Portál AbcLinuxu, 6. května 2025 17:29

Dotaz: Jak spouštět aplikace z nedůvěryhodných zdrojů?

10.4.2019 11:08 LarryL | skóre: 27
Jak spouštět aplikace z nedůvěryhodných zdrojů?
Přečteno: 433×
Odpovědět | Admin
Jak spouštíte GUI programy v linuxu, kterým nedůvěřujete (typicky z GitHubu)? Používám virtuálky, ale není to vždy vhodné, např. proto, že snížíte výkon 3D akcelerace. Chtěl bych začít používat AppArmor nebo Firejail, ale nevím jestli mi poskytnou srovnatelnou míru bezpečí jako virtuálka. Zároveň bych chtěl, aby limity té nedůvěryhodné aplikace šly nastavit nějak intuitivně - jednoduše.

Je tady někdo kdo pro appky z Githubu používá nějaký sandbox nebo to natvrdo jen zkompilujete a spustíte?
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Pavel 'TIGER' Růžička avatar 10.4.2019 13:05 Pavel 'TIGER' Růžička | skóre: 54
Rozbalit Rozbalit vše Re: Jak spouštět aplikace z nedůvěryhodných zdrojů?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Tak já z těchto zdrojů používám jen to, co jsem schopen si osobně překontrolovat a vím, že to dělá to co má a nic jiného. Jinak důvěřuji distribučním zdrojům a některým uzavřením balíčkům komerčních firem.
10.4.2019 14:23 LarryL | skóre: 27
Rozbalit Rozbalit vše Re: Jak spouštět aplikace z nedůvěryhodných zdrojů?
Díky za reakci. Ano, to co píšeš je ideální řešení, ale když má nějaký kod z githubu tisíc řádků, tak to zvládnou překontrolovat jen fakt dobří programátoři. Co se týká binárek: Všiml jsem si, že PlayOnLinux nebo Lutris nabízí spousta přednachystaných verzí Wine (a dalších spouštěčů - Atari800, libretro...) s různými patchy nebo přednachystané scripty a u nich předpokládám, že jsou to výtvory komunity, takže také vhodní kandidáti na nějaký sandbox.

Na Rootu jak mají rubriku "Softwarová sklizeň" nebo i tady na Abíčku, jsou často právě věci z githubu, které (zatím) nejsou v oficiálním repozitáři, ale přitom jsou to zajímavé projekty a kontrolovat celý zdroják je, alespoň pro mě, nereálné.
10.4.2019 16:44 NN
Rozbalit Rozbalit vše Re: Jak spouštět aplikace z nedůvěryhodných zdrojů?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Testovaci zelezo v izolovane siti.
11.4.2019 10:42 LarryL | skóre: 27
Rozbalit Rozbalit vše Re: Jak spouštět aplikace z nedůvěryhodných zdrojů?
Jako že to otestuješ a pak přesuneš na pracovní PC? To bych neuměl otestovat. Nebo jestli to myslíš tak, že to na tom testovacím železe už necháš, tak to zase ztrácí význam takový proram mít, když ho nemůžeš používat s ostatními programy na OS kde pracuješ.
Pavel 'TIGER' Růžička avatar 11.4.2019 11:39 Pavel 'TIGER' Růžička | skóre: 54
Rozbalit Rozbalit vše Re: Jak spouštět aplikace z nedůvěryhodných zdrojů?
To bych neuměl otestovat.
A v tom bude asi ten zádrhel. Testovací stroje se používají běžně. Monitoruje se na nich celkové chování aplikací ze všech možných stran, po nějakou určenou dobu. Pokud se nenarazí na nezvyklé chování, přesunou se do pracovního prostředí. Je to rychlejší, než se prolouskávat kódem, pochopitelně to má i svá úskalí, ale i výhody.
11.4.2019 14:20 LarryL | skóre: 27
Rozbalit Rozbalit vše Re: Jak spouštět aplikace z nedůvěryhodných zdrojů?
To je nějaký už hotový software určený pro takové testování aplikací nebo se všechny testy pro danou nedůvěryhodnou aplikaci můsí naprogramovat od začátku?

Nějak mám pocit, že vynaložené úsilí na testování by mělo být úměrné možnému nebezpečí. Takže testovací železo s naprogramovanými testy a analýzou těch testů si dokážu představit v případě nějakých bankovních systémů nebo v nějaké továrně kde mají své patenty, ale už méně si to dokážu představit na menším projektu někde na VPSce nebo na desktopu. Nyní řeším desktop a pokud by se to osvědčilo, tak nějaké střední projekty na VPSce, takže nic kritického.
Josef Kufner avatar 11.4.2019 12:00 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Jak spouštět aplikace z nedůvěryhodných zdrojů?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Android tento problém řeší samostatnými uživatelskými účty pro jednotlivé aplikace. Pokud máš jednouživatelský počítač (což telefony jsou), tak je to docela rozumné řešení a v kombinaci s AppArmor to může být docela bezpečné. Velkou dírou ale zůstává X server. Už několik let existují distribuce, které toto implementují (resp. snaží se), ale nevybavuju si názvy.
Hello world ! Segmentation fault (core dumped)
11.4.2019 13:54 LarryL | skóre: 27
Rozbalit Rozbalit vše Re: Jak spouštět aplikace z nedůvěryhodných zdrojů?
Tou distribucí, kterou si nevybavuješ zřejmě myslíš Qubes OS. To by pro mě byl kanon na vrabce. Toho nebezpečí sdíleného X serveru jsem si vědom, ale nepodařilo se mi zjistit jak velké riziko to je. Pokud riziko spočívá jen v tom, že mi spuštěná nedůvěryhodná aplikace bude moci odchytit heslo, které zadávám do jiné aplikace, tak tohle bych si pohlídal nebo bych po nějakém čase zkusil Wayland (jestli už je zralý) a tam by problém být neměl.

U toho Androidu jsem si myslel, že hlavní bezpečnostní politiku tam dělá SELinux, ale nikdy jsem to pořádně nezjišťoval.

Ano, AppArmor, spouštění aplikace pod samostatným účtem nebo Firejail jsou varianty co se mi zdají být přívětivé, ale když mi předřečníci radí vlastní testovací železo, tak nevím do jaké míry jsou tyto varianty opravdu bezpečným řešením. Nepředstavuje to spouštění programu pod jiným uživatelem problém v tom, že se používá jiný environment nebo problém ztráty výkonu u programů využívajících 3D akceleraci?
11.4.2019 14:43 PetebLazar
Rozbalit Rozbalit vše Re: Jak spouštět aplikace z nedůvěryhodných zdrojů?
I jiný uživatel přeci může mít v podstatných ohledech shodný environment.

Důvod rozdílu výkonu 3D si moc nedovedu představit a výsledky reprezentativního benchmarku(ů) pod dvěma username by to asi prakticky prokázaly.

Otázkou je případné zneužití existujících lokálních[remote] exploitů, v té asi jiné řešení než fyzická karanténa (test na jiném HW[LAN]) nepomůže.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.