Сайт | Скачать | Видео | Wiki

Голосование

Как сделать PRA-roll безопаснее?

Ничего не менять. sudo для всех без пароля устраивает. run-as-nobody - опционально для перестраховки
5 (33.3%)
Сделать запуск браузеров и т.п. по умолчанию run-as-nobody, а сессию запускать от root
3 (20%)
Сделать запрос пароля для sudo
6 (40%)
sudo для всех без пароля. run-as-nobody для всех браузеров симлинком
0 (0%)
2 ярлыка (от live и от nobody) в 084-profile*.pfs.
1 (6.7%)

Проголосовало пользователей: 15

Автор Тема: run-as-nobody - запуск приложения от пользователя без прав  (Прочитано 5057 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Онлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 24082
  • Репутация: +173/-0
    • PuppyRus-A
логично было бы запускать Х от рута и выкинуть sudo...
В аттаче. Проверено с systemd и minirc PRA-roll
Установка :
1. Положить 089-zzz-root*.pfs в /base
2. Убедиться что в сохраненке нет /root. Не забудьте сделать сначала резервную копию.  Если есть - перенести содержимое в /home/live
Чтобы не переделывать все ДЕ - root сделан симлинком. Т.к. профиль live в каждой DE свой
только для 089-zzz-root-180112-sf01.pfs
3. Браузеры и пр. потенциально небезопасные приложения запускать
run-as-nobody программаИли сделать в /usr/local/bin :
sudo ln -s /usr/local/bin/run-as-nobody-ln /usr/local/bin/программапрограмма должна находиться в /usr/bin
Для palemoon - симлинк уже в 089-zzz-root*.pfs
Если для программы есть настроенный профиль - переместить его в /home/live/nobody и сделать
sudo chown -R nobody /home/live/nobody
083-palemoon-profile-27.9.0_any-sf01.pfs  - c двумя профилями (live и nobody)
083-chrome-profile-sf10.pfs

089-zzz-root-180112-sf02.pfs - упростил. live становится root сменой uid в /etc/passwd
Соответственно п.2 не нужен
sudo выкидывать тоже смысла нет. 300к места экономии того не стоят
« Последнее редактирование: 18 Апрель 2018, 18:13:14 от sfs »

Онлайн RoDoN

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 5573
  • Репутация: +122/-0
    • RoDoN
Т.е. теперь каталог /root становится симлинком на /home/live и... а может не надо городить никаких костылей и велосипедов, а сделать, как и большинство Live-систем с одним пользователем root ?
Когда переходили на sudo и live объясняли все борьбой за мнимую безопасность,  т.к. сам же пишешь, что sudo не настроенно и врядли кто-то заморачивался этой настройкой. За что мы вообще боремся?
В PuppyRus один только root и интересно сколько пользователей пострадало от такой "небезопасной" системы?

Acer Aspire One AO751h (Atom Z520, Intel GMA500)
Acer Extensa 5620Z (T7500, Intel 965GM)
PuppyRus-JWM-13.12, PRA, Upup Precise, Tahr Puppy, Runtu 14.04 XFCE.

Онлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 24082
  • Репутация: +173/-0
    • PuppyRus-A
Т.е. теперь каталог /root становится симлинком на /home/live
Временно - да
Чтобы не переделывать все ДЕ - root сделан симлинком. Т.к. профиль live в каждой DE свой

а может не надо городить никаких костылей и велосипедов, а сделать, как и большинство Live-систем с одним пользователем root ?
Уже так и сделано. live заблокирован
Прямо сейчас переделывать профили всех ДЕ желания нет
Для тестов достаточно костыля с симлинком
За что мы вообще боремся?
Удобство и безопасность
В PuppyRus один только root и интересно сколько пользователей пострадало от такой "небезопасной" системы?
По большому счету - в неубиваемом фругале можно себе позволить больше. На практике - ни у кого проблем не возникало. Никого через браузер не похакали ни у нас ни в пупи...

Онлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 24082
  • Репутация: +173/-0
    • PuppyRus-A
Мож потому и не пострадало, что прм упоминании работы от root все сразу разбегались. На том же ЛОР, например.
Теперь есть все варианты
1. live +sudo
2. root
Выбирай на вкус
А вообще фул и фругал - как две разные религии  ;)

Оффлайн krasnyh

  • Ветеран
  • *****
  • Сообщений: 973
  • Репутация: +42/-0
    acl вам в помощь

можно подробнее

Access Control List - списки контроля доступа
 Это как я понял для сисадминов, которые обслуживают
много компьютеров, и есть необходимость кого-то ограничить
в правах, а кому-то дать больше прав.

