abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 16:00 | Komerce

Zjistěte více o bezpečné a flexibilní architektuře v cloudu! IBM Cloud poskytuje bezpečné úložiště pro Vaše obchodní data s možností škálovatelnosti a flexibilitou ukládání dat. Zároveň nabízí prostředky pro jejich analýzu, vizualizaci, reporting a podporu rozhodování.

… více »
Fluttershy, yay! | Komentářů: 1
dnes 12:22 | Nová verze

V dubnu letošního roku Mozilla představila webový prohlížeč pro rozšířenou a virtuální realitu Firefox Reality (GitHub). V úterý oznámila vydání verze 1.0. Ukázka na YouTube. Firefox Reality je k dispozici pro Viveport, Oculus a Daydream.

Ladislav Hagara | Komentářů: 2
dnes 12:00 | Komunita

V srpnu loňského roku společnost Oracle oznámila, že Java EE (Enterprise Edition) bude uvolněna jako open source. O měsíc později bylo rozhodnuto, že tato open source Java EE bude přejmenována a předána Eclipse Foundation. Nové jméno bylo oznámeno v únoru letošního roku. Z Java EE se stala Jakarta EE. Eclipse Foundation včera oznámila dosažení dalšího milníku. Zdrojové kódy aplikačního serveru GlassFish jsou již k dispozici v git repozitářích Eclipse Foundation (GitHub).

Ladislav Hagara | Komentářů: 0
včera 23:55 | Komunita

LTS (Long Term Support) podpora Ubuntu 12.04 LTS (Precise Pangolin) skončila po 5 letech od jeho vydání, tj. v dubnu 2017. V březnu 2017 ale Canonical představil placenou ESM (Extended Security Maintenance) podporu, díky které je Ubuntu 12.04 podporováno do dubna 2020. Dnes Canonical potvrdil ESM podporu také pro Ubuntu 14.04 LTS (Trusty Tahr), jehož LTS podpora skončí v dubnu 2019.

Ladislav Hagara | Komentářů: 0
včera 15:00 | Nová verze

Byla vydána verze 3.0.0 frameworku pro vývoj multiplatformních desktopových aplikací pomocí HTML, CSS a JavaScriptu Electron (YouTube, GitHub). Electron byl původně vyvíjen pro editor Atom pod názvem Atom Shell. Dnes je na Electronu postavena celá řada dalších aplikací.

Ladislav Hagara | Komentářů: 0
včera 14:44 | Nová verze

Po půl roce vývoje od vydání verze 6.0.0 byla vydána verze 7.0.0 překladačové infrastruktury LLVM (Wikipedie). Přehled novinek v poznámkách k vydání: LLVM, Clang, clang-tools-extra a LLD.

Ladislav Hagara | Komentářů: 0
včera 13:44 | Nová verze

Byla vydána verze 3.0.0 knihovny pro vykreslování grafů v programovacím jazyce Python Matplotlib (Wikipedie, GitHub). Přehled novinek a galerie grafů na stránkách projektu. Zrušena byla podpora Pythonu 2.

Ladislav Hagara | Komentářů: 0
včera 00:22 | Komunita

V Norimberku probíhá do pátku ownCloud conference 2018, tj. konference vývojářů a uživatelů open source systému ownCloud (Wikipedie) umožňujícího provoz vlastního cloudového úložiště. Přednášky lze sledovat online. Videozáznamy jsou k dispozici na YouTube. Při této příležitosti byl vydán ownCloud Server 10.0.10. Z novinek lze zdůraznit podporu PHP 7.2. Vydán byl také ownCloud Desktop Client 2.5.0. Vyzkoušet lze online demo ownCloudu.

Ladislav Hagara | Komentářů: 1
včera 00:11 | Pozvánky

Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.

xkucf03 | Komentářů: 0
18.9. 16:11 | Komunita

Vývojáři relačního databázového systému PostgreSQL oznámili, že schválili svůj Code of Conduct (CoC) aneb kodex chování vývojářů PostgreSQL.

Ladislav Hagara | Komentářů: 37
Na optické médium (CD, DVD, BD aj.) jsem naposledy vypaloval(a) data před méně než
 (13%)
 (15%)
 (20%)
 (23%)
 (25%)
 (4%)
 (1%)
Celkem 374 hlasů
 Komentářů: 33, poslední 16.9. 11:55
Rozcestník

Sandboxovaný TorBrowser cez firejail a xephyr

30.5.2016 14:15 | Přečteno: 2099× | Linux | Výběrový blog | poslední úprava: 3.6.2016 09:46

Posledná verzia programu firejail 0.9.40-rc1 podporuje nielen sandbox pre aplikácie ale teraz aj X11 servera.Tieto funkcie možno využit pri TorBrowseri.Firejail je SUID program, ktorý znižuje riziko narušenia bezpečnosti tým, že obmedzuje chod prostredia nedôveryhodných aplikácií.

