AbcLinuxu:/ Zprávičky / Oz - bezpečný sandbox GUI aplikací

Štítky: grsecurity, GUI, namespaces, X11

Oz - bezpečný sandbox GUI aplikací

Oz je bezpečný sandbox GUI aplikací vyvíjený v rámci projektu Subgraph OS. Aplikace spuštěné v Oz sandboxu jsou bezpečně izolované prostřednictvím namespaces kontejnerů, seccomp filtrů, capabilities a X11 je odstíněno pomocí Xpra. Oz sanbox je doporučeno používat spolu s Grsecurity pro snížení rizika prolomení kontejneru. Více viz technické detaily.

31.8.2015 12:33 | xm | Zajímavý software

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (2) ? , Tisk

Vložit další komentář

31.8.2015 12:51 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Odpovědět | Sbalit | Link | Blokovat | Admin

Myslím si, že toto je právě ta věc, která v linuxu chybí plně zautomatizovat a zintegrovat (podpora v KDE/GNOME/Unity) pro desktopy, kde jsou uživatelé méně obezřetní a hlavně tam začínají být uživatelé méně znalí. V dnešní době je totiž Linux stejně náchylný jako windows. Viz třeba policejní virus, nebo cryptolocker. To jsou všechno věci, které jdou v obou systémech naprosto jednoduše zpunktovat.
Spousta lidí tu samozřejmě může říkat, že lze home nastavit do režimu noexec apod. drobnosti, které lze jednoduše obejít. V obou systémech prostě chybí jednoduchá ochrana, která by ochránila i ty opravdu hodně neznalé uživatele.
Zdar Max
PS: ano, lze si vše nastavit ručně, naskriptovat apod., ale stejně jako s kernelem se v userspace dostáváme do stádia, kdy už to není tak jednoduchý a čírý systém jako dříve a vše vyžaduje čím dál více hlubších znalostí.

Měl jsem sen ... :(

31.8.2015 12:58 R
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Jednoducha ochrama, ktora by chranila kazdeho a sucasne neobmedzovala, neexistuje a nikdy existovat nebude.

31.8.2015 13:04 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Když to doženeš do extrému, tak samozřejmě, že ne, ale rozhodně lze současný stav mnohanásobně zlepšit.
Zdar Max

Měl jsem sen ... :(

2.9.2015 02:43 apparmor
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

http://wiki.apparmor.net/index.php/FAQ Tohle na to nepomǔže? V Mintu to ale nemám.

2.9.2015 04:22 apparmor
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

viz. zkušenosti nějakýho franty https://blog.frantovo.cz/c/90/AppArmor%20vs.%20iptables%20%E2%80%93%20blokov%C3%A1n%C3%AD%20s%C3%ADt%C4%9B

31.8.2015 13:03 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Oz právě řeší/bude řešit i tu integraci s desktopem. Navíc je tu třeba i Oz Shell Gnome Extension.

Nicméně cílovka Subgraph OS (a tedy i Oz) nejsou běžní uživatelé, ale uživatelé, pro které je bezpečnost a soukromí absolutní prioritou.

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

31.8.2015 15:32 majk
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

pro uzivatele, kterym jde opravdu o MAX bezpecnost je tu spis QubesOS, prave Oz vidim jako kompromis mezi bezpecnosti (kontejnery) a OS pro BFU.

31.8.2015 15:34 majk
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

ruka rychlejsi nez hlava..ted jsem si precetl tvuj komentar nize :)

31.8.2015 13:17 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Jinak samotné Gnome má projekt distribuce aplikací zabalených v sandboxu. Nezajímal jsem se o to tak netuším jak je to daleko a na jaké úrovni je bezpečnost (a jestli/kdy to plánují zařadit do Gnome jako takového), ale každopádně takový projekt existuje: GNOME sandboxed applications (xdg-app)

Pak je tu také např. Subuser postavený nad Dockerem.

No a pro úplné paranoiky je tu Qubes OS, kde je koncept "security by isolation" dotažený k dokonalosti (založené na Xenu, jednotlivé AppVM jsou totálně izolované, ale jejich okna jsou zobrazována společně v trusted window manageru běžícím pod Dom0, kde je řešeno i jejich barevné odlišení a tak).

