BnW — l29ah: Ладно, нахуй и в пизду, эта хуйня…

Ладно, нахуй и в пизду, эта хуйня считает себя умнее меня. Чо потыкать дальше, selinux, apparmor, smack или tomoyo? Юзкейс - анальная тюрьма для двух с половиной недоверенных софтин с возможностью в будущем всю систему зааналить и аудитить.

Рекомендовали: @o01eg

#O9VO9X / @l29ah / 3333 дня назад

чем тебя grsecurity заебал?

#O9VO9X/AP7 / @stiletto / 3333 дня назад

>анальная тюрьма В докере можно запускать. @4da говорил, что скайп там работает.

#O9VO9X/XJJ / @ckorzhik / 3333 дня назад

@ckorzhik докер недостаточно анален же

#O9VO9X/5R6 / @stiletto --> #O9VO9X/XJJ / 3333 дня назад

@stiletto а что по этому поводу можно почитать? Например, что скайп может сделать из докера? //докер еще не юзал

#O9VO9X/JY1 / @ckorzhik --> #O9VO9X/5R6 / 3333 дня назад

@stiletto Тем, что там не установить дефолтовое разрешение всего для всех.

#O9VO9X/QMB / @l29ah --> #O9VO9X/AP7 / 3333 дня назад

@ckorzhik я безотносительно скайпа https://news.ycombinator.com/item?id=7909622 ← тут была/есть возможность побега из контейнера внутриконтейнерному руту с ответом от мейнтейнера "анальте докер аппарморами и селинупсами или не давайте приложениям рута в контейнере" ну и вообще была портянка https://docs.docker.com/articles/security/ со ссылками

#O9VO9X/OS3 / @stiletto --> #O9VO9X/JY1 / 3333 дня назад

@l29ah там нет возможности ограничить только определенные приложения? если нет - пиздуй в аппармор

#O9VO9X/NPE / @stiletto --> #O9VO9X/QMB / 3333 дня назад

@stiletto спасибо.

#O9VO9X/GED / @ckorzhik --> #O9VO9X/OS3 / 3333 дня назад

@ckorzhik Неконфигурябельно.

#O9VO9X/QAT / @l29ah --> #O9VO9X/XJJ / 3333 дня назад

@stiletto Утилита конфигурации будет выёбываться, что у тебя дыры в безопасности. В #grsecurity сказали, что можно её руками запатчить и всё будет работать, но мне стало лень.

#O9VO9X/4M1 / @l29ah --> #O9VO9X/NPE / 3333 дня назад

Поставь винду.

#O9VO9X/9G4 / @windowsadmin / 3333 дня назад

@romme Винда ВСЯ считает себя умнее меня.

#O9VO9X/1EX / @l29ah --> #O9VO9X/9G4 / 3333 дня назад

@stiletto Держи кароч: # cat /etc/apparmor.d/opt.bin.skype # Last Modified: Thu Mar 12 13:20:25 2015 #include <tunables/global> /opt/bin/skype { #include <abstractions/audio> #include <abstractions/base> #include <abstractions/dbus-session> #include <abstractions/fonts> #include <abstractions/gnome> #include <abstractions/nameservice> #include <abstractions/ssl_certs> #include <abstractions/X> /opt/bin/skype mr, owner @{HOME}/.Skype/ rw, owner @{HOME}/.Skype/** krw, #owner @{HOME}/.config/ r, #owner @{HOME}/.config/*/ r, owner @{HOME}/.config/Skype/Skype.conf krw, owner @{HOME}/.config/Trolltech.conf kr, /usr/share/skype/** kr, /usr/share/skype/**/*.qm mr, /usr/share/skype/sounds/*.wav kr, owner @{HOME}/.Xdefaults r, @{PROC}/sys/kernel/{ostype,osrelease} r, /sys/class/power_supply/ r, /sys/devices/**/power_supply/**/online r, /sys/devices/system/cpu/ r, /sys/devices/system/cpu/cpu[0-9]*/cpufreq/scaling_{cur_freq,max_freq} r, owner @{PROC}/[0-9]*/status r, owner @{PROC}/[0-9]*/task/ r, /usr/lib/@{multiarch}/pango/** mr, /etc/pango/@{multiarch}/* mr, owner /{dev,run}/shm/pulse-shm* m, /usr/bin/pulseaudio Pixr, deny @{HOME}/.mozilla/ r, deny /dev/ r, deny @{PROC}/*/fd/ r, deny @{PROC}/*/net/arp r, deny @{PROC}/*/cmdline r, }

#O9VO9X/BQJ / @stiletto --> #O9VO9X/NPE / 3333 дня назад

@stiletto Уау // вообще мне для браузера и cgoban, но может пригодится.

#O9VO9X/W66 / @l29ah --> #O9VO9X/BQJ / 3333 дня назад

@stiletto там две закомментированные строчки с @{HOME}/.config -- я считаю, что ему нехуй туда ходить. ты можешь по-другому сделать

#O9VO9X/0UX / @stiletto --> #O9VO9X/BQJ / 3333 дня назад

@l29ah меня в аппарморе бесит невозможность нормально разграничивать доступ к /proc/ например сказать "только к процессам в одном профиле" или "только к процессам-потомкам" или "только к себе" самое узкое что можно сделать - "только к процессам созданным тем же пользователем"

#O9VO9X/ZSS / @stiletto --> #O9VO9X/W66 / 3333 дня назад