Sandbox w Gentoo?

Message

Jacekalex · Post by **Jacekalex** » Wed Aug 04, 2010 5:16 pm

Witam

Po kilku porażkach - moja przeprowadzka na Gentoo niedawno stała się faktem (wcześniej Ubuntu).

Jedno pytanie:
http://www.heise-online.pl/newsticker/n ... 15780.html

Czy w Gentoo istnieje sposób, aby użyć tego mechanizmu z fedory?

Bo testowałem Gentowego Sandboxa, ale w nim nie działa np. firefox, i kilka innych programów.
[code]sys-apps/sandbox
Available versions: 1.2.18.1-r2 (~)1.2.18.1-r3 (~)1.2.20_alpha2-r1 1.6-r2 (~)2.1 (~)2.2{tbz2} {multilib}
Installed versions: 2.2{tbz2}(16:28:18 04.08.2010)(-multilib)
Homepage: http://www.gentoo.org/
Description: sandbox'd LD_PRELOAD hack[/code]

A testuję różne sposoby zabezpieczania aplikacji w przestrzeni jednego konta użytkownika,
- mam na myśli desktop - dźwięk i obraz.
Znam trochę apparmora (ale userspace na Gentoo nie chcialo ruszyć, a i z dostępnością łat na nowe kernele jest raczej średnio), próbuję z tomoyo - wygląda obiecująco, ale konfigi to inna bajka, mechanizm konfiguracji też.

A taki mechanizm - jak ten w fedorze, bardzo by się przydał.

Pozdrawiam

joi_ · Post by **joi_** » Wed Aug 04, 2010 9:34 pm

Jacekalex wrote:Znam trochę apparmora (ale userspace na Gentoo nie chcialo ruszyć, a i z dostępnością łat na nowe kernele jest raczej średnio), próbuję z tomoyo - wygląda obiecująco, ale konfigi to inna bajka, mechanizm konfiguracji też.

AppArmor 3 godziny temu

wylądował w drzewie Linusa
http://git.kernel.org/?p=linux/kernel/g ... e8d9f826da

SlashBeast · Post by **SlashBeast** » Wed Aug 04, 2010 9:38 pm

Jak masz za duzo czasow to pobaw sie rsbac i grsecurity rbac.

Jacekalex · Post by **Jacekalex** » Thu Aug 05, 2010 3:42 pm

grsecurity +pax i rsbac są wspaniałym zabezpieczeniem serwerów z Gentoo -hardened.

Ale na desktopie, gdzie są multimedia, dźwięk i obraz - to trochę za ciężka liga.
To tak, jakby czołg PT-91 przerabiać na kabriolet.

Apparmor - fajnie, ze idzie do przodu, o ile poprawi się jego userspace.
Skrypty do generownia i update'u profili robią często takie bzdury, że boki można zrywać.
Pamietam generowanie profilu dla Google-Chrome: - za każdym razem dodawał każdy plik tymczasowy z tmp i cache do profilu.
Po uruchomieniu ochrony - trzeba było go poprawiać.
Ale dało się z nim conieco zrobić.

Teraz testuję Tomoyo - wygląda ciekawie, ale system zarządzania polityką, jest albo zwalony, albo niedopracowany, w każdym razie wykonując wszystko wg. obrazków na stronie - nie udało mi się zrobić profilu do programu ping, więc np. do firefoxa nie próbowałem.

Za to testowałem tego sandboxa z fedory - działa bardzo fajnie,trzydzieści sekund, i nie ma szansy, żeby poprzez skype, czy np. pidgina - uderzył jakiś np. exploit,i majstrował przy danych w folderze użytkownika.

Gentoo ma fajne wsparcie do selinuxa, dlatego zainteresowałem się tym mechanizmem z fedory, i ciekaw jestem, czy to przypadkiem do Gentoo nie dotarło.

EDYTA:
Zapowiada się fajnie:
https://apparmor.wiki.kernel.org/index. ... ArmorTools
Ale właśnie skompilowałem prawie cały zestaw narzędzi, poszło wszystko z wyjątkiem parsera - najważniejszej części elementu administracyjnego.

Jeśli apparmor trafił do źródeł kernela, to w jakim mniej więcej czasie pokażą się narzędzia do apparmora w portage?
Jak sądzicie?

Pozdrawiam

Sandbox w Gentoo?

Sandbox w Gentoo?

Re: Sandbox w Gentoo?

Dzięki za odpowiedzi.