>А как же grsecurity pax и сотоварищи? Они убирают 90 процентов уязвимостей, конечно, проприетарщина в пролете, но все-равно это намного удобнее селинукса.
И с каких это пор он в ядре? :)

То что они лежат за пределами папки программы. Хотя конечно если какая дрянь завелась в самой папке, то при сохранении при подобном раскладе она может заразить сохраняемый файл. Потому еще надо контролировать чтоб и в пределах самой папки открываемый файл не мог копаться в конфиге, а использовать только, скажем «~/.ooo/tmp_$FILENAME», которая будет удаляться при его закрытии.

Вопрос, а как зловред оказался запущенным?
Единственный вариант - пользователь скачал что-то, откуда-то и сам запустил. Ну так от этого (при известном уровне тупости пользователя) спасёт только полный запрет на запуск всего левого, не установленного администратором машины. В случае домашних машинок - noexec на /home, как минимум.

> может, в убунте оно и так, а нашем православном дебиане изкоробки судо юзеру недоступно.

ну, тогда можно подменить su. делов-то )

> use gentoo!

Ну конечно, вспоминая историю, как какой-то мудак сумел нагадить в портеже не в свои пакеты.

> ССЗБ! привет космонавту :)

зачем сразу космонавту? можно и рутовый пароль перехватить ;)

> И с каких это пор он в ядре? :)

Ну в официальном ядре он вряд ли когда-либо будет.

А можно с этого места подробнее?

> А можно чуть подробнее, как это сделать и как вирус потом этим поролем воспользуется, как его потом «ввести» в sudo?

Ну, банальный пример - просто подменить утилиту sudo, вписав левый путь в $PATH.

Как паролем воспользоваться - не знаю. Но банальная отправка его в stdin точно не работает )

> Единственный вариант - пользователь скачал что-то, откуда-то и сам запустил.

А почему бы не быть уязвимостям, которые позволяют запустить произвольный код без ведома пользователя? Вспоминаем дырявый flash и pdf.

И с каких это пор он в ядре? :)

И с каких пор его трудно поставить и включить?

> А можно с этого места подробнее?

http://blog.flameeyes.eu/2010/02/22/what-s-wrong-with-gentoo-anyway

Qubes же
для истовых параноиков

К тому времени, когда линэкс сможет занять ощутимую долю, накладные расходы покажутся сущими пустяками.

> К тому времени, когда линэкс сможет занять ощутимую долю

К тому времени мы будем уже вовсю будем пользоваться квантовой криптографией.

> Лично для меня самые важные данные на жестком диске - раздел с /home, упавшую систему я поставлю без проблем.

важные данные должны дублироваться как минимум на другой диск, в другом компьютере (это спасет от потерь, но не от кражи)

Например, несколько раз я наблюдал как в сегфолт падает плеер при попытке открыть еще недокаченный торрентом файл. Т.е. в плеере или в кодеке есть ошибка.

это недоработка плеера/кодека
пока никого это не беспокоит - разработчики чесаться не будут (у них скорее всего по важнее дела есть)

Как вы думаете, возможно ли эксплуатировать ошибки в приложениях?

конечно, например http://www.opennet.ru/opennews/art.shtml?num=26225

Насколько вероятно сделать вирус в фильме, например?

нужно изучить работу плеера и кодека
сложно, но можно, зависит от цели и средств

Есть ли какие-либо механизмы препятствующие эксплуатации уязвимостей в ПО?

писать программы без ошибок, но только совершенно ненужные программы не содержат ошибок )

>А почему бы не быть уязвимостям, которые позволяют запустить произвольный код без ведома пользователя? Вспоминаем дырявый flash и pdf.
Вот и я о том же всю тему и пишу.
Что спасет от уязвимости во flash плеере и другом совте?
Только не пишите, что он не нужен, это проблему не решает.

он в линаксе не нужен.

>писать программы без ошибок, но только совершенно ненужные программы не содержат ошибок )
Вообще я пишу о том, что ОС может предоставить для защиты.

> Что спасет от уязвимости во flash плеере и другом совте?

ничего

Что спасет от уязвимости во flash плеере и другом совте?

http://ru.wikipedia.org/wiki/Патч_Бармина

А если этот вирус будет в добавак заражать постинсталл-скрипты, мэйкфайлы и просто бинари? Да, в линуксе нет особой миграции бинариков как в винде, когда софт на флешках таскают. Но вероятность перехода заражённого файла от машины к машине больше ноля. А если вирус попадёт «не туда», например, на машину разработчика популярной софтины, то возможно и массовое заражение. Особенно, если использовать все известные сетевые уязвимости для распространения. Но в этом основная проблема вирусописателей - уязвимостей мало, а те, что есть, быстро закрываются.

