Пользуетесь ли вы «песочницами» для основных программ?

Боюсь представить асимметричность сего опроса. Даже проприетарщину немногие параноики по контейнерам и виртуалкам прячут, а уж с такой шизой проще AOSP/Replicant/Remix OS пользоваться, там это всё из коробки и имплаится приложениями, в отличие от.

Нет, мне нечего скрывать от моих программ!

но это с поправкой на ASLR и gentoo, так что многие дыры могут превратиться в тыкву
Скорее всего максимум что получится сделать злоумышленнику с 0-day - крашнуть мне что-то. Хотя могут быть и исключения

ASLR не панацея, https://habr.com/post/429004/ да и возможен кейс, когда допустим в программе есть интерпретатор какого-нибудь питона с функцией open и сетевыми сокетами, а также уязвимость, которая позволяет твоему агенту КГБ прислать тебе нужный питониевый код для исполнения

Да, использую виртуализацию(qemu, virtualbox, etc)

https://github.com/jollheef/appvm

но это с поправкой на ASLR

ASLR это не о том, что «больше невозможен ROP», а о том, что кроме уязвимости, позволяющей переход исполнения на произвольный адрес — нужно найти еще инфолик, который позволит восстановить базовый адрес и посчитать смещения для ROP.

Не говоря о том, что от логических уязвимостей подобные mitigation не защищают.

Я знаю, изучал ситуацию с этим. Просто теперь простого buffer overflow не достаточно чтобы реально что-то можно было сделать. Нужно ещё спалить указатели на что-то в этом же экземпляре процесса как минимум. Я мало как это можно сделать. Ну ещё опасно если где-то юзаются фиксированные адреса. Это потенциально создаст возможность выбраться из этого ROP и нагадить
Гораздо опаснее уязвимости вроде шеллшока или той что была в ffmpeg - ведь они могут навредить даже когда злоумышленник не знает какой архитектуры процессор. Вот тут с моим подходом можно хорошо лажануться

Ноу. Только оффлайн жи есть.

Гм. Куча народу использует песочницы snap и flatpak, но где они?

хм, можно было б добавить, но голосование всё равно

(не подтверждено)

Не использую. По иногда в chroot-е с другого дистра чиню основной, но это совсем другая история.

программы тоже делятся на два вида — десктопные и серверные.

разработчики 100% создают продакшн-окружение в виртуалках, просто потому что так нужно девелопить. и на самом продакшене, скорее всего тоже уже каждая серверная программа в отдельности имеет своё окружение.

но мне например проще железку воткнуть лишнюю, чем заморачиваться с обслуживанием софта. разница есть, нажать одну кнопку чтоб включить ПК, или напердолить скрипт и потом ещё разбираться почему оно не работает, от окружения это зависит или ещё от чего. а ПК — вот он, роутер — вот он, свич — вот он... ну и так далее.

вместо виртуалок я обмазался бомже-сборками ПК под различные задачи. вплоть до того, что на одном из них стоит Windows 10. чтобы без всяких заморочек взять любую софтину, потестировать и знать как оно работает. а не в бессилии кричать на форумах «НЕТУ ПАДЛИНАКС? НИНУЖНА!».

надо потестить работает ли нужная фича в линуксах? включаю ПК с убунту, тестирую, если работает, значит смогу завести на своём CRUX. если нет — то нет.

захотел поковырять новый дистрибутив? включаю ПК... ну так в самом деле проще и быстрее. чем тратить время на решение каких-то косвенных проблем. типа как с systemd, если что-то не работает, сначала пытаешься разобраться с systemd, а уже потом решаешь основную задачу. нет. мне проще сразу приступить к решению задачи, даже если для этого придётся воспользоваться Windows 10. не вижу в этом ничего такого.

Нет, но подумываю начать.

Нет, сложно, не хочу разбираться

Потому что мне надо чтоб ссылка из чатика открывалась в браузере, игрался звук в ютубе, скайп меня снимал через вебку и печатались документы из офиса. Как это все пробрасывать и настраивать взаимодействие друг с другом, тем более в случае с виртуалками - у меня даже представления нет.

Стоит отметить, что всякий веб-ориентированный софт, что-то временное (и не требующее взаимодействия с другими компонентами системы), всякие проекты и прочее я держу в контейнерах. Не потому что безопасность, а для того чтоб была возможность снести все в полторы команды.

Все игры в chroot и ещё телега там же

flatpak не особо песочница. Вот snap да, там apparmor профиль сверху. Но по мне, профиль, который тебе прислали, а не ты сам его написал, считай, его нет.

Нет, только браузер работает под отдельным пользователем.

Вот snap да, там apparmor профиль сверху.

 > snap interfaces vlc
...
:home
:network
...

Ну так и делай, что хочешь в приложении :D

Да, пишу конфиги для AppArmor

Во всяком случае для софта, который ходит в сеть.