Potrebujeme:
firejail - https://sourceforge.net/projects/firejail/files/firejail/
dwm - jednoduchý window manazer, je bežne dostupný v balíčkoch distribúcií
xephyr - xephyr.server ,bežne dostupný v balíčkoch distibúcií

torbrowser.profile - vytvoríme profil pre firejail a skopírujeme do /etc/firejail/ ,obsahuje:
# Firejail profile
# Profile For Custom tor-browser-en
# Sandbox also enables seccomp

# includes
include /etc/firejail/disable-mgmt.inc
include /etc/firejail/disable-secret.inc
include /etc/firejail/disable-common.inc
include /etc/firejail/disable-devel.inc

caps.drop all
seccomp
protocol unix,inet,inet6
netfilter
noroot

# blacklist
blacklist /boot
blacklist /mnt
blacklist /root
blacklist /srv

# extended sandbox for torbrowser
# note: any changes will not be saved
private
private-etc fonts/
private-dev
private-bin bash,env,id,dirname,mkdir,ln,cp,sed,getconf,file,expr
torbrowser.filter - vytvoríme súbor a skopírujeme do /etc/firejail/ ,obsahuje:
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A OUTPUT -i lo -j ACCEPT
COMMIT
Stiahneme TorBrowser a rozbalíme.https://www.torproject.org/projects/torbrowser.html.en
Súbor dwm a start dáme do adresára kde leži príkaz start-tor-browser štandardne v ../tor-browser_en-US/Browser , súbor start obsahuje:
./dwm &
./start-tor-browser

Konečny príkaz na spustenie torbrowsera v sandboxe cez firejail a xephyr.

firejail --x11=xephyr --profile=/etc/firejail/torbrowser.profile --netfilter=/etc/firejail/torbrowser.filter ./start

Príkaz nám spustí zakaždým úplne čistú verziu Torbrowsera do tmpfs ,keď je spustený.Po uzavretí sa vyčistia zbytky čo zostali po torbrowsery.Po spustení sa otvorí nové okno x11 xephyr servera v ktorom sa najprv spustí dwm window manažér a potom samotný torbrowser.Rozlíšenie xephyr okna sa nastavuje v /etc/firejail/firejail.config napr.: xephyr-screen 1280x1024 Ak je okno torbrowsera po spustení zmenšené a nedá sa maximailzovať treba dva krát stlačiť klávesu F11.


Dodatok


Takže máme izolovaný torbrowser v privátnom tmpfs a x11 xephyr okne.Týmto sme zrušili možnosť copy-paste z jedného okna do druhého.Pri vylistovaní nášho adresára /home/user browser nevidí žiadne naše súbory takže prípadný ransomware nám nemá čo zakódovať keď nič nevidí.Prevenciou pred teoretickým keyloggerom buď v systéme alebo hardwérovým keyloggerom môžme použiť napr. klávesnicu v ubuntu onboard.Pri zadávaní hesiel tu vkladáme znaky klikaním myšou a nie stláčaním kláves na hw klávesnici takže keylogger nám nemá čo zachytávať.

vpngate.pl - perl skript na vytvorenie VPN cez zoznam serverov zo stránky vpngate.net

#!/usr/bin/perl

#####################################################
# OpenVPN config tool for vpngate
# http://www.vpngate.net/en/
#
# get OpenVPN config files from vpngate server list
#
# Author: @xatierlikelee
# License: GPL
#####################################################

use 5.014;
use utf8;

use LWP::Simple;
use MIME::Base64;

# you can find other mirrors here: https://github.com/waylau/vpngate-mirrors
my $API_url = 'http://www.vpngate.net/api/iphone/';
my @servers = split /\n/, get($API_url);
shift @servers;

sub hostname     { (split /,/, $_[0])[0]; }
sub country_code { (split /,/, $_[0])[6]; }
sub config_b64   { (split /,/, $_[0])[14]; }
sub pprint {
  say (join "\t\t", (split /,/, $_[0])[0,1,2, 3,6,8,12]);
}

my $cols = shift @servers;
pprint($cols);

my @jp = grep { country_code($_) eq 'JP' } @servers;
my @us = grep { country_code($_) eq 'US' } @servers;
my @kr = grep { country_code($_) eq 'KR' } @servers;
my @se = grep { country_code($_) eq 'SE' } @servers;

pprint $_ for @jp;
pprint $_ for @us;
pprint $_ for @kr;
pprint $_ for @se;

print 'hostname: ';
my $input = <>;
chomp($input);

if ($input =~ /^vpn\d+$/) {
  open F, '>', "$input.ovpn";
  my $config = config_b64((grep { hostname($_) eq $input } @servers)[0]);
  print F decode_base64($config);
  say "save OpenVPN config to $input.ovpn ->  sudo openvpn $input.ovpn";
  close F;
}