А сравнение ноуэкзек с затычкой в жопе уже приводили. Как я игру или гугл ёрз установлю? А разрабатывать как буду?

>>писать программы без ошибок, но только совершенно ненужные программы не содержат ошибок )

Вообще я пишу о том, что ОС может предоставить для защиты.

вот и «уязвимость» )
в твоем стартовом посте ограничение только на ОС нет, потому неверная интерпритация мной исходных данных
по работе ОС и защите - смотри книге о ядре
но не забывай о компромисе производительности и безопасности т.к. слишком большая безопасность неудобна и замедляет работу

Хм... А если, к примеру, запустить из своей программы, к примеру, кдесу и послать его окну несколько сигналов нажатия клавиши?

Есть ли какие-либо механизмы препятствующие эксплуатации уязвимостей в ПО?

chroot, selinux, уже упомянутые «grsecurity pax и сотоварищи». И да от ошибок в прокладке из биомассы между клавиатурой и стулом не защитит не одна даже самая идеальная система защиты.

Вспоминаем дырявый flash и pdf.

melkor217 если стоит задача обеспечить максимальную степень защиты а кроме того всем известно, что: флеш, пдф дырявы. Внимание вопрос зачем юзать флеш, пдф?

может, в убунте оно и так, а нашем православном дебиане изкоробки судо юзеру недоступно

4.2 При установке дебиана можно не вводить пароль рута и использовать sudo.

Есть ли какие-либо механизмы препятствующие эксплуатации уязвимостей в ПО?

А кроме того не стоит забывать и о том, что антивирусы есть не только в альтернативных ОС разработки той компании из Редмонда...

самая серьёзная угроза безопасности в линуксе - криворукое ламерье, и их уже НИЧТО не спасет, НИЧТО.

ничего. а как вы его впарите юзерам?

Так же как счас в венде впаривают. «Подключите наш супер-пупер репозиторий со свежей порнухой»

«Не суетись, если ты лошара, то об этом узнаают! »

>самая серьёзная угроза безопасности в линуксе - криворукое ламерье, и их уже НИЧТО не спасет, НИЧТО.
Можешь повторять это как мантру, но когда время придет - тебя это не спасет.

меня-то спасет - я не криворукое быдло, которое кладет в рот всё.

О том, почему я об этом поднял тему.

У меня есть идея, новой системы безопасности для gui приложений.
Я думаю, что именно gui приложения (браузеры, офисы и т.п.) вероятнее всего могут содержать уязвимости для использования их во ВПО.

Это решение точно защитит от дыр во флеше, пдф и офисных документах.
http://brainstorm.ubuntu.com/idea/24562

Жду _конструктивную_ критику.

>меня-то спасет - я не криворукое быдло, которое кладет в рот всё.
Да, ты просто быдло, которое не заботится о будущем открытой платформы на которой работает.

Жду _конструктивную_ критику.

Тема не раскрыта. Кроме твоего мнения нет ни одной ссылки ни на одну проблему/реальную ситуацию. ООо? А макросы в нем не отключаются? AppArmor по твоему «крив» либо неудовлетворяет твоим запросам? Почему бы не исправить AppArmor и не послать патчи разработчикам?

Это решение точно защитит от дыр во флеше, пдф и офисных документах.

Даже лучше чем: полное удаление флеш плагина от адоба, удаление всего связанного с «дырявым» pdf и отключение макросов в ООо?

популярность меня волнует не в первую очередь.

Нет, полное удаление все-таки лучше.
Я, к сожалению, не знаком с разработкой модулей ядра и внутренним устройством apparmor'а, поэтому патч я им прислать не могу.
В любом случае - apparmor использует статические списки того что можно и что нет и для каких файлов, что явно не очень подходит для разных ситуаций, т.к. все завязано на имя файла, а не на его содержимое и действия пользователя явно не учитываются.
Используя apparmor не получится защитить одни документы, при этом редактируя другие.

ООо - просто пример, возможно там нет ни одной дыры.

Нет, полное удаление все-таки лучше.

Т.е. твоя идея заведомо проигрывает. Зачем нужна ее реализация если есть более простой и надежный способ?

Используя apparmor не получится защитить одни документы, при этом редактируя другие.

А AppArmor он как бы и не для документов вовсе. Это как бы раз.

А два - а использую пользователей и группы с правами и без всяких AppArmor-оров нельзя защитить одни документы при этом редактируя другие?

ООо - просто пример, возможно там нет ни одной дыры.

Указанная тобою «проблема» в ООо должна быть для начала создана самим же пользователем. см ООо/Параметры/Безопастность/Безопастность макросов. На низком уровне как ты говоришь так и будет. Только по дефолту там стоит далеко не низкий...