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

31.8.2015 16:33 Rezza | skóre: 25 | blog: rezza | Brno
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

No a prave kvuli tem xdg-app se dela kdbus, aby byly aplikace kompletne oddelene od systemu. A potrebovali neco, co dokaze rychle prenaset velke objemy dat, protoze plan je, ze se lidi nedostanou primo ani na filesystem, vlastne nikde bez opravneni. Jinak se to pripravuje i pro LO, KDE atd. Jako uprimne, moc tyhle veci nechapu, pro me soukromi a tyhle bezpecnostni veci posledni vec na svete, co me zajima. Ale doufam, ze vzdycky budu mit kontrolu nad tim, co chci delat a svoji svobodu to delat :).

31.8.2015 16:38 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

pro me soukromi a tyhle bezpecnostni veci posledni vec na svete, co me zajima

OLOL

Nejste vy náhodou ten člověk, co v nějaké diskuzi navrhoval, že by povinně měli všichni o sobě všechno sdílet na netu, nikdo by neměl mít žádné soukromí, a pro toho kdo to odmítne by měli být drakonické tresty? Přestěhujte se prosím do KLDR, tam možná budete spokojen :-P

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

31.8.2015 16:50 Rezza | skóre: 25 | blog: rezza | Brno
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Ja si porad myslim, ze to vyresi vsechny problemy, protoze ty jsou zpusobene nedokonalou transparentnosti a proto mam tak rad open source, kde maximalni. A ukazuje se to jako velmi funkcni koncept a vzdy kdyz neco nejede, tak je to tim, ze bylo malo transparentnosti a nebo se nekdo bavil nekde soukrome. Dokonce nekteri lidi v komunite odmitaji reagovat na soukrome zpravy z tohoto duvodu.

31.8.2015 17:11 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Je podstatný rozdíl mezi dobrovolností a vynucováním. V menších dobrovolných komunitách to fungovat může (podobně jako v malých dobrovolných komunitách může fungovat třeba utopický komunismus), ale jakmile bys něco takového chtěl vynucovat na státní úrovni, máš totalitní peklo jak vyšité. Proti tomu by i 1984 byla slabota...

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

31.8.2015 21:10 Rezza | skóre: 25 | blog: rezza | Brno
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Na to 1984 jsem ted cetl jednu vec - ze se v te knizce spletl. Protoze tam se ocekava, ze lidi budou k necemu donuceni a oni to dneska delaji dobrovolne :).

1.9.2015 13:56 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Tak on se spletl ve více věcech. Například to přepisování minulosti (v té knize se neustále upravovaly staré výtisky novin, aby si nikdo nebyl schopen ověřit minulost - prostě pravda je to, co říká strana teď a podle toho se upraví veškeré záznamy).

V realitě se ukazuje, že toto není vůbec potřeba. Ze strany (nejen) politika stačí prostě začít říkat něco jiného než včera. Co na tom, že jsou k disposici noviny, webstránky, video a audio archivy. Za pár let se lidem, kteří si nejen pamatují, jak to bylo, ale dokonce na to mají ty původní nahrávky, dá nějaká nálepka (konspirační teoretici, blázni, nepřátelé kapitalismu) a jede se prostě dál.

Veřejnost se něčím tak otravným, jako jsou fakta a důkazy, ovlivnit nenechá.

Heron

1.9.2015 14:53 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Příloha:

huxley_vs_orwell_2.jpg (888006 bytů)

K tomu existuje pěkná infografika (viz příloha).

blog.rfox.eu | Lessons learned from games

31.8.2015 17:26 coder | skóre: 4 | blog: lINUKS
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Jako vážím si každého člověka, který si láme hlavu s tím, jak udělat svět lepším. Ale jak zajistíme, že budou transparentní i vlády a její veškeré organizace ("tajné" služby a pod...)? A nebo budou dohlížiteli občané? A jak, když ne skrze "svoji" vládu? Každý občan bude trávit 100 hodin denně dohlížením na veškeré (vládní) rozhodnutí, které jej mají šanci nějak ovlivnit? A nebo si zvolí, či jinak legitimuje nějaké NGO zástupce, kteří budou dohlížet a ověřovat za něj? A ty už nikdo nezkorumpuje?
V takové společnosti budou hrát informační technologie klíčovou roli. Co se stane, až se pokazí internet, přijde EM vlna ze slunce a pod? Konec světa? Chaos?

