Сайт | Скачать | Видео | Wiki

Голосование

Как сделать PRA-roll безопаснее?

Ничего не менять. sudo для всех без пароля устраивает. run-as-nobody - опционально для перестраховки
5 (31.3%)
Сделать запуск браузеров и т.п. по умолчанию run-as-nobody, а сессию запускать от root
4 (25%)
Сделать запрос пароля для sudo
6 (37.5%)
sudo для всех без пароля. run-as-nobody для всех браузеров симлинком
0 (0%)
2 ярлыка (от live и от nobody) в 084-profile*.pfs.
1 (6.3%)

Проголосовало пользователей: 16

Автор Тема: run-as-nobody - запуск приложения от пользователя без прав  (Прочитано 33425 раз)

0 Пользователей и 2 Гостей просматривают эту тему.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
не позволит сохранить из-за недостатка прав.
И запустить с правами рута
запускается кейлоггер, который передаёт на хост theridgeatdanbury.com сведения о заполнении форм и устанавливаемых Cookie.
Если кейлоггер нужно было запускать от рута - поможет
Но скорее всего все работает вниури ффокса. Поэтому в этой ситуации - не помог бы

Но это не значит, что нельзя сделать вредоносное дополнение, которое все удалит и зашифрует (если получит права)
Или еще проще - скачать что-то и автооткрыть с правами рута
В таких случаях поможет

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
в хомяк nobody( не лайва ) разрешит сохранять
да и в /temp

Оффлайн k0l0p0k

  • Ветеран
  • *****
  • Сообщений: 1611
  • Репутация: +27/-1
Или еще проще - скачать что-то и автооткрыть с правами рута
вот поэтому запускать скрипты\приложения откуда попало - плохая идея
только из мест где обычному юзеру запись запрещена
под виндой только так и спасаюсь от вирусни )
1.пень G2020,8Gb,Radeon RX460 (Debian+openBox+LXPanel)
2.нетбук  Samsung N145 (Debian+openBox+LXPanel, ddr01)

Оффлайн krasnyh

  • Ветеран
  • *****
  • Сообщений: 5319
  • Репутация: +139/-1
Я как-то пробовал перейти на парольное sudo, но слишком много специальных утилит PRA требуют это самое sudo -  pacman2pfs и т.д.
Nobody показался неудобным, что-нибудь скачаешь, а потом запускать ФМ-root, чтобы куда-то перенести.


Может какое-то адаптированное visudo, со всеми разрешениями для этих утилит?

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Безопасность не может быть удобной  :D
Может какое-то адаптированное visudo, со всеми разрешениями для этих утилит?
Может быть... Попробуйте написать. У Дяди Шурика было что-то

Оффлайн k0l0p0k

  • Ветеран
  • *****
  • Сообщений: 1611
  • Репутация: +27/-1
Nobody показался неудобным, что-нибудь скачаешь, а потом запускать ФМ-root, чтобы куда-то перенести.
это решаемо )
Цитата
ну или сохранять туда где ему запись разрешена
1.пень G2020,8Gb,Radeon RX460 (Debian+openBox+LXPanel)
2.нетбук  Samsung N145 (Debian+openBox+LXPanel, ddr01)

Оффлайн krasnyh

  • Ветеран
  • *****
  • Сообщений: 5319
  • Репутация: +139/-1
Может какое-то адаптированное visudo, со всеми разрешениями для этих утилит?
Я не так выразился, ничего писать и переписывать не надо.
Нужен просто список утилит, используемых в PRA, со всеми путями, чтобы их можно было скопом вставить в /etc/sudoers в строку ALL ALL = NOPASSWD:.

А лучше, чтобы такой sudoers был где-то на форуме или в iso. Пользователь захочет - выберет такую степень защиты. Т.е. все запоролено, кроме этих утилит и что-то там еще для удобства.

