Pull to refresh

Skype — береженого Бог бережет

Configuring Linux *

Здраствуйте. Думаю, многие слышали о нашумевшей истории с тем, что skype читает файлы /etc/passwd и ~/.mozilla. Конечно, ничего очень уж плохого в этом нет, и неоднократно обьяснялось, что пароли не лежат /etc/passwd, а размещены в захешенном виде в /etc/shadow, а конфиг фаерфокса он читает для того чтобы определить настройки прокси/расширений и т.п. и т.д. Но все же никаких реальных фактов нет, а посмотреть исходный код, чтобы удостовериться в честности намерий разработчиков, мы не можем. Так что, с этого положения есть несколько выходов:
  • Продолжить пользоваться Skype, считая остальных параноиками.
  • Отказаться от Skype, и пользоваться открытой альтернативой (OpenWengo например).
  • Ограничить доступ Skype к системным ресурсам, и обезопасить себя от неожиданностей.

Сегодня я раскажу вам о третем пункте
Total votes 59: ↑48 and ↓11 +37
Views 13K
Comments 75

Apparmor и Firefox

Configuring Linux *
Давно у меня была идея ограничить в правах Firefox, как самое опасное приложение на десктопе, а новости о появления кросс платформенного эксплоита Jinx(http://www.opennet.ru/opennews/art.shtml?num=17217) только усилили мои желания. Я уже использую apparmor для ограничения skype и скриптов на серверах, сегодня решил увеличить безопасность рабочей станции, уменьшив права доступа для Firefox.

Читать дальше →
Total votes 29: ↑26 and ↓3 +23
Views 4.2K
Comments 25

Ubuntu 8.04, cups-pdf, apparmor, домен и likewise-open… Пьеса в трех действиях

Configuring Linux *
Действующие лица:
Ubuntu 8.04
Apparmor, установленный там по дефолту
Домен виндовый
likewise-open для подключения к вышестоящему.
cups-pdf страдающий от всех вышеперечисленных.

Ubuntu радостно установился на железо и приятно расположился в сети. Для большей интеграции с окружением к нему присоединился likewise-open. И зажил Ubuntu с доменом. Вместе они складывали домашние папки пользователей в /home/<имя_домена>/<имя_пользователя> и ни чего не подозревали, пока в один прекрасный день пользователь не попробовал воспользоваться cups-pdf и не расстроился от того, что pdf файлы совершенно не появлялись. И пришлось поднять журналы, те, в которые cups-pdf записывал самые занимательные моменты своей жизни.

/var/log/cups/cups-pdf_log
[ERROR] failed to create directory (/home/<имя_домена>/<имя_пользователя>/PDF)
[ERROR] failed to create user output directory (/home/<имя_домена>/<имя_пользователя>/PDF)

Создал пользователь директорию PDF и дал на нее полные права
mkdir ~/PDF
chmod 777 PDF
Все было правильно, но pdf файлы все не появлялись и пришлось обратиться к всевышнему гуглу. Хотя ждать от гугла точных ответов нельзя, похожие встречаются.
И понял пользователь, что мешает ему насладиться pdf'ом коварный и туповатый apparmor, которому likewise-open при подключении к домену виндовому забыл сказать, что @{HOME} теперь не только /home/, но и /home/<имя_домена>/
И пришлось получать права большие, рутовые и править мозг apparmor'у
sudo -i nano /etc/apparmor.d/tunables/home
Чтоб не думал он, что директория домашняя это только /home/ но и знал о /home/<имя_домена>
@{HOMEDIRS}=/home/ /home/<имя_домена>
И возрадовались все, ибо файлы PDF легли сами в нужное место и стало хорошо.

PS примечание: имя_домена пишется исключительно большими буквами, тут так заведено
Total votes 12: ↑9 and ↓3 +6
Views 1.2K
Comments 2

Механизмы безопасности в Linux

Information Security *
В данной статье я проведу краткий экскурс в наиболее распространенные средства, связанные с безопасностью Linux. Информация предоставлена в сжатом виде, и если какое-то средство вас заинтересует, можно пройтись по ссылкам и прочитать более подробно. По заявкам пользователей некоторые механизмы можно будет рассмотреть более подробно в последующих статьях.

Будут рассмотрены следующие средства: POSIX ACL, sudo, chroot, PAM, SELinux, AppArmor, PolicyKit. Виртуализация, хотя и относится в какой-то мере к средствам безопасности, рассматриваться не будет, тем более что это отдельная обширная тема.
Читать дальше →
Total votes 107: ↑90 and ↓17 +73
Views 28K
Comments 51

Вредоносное ПО для GNU/Linux и борьба с ним

Configuring Linux *
Читаю на хабре вот эту тему:«Trojan.winlock начал распространяться через ЖЖ». В принципе ничего принципиально нового, и конечно, как и всегда, в комментариях полно сообщений типа «А в linux/mac/freebsd/plan9 такого нет, а пользователи Windows ССЗБ», с которых начинаются небольшие холивары. Вот, хочу начать новый холивар поделиться мыслями и узнать кто что думает, узнать насколько возможно в GNU/Linux существование вредоносного ПО и подумать что с этим делать.
Читать дальше →
Total votes 89: ↑73 and ↓16 +57
Views 6.7K
Comments 109

Дополнительные программные средства безопасности для NAS

Configuring Linux *Information Security *IT Infrastructure *Network technologies *DIY


Цикл статей назван "Построение защищённого NAS". Поэтому в данной статье будет рассматриваться повышение уровня защищённости. Также, будут описаны и те инструменты, которые я не использовал, но возможно применить.

Читать дальше →
Total votes 9: ↑8 and ↓1 +7
Views 11K
Comments 7

Безопасный Linux вместе с AppArmor

RUVDS.com corporate blog Configuring Linux *Information Security *System administration *Server Administration *


В предыдущей статье речь шла о SELinux. Моё впечатление об этой системе безопасности двоякое. С одной стороны безопасности в ИТ много не бывает, и SELinux содержит все необходимое для защиты ОС и приложений от несанкционированного доступа. С другой же стороны он выглядит чересчур громоздким и неоправданно сложным, что делает его применение непрактичным. Не раз и не два в руководствах пользователя по установке коммерческого ПО я видел рекомендации выполнить setenforce 0 перед началом установки.

Решение, обладающее половиной функционала SELinux, но гораздо более простое в настройке и эксплуатации, может быть более надежной защитой хотя бы в силу того, что не страшно вникать во все эти домены, политики и роли. Это как раз то, что предлагает AppArmor.

Так же, как и SELinux AppArmor является реализацией системы Mandatory Access Control (MAC), основанной на архитектуре Linux Security Modules (LSM). Модель безопасности Apparmor заключается в привязке атрибутов контроля доступа не к пользователям, а к программам. AppArmor обеспечивает изоляцию с помощью профилей, загружаемых в ядро, как правило, при загрузке.

AppArmor отличается от остальных реализаций MAC в Linux принципом действия на основе путей, еще он позволяет смешивать профили принудительного исполнения и режима предупреждений. Кроме того AppArmor использует вложенные файлы для облегчения разработки и имеет гораздо более пологий барьер для входа, чем тот же SELinux.
Читать дальше →
Total votes 35: ↑35 and ↓0 +35
Views 22K
Comments 4