LINUX.ORG.RU

Пользуетесь ли вы «песочницами» для основных программ?

 ,


2

4

Речь не про запуск чего-то подозрительного, а про софт, который используется каждый день, как например браузер, мессенджер, читалка почты, etc. Защищают ли лоровцы себя от потенциальных 0day?

  1. Нет, мне нечего скрывать от моих программ! 275 (44%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. Нет, сложно, не хочу разбираться 257 (41%)

    ***********************************************************************************************************************************************************************************************************************************************************************************************************

  3. Да, использую виртуализацию(qemu, virtualbox, etc) 113 (18%)

    ***********************************************************************************************************************************

  4. Да, запускаю всё в контейнерах(lxc, openvz, etc) 48 (8%)

    *******************************************************

  5. Да, chroot 38 (6%)

    ********************************************

  6. Да, пишу конфиги для AppArmor 19 (3%)

    **********************

  7. Да, Firejail 15 (2%)

    *****************

  8. Да, Bubblewrap 5 (1%)

    *****

Всего голосов: 770, всего проголосовавших: 628

★★

Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 1)

Ответ на: комментарий от Aceler

Куча народу использует песочницы snap и flatpak, но где они?

Воздержались от провокации.

mord0d ★★★★★
()

QubesOS - отличная ОС с низкоуровневой виртуализацией (модифицированный Xen) и автоматическим/лёгким созданием временных виртуалок на каждый чих. Правда жаль что на позаимствованным от федоры systemd, да и пакеты не совсем свежие

SakuraKun ★★★★★
()

snap тоже за песочницу считается?

doctorx ★★★★
()
Ответ на: комментарий от Deleted

Буфер обмена

не считается, он же и так в spice

повышение поверхности атаки

Если сделать по уму, думаю, будет вполне безопасно.
Такой IPC, и при взаимодействии запрос подтверждения, с сообщением, что передаётся

TheAnonymous ★★★★★
()
Ответ на: комментарий от SeTSeR

А если видеокарта только одна?

У меня одна видеокарта внешняя и встроенная в процессоре. Внешняя отдаётся винде, хост на встроенной.

А если совсем одна, тогда скорее всего плохо. Есть Intel GVT-g, вроде для такого, если видеокарта Intel, но как работает на деле, не знаю. Ещё есть virtio-gpu (virgil3d), но там скорее всего будет медленно, и пока даже без поддержки винды

TheAnonymous ★★★★★
()

ну, нельзя сказать, что для «основных». только для браузера. ибо говно страшное и надо огораживать. для остальных программ просто нет такой необходимости.

Iron_Bug ★★★★★
()
Ответ на: комментарий от TheAnonymous

Буфер обмена

не считается, он же и так в spice

Ты спрашивал про наличие интеграции, а не про количество реализованных велосипедов.

повышение поверхности атаки

Если сделать по уму, думаю, будет вполне безопасно.

А если не сделать, то будет не «вполне», а безопасно :)

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)

Нет, но задумываюсь об этом.

EXL ★★★★★
()

Запускаю, но не основные. В jail'е.

IPR ★★★★★
()

Не хватает варианта «пользуюсь только на работе».

question4 ★★★★★
()

К сожалению, Grsecurity утонул, поэтому приходится мигрировать на AppArmor.

Pravorskyi ★★★
()

Нет, лень заморачиваться

XMs ★★★★★
()

Нет, это бесполезно. Когда вообще всё в браузере — зачем вокруг этого песочница?

x3al ★★★★★
()

А где вариант только для некоторых приложений. Для всех неудобно. А то я себе с трудом представляю смысл запускать ФМ или просмотрщик изображений из контейнера.

У меня на деле только браузер да вайн. И то браузер не везде.

Ну и bubblewrap лучше как bubblewrap/flatpak именовать. А то им много кто пользуется, но мало кто напрямую.

Ну и если уж мы apparmor считаем песочницей, то где тогда selinux?

Ivan_qrt ★★★★★
()

а как же довод «умелый программист сам сможет написать нужный ему плугин» ?

darkenshvein ★★★★★
()

Эта сусурити-паранойя уже порядком надоела.

Толку от того что ты обернешь браузер в контейнер? Чем и от чего это поможет ?

Самое страшное что может случиться в самом худшем случае - это придется переустановить ОСь, что в современных реалиях займет 20-30 минут времени.

