[костылиринг]Защищаемся от дыр в браузере

0

2

В настоящее время идет много разговоров о возможном появлении вирусов под линукс. Так как идиотов в 1% пока влезает мало и программы в большинстве случаев ставятся через подписанные репозитории, основным каналом для получения вирусов, скорее всего, является браузер.

И у меня созрел такой вариант защиты. Создаем нового пользователя, назовем его browser_user. Создаем файл в /dev для того, чтобы на нем создать фс для домашней папки browser_user. Монтируем эту фс, а также /tmp с флагом noexec. И запускаем браузер через sudo от пользователя browser_user.

Как вам такой вариант?

Ссылка

←	[вещества]Инопланетяне живут в черных дырах !!11

[Украина][автосрач] Конец кормушке

→

← 1 2 →

Ответ на: комментарий от true_admin 14.04.11 23:57:36 MSK

А можно в этом месте поподробнее?

Suntechnic ★★★★★
(15.04.11 22:20:22 MSK)

Ответ на: комментарий от Suntechnic 15.04.11 22:20:22 MSK

выполни команду и увидишь что программа выполнится. Даже если она не помечена как выполняемая.

true_admin ★★★★★
(16.04.11 11:21:04 MSK)

Ответ на: комментарий от Suntechnic 15.04.11 22:17:22 MSK

свой велосипед из Ubuntu ;)

при первом же обновлении всё слетит. Хотя у меня был скрипт который «затягивал» права доступа по крону на генте... :). Но это неправильно. Апофеоз тупости это открытая для всех папка /root на freebsd и многих линукс-дистрах. При этом эти люди пытаются спорить.

true_admin ★★★★★
(16.04.11 11:22:55 MSK)

Ответ на: комментарий от true_admin 16.04.11 11:22:55 MSK

>открытая для всех папка /root на freebsd и многих линукс-дистрах
Ни разу в жизни не видел нигде

anonymous_sama ★★★★★
(16.04.11 11:29:59 MSK)

Ответ на: комментарий от anonymous_sama 16.04.11 11:29:59 MSK

На фрю посмотри:

http://forum.nginx.org/read.php?23,48534,48534,quote=1,template=head%3F%3F

Про убунту щас не знаю(у меня сразу скрипт chmod 700 /root делает), раньше(больше года назад) точно было.

Про дебиан не помню.

true_admin ★★★★★
(16.04.11 12:34:34 MSK)

Ответ на: комментарий от true_admin 16.04.11 11:21:04 MSK

Да? Не знал.

Для скриптов source рулит, а остальное и не надо пока было...

Suntechnic ★★★★★
(16.04.11 14:30:41 MSK)

Ссылка

Ответ на: комментарий от true_admin 16.04.11 12:34:34 MSK

Фрю юзал только поставленную. В OpenBSD не так. Нигде где был 755-х на /root не встречал. Такое было как-то после криво собранных пакетов. Вообще в mandriva-based есть msec, очень годная штука. Встречал 755 на /var всем как-то после dist-upgrade в alt linux Sisyphus. Тогда ужаснулся. По идеи так не должно быть, это что-то портит права.

anonymous_sama ★★★★★
(16.04.11 14:58:20 MSK)

Ответ на: комментарий от anonymous_sama 16.04.11 14:58:20 MSK

На всех фря включая 7.x права 755. 8-ку не ставил, не знаю

true_admin ★★★★★
(16.04.11 15:01:57 MSK)

Ответ на: комментарий от true_admin 16.04.11 15:01:57 MSK

Да действительно там 755-е по дефолту. В OpenBSD все нормально.

anonymous_sama ★★★★★
(16.04.11 15:26:15 MSK)

Ответ на: комментарий от anonymous_sama 16.04.11 15:26:15 MSK

Ну слава богу хоть где-то с этим нормально :)

true_admin ★★★★★
(16.04.11 15:50:25 MSK)

Ссылка

Ответ на: комментарий от true_admin 16.04.11 15:01:57 MSK

Хм. А чем это мотивируется?

Suntechnic ★★★★★
(17.04.11 02:06:16 MSK)

Ответ на: комментарий от Suntechnic 17.04.11 02:06:16 MSK

мотивируется тем что у настоящих пацанчиков umask 077 стоит когда они от рута работают. Поэтому их пацанские локалхосты абсолютно защищены.

Второе популярное объяснение: /root не предназначен для хранения секретных данных. И вообще по FHS это необязательный каталог(именно поэтому HFS УГ).

Моё мнение: /root это обычный домашний каталог пользователя. Каждый пользователь имеет право на приватность(тем более админ). Настройки по-умолчанию должны обеспечивать адекватную защиту и не должны содержать таких «дыр».

true_admin ★★★★★
(17.04.11 16:42:47 MSK)

Ссылка

Ответ на: комментарий от true_admin 14.04.11 23:57:36 MSK

true_admin> а как же любимое /lib/ld-linux.so.2 /bin/ls?

c noexec не работает

~~sdio~~ ★★★★★
(17.04.11 16:50:54 MSK)

Ответ на: комментарий от true_admin 15.04.11 19:49:32 MSK

Поверь мне, есть вещи гораздо хуже.
Например автомонтирование. Или js.

arknir ★
(18.04.11 14:31:02 MSK)

Ответ на: комментарий от sdio 17.04.11 16:50:54 MSK

Так пофиксили уже давно. Но сама идея.

arknir ★
(18.04.11 14:32:09 MSK)

Ссылка

Ответ на: комментарий от arknir 18.04.11 14:31:02 MSK

Например автомонтирование

в смысле автозапуск? :)

true_admin ★★★★★
(19.04.11 03:54:59 MSK)

Ответ на: комментарий от true_admin 19.04.11 03:54:59 MSK

В смысле автомонтирование.
Потому что после автомонтирования идет автозапуск :)
А вообще все эти 'авто' это явно лишняя сущность. Не стоит пытаться сделать машину умнее человека.

arknir ★
(19.04.11 16:43:54 MSK)

Ответ на: комментарий от arknir 19.04.11 16:43:54 MSK

после автомонтирования идет автозапуск

вот мне это не нужно :). А автомонтирование на рабочей машинке мне нравится. Только бы это фишку в серверных дистрах не включали.

true_admin ★★★★★
(19.04.11 18:32:10 MSK)

Ответ на: комментарий от true_admin 19.04.11 18:32:10 MSK

По-моему проще монтировать когда нужно. Ну да это уже имхо.

arknir ★
(19.04.11 22:27:26 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	[вещества]Инопланетяне живут в черных дырах !!11

Talks

[Украина][автосрач] Конец кормушке

→

Похожие темы