Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

AppArmor – jak dozbroić Linuksa?

Ostatnia afera z dziurą w zabezpieczeniach Firefoksa wywołała lawinę standardowych komentarzy (w typie sarkazmu lub biadolenia), również w odniesieniu do bezpieczeństwa Linuksa. Otóż exploit pozwalał na przejrzenie pliku /etc/passwd, w którym są nazwy grup i użytkowników (nazwa jest myląca, zaszyfrowane hasła znajdują się w /etc/shadow, który jest zabezpieczony przed nieautoryzowanym podglądem). Oprócz tego miał możliwość przejrzeć ostatnie polecenia wydane w terminalu (.bash_history) oraz próbował dobrać się do plików konfiguracyjnych. W sumie, mógł zdziałać niewiele, ze względu na standardowy system zabezpieczeń, czyli...

DAC

...discretionary access control, czyli metodę zabezpieczania, polegającą na przypisywaniu konkretnym podmiotom (właściciel, grupa, inni) konkretnych uprawnień. Tylko właściciel ma pełną kontrolę nad swoimi plikami. Dlatego właśnie exploit nie mógł na przykład ani przejrzeć, ani skopiować pliku z zaszyfrowanymi hasłami:jakub@Altsin:~$ cat /etc/shadow cat: /etc/shadow: Brak dostępu jakub@Altsin:~$ cp /etc/shadow ~ cp: nie można otworzyć „/etc/shadow” do czytania: Brak dostępuO ile, rzecz jasna, ktoś nie uruchomił przeglądarki jako root, ale wtedy żadne zabezpieczenie nie pomoże, ponieważ na bezmyślność nie ma lekarstwa.
To jednak nie wszystko, ponieważ Linuksy mają również inne standardowe zabezpieczenia wbudowane w kernel, na przykład...

MAC

...czyli mandatory access control - metoda zabezpieczenia, która jawnie określa, które funkcje są dostępne dla danych programów. W Linuksach dwiema głównymi implementacjami tego systemu są SElinux i AppArmor. W Ubuntu domyślnie używany jest ten drugi. Od razu po świeżej instalacji system posiada uruchomiony AppArmor z zestawem podstawowych reguł dla kilku kluczowych programów. Można to sprawdzić: sudo /etc/init.d/apparmor statusCo ważne, Firefoksa NIE MA NA TEJ LIŚCIE. Można zapytać dlaczego, ale odpowiedzi mogliby udzielić tylko deweloperzy. Żeby się przekonać, które aplikacje podlegają dodatkowej kontroli należy wpisać: sudo aa-status.
Instalacja zestawu reguł dla Firefoksa jest bardzo prosta.
Po pierwsze należy zainstalować apparmor-utlis.sudo apt-get install apparmor-utilslub - dla tych, którzy chcą więcej zestawów reguł i narzędzisudo apt-get install apparmor-*Apparmor utils pozwala na łatwą instalację prekonfigurowanych pakietów. Ale o tym za chwilę, najpierw trzeba się zdecydować czy...

Marudzić czy działać?

Apparmor może działać w dwóch trybach:
  • complain - naruszenia bezpieczeństwa nie blokowane, ale są zbierane w postaci logów
  • enforced - naruszenia bezpieczeństwa są blokowane
  • Wydaje się, że warto od razu walnąć z grubej rury i używać trybu enforced, w razie czego utrudniającą nam życie regułę będzie można przełączyć w tryb complain.

    Dodanie Firefoksa do AppArmor

    Mając już zainstalowane apparmor-utils (warto również zainstalować apparmor-profiles i apparmor-profiles-extra), wystarczy, że wpiszemy w terminalusudo aa-enforce /etc/apparmor.d/usr.bin.firefoxMożna też dla bezpieczeństwa odpalić wszystykie profile:sudo aa-enforce /etc/apparmor.d/*W razie gdyby któraś z aplikacji nie działała tak, jakbyśmy sobie tego życzyli można ją przełączyć w tryb complain:sudo aa-complain nazwa_aplikacji_lub_ścieżka

    Ale o co chodzi?

