★
()
Ответ на: комментарий от intelfx

Его сегодня критикуют за то что разработчики леняться нормально его собирать и по факту оно мало чем лучше системного (конкретные пакеты).

И да, это виноват стандарт – он слишком универсальный и позволяет слишком много.

Надо загнать всех в клетку: разработчиков, пользователей, всех. Чтоб даже пёрнуть не могли. Тогда есть надежда что при должной крепкости клетки будет безопасно. Правда тут проблема – не всем нравится сидеть в тесной клетке. Но хейтеров это не волнует.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от intelfx

А что не так с флатпаком с точки зрения сесурити? Вроде же всё делают правильно: заменяют исторические костыльные API на стандартизированные порталы, всё остальное заворачивают в песочницу, что ещё забыл?

На бумаге всё верно. На практике, в Flatpak регулярно бывают дыры, и подход красношляпы к безопасности не то чтобы обнадёживал.

Плюс, Flatpak не убирает доступ к API ядра, а значит при наличии дыр в нём всё так же плохо. Но это минус Линукса в целом, а не flatpak.

hateyoufeel ★★★★★
() автор топика
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от mandala

Безопасность обеспечивает прокладка между стулом и монитором – и тут не важно что это: лаптоп/десктоп, носимое устройство или ынтырпрайз-сервер.

Ну вот поставил я игрушку из стима. Как мне в неё поиграть и при этом быть уверенным, что она не сольёт налево пароли, которые в браузере сохранены?

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от hateyoufeel

в Flatpak регулярно бывают дыры

подход красношляпы к безопасности

Например?

Flatpak не убирает доступ к API ядра

В смысле? Там же bubblewrap, т. е. неймспейсы (если я правильно помню)? Или речь о том, что в линуксе и с неймспейсами всё плохо?

intelfx ★★★★★
()
Ответ на: комментарий от mandala

Или ты сам о себе заботишься или страдаешь.

Что значит «сам заботишься»? Другие системы движутся в сторону ограничения доступа приложений к ресурсам. В линуксе этого пока не наблюдается.

Или ты имеешь ввиду что стоит выкинуть лялекс и купить макбук?

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от intelfx

Например?

Сходи на flatkill, я в посте ссылку привёл. Там есть примеры.

В смысле? Там же bubblewrap, т. е. неймспейсы (если я правильно помню)? Или речь о том, что в линуксе и с неймспейсами всё плохо?

Речь о том, что у ядра просто гигантский attack surface.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от hateyoufeel

Не, макбук позволяет выстрелить в ногу. Потому айфон, игровая приставка и т.п.

mandala ★★★★★
()
Ответ на: комментарий от intelfx

Almost all popular applications on flathub come with filesystem=host, filesystem=home or device=all permissions, that is, write permissions to the user home directory (and more), this effectively means that all it takes to «escape the sandbox» is echo download_and_execute_evil >> ~/.bashrc. That's it.

Мне лень копаться в flathub, но как ты вот это прокомментируешь? Или это неправда и там такого нет?

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от hateyoufeel

Рискуя нарваться на праведный гнев безопасников по типу «любая проблема с такими последствиями — это проблема самого флатпака» (@mandala), я всё же скажу, что это проблема экосистемы (мейнтейнеров которые забивают болт, и флатхаба, который такое пускает) и гномьего GUI (которое недостаточно сильно орёт при попытке такое поставить), но не самого флатпака.

Это эквивалент (не технический, но по проблематичности) вендового «запустить от администратора», и я напомню, что на заре того же UAC софт хотел администратора в двух случаях из трёх.

Besides, а как это сейчас решается в оффтопике и макоси? Там приложения, запущенные от юзера, не имеют права свободно читать/писать в документы юзера?

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 6)
Ответ на: комментарий от hateyoufeel

Как мне в неё поиграть и при этом быть уверенным, что она не сольёт налево пароли, которые в браузере сохранены?

Selinux, apparmor, firejail, chroot, виртуалки итд способов гораздо больше, чем на той же шинде. Но это всё искать надо, настраивать, а делать это слишком лень, в том числе и тебе, иначе бы ты уже нашёл способ.

Vigi
()
Ответ на: комментарий от intelfx

Рискуя нарваться на праведный гнев безопасников по типу «любая проблема с такими последствиями — это проблема самого флатпака» (@mandala), я всё же скажу, что это проблема экосистемы (мейнтейнеров которые забивают болт, и флатхаба, который такое пускает) и гномьего GUI (которое недостаточно сильно орёт при попытке такое поставить), но не самого флатпака.