Получится что-то среднее между безопасностью и удобством. Все же одного nobody мало, прикрыт только браузер, а в системе запускай что хочешь и с какими угодно правами.
« Последнее редактирование: 30 Май 2019, 16:43:13 от krasnyh »

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
да. Я это и имел ввиду

Оффлайн krasnyh

  • Ветеран
  • *****
  • Сообщений: 5319
  • Репутация: +139/-1
Откопал свое старое сообщение об использовании windows:
Цитата
В свое время у меня была сборка Windows XP.
Как и во всякой сборке там пользователь по умолчанию с правами администратора (а потом жалуются, что их вирусы одолели).
 Пользователь был удален и создан новый с пониженными правами (вроде с гостевыми).
Установлена программа sudo (SuRun), повышающая права через пароль, когда это требуется.
 Так же, через инструменты Windows, создан белый список расширений файлов,
которым разрешено запускаться в системе и белый список разрешенных для запуска программ.
Роутер с включенным фаерволом. (На нем прописан яндекс.DNS /Безопасный/)
В системе фаервол был отключен и удален антивирус.
 Иногда я прогонял проверку системы через dr.Web и AVZ.
  За все время использования XP у меня не было проблем с вирусами.
Хотя в интернете можно увидеть постоянные Хелп! Вирусы!

P.s.  Правда еще, с помощью ACRONIS, был создан  образ восстановления XP, после ее установки и настройки (backup.tib ). :)

Там еще и права были настроены:
- папки для запуска, но не записи
- папки для записи, но не запуска.

Это я таким способом отказался от антивируса на слабом компе. Об удобствах конечно речи не идет.  :)

Оффлайн k0l0p0k

  • Ветеран
  • *****
  • Сообщений: 1611
  • Репутация: +27/-1
Это я таким способом отказался от антивируса на слабом компе. Об удобствах конечно речи не идет.
о чем вы ?? какие неудобства ??  :) когда все необходимое установлено\настроено, админские права под виндой даром не нужны ) соответственно потребность вводить пароли возникает редко

Установлена программа sudo (SuRun), повышающая права через пароль, когда это требуется.
эээ а запустить от админа разве нельзя(пкм) она же вроде сама пароль запрашивает если прав не хватает ? или я с win7 путаю ?
имхо лишняя эта прога
и белый список разрешенных для запуска программ.
Software Restriction Policies (SRP) ?
это вот у них хорошее дополнение безопасности, вместе с разграничением прав, высоченный забор для вирусни получается
« Последнее редактирование: 30 Май 2019, 17:27:42 от k0l0p0k »
1.пень G2020,8Gb,Radeon RX460 (Debian+openBox+LXPanel)
2.нетбук  Samsung N145 (Debian+openBox+LXPanel, ddr01)

Оффлайн k0l0p0k

  • Ветеран
  • *****
  • Сообщений: 1611
  • Репутация: +27/-1
ужен просто список утилит, используемых в PRA, со всеми путями, чтобы их можно было скопом вставить в /etc/sudoers в строку ALL ALL = NOPASSWD:.
кстати да, ifconfig, reboot еще несколько полезно было бы в такой список поместить
но не все
1.пень G2020,8Gb,Radeon RX460 (Debian+openBox+LXPanel)
2.нетбук  Samsung N145 (Debian+openBox+LXPanel, ddr01)

Оффлайн krasnyh

  • Ветеран
  • *****
  • Сообщений: 5319
  • Репутация: +139/-1
Из Kali Linux уберут права root по умолчанию
Хотя разработчики не поощряют использование дистрибутива Kali как основной ОС, нынче многие пользователи почему-то делают это...
При таком использовании дефолтные root-права скорее зло, чем польза, поэтому и было принято решение перейти к «традиционной» модели безопасности — пользователь по-умолчанию без root-прав.


Эта новость в качестве небольшого 'камня' в сторону пользователей классического Puppy, где сессия под root по умолчанию...  "А что такого!?"  :)

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Эта новость в качестве небольшого 'камня' в сторону пользователей классического Puppy, где сессия под root по умолчанию..
Фругал (за счет неубиваемости) дает возможность проще смотреть на root

Оффлайн krasnyh

  • Ветеран
  • *****
  • Сообщений: 5319
  • Репутация: +139/-1
Доступен новый выпуск утилиты sudo 1.9.5, используемой для организации выполнения команд от имени других пользователей. В новой версии устранено шесть проблем с безопасностью, из которых выделяются две уязвимости...
https://www.opennet.ru/opennews/art.shtml?num=54394