    Właściwie jaka z tego wszystkiego korzyść? AppArmor: Zezwala aplikacji na robienie jedynie tego, do czego przyznano jest dostęp i zabronieniu wszystkiego innego. Podręcznikowy przykład. W domowym katalogu utworzę skrypt o wdzięcznej nazwie blekot. Oto jego kod:jakub@Altsin:~$ cat blekot #!/bin/bash echo "Hello World!" > /tmp/hello.txt cat /tmp/hello.txt rm /tmp/hello.txt Jak widać skrypt ma proste działanie:
    1. Wyświetla tekst "Hello World!", ale tekst zamiast zostać wyświetlony na ekranie, zostaje przekierowany do pliku /tmp/hello.txt, co tworzy nowy plik i zapisuje w nim tekst.
    2. Wyświetla zawartość pliku /tmp/hello.txt
    3. Usuwa rzeczony plik.
    Dodajmy uprawnienia do wykonania:chmod +x blekoti wykonajmy plik:jakub@Altsin:~$ ./blekot Hello World! Skrypt jak widać zadziałał. W logach systemowych nie pozostanie nawet ślad po naszym "przestępczym" działaniu.
    Stwórzmy teraz najprostszą regułę nie zezwalająca na nic, specjalnie dla naszego skryptu. W katalogu /etc/apparmor.d stworzymy (jako root) plik home.jakub.blekot o następującej zawartości:/home/jakub/blekot {}Plik jest pusty, a więc nie pozwalamy temu skryptowi na wykonanie czegokolwiek.
    Po uruchomieniu widzimy następujący komunikat:jakub@Altsin:~$ ./blekot /bin/bash: error while loading shared libraries: libtinfo.so.5: cannot open shared object file: No such file or directoryOjoj, coś poszło nie tak i nasz super hakerski skrypt nie został odpalony...
    Sprawdzamy co słychać w logach odnośnie naszej "aplikacji":cat /var/log/syslog | grep blekot Aug 8 21:05:19 Altsin kernel: [ 9867.298928] audit: type=1400 audit(1439060719.833:240): apparmor="DENIED" operation="open" profile="/home/jakub/blekot" name="/lib/x86_64-linux-gnu/libtinfo.so.5.9" pid=8939 comm="blekot" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0Całe zdarzenie zostało zapisane.
    Spróbujmy teraz przełączyć profil na tryb complain:jakub@Altsin:~$ sudo aa-complain /home/jakub/blekot Setting /home/jakub/blekot to complain mode. Co ciekawe, zmienił się automagicznie nasz profil:/home/jakub/blekot flags=(complain) { } Próbujemy wykonać nasz skrypt:jakub@Altsin:~$ ./blekot Hello World!Działa! A co słychać w logach?cat /var/log/syslog | grep blekot Aug 8 21:10:15 Altsin kernel: [10163.197508] audit: type=1400 audit(1439061015.432:250): apparmor="ALLOWED" operation="open" profile="/home/jakub/blekot" name="/home/jakub/blekot" pid=8974 comm="blekot" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1Skrypt został wykonany, ale AppArmor dzielnie zanotował w systemowych logach jego uruchomienie.

    Czyli właściwie co robi AppArmor?

    Jak wymienia Christian Boltz, jeden z deweloperów OpenSuse, AppArmor monitoruje i ogranicza:
    • dostęp do plików
    • dostęp do sieci
    • wykonanie zadań, tzw. linux capabilities (chown, setuid, itp)
    Natomiast w żaden sposób nie zmienia zasad wymienionych wyżej DAC, dlatego jeżeli wszystkie pliki w naszym systemie mają flagi 777 albo siedzimy na koncie roota, AppArmor w niczym nie pomoże.

