Olen joskus lukenut toisaalta, että Linuxissa voi webbiselainta ja muitakin ohjelmia ajaa omaan hiekkalaatikkoonsa suljettuna. Kuinka sen voi tehdä Debianissa? Kiinnostaa myös tietää kuinka tuo tarkalleenottaen toimii. Itse haluaisin sulkea ainakin webbiselaimen ja sähköpostiohjelman omaan hiekkalaatikkoonsa. Enkä nyt tarkota mitään pelkkää chroot juttua.
Miten ohjelmia ajetaan Debianissa omaan hiekkalaatikkoonsa suljettuna?
3
<50
Vastaukset
Se chroot on juurikin se hiekkalaatikko ja sillä saa eristettyä niitä sovelluksia.
Toinen tapa on vaikka se, että teet jokaiselle sovellukselle oman käyttäjätilin niin saa myös sillä tavalla eristettyä.- Anonyymi
Siihen mitä ohjelmien sulkemisella sanboxiin, eli hiekkalaatikkoon, nykyään yleensä tarkotetaan on olemassa joitakin tarkoitusta varten tehtyjä turvaohjelmistoja, jotka käyttää Linuxin käyttöjärjestelmäytimen turvatoimintoja. Debianista löytyy useampikin ns. Mandatory Access Control (MAC) -tyyppinen turvaohjelmisto jne. Debianissa on mm. saatavilla turvaohjelmistot nimeltä AppArmor, Firejail ja Selinux. Mandatory Access Control -tyyppiset turvaohjelmistot käyttää Linuxin käyttöjärjestelmäytimessä olevan Linux Security Module (LSM) tarjoamia turvaominaisuuksia. Kun ohjelma suljetaan sandboxiin turvaohjelmiston avulla, ohjelman tekemät systeemikutsut tarkistetaan ennenkuin ne suoritetaan. Eli se tarkistetaanonko ohjelmalla lupa tehdä sitä mitä se yrittää tehdä. Jokaiselle sandboxiin suljettavalle ohjelmalle on turvaohjelmistossa turvaprofiili, jossa määritellään mitä ohjelma saa tehdä ja mihin se pääsee käsiksi. Turvaohjelmistossa voi olla myös erillinen turvaprofiili niiden ohjelmien ajamista varten, joille ei ole määritelty omaa profiilia. turvaohjelmien mukana tulee myös tarvittavat työkalut uusien turvaprofiilien luomiseen ohjelmille, joilla ei vielä omaa profiilia ole. Tarkoituksena on eristää käyttöjärjestelmätasolla ohjelmat erilleen käyttöjärjestelmästä ja toisistaan. Usein ohjelmien sandboxiin eristämisen tarkotuksena on pyrkiä minimoimaan ne riskit, jotka aiheutuu mahdollisista ohjelmissa olevista tietoturva-aukoista. Turvaohjelmistontarkotuksena on siis estää se, että esimerkiksi webbiselaimessa olevan tietoturva-aukon kautta päästäisiin sorkkimaan ja saastuttamaan käyttöjärjestelmää tai käyttäjän tiedostoja. Kaikki kolme edellä mainittua turvaohjelmistoa on ollut Debianissa jo pitkään käytettävissä.
AppArmor on oletuksena käytössä heinäkuussa julkaistussa Debian 10 "Buster" -versiossa. Debian Buster on ensimmäinen Debian -versio, jossa AppArmor on oletuksena käytössä, aiemminkin AppArmor on kyllä ollut käytettävissä. AppArmorin käyttö varmasti laajenee tulevissa Debian -versioissa nyt kun AppArmor on otettu oletuksena käyttöön. AppArmor on samantapainen turvaohjelmisto kuin Selinux. AppArmor on kuitenkin helppokäyttöisempi kuin selinux, toisaalta selinux on tarjoamaltaan suojaukselta järeämpi. Selinux on alunperin NSA:n kehittämä turvaohjelmisto ja se on oikein hyväksi todettu. Selinux eristää ohjelmat sandboxiin vielä AppArmoria tiukemmin, mutta toisaalta selinux on merkittävästi vaikeampi ottaa käyttöön ja ylläpitää. Firejail eroaa toteutukseltaan AppArmorista ja Selinuxista, mutta kyseessä on silti hyvä ja erittäin monipuolinen turvaohjelmisto. Firejail sisältää runsaasti työpöytäohjelmille tehtyjä turvaprofiileja. Yleisimmin Firejailia käytetään Firefoxin sulkemiseen sandboxiin, mutta Firejailille on Debianissa turvaprofiili myös monelle muullekin yleisesti käytetylle ohjelmalle. AppArmor yhdessä Firejailin kanssa on hyvä valinta useimmille, sitten jos tarvitaan järeämpää suojaa kannattanee asentaa AppArmorin sijasta Selinux.
Tämä aihe on niin laaja, että siitä on vaikea tehdä tiivistelmää keskustelualueelle, mutta kirjotan kuitenkin sekä AppArmorin, että Firejailin käyttämisestä viestit kunhan ehdin.
T. miksuh - Anonyymi
Dockeri on vissiin ylläpidolle liikaa :-D
Ketjusta on poistettu 1 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
- 636203
Tappo Kokkolassa
Päivitetty tänään Iltalehti 17.04.2024 Klo: 15:23..Mikähän tämä tapaus nyt sitten taas on.? Henkirikos Kokkolassa on tap253976Miksi tytöt feikkavat saaneensa orgasmin, vaikka eivät ole saaneet?
Eräs ideologia itsepintaisesti väittää, että miehet haluavat työntää kikkelinsä vaikka oksanreikään, mutta tämä väite ei2602373Poliisit vaikenee ja paikallinen lehti
Poliisit vaikenee ja paikallinen lehti ei kerro taposta taaskaan mitään. Mitä hyötyä on koko paikallislehdestä kun ei261930MAKEN REMPAT
Tietääkö kukaan missä tämmöisen firman pyörittäjä majailee? Jäi pojalla hommat pahasti kesken ja rahat muisti ottaa enna261393- 951306
Itämaisesta filosofiasta kiinnostuneille
Itämaisesta filosofiasta kiinnostuneille. Nämä linkit voivat auttaa pääsemään niin sanotusti alkuun. https://keskustel3041077Kuntoutus osasto Ähtärin tk vuode osasto suljetaan
5 viikkoa ja mihin työntekijät, mihin potilaat. Mikon sairaalan lopetukset saivat nyt jatkoa. Alavudelle Liisalle tulee541050Välillä käy mielessä
olisiko sittenkin ollut parempi, että emme koskaan olisi edes tavanneet. Olisi säästynyt monilta kyyneleiltä.77996Mulla on kyllä
Järkyttävä ikävä sua. Enkä yhtään tykkää tästä olotilastani. Levoton olo. Ja vähän pelottaa..39961