Действительно ли возможно ограничить программу в чтении чего-нибудь снаружи, в чем они нуждаются?
Я понимаю, что, запуская программы, поскольку некорневой пользователь сделан для ограничения программ из файлов системы письменности, который препятствует тому, чтобы вредоносное программное обеспечение ставило под угрозу безопасность системы.
Но в большинстве случаев те программы все еще могут считать те системные файлы даже при том, что они не могут записать им (напр. /etc/fstab) который оставляет систему уязвимой для широкого спектра шпионского ПО.
Так, действительно ли возможно ограничить программы более драконовским способом так, чтобы они не могли бы получить доступ к чему-нибудь вне определенной среды? Например, я мог позволить firefox использовать ~/.mozilla, ~/.cache/mozilla и ~/Downloads, но firefox никогда не будет мочь считать что-либо из /etc или такой.
Есть ли в Linux такая функция?
2 ответа
Метод для ограничения доступа на Ubuntu с apparmor.
https://wiki.ubuntu.com/AppArmor
Firefox идет с профилем apparmor для Firefox, который был конкретно разработан с учетом требований безопасности.
, как указано Rinzwind, ro доступ не обязательно проблема безопасности.
Большие программы, такие как Firefox не являются лучшими из примеров, поскольку Firefox имеет довольно широкие возможности от доступа к сети до аппаратного доступа.
, Как Вы видите, Firefox apparmor профиль является довольно большим. Можно, конечно, изменить профиль apparmor к определенным потребностям / проблемы если Вы, так требуйте. Просто обязательно сохраните копию исходного профиля, таким образом, можно восстановить его при повреждении функциональности Firefox.
Другие браузеры, такие как хром, выполненный, песочница.
, Если Вы особенно интересуетесь безопасностью, можно выполнить Fedora с selinux и запустить приложения в песочнице selinux.
профили apparmor доступны здесь
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/AppArmorProfiles
Да, существует: это называют chroot среда (см. http://en.wikipedia.org/wiki/Chroot ).