Только по дефолту там стоит далеко не низкий...

Ага и мы опять возвращаемся к прокладке из биомассы между клавиатурой и стулом.

Не будет вирусов, пример мак. Будут только трояны на торентах, файлопомойках и в кряках.

вирусописатели просто не заинтересованы написанием ВПО для этой ОС.

Откуда вы знаете? Вы брали у них интервью? Вы сними связаны? Вы знаете их место нахождение и скрываете от правоохранительных органов?

Чтобы заражать бинари вирусы нужны права на запись в эти бинари, то есть нужно быть запущенным от рута. Стать рутом, кроме как найдя баг в ядре - не получится. Естественно, если машина не обновляется, то такой баг будет, однако кто сейчас не обновляет регулярно систему?
А если попадёт на машину разработчика софта - ничего не будет, ибо пишут софт с использованием svn/git и сами исходники хранятся не на машине разработчика. А попасть на машину, собирающую пакеты для дистрибутива - очень не просто, ведь там даже иксы не запускаются.

Гуглёрз вы установите из репозитариев. Да и игры тоже. В крайнем случае - всегда можно перенести в tmp. У пользователя права что-нибудь устанавливать быть не должно. Только у root-а.
Разрабатывать - ну если проект крупный, то код у вас будет на том же github-е, а компиляция будет проводиться на отдельном сервере. А готовые бинарники можно и в /usr/local положить, раз уж вы разработчик - для вас это не проблема.

Они может и есть.
Но вы слышали хоть об одной такой уязвимости, которой бы воспользовались?

Каждый год проводиться конкурс на взлом ноутов через браузер, приз - ноут. Результаты сами нагуглите?

> http://brainstorm.ubuntu.com/idea/24562

Жду _конструктивную_ критику.

опиши usecase-ы пользования твоей системы защиты

чтото непонял насчет диалогов open/save - это же не спасает, например плеер с уязвимостью открывает «зараженный"фильм, вирус получает управление и вызывает /bin/cp для копирования - твоя защита не помогла

>Гуглёрз вы установите из репозитариев. Да и игры тоже. В крайнем случае - всегда можно перенести в tmp. У пользователя права что-нибудь устанавливать быть не должно. Только у root-а.

А если я игрушку проприетарную платную хочу, допустим, в хомяк хочу поставить? Обычно это основной путь. Наоборот, в целях безопасности не стоит её пускать под рутом.

Разрабатывать - ну если проект крупный, то код у вас будет на том же github-е, а компиляция будет проводиться на отдельном сервере. А готовые бинарники можно и в /usr/local положить, раз уж вы разработчик - для вас это не проблема.

Багальное самоогорожение, и всё ради чего? Чтобы класть бинарики в /usr/local нужен root, а не буду же я под рутом работать или пароль каждые несколько раз вводить.

>Жду _конструктивную_ критику.

Придётся исправлять _весь_ софт. Проприетарщина в пролёте.

Проприетарную платную игрушку - поставить в /opt, именно там и место всему, что распространяется без исходников.

Самоограничение - ради безопасности. Вы в любом случае будете себя ограничивать, так или иначе. Это самый простой способ. Кроме того, если вы разработчик, то вы всё равно пользуетесь каким-либо дистрибутивом, не проблема свою же собственную разработку для этого дистрибутива опакетить и ставить нормально. А тестировать на своём собственном десктопе свой софт - не правильный подход.


Мы сейчас о разных вещах спорим.
Вы придумываете различные способы, как, сделав что-то не правильно, поломать что-либо.
Я вам рассказываю как делать нужно правильно, и тогда ничего не сломается.

1) у пользователя нет прав и вирус ничего не сделает вне домашней папки

Сколько уж emporium ов и подобного было...

ага и при открытии фильма попросит ввести пароль . тут только последний идиот не задумается

>Если зона поражения будет ограничена домашней папкой, то все равно, ущерб может быть значительным. Лично для меня самые важные данные на жестком диске - раздел с /home, упавшую систему я поставлю без проблем.

В принципе верно. Однако не забывай что раздел /home и /media можно сделать noexec даи бекапить проще чем в винде

Например, несколько раз я наблюдал как в сегфолт падает плеер при попытке открыть еще недокаченный торрентом файл.

Сегфолт самая гуманная из ошибок и то что плеер падает с сегфолтом а не зависает скажем и не пишет ничего по левым адресам это именно показатель надежности системы в целом

>а всего лишь chmod +x натравить, так еще и иконка будет правильная,

Не знаю как у вас в винде а у нас в кедах иконка рисуестя исходя из MIME а не трех буковок после точки