Иногда пользуюсь lxc, потому что контейнеры крайне удобно переносить с сервера на сервер и не надо перенастраивать. Есть мечта вообще все свои серверные программы распихать по контейнерам и вообще не париться о версии ОС на хосте.

«нет, сложно». Многими пытался пользоваться. Контейнеры создают имбецилы, или просто для галочки сами сотрудники МС или еще какой проприетарщины. Для полной функциональности проще установить в opt и надеть шапочку из фольги.

Слишкам сложна, но иногда завожу что-нибудь потыкать в виртуалочке (virtualbox), просто чтобы не пачкать рабочую систему.

Проприетарщину и кривые поделия заворачиваю в bubblewrap. Я в восторге от простоты этой тулзы, «just works». Стал даже использовать не как песочницу, а как удобный инструмент перебиндить/сделать ридонли части ФС с целью защиты от засирания.

Только при сборке. NixOS же!

Нет, не нашёл удобных решений, некоторые проги запускаю в отдельных иксах из под отдельного пользователя.

ИЧСХ Selinux в опрос даже не включен.

Получается типа QubesOS, но через kvm и spice?
Интересно, однако, с учетом того, что это обычный remote-viewer из virt-manager, какая-то интеграция есть, кроме расшаренной папки? Например, смотрю на скрине evince в отдельной виртуалке - можно ли просто щёлкнуть по pdf, чтобы она открылась в своей виртуалке. Или щёлкнут по ссылке из thunderbird, чтобы она открылась в ВМ с браузером

например проще железку воткнуть лишнюю, чем заморачиваться с обслуживанием софта

вместо виртуалок я обмазался бомже-сборками ПК под различные задачи

Это конечно Ъ с точки зрения безопасности, но где разместить столько пекарен в квартире? Хотя если это бомже-ноутбуки, то может быть.

Windows 10. чтобы без всяких заморочек взять любую софтину, потестировать и знать как оно работает

Виртуалка с проброшенной видеокартой свои задачи тоже выполняет, один раз только надо напердолить (хотя сейчас с современным libvirt и virt-manager вроде вообще из коробки, можно мышкой натыкать)

Слегка, использую NixOS.

При запуске там тоже изоляция покруче многих, пусть и через obscurity.

Пробовал QubesOS, но не прижилась, потому что ресурсоёмкая. Вот если бы она была на контейнерах, а не на виртуалках, то всё бы у них получилось (наверное).

http://subuser.org/

Мне конкретно docker не нравится (абстрактно, не знаю чем). Есть же LXD

Дырявый софт живёт только в виртуалке, для подозрительного используется firejail, проприетарный софт живет в клетке apparmor-а.

Оно не песочница. Оно дырявое. Это такой пакетный менеджер, который тянет с собой все зависимости, не более того.

И ты такой щас, хоп и расскажешь, как из snap приложения получить доступ к чему нет прав.

Молча. Берешь и получаешь. По крайней мере к единственному, что есть ценного в компьютере пользователя — хомяку (сама ОС никакой ценности для взломщика не представляет, майнер рута не требует, как и всё остальное что есть ценного на машинах пользователей).

capsicum из коробки лол

Ну так и знал... Врун как всегда.

И как получить доступ к хомяку, если его нет в правах snap приложения?

А майнер бесполезен без сети.

А в каких приложениях его нет?

Очень у многих. Я конечно понимаю, что туго соображаешь.

Но реально много можно приводить примеров программ, которым не нужен доступ к хомяку.

https://snapcraft.io/yandex-weather-cli

Поэтому такой тебе привычный максимализм с крайностями всё же туповат

Хранить конфиги вне привязки от пользователя — моветон.

Чего? Ну ты хоть бы малейшей представление о snap бы поимел, а потом писал бы...

ЗЫ: вот точно мышление уровня крайностей

flatpak не особо песочница

Правда что ли? man bubblewrap

Вот snap как раз не особо песочница, точнее совсем не песочница.

какая-то интеграция есть, кроме расшаренной папки?

Буфер обмена.

В остальном — повышение интеграции есть повышение поверхности атаки, поэтому там реализовано минимально возможное для сохранения удобства.

Софт во флатпаке считается?

на домашнем ПК ненужно

да

виртуалка с проброшенной видеокартой

А если видеокарта только одна? Как раз хотел винду в виртуалку загнать, но в итоге забил, потому что производительность просела дико

Ну я там где-то отмечал, что или доверяйся чужим профилям, что тоже не ахти, но зато формат поддерживает.

Да, я попутал. Я с appimage попутал. Вот flatpak есть песочница. А по поводу снапа - ну так по сути песочница и есть, хренатень, которая позовляет ограничивать приложение. Её реализация это, конечно, уже тема для обсуждений, но суть то песчоница.