    Podsumowanie

    AppArmor nie obroni nas przed wszystkimi możliwymi exploitami, ale na pewno system jest bardziej bezpieczny z włączonym AppArmorem, niż bez niego. Ponieważ do wielu programów (przeglądarka internetowa, czytnik PDF, komunikatory) mamy gotowe profile, nie potrzeba z naszej strony żadnego wysiłku. Zasada optymalizacji wysiłku w stosunku do oczekiwanych rezultatów jest zatem po naszej stronie :-) 

linux internet bezpieczeństwo

Komentarze

0 nowych
Kaleson   4 #1 08.08.2015 23:41

Zapomniałeś dopisać - jego podstawową przewagą nad SELinux jest to, że nie został stworzony przez NSA ;)

Autor edytował komentarz.
Berion   14 #2 09.08.2015 02:13

Czubek góry lodowej. Spodziewałem się opisania składni aby tworzyć konkretne reguły.

Autor edytował komentarz.
  #3 09.08.2015 04:19

W Mincie 17 nie ma AppArmora, po zainstalowaniu apparmor, apparmor-utils i sprawdzeniu sudo aa-status pojawł sie taki komunikat:
apparmor module is loaded.
apparmor filesystem is not mounted.
Systemowy mam na btrfs i co dalej mam zrobić?.

  #4 09.08.2015 07:28

Czy za pomocą AppArmor można kontrolować odpalanie FLASHplugin-a tylko na WWW z białej listy ??

roller_coaster   2 #5 09.08.2015 09:43

Takich wstępnych poradników jest w sieci dużo. Ciąg dalszy z opisem składni byłby mile widziany. Niemniej plus za inicjatywę.

Ja nie korzystam. Zawsze miałem z tym problemy, bo z automatycznym tworzeniem reguł coś nie działało.

Jak komuś nie chce się rozkminiać całymi godzinami, dniami AppArmor polecam zapoznanie się z firejail

https://l3net.wordpress.com/projects/firejail/
https://sourceforge.net/projects/firejail/

O wiele prostsze w konfiguracji zabezpieczenie (sandbox). Chociaż nie wiem czy równie skuteczne. Chętnie poznam jakąś porównawczą ocenę kogoś kto się zna na bezpieczeństwie.

Autor edytował komentarz.
iacobus   6 #6 09.08.2015 10:18

@roller_coaster - Właśnie o to mi chodziło, że nie trzeba nic godzinami ogarniać. Wystarczy jedna komenda do wrzucenia Firefoksa pod opiekę AppArmora.

maew   7 #7 09.08.2015 10:29

Dobry artykuł, jednak zastanawiam się, czy jest sens, skoro jest firejail, dużo wygodniejsze i przejrzyste narzędzie.

Aczkolwiek zagadnienie jest na pewno ciekawe i warto app armor też znać.
Zachęciłeś mnie do ogarnięcia AA ;)

Soren   8 #8 09.08.2015 10:53

Fajna sprawa. Wiedziałem o tym narzędziu jednak nigdy się nim bliżej nie interesowałem myśląc że domyślnie działa optymalnie (jednak nie był uruchomiony profil opery).

Fajna rzecz do zgłębienia po powrocie do linuksa po kilku latach ;)

Berion   14 #9 09.08.2015 12:39

@JanekJanek (niezalogowany): "W Mincie 17 nie ma AppArmora".

Jest, ponieważ to odmiana Ubuntu, a nawet ma wgrane kilka gotowych filtrów. M.in do Firefoksa właśnie.

Autor edytował komentarz.
  #10 09.08.2015 13:22

"Dozbroić linuxa" .... a z wpisu to widzę że opisujesz sposób dla jakiejś konkretnej dystrybucji (debianowatej) ... Jakiej???? Jak już chcesz pisać ogólnie to albo podaj sposób kompilacji ze źródełek i wtedy czy to Debian, Slackware, Red Hat .... etc. nie ma znaczenia a jak już tak podajesz to podaj co to za dystrybucja...