Не совсем так. Это проблема доступа к отдельным девайсам/путям. Flatpak не позволяет гибко настраивать подобные привелегии, вместо этого предлагая по сути два варианта: всё или ничего.

я напомню, что на заре того же UAC софт хотел администратора в двух случаях из трёх.

Ну ты вспомнил. Это было больше 10 лет назад.

Besides, а как это сейчас решается в оффтопике и макоси? Там приложения, запущенные от юзера, не имеют права свободно читать/писать в документы юзера?

Насколько я знаю, к этому потихоньку движется, да. Яббл все подобные плюшки из iOS с macos перетягивает.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от Vigi

Selinux, apparmor, firejail, chroot, виртуалки итд способов гораздо больше, чем на той же шинде. Но это всё искать надо, настраивать, а делать это слишком лень, в том числе и тебе, иначе бы ты уже нашёл способ.

Ты механизмы перечислил. Во-первых, они покрывают лишь часть проблем. Тот же гигантский attack surface у ядра и systemd или отсутствие exploit mitigation они никак не решают (кроме виртуалок). Во-вторых, ты предлагаешь этот ад каждому юзеру разгребать?

hateyoufeel ★★★★★
() автор топика
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от hateyoufeel

Ты почему-то из проблем с безопасностью исключил неотключаемую (хаки вроде dws не в счет, да и без гарантии) телеметрию и принудительные обновления, которые можно только отложить на конечный срок, в винде.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

Как это влияет на безопасность системы? Принудительные апдейты — самое лучшее, что МС делали для безопасности виндовой экосистемы.

hateyoufeel ★★★★★
() автор топика
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от hateyoufeel

Ты механизмы перечислил. Во-первых, они покрывают лишь часть проблем.

Они покрывают большинство проблем, в зависимости от того, насколько ты готов пожертвовать удобством в пользу безопасности.

Тот же гигантский attack surface у ядра и systemd или отсутствие exploit mitigation

Ты просто кидаешься баззвордами, скажи конкретно какие attack surface у ядра, чем другие системы, которые по твоему мнению более безопасны, отличаются.

Во-вторых, ты предлагаешь этот ад каждому юзеру разгребать?

Я хочу частично перекатиться на вяленые, флатпаки и вот это всё. Но пока, только так, и на других системах не сильно лучше.

Vigi
()
Ответ на: комментарий от hateyoufeel

к отдельным путям

http://docs.flatpak.org/en/latest/sandbox-permissions.html#filesystem-access

к отдельным девайсам

Да, тут никак (http://docs.flatpak.org/en/latest/sandbox-permissions.html#device-access). Предлагается разруливать порталами, т. е. выдавать доступ к высокоуровневым сервисам вместо сырых устройств. А что в твоём понимании «гибко» и как это должно было бы выглядеть? И где можно посмотреть на prior art в части гибкой настройки прав на доступ к устройствам? В том же оффтопике такого не припомню ни в каком виде.

Это было больше 10 лет назад.

Ну так всё правильно, «it’s a decade behind» :)

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от hateyoufeel

Как это влияет на безопасность системы? Принудительные апдейты — самое лучшее, что МС делали для безопасности виндовой экосистемы.

Вопрос про телеметрию поскипан? А влияет таким образом, что система, которая сливает телеметрию и подчиняется не хозяину компа, а кому-то на кого хозяин даже повлиять не может небезрпасна по определению.

Вот просто, после этого все остальные достоинства являются второстепенными.

praseodim ★★★★★
()
Ответ на: комментарий от mandala

Мы тут всё же говорим о безопасности вообще или о безопасности шайтан-коробки для домохозяйки?

Кстати, проблема в том еще, что для домохозяйки шайтан-коробка возможно и в самом деле безопаснее, в смысле меньше вероятность, что она станет завирусованным зоопарком.

praseodim ★★★★★
()
Ответ на: комментарий от mandala

Я считаю, что в вопросах безопасности (и шире вообще любого облагодетельствования) еще действует такой принцип: можно ли отказаться от такого счастья? И если фактически принципиально нельзя, то как бы и нафиг не нужно.

praseodim ★★★★★
()
Ответ на: комментарий от mandala

Вот только кроме домохозяек есть и большое количество других пользователей. А тут уже даже ltsc версию легально нельзя приобрести, если ты не фирма.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

есть и большое количество других пользователей

Я про это в начале треда сказал – сравнил с запиранием в клетку.

mandala ★★★★★
()
Ответ на: комментарий от hateyoufeel

На практике, в Flatpak регулярно бывают дыры

Какая разница, если это чисто про линуксовый десктоп?

