Безопасность в Linux

Немножко цитат из треда:

The userspace Linux desktop software stack is far worse relative to the others. Security and privacy are such low priorities. It's really a complete joke and it's hard to even choose where to start in terms of explaining how bad it is. There's almost a complete disregard for sandboxing / privilege separation / permission models, exploit mitigations, memory safe languages (lots of cultural obsession with using memory unsafe C everywhere), etc. and there isn't even much effort put into finding and fixing the bugs. Look at something like Debian where software versions are totally frozen and only a tiny subset of security fixes receiving CVEs are backported, the deployment of even the legacy exploit mitigations from 2 decades ago is terrible and work on systems integration level security features like verified boot, full system MAC policies, etc. is near non-existent. That's what passes as secure though when it's the opposite. When people tell you that Debian is secure, it's like someone trying to claim that Windows XP with partial security updates (via their extended support) would be secure. It's just not based in any kind of reality with any actual reasoning / thought behind it.

Really, people just like saying that their preferred software stack is secure, or that open source software is secure, when in reality it's not the case. Desktop Linux is falling further and further behind in nearly all of these areas. The work to try catching up like Flatpak is extremely flawed and is a failure from day 1 by not actually aiming to achieve meaningful goals with a proper threat model. There's little attempt to learn from other platforms doing much better and to adopt their privacy and security features to catch up. It's a decade behind at this point, and falling further behind.

В среде линуксоидов принято считать, что Линукс гораздо безопаснее других операционных систем, в частности Windows

Так считают только мамкины хацкеры.

К сожалению, нет. Так считают не только мамкины хацкеры.

Всё так. Десктопный линукс — неуловимый Джо.

The work to try catching up like Flatpak is extremely flawed and is a failure from day 1 by not actually aiming to achieve meaningful goals with a proper threat model.

А что не так с флатпаком с точки зрения сесурити? Вроде же всё делают правильно: заменяют исторические костыльные API на стандартизированные порталы, всё остальное заворачивают в песочницу, что ещё забыл?

Безопасность обеспечивает прокладка между стулом и монитором – и тут не важно что это: лаптоп/десктоп, носимое устройство или ынтырпрайз-сервер.

У нас хотя бы нет вендорлока (передаю привет миллионам и скоро миллиардам IoT разного).

Ну и в кучу мешать не надо: безопасность кого и чего? Какое применение? Абсолютно безопасной универсальной не бывает. Для конкретной цели это решается.

Его сегодня критикуют за то что разработчики леняться нормально его собирать и по факту оно мало чем лучше системного (конкретные пакеты).

И да, это виноват стандарт – он слишком универсальный и позволяет слишком много.

Надо загнать всех в клетку: разработчиков, пользователей, всех. Чтоб даже пёрнуть не могли. Тогда есть надежда что при должной крепкости клетки будет безопасно. Правда тут проблема – не всем нравится сидеть в тесной клетке. Но хейтеров это не волнует.

А что не так с флатпаком с точки зрения сесурити? Вроде же всё делают правильно: заменяют исторические костыльные API на стандартизированные порталы, всё остальное заворачивают в песочницу, что ещё забыл?

На бумаге всё верно. На практике, в Flatpak регулярно бывают дыры, и подход красношляпы к безопасности не то чтобы обнадёживал.

Плюс, Flatpak не убирает доступ к API ядра, а значит при наличии дыр в нём всё так же плохо. Но это минус Линукса в целом, а не flatpak.

Безопасность обеспечивает прокладка между стулом и монитором – и тут не важно что это: лаптоп/десктоп, носимое устройство или ынтырпрайз-сервер.

Ну вот поставил я игрушку из стима. Как мне в неё поиграть и при этом быть уверенным, что она не сольёт налево пароли, которые в браузере сохранены?

Никак. Это касается любой системы. Или ты сам о себе заботишься, или страдаешь.

в Flatpak регулярно бывают дыры

подход красношляпы к безопасности

Например?

Flatpak не убирает доступ к API ядра

В смысле? Там же bubblewrap, т. е. неймспейсы (если я правильно помню)? Или речь о том, что в линуксе и с неймспейсами всё плохо?

Или ты сам о себе заботишься или страдаешь.

Что значит «сам заботишься»? Другие системы движутся в сторону ограничения доступа приложений к ресурсам. В линуксе этого пока не наблюдается.

Или ты имеешь ввиду что стоит выкинуть лялекс и купить макбук?

Например?

Сходи на flatkill, я в посте ссылку привёл. Там есть примеры.

В смысле? Там же bubblewrap, т. е. неймспейсы (если я правильно помню)? Или речь о том, что в линуксе и с неймспейсами всё плохо?

Речь о том, что у ядра просто гигантский attack surface.

Не, макбук позволяет выстрелить в ногу. Потому айфон, игровая приставка и т.п.

flatkill

Там булшит, FUD и раздувание слонов.

Almost all popular applications on flathub come with filesystem=host, filesystem=home or device=all permissions, that is, write permissions to the user home directory (and more), this effectively means that all it takes to «escape the sandbox» is echo download_and_execute_evil >> ~/.bashrc. That's it.