  #11 09.08.2015 13:23
RubasznyRumcajs   6 #12 09.08.2015 13:44

@Kaleson:
no, czyli te wszystkie zalety "open source" mozna o kant dupy rozbic, tak?
kod jest przeciez jak najbardziej jawny.

pomijajac juz to ze ani SELinux, ani AppArmor nie zapewniaja dobrego bezpieczenstwa bo korzystaja z kijowego LSMa.

najlepiej jest uzywac Grsecurity (ktore mozna, jesli sie chce, polaczyc z apparmorem/selinuxem/tomoyo) + oczywiscie odpowiednio skompilowane binarki.

saitoh   6 #13 09.08.2015 15:36

@Kaleson: Jaki nick, taki komentarz.

Akurat SELinux to o wiele potężniejsze narzędzie, porównywalne z Grsecurity/PAX. W klasie enterprise Grsecurity, PAX, SELinux to standard, a ludzie mający pojęcie o bezpieczeństwie (a nie jakieś kalesony) nie zgłaszają takich zastrzeżeń.
Tak samo jak nie zgłaszają zastrzeżeń do sytemu plików Btrfs, rozwijanego przez Facebooka, a wcześniej przez Oracle; jądra rozwijanego przez m. in. przez Google i innych projektów rozwijanych przez "szpiegowskich, kapitalistycznych krwiopijców z Ameryki".

Dobra rada na dziś: Dorośnij lub wstrzymaj się z głupkowatymi komentarzami.

fffatman   9 #14 09.08.2015 15:59

@Kaleson: Audytowałeś czy tak se?

ygyfygy   5 #15 09.08.2015 16:27

Komuś udało się zainstalować na Archu? Bo mi wywala:

checking for podchecker... no
configure: error:
The podchecker program was not found in the default path. podchecker is part of
Perl, which can be retrieved from:

https://www.perl.org


Kernela skompilowałem pod apparmor.
W perlowej ścieżce z PKGBUILD jest podchecker.

Autor edytował komentarz.
iacobus   6 #16 09.08.2015 16:41

@ygyfygy: Nie chcę być złośliwy, ale to właśnie Arch w całej okazałości... A podobno to na Ubuntu można doświadczyć hell-dependecies ;-)

ygyfygy   5 #17 09.08.2015 16:46

@iacobus: To jakiś głupi błąd gdzieś w skryptach. W PKGBUILD - głównym skrypcie jest zdefiniowana ścieżka gdzie są narzędzia perla: /usr/bin/core_perl. Jest w niej podchecker. Wywala mi błąd, że go tam nie ma. A propos hell'ów - ja doświadczyłem tylko dll hell jak mi NTFS zjadł .dll i niektóre programy na starcie wywalały mi jego brak, mimo że tam był. Kopiowanie, zamienianie, sranie nic nie dało.

iacobus   6 #18 09.08.2015 17:06

Ok.. Nie mam doświadczenia z Archem, ale po przygodach z FreeBSD już nie planuję brać się za cokolwiek, co wymaga samodzielnej kompilacji. Już chyba Fedorę z jej .rpm-ami zniósłbym łatwiej :-) [taki mały distro-flame]

Kaleson   4 #19 09.08.2015 18:38

@fffatman: Ale co audytowałem? Napisałem tylko że SELinux został stworzony przez NSA. Za Wikipedią: "The United States National Security Agency (NSA), the original primary developer of SELinux, released the first version [...]"

@saitoh wypowiedź 10/10 gdybym mógł strollowałbym raz jeszcze...

maew   7 #20 09.08.2015 19:13

Dodam, że użytkownicy Debiana od początku byli bezpieczni bo Iceweasel nie ma czytnika PDF :D

Ani innych, niepotrzebnych dodatków...

Autor edytował komentarz.
ygyfygy   5 #21 09.08.2015 20:37

@maew: Alpine Linux nie ma nano.

