LINUX.ORG.RU

Надежно ли unshare по всей цепочке?

 ,


0

1

Запуская приложение через unshare, например:

#!/bin/bash

sudo unshare -n sudo -u username bash -c '/home/username/apps/someapp/bin/app'
надёжно ли это защищено по всей последующей цепочке, например этот самый 'app' может использовать некие скрипты, другие различные попытки использования системных утилит для обхода unshare?

Вопрос заключается в том, что насколько это безопасно запускать приложение через unshare, которому нельзя выходить сеть?

Вопрос не пиратства, но избежания слива коммерческой инфы.

Спасибо.

не пользуетесь unshare? или как я не уверены в его надёжности?

ведь нет проще способа запуска приложения с ограниченным доступом, разве нет?

Bruce_Lee ★★ ()
Ответ на: комментарий от Bruce_Lee

обходит firejail

Нужно делать багрепорт, это серьёзно.

сетевые интерфейсы

Сеть в Firejail конфигурируется.

anonymous ()
Ответ на: комментарий от anonymous

Нужно, но разработчикам firejail придётся купить приложение за несколько кусков евро и нарушить адскую EULA, чтобы протестировать.

Или мне придётся нарушить с большими последствиями.

Я перестал использовать firejail, когда у них в ченжлогах (в прошлом году) регулярно было про побеги и перешел на unshare, с которым проблем нет, но на всякий переспрашиваю.

Скорее всего разработчики сабжевого приложения, назвать которое я не могу, внимательно следят за разработкой firejail и умеют его обходить, это их хлеб, так как судятся регулярно и с большой печалью для подсудного.

В EULA так и сказано, что да, мы собираем инфу, включая макадреса, короче всё, что только можно. Не хочешь не покупай и не пользуйся.

Есть вообще адок, на некоторых станках стоят GPS-датчики и приложение на запустится, если станок передвинули с места без уведомления производителя.

Таким, например, занимается DMG MORI.

Bruce_Lee ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.