1. Положить 089-zzz-root*.pfs в /base
  Run-as-spot и отказаться от sudo?
Мне сложно принять такое. Да, как мы пользуемся sudo в PRA (без пароля) это насмешка над здравым смыслом.
Но идея с run-as-spot не добавляет безопасности. Ее цель лишь избавиться от sudo.
А с системой можно проводить любые потенциально опасные действия.
 Те же родственники по неосторожности, или внешний доступ через сеть (хотя его возможность и отрицается для PRA) .

  Может сделать как в magos, sudo через графическую утилиту с паролем.
Причем, чтобы  пароль запоминался. От часа, до целой сессии (как в gksu).
Или, кому надо, можно было отключить пароль (как и было раньше).

  В свое время у меня была сборка Windows XP.
Как и во всякой сборке там пользователь по умолчанию с правами администратора (а потом жалуются, что их вирусы одолели).
 Пользователь был удален и создан новый с пониженными правами (вроде с гостевыми).
Установлена программа sudo (SuRun), повышающая права через пароль, когда это требуется.
 Так же, через инструменты Windows, создан белый список расширений файлов,
которым разрешено запускаться в системе и белый список разрешенных для запуска программ.
Роутер с включенным фаерволом. (На нем прописан яндекс.DNS /Безопасный/)
В системе фаервол был отключен и удален антивирус.
 Иногда я прогонял проверку системы через dr.Web и AVZ.
  За все время использования XP у меня не было проблем с вирусами.
Хотя в интернете можно увидеть постоянные Хелп! Вирусы!

P.s.  Правда еще, с помощью ACRONIS, был создан  образ восстановления XP, после ее установки и настройки (backup.tib ). :)
« Последнее редактирование: 16 Апрель 2018, 23:30:02 от krasnyh »

Онлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 24082
  • Репутация: +173/-0
    • PuppyRus-A
Access Control List - списки контроля доступа
Что это я знаю - мне не понятно чем поможет в этой теме
идея с run-as-spot не добавляет безопасности
Что может быть безопаснее запуска от пользователя без прав??? Только запуск в chroot. Можно и такое намутить с повторным монтированием сквоша. Что-то подобное есть в свежих дистрах Бари. Сложно будет для понимания
Может сделать как в magos, sudo через графическую утилиту с паролем.
Это будет лучше чем sudo без пароля и правильнее, но сделать сложнее
В соседней теме обсуждали и я даже написал скрипт sudoq
Пробовал тестировать - не помню уже подробностей, но были какие-то проблемы
Если интересно - пишите в ту тему
За все время использования XP у меня не было проблем с вирусами.
А за время использования ПРа даже без ухищрений - были?  ;)
« Последнее редактирование: 16 Апрель 2018, 16:25:31 от sfs »

Онлайн Pro

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 10080
  • Репутация: +103/-0
Это концептуальный вопрос и решаться должен был давно уже. Если будет принят курс на изменение, то это уже будет новый вариант системы
Я загружаю новые пакеты сюда: http://file.puppyrus.org/users/ а дальше можно найти самостоятельно.

Онлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 24082
  • Репутация: +173/-0
    • PuppyRus-A
Это концептуальный вопрос и решаться должен был давно уже.
да
Если будет принят курс на изменение, то это уже будет новый вариант системы
Надо тестировать , определяться и при переходе на следующий срез арчрепы внедрять с минимум костылей и максимумом удобства и безопасности

В идеале доводить sudoq - универсальнее - подключайтесь
Никому не порекомендую full с работой под root
« Последнее редактирование: 16 Апрель 2018, 16:36:38 от sfs »

Онлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 24082
  • Репутация: +173/-0
    • PuppyRus-A
как мы пользуемся sudo в PRA (без пароля) это насмешка над здравым смыслом.
Да. И если не изменен в сохраненке пароль root - дальше бесполезно вообще что-то делать по безопасности  :) У кого изменен... ?  ;)

Онлайн RoDoN

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 5573
  • Репутация: +122/-0
    • RoDoN
:) У кого изменен... ? ;)
И что тут смешного? Напр., у меня.

Acer Aspire One AO751h (Atom Z520, Intel GMA500)
Acer Extensa 5620Z (T7500, Intel 965GM)
PuppyRus-JWM-13.12, PRA, Upup Precise, Tahr Puppy, Runtu 14.04 XFCE.