Ну а если кто опасается что уязвимость в браузере может привести к краже личной информации (читай черной бухгалтерии или ЦП) - может не стоит усложнять себе жизнь, а всего лишь вынести эту информацию за пределы локального ПК и монтировать лишь по необходимости ? NAS, флешка, облако и тд.

windows10 ★★★★★
()
Ответ на: комментарий от windows10

Толку от того что ты обернешь браузер в контейнер? Чем и от чего это поможет ?

man vulnerabilities man backdoors

Ну а если кто опасается что уязвимость в браузере может привести к краже личной информации (читай черной бухгалтерии или ЦП) - может не стоит усложнять себе жизнь, а всего лишь вынести эту информацию за пределы локального ПК и монтировать лишь по необходимости ? NAS, флешка, облако и тд.

ЦП и чёрной бухгалтерией не пользуюсь, но мне не хочется отдавать свои файлы хрен пойми кому, а так же не хочется, чтоб мои файлы кто угодно мог модифицировать, как ему вздумается(читай вставлять эксплоиты в другое ПО), а также мне не хочется, чтоб программы могли делать то, что им не надо, чтоб какая-нибудь смотрилка видео не смогла лезть в интернет и т.д.

devalone ★★
() автор топика

Пользуюсь qemu, lxc, flatpak и proot. Скорее не из-за песочницы, а из-за удобства.

CYB3R ★★★★★
()

ИНОГДА.
Иногда использую песочницу для НЕ основных программ. В особенности для всяческих кейгенов, мутных кряков. Или, запускаю браузер в песочнице, когда есть сомнение, что хромовской песочницы недостаточно будет.
А использую я Sandboxie.

E2-E4
()

Выбрал «лень разбираться», т.к. нет пункта «нафиг контейнеры, у меня просто разные юзеры под разные программы».

Если на хост системе десятилетиями работавшее разделение доступа вдруг с некоторых пор считается ненадёжным, то не вижу каким образом любые другие навороты поверх системы могут оказаться надёжнее. Дополнительный слой — это всегда дополнительные баги и дыры.

Firefox и thunderbird у меня под одним юзером, т.к. ссылки из почты приходится очень часто открывать. Остальное несколько неудобно (файлы между программами приходится через shared-каталог гонять), но в целом терпимо.

dimgel ★★★★★
()
Ответ на: комментарий от Deleted

А где вариант «использую отдельный комп»?

Без подключения к сети, иначе нещитова. :)

dimgel ★★★★★
()

После известного случая с кражой ssh ключей и паролей из домашнего каталога пользователя из-за уязвимости в PDF ридере жиролиса - теперь пользуюсь песочницами.

Огораживаю проприетарные и потенциально-уязвимые программы (браузер) в самодельную песочницу на базе bubblewrap. А также использую её для развертывания сторонних дистрибутивов и ПО для них без использования классического chroot'а, контейнеров и подобных технологий требующих права рута и отдельных демонов в системе.

DawnCaster ★★
()
Ответ на: комментарий от Ivan_qrt

Я использую напрямую (ну то есть со своей обёрткой на базе bash'а и lua для конфигурации). И всё-таки flatpak - сильно много поверх bubblewrap'а нагромождает, так что, думаю, лучше показывать их в опросе как отдельные сущности.

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 2)

В OpenBSD с последним релизом появился системный вызов https://man.openbsd.org/unveil.2, а до этого добавили https://man.openbsd.org/pledge.2. Так вот, некоторые программы пропатчены и собраны под них — например, Chromium, который сейчас не может ни писать, ни читать дальше своих директорий с кэшем и конфигом.

commagray ★★★★★
()

Нет, сложно, не хочу разбираться

Вообще, использую virtualbox дома и на работе, но не для изоляции окружения, а чисто ради удобства переносимости рабочей среды. ОЗУ часто не хватает и приходится периодически закрывать ресурсоемкий софт, но это все равно лучше, чем перезагружаться из одной системы в другую или по полдня настраивать тестовую среду на своей системе. Еще периодически восстанавливаю похеренные системы из чрута. Насчет изоляции задумывался, но все лень/некогда что-то читать по этой теме.

Man-o-Jar
()

Не вижу варианта - ниасилил. Очень хотелось бы некоторый софт засунуть в контейнер, но чего-то с набега там не получилось, а разбираться времени нету.

ViTeX ★★★★
()
Ответ на: комментарий от ViTeX

Не вижу варианта - ниасилил

Нет, сложно, не хочу разбираться

devalone ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.