  #22 09.08.2015 21:14

@ygyfygy: użyj innego edytora xD

tomms   7 #23 09.08.2015 21:38

A ja tam wole takie rozwiązanie:

/home/tomek$ xhost +192.168.1.40
192.168.1.40 being added to access control list
/home/tomek$ su
Password:
/home/tomek# jail -c prosiak
prosiak: created
/etc/rc: WARNING: $hostname is not set -- see rc.conf(5).
Creating and/or trimming log files.
Starting syslogd.
ELF ldconfig path: /lib /usr/lib /usr/lib/compat /usr/local/lib /usr/local/lib/nss
32-bit compatibility ldconfig path: /usr/lib32
Clearing /tmp (X related).
Updating motd:.
Starting dbus.
Performing sanity check on sshd configuration.
Starting sshd.
Syntax OK
Starting cron.

Sun Aug 9 19:33:37 UTC 2015
/home/tomek# jexec -U tomek prosiak env DISPLAY=192.168.1.12:0.0 firefox

i jeszcze ten plus że żadna strona nie zaskoczy głośnym dźwiękiem :)

rob006   7 #24 09.08.2015 21:41

@iacobus: "Właśnie o to mi chodziło, że nie trzeba nic godzinami ogarniać. Wystarczy jedna komenda do wrzucenia Firefoksa pod opiekę AppArmora."
A włączyłeś te reguły i korzystałeś przez dłuższy czas w warunkach roboczych? Bo te reguły domyślnie są wyłączone nie bez powodu - są dość restrykcyjne (bo inaczej nie miałyby sensu) i sprawiają że nagle wiele bezproblemowych do tej pory rzeczy staje się niewykonalne, np taki banał jak próba wysłania jakiegoś pliku z Pulpitu. Ten profil trzeba albo dostosować do swoich potrzeb, albo liczyć się z upierdliwościami na każdym kroku.

ygyfygy   5 #25 09.08.2015 22:13

@iacobus: Haha, naprawione, dodałem na chwilę /usr/bin/core_perl do PATH w ~/.zshrc

ygyfygy   5 #26 09.08.2015 23:06

@JanekJanek (niezalogowany): https://wiki.archlinux.org/index.php/AppArmor

apparmor musi mieć wsparcie od kernela i być ustawiony w parametrach startowych kernela

iacobus   6 #27 09.08.2015 23:08

@rob006: Właśnie odpisuję z Firefoksa będącego pod kontrolą AppArmora (jeżeli chodzi o inne aplikacje, dodałem również profil dla evince). Żadnych, jak piszesz, upierdliwości - przynajmniej na razie - nie doświadczyłem. Dodam, że chodzi o Ubuntu, moje podstawowe środowisko pracy. Prawdziwie upierdliwy - jak się właśnie przekonuję - potrafi być NoScript. AppArmor przy nim to bułka z goblinem :-)

Autor edytował komentarz.
rob006   7 #28 10.08.2015 00:13

@iacobus: I korzystasz z niego ile? Dzień? Napisz za miesiąc ile problemów z tym miałeś i ile poprawek do konfiguracji profilu musiałeś wprowadzić :)

  #29 10.08.2015 00:58

@ygyfygy: ach ten arch hehhe..na debianie bez problemu bangla;)

fffatman   9 #30 10.08.2015 03:12

@Kaleson: Nie napisałeś, że SELinux został stworzony przez NSA, tylko że wadą SELinuksa jest to, że został stworzony przez NSA, sugerując coś. Więc się pytam, czy przeprowadzałeś audyt, czy tak se kalesonisz? Sadząc po odpowiedzi, nie wiesz, o co pytam, czyli kalesonisz.

  #31 10.08.2015 10:46

@rob006: ja zapinam torbrowsera apparmorem, zwykłej przeglądarki do codziennych zadań i śmigania po znanych codziennych stronach raczej nie ma sensu zapinać, wystarczą zabezpieczenia na poziomie apki typu noscript i blokowanie szpiegów/reklam (ublock, ghostery)..