Мне лень копаться в flathub, но как ты вот это прокомментируешь? Или это неправда и там такого нет?

Рискуя нарваться на праведный гнев безопасников по типу «любая проблема с такими последствиями — это проблема самого флатпака» (mandala), я всё же скажу, что это проблема экосистемы (мейнтейнеров которые забивают болт, и флатхаба, который такое пускает) и гномьего GUI (которое недостаточно сильно орёт при попытке такое поставить), но не самого флатпака.

Это эквивалент (не технический, но по проблематичности) вендового «запустить от администратора», и я напомню, что на заре того же UAC софт хотел администратора в двух случаях из трёх.

Besides, а как это сейчас решается в оффтопике и макоси? Там приложения, запущенные от юзера, не имеют права свободно читать/писать в документы юзера?

Как мне в неё поиграть и при этом быть уверенным, что она не сольёт налево пароли, которые в браузере сохранены?

Selinux, apparmor, firejail, chroot, виртуалки итд способов гораздо больше, чем на той же шинде. Но это всё искать надо, настраивать, а делать это слишком лень, в том числе и тебе, иначе бы ты уже нашёл способ.

Рискуя нарваться на праведный гнев безопасников по типу «любая проблема с такими последствиями — это проблема самого флатпака» (@mandala), я всё же скажу, что это проблема экосистемы (мейнтейнеров которые забивают болт, и флатхаба, который такое пускает) и гномьего GUI (которое недостаточно сильно орёт при попытке такое поставить), но не самого флатпака.

Не совсем так. Это проблема доступа к отдельным девайсам/путям. Flatpak не позволяет гибко настраивать подобные привелегии, вместо этого предлагая по сути два варианта: всё или ничего.

я напомню, что на заре того же UAC софт хотел администратора в двух случаях из трёх.

Ну ты вспомнил. Это было больше 10 лет назад.

Besides, а как это сейчас решается в оффтопике и макоси? Там приложения, запущенные от юзера, не имеют права свободно читать/писать в документы юзера?

Насколько я знаю, к этому потихоньку движется, да. Яббл все подобные плюшки из iOS с macos перетягивает.

Selinux, apparmor, firejail, chroot, виртуалки итд способов гораздо больше, чем на той же шинде. Но это всё искать надо, настраивать, а делать это слишком лень, в том числе и тебе, иначе бы ты уже нашёл способ.

Ты механизмы перечислил. Во-первых, они покрывают лишь часть проблем. Тот же гигантский attack surface у ядра и systemd или отсутствие exploit mitigation они никак не решают (кроме виртуалок). Во-вторых, ты предлагаешь этот ад каждому юзеру разгребать?

Ты почему-то из проблем с безопасностью исключил неотключаемую (хаки вроде dws не в счет, да и без гарантии) телеметрию и принудительные обновления, которые можно только отложить на конечный срок, в винде.

Как это влияет на безопасность системы? Принудительные апдейты — самое лучшее, что МС делали для безопасности виндовой экосистемы.

Ты механизмы перечислил. Во-первых, они покрывают лишь часть проблем.

Они покрывают большинство проблем, в зависимости от того, насколько ты готов пожертвовать удобством в пользу безопасности.

Тот же гигантский attack surface у ядра и systemd или отсутствие exploit mitigation

Ты просто кидаешься баззвордами, скажи конкретно какие attack surface у ядра, чем другие системы, которые по твоему мнению более безопасны, отличаются.

Во-вторых, ты предлагаешь этот ад каждому юзеру разгребать?

Я хочу частично перекатиться на вяленые, флатпаки и вот это всё. Но пока, только так, и на других системах не сильно лучше.

Мы тут всё же говорим о безопасности вообще или о безопасности шайтан-коробки для домохозяйки?

к отдельным путям

http://docs.flatpak.org/en/latest/sandbox-permissions.html#filesystem-access

к отдельным девайсам

Да, тут никак (http://docs.flatpak.org/en/latest/sandbox-permissions.html#device-access). Предлагается разруливать порталами, т. е. выдавать доступ к высокоуровневым сервисам вместо сырых устройств. А что в твоём понимании «гибко» и как это должно было бы выглядеть? И где можно посмотреть на prior art в части гибкой настройки прав на доступ к устройствам? В том же оффтопике такого не припомню ни в каком виде.

Это было больше 10 лет назад.

Ну так всё правильно, «it’s a decade behind» :)

Как это влияет на безопасность системы? Принудительные апдейты — самое лучшее, что МС делали для безопасности виндовой экосистемы.

Вопрос про телеметрию поскипан? А влияет таким образом, что система, которая сливает телеметрию и подчиняется не хозяину компа, а кому-то на кого хозяин даже повлиять не может небезрпасна по определению.

Вот просто, после этого все остальные достоинства являются второстепенными.

Телеметрия разная бывает. В теории она может быть именно для безопасности и только для нее.

Мы тут всё же говорим о безопасности вообще или о безопасности шайтан-коробки для домохозяйки?