These kids won't have to remember passwords or obsess about security because these kids will grow up with Windows 10!

31.8.2015 17:39 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

V takové společnosti budou hrát informační technologie klíčovou roli. Co se stane, až se pokazí internet, přijde EM vlna ze slunce a pod? Konec světa? Chaos?

Chaos, samozřejmě. Tak na měsíc, dva, pak se všichni přizpůsobí. Jinak spíš než vln ze slunce bych se bál vhodně odpálené atomovky, která by ani nemusela nadělat žádné jiné škody, kromě EMP.

blog.rfox.eu | Lessons learned from games

31.8.2015 18:58 coder | skóre: 4 | blog: lINUKS
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Tak na měsíc, dva, pak se všichni přizpůsobí.

Se přizpůsobí a zjistí, že dokáží fungovat i bez transparentnosti :-D

Ale např. myslím si, že o mě ti nahoře ví už dost, takže by na oplátku mohli být trochu více transparentnější, než je tomu dnes...

These kids won't have to remember passwords or obsess about security because these kids will grow up with Windows 10!

1.9.2015 16:22 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

NGO jsou zkorumpované už tím, že mají vždy dominantního sponzora...

Archlinux for your comps, faster running guaranted!

1.9.2015 17:51 ⧠ A = 0 | skóre: 11 | blog: Technokratovo_zrcadlo | Helsinki
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Nelži.

Nevolte zmrdy.

31.8.2015 18:02 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Koncept všeobecné transparentnosti je jistě zajímavá (I když pro mě nepříliš lákavá) myšlenka, ale jedna z věcí která ji totálně pohřbívá je lidský faktor. Předsudky vůči některým věcem by některé lidi v takové společnosti spolehlivě pohřbily.

Cross my heart and hope to fly, stick a cupcake in my eye!

31.8.2015 18:20 Dalimil
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Přesně tak. Lidi a člověk jsou svině. Ale možná by šlo vyšlechtit Homo Transparentus. Bojím se však, že po pár generacích by se narodil díky mutaci normální člověk a ten by měl nádherný národ otroků.

31.8.2015 18:37 mica
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Když už jsme u tohoto tématu, pusťte si ty díly seriálů Star Trek (zejména Voyageru), kde se vyskytují Borgové. Tam máte dokonale transparentní společnost jako vyšitou (třebaže to poněkud pokazili přidáním královny, která už tak transparentní není).

31.8.2015 18:49 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Ona by ta transparentnost asi fungovala dobře i u Vulkánců :)

Cross my heart and hope to fly, stick a cupcake in my eye!

31.8.2015 21:09 Rezza | skóre: 25 | blog: rezza | Brno
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Samozrejme je to predstava idealni spolecnosti, to neznamena, ze musi byt realizovatelna :). Protoze jeji vynuceni se neslucuje s mojim nihilistikyanarchistickym ja :))).

31.8.2015 18:37 R
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Pristup na filesystem cez kdbus - tym ludom musi dobre j**at... To potom asi prejdem na Windows.

31.8.2015 14:11 coder | skóre: 4 | blog: lINUKS
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Odpovědět | Sbalit | Link | Blokovat | Admin

Nedávno jsem sháněl na Archu něco na takové to základní zabezpečení Firefoxu a ostatních aplikací, které pracují s daty z internetu a jelikož SELinux a AppArmor jsou na tomto distru divočina, tak jsem sáhl po firejail. Docela jsem si dal na desktopu práci s konfigurací (15 minut), ale třeba k vůli tomu Xpra bych si tím klidně prošel znova.

Oz sanbox je doporučeno používat spolu s Grsecurity pro snížení rizika prolomení kontejneru.

To se na těch 9 dní vyplatí..., viz zprávička

These kids won't have to remember passwords or obsess about security because these kids will grow up with Windows 10!

31.8.2015 14:15 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Vyplatí. Většina desktopových distribucí včetně Archu funguje s grsecurity testing, který nadále vydáván bude.

Cross my heart and hope to fly, stick a cupcake in my eye!

31.8.2015 14:19 coder | skóre: 4 | blog: lINUKS
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Dík, důležitý detail, který mi unikl ;-)

These kids won't have to remember passwords or obsess about security because these kids will grow up with Windows 10!

