Исправление Pravorskyi, (текущая версия) :
Firejail как-то по отзывам не всё однозначно, т.к. попадались новости/сообщения, из которых следовало, что он сам по себе достаточно уязвим.
Согласен, что не всё однозначно, но списывать его со счетов я бы не стал. Старые уязвимости исправлены всё таки.
Попадались сообщения, где о X-сервере нелестно отзывались, мол по сути имеется доступ ко всему, например, что набирается с клавиатуры. А в таком случае не смогут ли через программу запущенную из-под пользователя online похитить данные вводимые в программу из-под пользователя offline?
Например, я зашёл в учётную запись offline, работаю с документами, кликнул по ярлыку и запустил Firefox от пользователя online (при этом продолжаю находится в учётной записи offline). Не произойдёт ли так, что через Firefox запущенный из под online, данные которые ввожу с клавиатуры при работе с документами в offline будут похищены? Firefox приведён для примера.
Данные могут быть похищены, теоретически. Для этого стоит запускаемые программы под юзером online запускать в отдельном X-сервере (Xnest, Xephyr). Ты можешь запускать X11-сервер внутри X-сервера. Это позволит изолировать клавиатуру и другие устройства ввода. Также есть расширение XSECURITY для Xorg, но с ним есть нюансы, ЕМНИП, все приложения, запущенные с XSECURITY, «видят» друг друга, а не полноценно изолированы.
Тот же Firejail умеет X11 sandbox различными методами. С Wayland я не работал, так как он ещё не готов для моего софта.
Whonix и Qubes, которые упоминали выше, — качественно лучше обеспечивают безопасность. Следующий уровнь — отдельные ПК для критичных задач, изолированный сегмент сети (VLAN).
Исходная версия Pravorskyi, :
Firejail как-то по отзывам не всё однозначно, т.к. попадались новости/сообщения, из которых следовало, что он сам по себе достаточно уязвим.
Согласен, что не всё однозначно, но списывать его со счетов я бы не стал. Старые уязвимости исправлены всё таки.
Попадались сообщения, где о X-сервере нелестно отзывались, мол по сути имеется доступ ко всему, например, что набирается с клавиатуры. А в таком случае не смогут ли через программу запущенную из-под пользователя online похитить данные вводимые в программу из-под пользователя offline?
Например, я зашёл в учётную запись offline, работаю с документами, кликнул по ярлыку и запустил Firefox от пользователя online (при этом продолжаю находится в учётной записи offline). Не произойдёт ли так, что через Firefox запущенный из под online, данные которые ввожу с клавиатуры при работе с документами в offline будут похищены? Firefox приведён для примера.
Теоретически данные могут быть похищены, да. Для этого стоит запускаемые программы под юзером online запускать в отдельном X-сервере (Xnest, Xephyr). Ты можешь запускать X11-сервер внутри X-сервера. Это позволит изолировать клавиатуру и другие устройства ввода. Также есть расширение XSECURITY для Xorg, но с ним есть нюансы, ЕМНИП, все приложения, запущенные с XSECURITY, «видят» друг друга, а не полноценно изолированы.
Тот же Firejail умеет X11 sandbox различными методами. С Wayland я не работал, так как он ещё не готов для моего софта.
Whonix и Qubes, которые упоминали выше, — качественно лучше обеспечивают безопасность. Следующий уровнь — отдельные ПК для критичных задач, изолированный сегмент сети (VLAN).