  #32 10.08.2015 10:58

@Anonim (niezalogowany): ""Dozbroić linuxa" .... a z wpisu to widzę że opisujesz sposób dla jakiejś konkretnej dystrybucji (debianowatej) "

prawdopodobnie dla ubuntu z tego co mi wiadomo to chyba tylko ubuntu (i pochodne) oraz opensuse mają domyślnie w jajku obsługę aa...w debianie czy innych trzeba sobie samemu wkompilować

iacobus   6 #33 10.08.2015 13:41

W Debianie wystarczy zainstalować paczkę z repozytorium. Nic nie trzeba kompilować. Za Wiki Debiana: https://wiki.debian.org/AppArmor/
Install software:
Install AppArmor userspace tools and some contributed profiles:
$ sudo apt-get install apparmor apparmor-profiles apparmor-utils

Z kolei Wiki AppArmora podaje listę dystrybucji (nie włączając pochodnych):
Distributions that include AppArmor:

Annvix
Arch Linux
Debian
Gentoo
Mandriva
openSUSE (integrated in default install)
Pardus Linux
PLD
Ubuntu (integrated in default install)

Autor edytował komentarz.
  #34 10.08.2015 14:38

@iacobus: eheh no to zrób tak na dystrybucyjnym jajku od debiana...powodzenia. to nie ubuntu, sam sobie paczujesz kernela i masz wszystkie opcje, ewentualnie można wrzucić jajko liquorixa, które ma już załączoną obsługę aa (ale niepełną, coś jak w ubuntowym kernelu)

  #35 10.08.2015 15:10

@iacobus: zresztą sam sobie odpowiedziałeś patrz->nawiasy przy ubuntu i suse..;)

  #36 10.08.2015 18:00

@fffatman: no i dobrze napisał, oczywiście nikt nie twierdzi, że selinux jest zły czy trefny (nie ma dowodu, chociaż ja jestem innego zdania ale może dlatego, że lubię teorie spiskowe i jestem jak najbardziej paranoikiem) Po za tym omyśl kto zna go najlepiej, no kto zna wszystkie jego słabe punkty, chyba logiczne, że ten który go stworzył, po drugie nie wiadomo co tam siedzi jak zresztą w większości oprogramowania także o otwartym kodzie ale samo to że stworzyła go zbrodnicza agencja, która działa przeciwko ludzkości daje do myślenia nawet jeżeli nic tam nie kombinowali. Wiesz nie ma co tu porównywać gogla czy fbooka do nsa...niechęć ludzi do tego rozwiązania jest zupełnie na miejscu ...

  #37 10.08.2015 18:08

@fffatman: oczywiście ma tu na myśli grubą infrastrukturę informatyczną jakiegoś kraju a nie serwery kablówki w pierdziszewie...i wtedy bym się zastanawiał na pewno czy takiego czegoś używać...

iacobus   6 #38 10.08.2015 21:07

@Anonim (niezalogowany): Ech, niedowiarki: odpisuję z Debiana Testing. Wykonałem wszystko wg Wiki Debiana:
1. Instalacja pakietów: apparmor, apparmor-utils, apparmor-profiles
2. Dopisanie do gruba opcji apparmor (w moim wypadku z głównej dystybucji, z Ubuntu: sudo perl -pi -e 's,GRUB_CMDLINE_LINUX="(.*)"$,GRUB_CMDLINE_LINUX="$1 apparmor=1 security=apparmor",' /etc/default/grub)
3. reboot
4. root@kenneth:/home/jakub# aa-status
apparmor module is loaded.
0 profiles are loaded.
0 profiles are in enforce mode.
0 profiles are in complain mode.
0 processes have profiles defined.
0 processes are in enforce mode.
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

Nie trzeba było kompilować jajka. Dziękuję za uwagę :-)

