2 votes

orange orange avatar

Est-il possible d'empêcher un programme de lire quoi que ce soit d'autre que ce dont il a besoin ?

Demandé el 22 de Février, 2015
Quand la question a-t-elle été
158 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je comprends que l'exécution de programmes en tant qu'utilisateur non root est effectuée afin d'empêcher les programmes d'écrire des fichiers système, ce qui empêche les logiciels malveillants de compromettre la sécurité du système.

Mais dans la plupart des cas, ces programmes sont toujours capables de lire ces fichiers système même s'ils ne peuvent pas les écrire (ex. /etc/fstab ), ce qui rend le système vulnérable à un large éventail de logiciels espions.

Est-il possible de restreindre les programmes de manière plus draconienne afin qu'ils ne puissent accéder à rien en dehors d'un environnement défini ? Par exemple, je pourrais autoriser firefox à utiliser ~/.mozilla , ~/.cache/mozilla y ~/Downloads mais firefox ne sera jamais capable de lire quoi que ce soit de /etc ou autre.

Existe-t-il une telle fonctionnalité dans Linux ?

Demandé el 22 de Février, 2015 par orange orange

Réponses

Trop de publicités?

3voto

Panther avatar
Panther Points 96601

La méthode pour restreindre l'accès sur Ubuntu est avec apparmor.

https://wiki.ubuntu.com/AppArmor

Firefox est livré avec un profil apparmor pour Firefox qui a été spécialement développé dans un souci de sécurité.

Comme l'a souligné Rinzwind, l'accès restreint n'est pas nécessairement un problème de sécurité.

Les grands programmes tels que firefox ne sont pas le meilleur exemple, car firefox a des capacités assez larges, de l'accès au réseau à l'accès au matériel.

Comme vous pouvez le constater, le profil d'apparmortissement de firefox est assez large. Vous pouvez certainement modifier le profil d'apparmor en fonction de vos besoins / préoccupations spécifiques si vous le souhaitez. Assurez-vous simplement de sauvegarder une copie du profil original afin de pouvoir le restaurer si vous cassez la fonctionnalité de firefox.

D'autres navigateurs, comme Chrome, fonctionnent dans un bac à sable.

Si vous êtes particulièrement intéressé par la sécurité, vous pouvez exécuter Fedora avec selinux et exécuter des applications dans un bac à sable selinux.

les profils d'apparmor sont disponibles ici

https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/AppArmorProfiles

Répondu el 22 de Février, 2015 par Panther (96601 Points )

1voto

Jos avatar
Jos Points 23588

Oui, il existe : il s'agit du chroot (voir http://en.wikipedia.org/wiki/Chroot ).

Répondu el 22 de Février, 2015 par Jos (23588 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X