=columns

HostName,IP,Score,Ping,Speed,CountryLong,CountryShort,NumVpnSessions,Uptime,
TotalUsers,TotalTraffic,LogType,Operator,Message,OpenVPN_ConfigData_Base64
0 => #HostName
1 => IP
2 => Score
3 => Ping
4 => Speed
5 => CountryLong
6 => CountryShort
7 => NumVpnSessions
8 => Uptime
9 => TotalUsers
10 => TotalTraffic
11 => LogType
12 => Operator
13 => Message
14 => OpenVPN_ConfigData_Base6
=cut
Pripájanie v torbrowseri štandardne prebieha cez tri onion spojenia.Ak im neveríme môžme pred jeho spustením vytvoriť jedno VPN spojenie cez náš vpngate.pl skript.Je to prerlovský skript na zjednodušenie pripojenia na niektorý free VPN server zo zoznamu vpngate.net.Po spustení v termináli nám vylistuje aktuálny zoznam serverov a čaká na zadanie mena sarvera.Vyberáme ten s najmenšou odozvou.Potom už nasleduje:
sudo openvpn vpn922786637.ovpn a vytvorí sa nám VPN spojenie.Openvpn musíme mať nainštalovaný.

       

Hodnocení: 90 %

        špatnédobré        

Obrázky

Sandboxovaný TorBrowser cez firejail a xephyr, obrázek 1 Sandboxovaný TorBrowser cez firejail a xephyr, obrázek 2 Sandboxovaný TorBrowser cez firejail a xephyr, obrázek 3

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

30.5.2016 14:35 BIS
Rozbalit Rozbalit vše Re: Sandboxovaný TorBrowser cez firejail a xephyr
Chris Hansen prý o tobě bude natáčet v ČR dokument
30.5.2016 15:17 MaloSaKradne
Rozbalit Rozbalit vše Re: Sandboxovaný TorBrowser cez firejail a xephyr
Aj negatívna reklama je reklama :D
30.5.2016 16:17
Rozbalit Rozbalit vše Re: Sandboxovaný TorBrowser cez firejail a xephyr
Zalez, trolle.
Bedňa avatar 30.5.2016 18:50 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Sandboxovaný TorBrowser cez firejail a xephyr
Ten dwm je tam zbytočný nie?

Čo sa týka Xephyru, nestačil by xinit na spustenie ďalšieho Xserveru? To občas používam.
KERNEL ULTRAS video channel >>>
30.5.2016 19:32 sk7
Rozbalit Rozbalit vše Re: Sandboxovaný TorBrowser cez firejail a xephyr
da sa to pustit aj bez dwm ale potom menu a horne tlacitka torbrowsera cez xephyr mi nefungovali s dwm áno
Bedňa avatar 30.5.2016 20:12 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Sandboxovaný TorBrowser cez firejail a xephyr
Som to testol a fakt to nefunguje.
KERNEL ULTRAS video channel >>>
Bedňa avatar 30.5.2016 23:25 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Sandboxovaný TorBrowser cez firejail a xephyr
Teda ja som to netestoval cez Xephyr, ale cez xinit, no menu sa nedalo použiť.

Inak ja používam antiX a v distre mám balíček torbrowser-launcher, čo máš za distro že tam Tor Browser nemáš?
KERNEL ULTRAS video channel >>>
31.5.2016 06:46 sk7
Rozbalit Rozbalit vše Re: Sandboxovaný TorBrowser cez firejail a xephyr

Pouzivam klasiku ubuntu.Su aj deb balicky no instaloval som tar.xz archiv.nevidim rozdiel medzi tar.xz a .deb balickami.
Parada akurat vydali nove verzie.Torbrowser je uz 6.0 stable
https://gitweb.torproject.org/builders/tor-browser-bundle.git/tree/Bundle-Data/Docs/ChangeLog.txt a firejail 0.9.40 je tiez stable doteraz bol len rc1.

Bedňa avatar 31.5.2016 09:29 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Sandboxovaný TorBrowser cez firejail a xephyr
Tak výhoda deb balíčku je jasná, doťahá si všetky závislosti a balíčky sa udržujú aktuálne.
KERNEL ULTRAS video channel >>>

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.