31.8.2015 14:34 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Jo, taky mě to vylekalo, ale stable verze na aktuálních jádrech nešla nikdy. K tomu sandboxingu, celkem přemýšlím že si na Archu hodím Firefox do nspawn kontejneru.

Cross my heart and hope to fly, stick a cupcake in my eye!

31.8.2015 15:40 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Podporuje systemd-nspawn user namespaces? Vím že tam nějaká podpora měla být, ale nevím zda to je už použitelné (nspawn moc nesleduji). Jestli ne, pak je nesrovnatelně lepší volba LXC a jeho unprivileged containers.

Protože bez user namespaces jsou linuxové kontejnery nebezpečné (root v kontejneru se prakticky rovná rootu v hostujícím systému).

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

31.8.2015 18:04 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Nevím, teď si s tím teprv začínám hrát. Možná pak napíšu blogpost nebo tak něco :)

Cross my heart and hope to fly, stick a cupcake in my eye!

31.8.2015 15:28 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Na Firejail jsem koukal už dříve, technologicky se zdá být podobný jako Oz (namespaces, seccomp, ...), ale to že nijak neizoluje X11 je totální díra (libovolná Xková aplikace může třeba odposlouchávat stlačené klávesy i v jiných Xkových aplikacích, atp.). Ta integrace s Xpra v Oz je killer feature :-)

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

31.8.2015 18:49 Frank
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

IMHO cokoliv, co posílá data přes X11, je totální díra. Dokud nebude Wayland standardem, tak si o nějakém solidním sandboxingu desktopových aplikací můžeme nechat jenom zdát.

31.8.2015 18:51 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Jak jsou na tom okna aplikací přes xwayland? Tam to oddělení tuším taky funguje?

Cross my heart and hope to fly, stick a cupcake in my eye!

31.8.2015 19:12 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Není pravda, Xpra totiž X11 spolehlivě odizoluje. Pravda zaplatíš za to výkonem u věcí jako 3D grafika a video, ale pokud chceš opravdovou bezpečnost, musíš být ochoten dělat kompromisy. Vůbec Xpra je perfektní kus SW (k tomu k čemu je hlavně určena, nejen k izolaci X11, což je jen takový bonus navíc ;-)

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

31.8.2015 21:05 sonicpp | skóre: 7
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Odpovědět | Sbalit | Link | Blokovat | Admin

To je paráda, takových užitečných projektů tu v diskusi bylo zmíněno :)

Osobně se taky snažím chránit systém, zvlášť před nesvobodnýma aplikacema (hlavně hry - Steam a něco ve Wine), přemýšlím ale že bych odizoloval i molochy, které komunikují s Internetem (jako Firefox).

Já to řeším přidáním dalšího uživatele (případně uživatelů) (něco jsem čerpal z tohoto: http://pastebin.com/cjA1nQpk). Je to blbost? Osobně mi to přijde lepší, než dávat SELinux (proti němu nic nemám, jen si myslím, že tam je pravděpodobnější, že bude nějaká díra). Pravda, před spuštěním aplikace si musím přidat uživatele do access control listu pro X11 (ale to bych asi musel tak jako tak) a dokud mi běží aplikace, nezadávám nikam hesla (která by mi mohl někdo přes Xka přešíst). Šlo by to řešit přes zmiňované Xpra, ale to se na hraní nehodí. Dál se musí povolit přístup na PulseAudio pro localhost.

Ještě plánuju přidat Cgroups, aby mi případně špatně napsaná aplikace nesežrala celé CPU nebo RAM. A to Grsecurity vypadá taky zajímavě (ačkoliv řeší zase jiný problém)

31.8.2015 21:12 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

Jiný uživatel asi moc nepořeší situaci kdy útočník třeba přes chybu v prohlížeči spustí nějaký 0-day rootkit.

Cross my heart and hope to fly, stick a cupcake in my eye!

31.8.2015 21:20 sonicpp | skóre: 7
Rozbalit Rozbalit vše Re: Oz - bezpečný sandbox GUI aplikací

No přiznám se, že této problematice tolik nerozumím. Neříkám, že je to dokonalé, ale pokud předpokládáme, že uživatel nemá skoro žádná práva, tak by mohl napáchat škodu pouze ve svém home a možné ještě někde jinde - pokud předpokládáme, že Linux není děravý. Jakože Linux asi je taky děravý, ale to se dá říct i o SELinuxu, ne?

Založit nové vlákno • Nahoru