Я вот уверен, что вход в холодильник, и в туалет у тебя очень легко взламывается. Какая разница, если нет практического вектора?

Если образно KDE падает от лёгкого шороха, то это не имеет смысла тратить ресурсы в сферическую безопасность.

Ну и по поводу, что линукс не движется в сторону ограничения ресурсов. Самый простой пример. Изоляция ввода приложений: Windows этак с Vista, Linux только около сейчас с внедрением Wayland. Всё таки движется.

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от fornlr

Изоляция ввода приложений: Windows этак с Vista,

А она там действительно есть? Как работает autohotkey, например?

Vigi
()
Ответ на: комментарий от intelfx

Там приложения, запущенные от юзера, не имеют права свободно читать/писать в документы юзера?

В Windows такую штуку ввели.

https://www.howto-connect.com/enable-controlled-folder-access-windows-10/

Но она выключена по дефолту. И само собой не имеет магии... Понять какое приложение хорошее, а какое плохое — это весьма непросто.

fornlr ★★★★★
()
Ответ на: комментарий от fornlr

Оно позволяет запускать макросы по хоткею, хоткеи работают глобально, ввод из макроса в другие окна тоже работает (почти) универсально. Скрипты от рута запускать не нужно, если мне память не изменяет, проверить сейчас не на чем.

Если это всё не делается через какую-то системную прослойку, то я не вижу где тут изоляция и что остановит от работы любой сниффер, хотя, даже прослойка вряд ли поможет, если она настолько пермиссивная.

Vigi
()
Ответ на: комментарий от Vigi

Можешь даже не просто записать, но и что-то нарисовать 🙂 Реальность от этого не меняется.

fornlr ★★★★★
()
Ответ на: комментарий от Deleted

Потому што линупс ваш такое шерето, что его ни кто не использует – чай не идиоты. А раз нет пользователей – то нет и зловредов.

mandala ★★★★★
()
Ответ на: комментарий от hateyoufeel

Ну вот поставил я игрушку из стима. Как мне в неё поиграть и при этом быть уверенным, что она не сольёт налево пароли, которые в браузере сохранены?

Поставить Steam под отдельного пользователя, в sudoers разрешить твоему основному пользователю запускать именно Steam без ввода пароля, в ярлык для Стима добавляется sudo -u пользователь путь/к/скрипту/запуска

torvn77 ★★★★★
()
Ответ на: комментарий от intelfx

Besides, а как это сейчас решается в оффтопике и макоси? Там приложения, запущенные от юзера, не имеют права свободно читать/писать в документы юзера?

Контейнеризация для приложений с аппстора, что делает их скриптование практически невозможным, если выползет с правами чтения куда за пределы отпущенных ей полей, пользователю придется подтвердить.

Я скажу, что безопасники пусть идут в ср*ку. Их интересы перпендикулярны интересам пользователя. И речь даже не о том, что «азаза, они мне не дают порно качать с смс но бесплатно11!1», а просто идеальная программа с точки зрения безопасника, это та которая ничего не делает и не умеет. Уже сейчас надо установку не подписанного софта не с Аппстора подтвердить (раньше просто спрашивал при первом запуске, теперь надо жамкнуть на бинарник чтобы разрешить запуск), если софтина обращается к другому софту, это тоже надо все разрешить, доступ ко FS надо разрешить - я с нетерпением жду будущего. Людям работать надо, а у них подменяют молотки пластиковыми игрушками, так как «безопаснее». С безопасностью я и сам разберусь, спасибо, последняя проблема была лет 20 назад под виндой 98.

ptarh ★★★★★
()
Ответ на: комментарий от Deleted

~100% зловредов, обитающих в интернете, разработаны для windows

Явная ложь. Всякие там сетевые черви, шифровальщики сайтов, боты и так далее явно занимают не 0%

И вполне успешно работают на линукс системах. В том числе на ARM.

fornlr ★★★★★
()
Ответ на: комментарий от fornlr

Всякие там сетевые черви, шифровальщики сайтов, боты и так далее

Используют дыры в серверном ПО, а тут речь, как я понял, о десктопном Линуксе.

Deleted
()
Ответ на: комментарий от Deleted

о десктопном Линуксе.

Ну это да. Около 0%. Ибо слишком малая доля.

К примеру из реально эксплуатируемых пробивок в дикой природе кажись была только одна — Firefox с PDF.js

Ну и через всякие репозитории лезет с низким уровнем проверок — Gnome Look, Snap Store...

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.