Miten ohjelmia ajetaan Debianissa omaan hiekkalaatikkoonsa suljettuna?

Se chroot on juurikin se hiekkalaatikko ja sillä saa eristettyä niitä sovelluksia.

Toinen tapa on vaikka se, että teet jokaiselle sovellukselle oman käyttäjätilin niin saa myös sillä tavalla eristettyä.

Siihen mitä ohjelmien sulkemisella sanboxiin, eli hiekkalaatikkoon, nykyään yleensä tarkotetaan on olemassa joitakin tarkoitusta varten tehtyjä turvaohjelmistoja, jotka käyttää Linuxin käyttöjärjestelmäytimen turvatoimintoja. Debianista löytyy useampikin ns. Mandatory Access Control (MAC) -tyyppinen turvaohjelmisto jne. Debianissa on mm. saatavilla turvaohjelmistot nimeltä AppArmor, Firejail ja Selinux. Mandatory Access Control -tyyppiset turvaohjelmistot käyttää Linuxin käyttöjärjestelmäytimessä olevan Linux Security Module (LSM) tarjoamia turvaominaisuuksia. Kun ohjelma suljetaan sandboxiin turvaohjelmiston avulla, ohjelman tekemät systeemikutsut tarkistetaan ennenkuin ne suoritetaan. Eli se tarkistetaanonko ohjelmalla lupa tehdä sitä mitä se yrittää tehdä. Jokaiselle sandboxiin suljettavalle ohjelmalle on turvaohjelmistossa turvaprofiili, jossa määritellään mitä ohjelma saa tehdä ja mihin se pääsee käsiksi. Turvaohjelmistossa voi olla myös erillinen turvaprofiili niiden ohjelmien ajamista varten, joille ei ole määritelty omaa profiilia. turvaohjelmien mukana tulee myös tarvittavat työkalut uusien turvaprofiilien luomiseen ohjelmille, joilla ei vielä omaa profiilia ole. Tarkoituksena on eristää käyttöjärjestelmätasolla ohjelmat erilleen käyttöjärjestelmästä ja toisistaan. Usein ohjelmien sandboxiin eristämisen tarkotuksena on pyrkiä minimoimaan ne riskit, jotka aiheutuu mahdollisista ohjelmissa olevista tietoturva-aukoista. Turvaohjelmistontarkotuksena on siis estää se, että esimerkiksi webbiselaimessa olevan tietoturva-aukon kautta päästäisiin sorkkimaan ja saastuttamaan käyttöjärjestelmää tai käyttäjän tiedostoja. Kaikki kolme edellä mainittua turvaohjelmistoa on ollut Debianissa jo pitkään käytettävissä.
AppArmor on oletuksena käytössä heinäkuussa julkaistussa Debian 10 "Buster" -versiossa. Debian Buster on ensimmäinen Debian -versio, jossa AppArmor on oletuksena käytössä, aiemminkin AppArmor on kyllä ollut käytettävissä. AppArmorin käyttö varmasti laajenee tulevissa Debian -versioissa nyt kun AppArmor on otettu oletuksena käyttöön. AppArmor on samantapainen turvaohjelmisto kuin Selinux. AppArmor on kuitenkin helppokäyttöisempi kuin selinux, toisaalta selinux on tarjoamaltaan suojaukselta järeämpi. Selinux on alunperin NSA:n kehittämä turvaohjelmisto ja se on oikein hyväksi todettu. Selinux eristää ohjelmat sandboxiin vielä AppArmoria tiukemmin, mutta toisaalta selinux on merkittävästi vaikeampi ottaa käyttöön ja ylläpitää. Firejail eroaa toteutukseltaan AppArmorista ja Selinuxista, mutta kyseessä on silti hyvä ja erittäin monipuolinen turvaohjelmisto. Firejail sisältää runsaasti työpöytäohjelmille tehtyjä turvaprofiileja. Yleisimmin Firejailia käytetään Firefoxin sulkemiseen sandboxiin, mutta Firejailille on Debianissa turvaprofiili myös monelle muullekin yleisesti käytetylle ohjelmalle. AppArmor yhdessä Firejailin kanssa on hyvä valinta useimmille, sitten jos tarvitaan järeämpää suojaa kannattanee asentaa AppArmorin sijasta Selinux.

Tämä aihe on niin laaja, että siitä on vaikea tehdä tiivistelmää keskustelualueelle, mutta kirjotan kuitenkin sekä AppArmorin, että Firejailin käyttämisestä viestit kunhan ehdin.

T. miksuh

Dockeri on vissiin ylläpidolle liikaa :-D