  #39 11.08.2015 18:26

@iacobus: a to przepraszam mea culpa może już do tyłu jestem...ciągnę na dosyć starym debianie...ani mi się śni podbijać do nowszego ..systemd mnie boli..może na slackware przesiadkę zrobię ale na razie za leniwy jestem na to a póki ma wsparcie to niech leży;)

fffatman   9 #40 12.08.2015 06:36

@Anonim (niezalogowany):
"no i dobrze napisał, oczywiście nikt nie twierdzi, że selinux jest zły czy trefny (nie ma dowodu, chociaż ja jestem innego zdania ale może dlatego, że lubię teorie spiskowe i jestem jak najbardziej paranoikiem)"

Pisząc, że SELinux jest trefny, źle napisał, bo nie ma dowodu. Paranoja nie jest dowodem.

Autor edytował komentarz.
fffatman   9 #41 12.08.2015 06:40

@Anonim (niezalogowany):

"ale samo to że stworzyła go zbrodnicza agencja"
Mam zacytować Marię Curię?

fffatman   9 #42 12.08.2015 06:42

@Anonim (niezalogowany):
"Po za tym, pomyśl, kto zna go najlepiej? No kto zna wszystkie jego słabe punkty, chyba logiczne, że" niekoniecznie.

  #43 12.08.2015 10:52

@fffatman: tak jak mówię rozwiązanie dla infrastruktury przemysłowej z pewnością się sprawdzi i nie stanowi problemu ale pomyśl wdrożyłbyś to do zabezpieczenia dajmy na to infrastruktury wojskowej?? z pewnością nawet jako największy entuzjasta SElinuksa pojawiłyby się wątpliwości..

fffatman   9 #44 12.08.2015 22:55

@Anonim (niezalogowany):
"wdrożyłbyś to do zabezpieczenia dajmy na to infrastruktury wojskowej?"
Oczywiście, że tak! No-a-co-windowsa? Czł'eku!

Autor edytował komentarz.
fffatman   9 #45 12.08.2015 22:57

@Anonim (niezalogowany):
"grubą infrastrukturę informatyczną jakiegoś kraju a nie serwery kablówki w pierdziszewie."
Linuks jest skalowalny.

Autor edytował komentarz.
newbieskacz   1 #46 13.08.2015 11:06

@Anonim (niezalogowany): przecież napisał na wstępie, że mowa o ubuntu

  #47 16.08.2015 13:49

@fffatman: "Oczywiście, że tak! No-a-co-windowsa? Czł'eku!"

co ty gadasz człeku? czy ty rozumiesz co ja napisałem, chodzi mi o "łatkę"na jajko Security Enhanced Linux a nie GNU/Linux'a...dzizes...i jak tu gadać na poważnie...

  #48 16.08.2015 13:55

@fffatman: grsecuryty+apparmor a nie żadne wynalazki od nsa człowieku;)

nintyfan   11 #49 17.08.2015 10:03

@Kaleson: Jego podstawową przewagą nad SeLinux jest to,  że nie trzeba być kosmitą, by móc z niego korzystać.

nintyfan   11 #50 17.08.2015 10:05

@Flashka (niezalogowany): Gdyby Firefox był dostosowany do AppArmora, ubierając odpowiednie kapelusze, to byłoby to możliwe. Zwyczajnie po otwarciu strony Firefox ubierałby kapelusz(współcześnie Firefox korzysta z osobnych procesów), a AppArmor pozwala na ustalenie dziedziczenia uprawnień.

nintyfan   11 #51 17.08.2015 10:07

@RubasznyRumcajs: Nie ufam Tomoyo, gdyż nie ufam uczeniu maszyn w kwestiach bezpieczeństwa.

yanko wojownik   13 #52 09.09.2015 03:22

Jako, że sporo rozbija się Firefoksa, to nie wiem co prawda na ile to skuteczne rozwiązanie, ale jest całkiem spory mimo wszystko arsenał przeglądarek i na Windows i na Linuksa, to może go zwyczajnie odinstalować? - Nie wiem na ile dotyczy to pokrewnych, ale w stosunku do samego Firefoksa osobiście poszedłem tą drogą.