Оффлайн betcher

  • Ветеран
  • *****
  • Сообщений: 1507
  • Репутация: +16/-0
    • Беседка магос
Не понял про магос и sudo, вроде нет такого. Sudo есть, гуй для его настройки включен по просьбам трудящихся, но системно не используется и нигде не рекомендуется. Для запуска с правами рута испрльзуем beesu, если надо с граф.интерфейсом. Если в консоли - обычный su. Дефолтный юзер входит в группу wheel имеет прав чуть больше остальных, даже не помню что конкретно.
По файрфоксу от бесправного юзера интересно, но не понятно как к примеру он будет работать с загрузками, ведь если есть права на запись в хомяк пользователя какой вообще смысл.
http://magos-linux.ru - форум
https://gitter.im/magos-linux-ru/chat - беседка (чат)

Онлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 24082
  • Репутация: +173/-0
    • PuppyRus-A
И что тут смешного? Напр., у меня.
То что только у тебя. Заморачиваеися сложными вещами, а простые не сделаны
Sudo есть, гуй для его настройки включен по просьбам трудящихся,
Самодельный? на чем написан? Пакетом есть?
Для запуска с правами рута испрльзуем beesu, если надо с граф.интерфейсом.
http://dl.fedoraproject.org/pub/fedora/linux/releases/26/Everything/x86_64/os/Packages/b/beesu-2.7-29.fc26.x86_64.rpm
Т.е. sudo в магос нет? А где там гуй? Я так понял beesu - легкий консольный заменитель sudo (дает возможность в его конфиге разрешить только перечисленное)
По файрфоксу от бесправного юзера интересно, но не понятно как к примеру он будет работать с загрузками, ведь если есть права на запись в хомяк пользователя какой вообще смысл.
Стандартно. Загружает в свой хомяк (расположить можно где угодно). На запись в чужие хомяки прав не имеет. Да практически никаких прав не имеет

Оффлайн DdShurick

  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 6392
  • Репутация: +162/-0
  • Старый чайник
какой вообще смысл.
Никакого. Вот здесь объясняется смысл sudo. Вывод: в однопользовательской системе - излишество. Достаточно su (gksu) и правильных /etc/passwd и /etc/group.
На запись в чужие хомяки прав не имеет.
А они в однопользовательской системе есть? Думай, голова.
« Последнее редактирование: 17 Апрель 2018, 09:32:17 от DdShurick »
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150)
Netbook Acer 722 c6ckk (AMD C-50 Ontario, Radeon HD 6250)
Nettop Asus Eee Box PC B202 (Intel Atom N270, intel GMA 950)
Nettop Asus Eee Box PC EB1007 (Intel Atom D425, Intel GMA 3150)

Онлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 24082
  • Репутация: +173/-0
    • PuppyRus-A
А они в однопользовательской системе есть?
Во всех линуксах на все хомяки запись только у хозяина
Борьба с sudo даст 350к экономии места - больше никаких плюсов
Из всех (su beesu busubox) - sudo самая продвинутая. Смысл с ней бороться?
По Вашей ссылке это и написано : su - неправильно

При любой защите надо четко понимать : что и от кого защищаем
1. От "внутреннего" юзера (имеет физический доступ к компу) можно гарантированно защититься только шифрованием.
Без шифрования все пароли можно сбросить. или получить доступ, загрузившись в систему с флэшки и т.п.
Т.е. все из шапки не про это
2. Внешний хакер.
Наиболее просто получить доступ через сервис , открывший порт на белом ip
Если Вы за NAT роутера - уже сложнее

Наиболее вероятно получить доступ через дырявое приложение. Например браузер
Соответственно в самом плохом случае можно получить права юзера, от которого запущено дырявая прога
Соответственно запуск таких прог от юзера без прав дает хорошую перестраховку

Это теория. На практике хакерам линукс дектопы мало интересны. Их мало. Вариантов линукса много
Наиболее вероятно что-то подцепить - установив руками какое-то паленое дополнение к браузеру или типа того
От этого все из шапки не поможет
Ну и бэкапы своих файлов тоже никто не отменял

Онлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 24082
  • Репутация: +173/-0
    • PuppyRus-A
Доработал run-as-nobody.gz (приаттачен в шапке темы): копирует настройки оформления gtk* qt*
Упростил 089-zzz-root-180112-sf02.pfs подробности там же
Универсально (live+nobody) переделал профиль palemoon - подробности там же выше

По итогу планирую написать в вики про 3 модели безопасности из шапки и на этом закончить