Кстати, проблема в том еще, что для домохозяйки шайтан-коробка возможно и в самом деле безопаснее, в смысле меньше вероятность, что она станет завирусованным зоопарком.

О том и речь. А тот же флатпак не рассчитан лишь для домохозяек, он намного мощнее.

Я считаю, что в вопросах безопасности (и шире вообще любого облагодетельствования) еще действует такой принцип: можно ли отказаться от такого счастья? И если фактически принципиально нельзя, то как бы и нафиг не нужно.

Вот только кроме домохозяек есть и большое количество других пользователей. А тут уже даже ltsc версию легально нельзя приобрести, если ты не фирма.

есть и большое количество других пользователей

Я про это в начале треда сказал – сравнил с запиранием в клетку.

На практике, в Flatpak регулярно бывают дыры

Какая разница, если это чисто про линуксовый десктоп?

Я вот уверен, что вход в холодильник, и в туалет у тебя очень легко взламывается. Какая разница, если нет практического вектора?

Если образно KDE падает от лёгкого шороха, то это не имеет смысла тратить ресурсы в сферическую безопасность.

Ну и по поводу, что линукс не движется в сторону ограничения ресурсов. Самый простой пример. Изоляция ввода приложений: Windows этак с Vista, Linux только около сейчас с внедрением Wayland. Всё таки движется.

Изоляция ввода приложений: Windows этак с Vista,

А она там действительно есть? Как работает autohotkey, например?

Там приложения, запущенные от юзера, не имеют права свободно читать/писать в документы юзера?

В Windows такую штуку ввели.

https://www.howto-connect.com/enable-controlled-folder-access-windows-10/

Но она выключена по дефолту. И само собой не имеет магии... Понять какое приложение хорошее, а какое плохое — это весьма непросто.

И чего? Он позволяет получать снифер без админских прав?

Оно позволяет запускать макросы по хоткею, хоткеи работают глобально, ввод из макроса в другие окна тоже работает (почти) универсально. Скрипты от рута запускать не нужно, если мне память не изменяет, проверить сейчас не на чем.

Если это всё не делается через какую-то системную прослойку, то я не вижу где тут изоляция и что остановит от работы любой сниффер, хотя, даже прослойка вряд ли поможет, если она настолько пермиссивная.

то я не вижу где тут изоляция и что остановит от работы любой сниффер

Ну попробуй 😀

Значит пруфов нет, так и запишем.

Можешь даже не просто записать, но и что-то нарисовать 🙂 Реальность от этого не меняется.

~100% зловредов, обитающих в интернете, разработаны для windows

Потому што линупс ваш такое шерето, что его ни кто не использует – чай не идиоты. А раз нет пользователей – то нет и зловредов.

Ну вот поставил я игрушку из стима. Как мне в неё поиграть и при этом быть уверенным, что она не сольёт налево пароли, которые в браузере сохранены?

Поставить Steam под отдельного пользователя, в sudoers разрешить твоему основному пользователю запускать именно Steam без ввода пароля, в ярлык для Стима добавляется sudo -u пользователь путь/к/скрипту/запуска

Самое простое - sudo -u забыл.

Besides, а как это сейчас решается в оффтопике и макоси? Там приложения, запущенные от юзера, не имеют права свободно читать/писать в документы юзера?

Контейнеризация для приложений с аппстора, что делает их скриптование практически невозможным, если выползет с правами чтения куда за пределы отпущенных ей полей, пользователю придется подтвердить.

Я скажу, что безопасники пусть идут в ср*ку. Их интересы перпендикулярны интересам пользователя. И речь даже не о том, что «азаза, они мне не дают порно качать с смс но бесплатно11!1», а просто идеальная программа с точки зрения безопасника, это та которая ничего не делает и не умеет. Уже сейчас надо установку не подписанного софта не с Аппстора подтвердить (раньше просто спрашивал при первом запуске, теперь надо жамкнуть на бинарник чтобы разрешить запуск), если софтина обращается к другому софту, это тоже надо все разрешить, доступ ко FS надо разрешить - я с нетерпением жду будущего. Людям работать надо, а у них подменяют молотки пластиковыми игрушками, так как «безопаснее». С безопасностью я и сам разберусь, спасибо, последняя проблема была лет 20 назад под виндой 98.

~100% зловредов, обитающих в интернете, разработаны для windows

Явная ложь. Всякие там сетевые черви, шифровальщики сайтов, боты и так далее явно занимают не 0%

И вполне успешно работают на линукс системах. В том числе на ARM.

Всякие там сетевые черви, шифровальщики сайтов, боты и так далее

Используют дыры в серверном ПО, а тут речь, как я понял, о десктопном Линуксе.

о десктопном Линуксе.

Ну это да. Около 0%. Ибо слишком малая доля.

К примеру из реально эксплуатируемых пробивок в дикой природе кажись была только одна — Firefox с PDF.js

Ну и через всякие репозитории лезет с низким уровнем проверок — Gnome Look, Snap Store...

Ну это да

Вот и славно.

Ну вот поставил я игрушку из стима.

Подождите, но в ленсуке же нет игр.