Шлюхи без блекджека, блекджек без шлюх. Войти !bnw Сегодня Клубы
Ладно, нахуй и в пизду, эта хуйня считает себя умнее меня. Чо потыкать дальше, selinux, apparmor, smack или tomoyo? Юзкейс - анальная тюрьма для двух с половиной недоверенных софтин с возможностью в будущем всю систему зааналить и аудитить.
Рекомендовали: @o01eg
#O9VO9X / @l29ah / 3569 дней назад

чем тебя grsecurity заебал?
#O9VO9X/AP7 / @stiletto / 3569 дней назад
>анальная тюрьма В докере можно запускать. @4da говорил, что скайп там работает.
#O9VO9X/XJJ / @ckorzhik / 3569 дней назад
@ckorzhik докер недостаточно анален же
#O9VO9X/5R6 / @stiletto --> #O9VO9X/XJJ / 3569 дней назад
@stiletto а что по этому поводу можно почитать? Например, что скайп может сделать из докера? //докер еще не юзал
#O9VO9X/JY1 / @ckorzhik --> #O9VO9X/5R6 / 3569 дней назад
@stiletto Тем, что там не установить дефолтовое разрешение всего для всех.
#O9VO9X/QMB / @l29ah --> #O9VO9X/AP7 / 3569 дней назад
@ckorzhik я безотносительно скайпа https://news.ycombinator.com/item?id=7909622 ← тут была/есть возможность побега из контейнера внутриконтейнерному руту с ответом от мейнтейнера "анальте докер аппарморами и селинупсами или не давайте приложениям рута в контейнере" ну и вообще была портянка https://docs.docker.com/articles/security/ со ссылками
#O9VO9X/OS3 / @stiletto --> #O9VO9X/JY1 / 3569 дней назад
@l29ah там нет возможности ограничить только определенные приложения? если нет - пиздуй в аппармор
#O9VO9X/NPE / @stiletto --> #O9VO9X/QMB / 3569 дней назад
@stiletto спасибо.
#O9VO9X/GED / @ckorzhik --> #O9VO9X/OS3 / 3569 дней назад
@ckorzhik Неконфигурябельно.
#O9VO9X/QAT / @l29ah --> #O9VO9X/XJJ / 3569 дней назад
@stiletto Утилита конфигурации будет выёбываться, что у тебя дыры в безопасности. В #grsecurity сказали, что можно её руками запатчить и всё будет работать, но мне стало лень.
#O9VO9X/4M1 / @l29ah --> #O9VO9X/NPE / 3569 дней назад
Поставь винду.
#O9VO9X/9G4 / @windowsadmin / 3569 дней назад
@romme Винда ВСЯ считает себя умнее меня.
#O9VO9X/1EX / @l29ah --> #O9VO9X/9G4 / 3569 дней назад
@stiletto Держи кароч: # cat /etc/apparmor.d/opt.bin.skype # Last Modified: Thu Mar 12 13:20:25 2015 #include <tunables/global> /opt/bin/skype { #include <abstractions/audio> #include <abstractions/base> #include <abstractions/dbus-session> #include <abstractions/fonts> #include <abstractions/gnome> #include <abstractions/nameservice> #include <abstractions/ssl_certs> #include <abstractions/X> /opt/bin/skype mr, owner @{HOME}/.Skype/ rw, owner @{HOME}/.Skype/** krw, #owner @{HOME}/.config/ r, #owner @{HOME}/.config/*/ r, owner @{HOME}/.config/Skype/Skype.conf krw, owner @{HOME}/.config/Trolltech.conf kr, /usr/share/skype/** kr, /usr/share/skype/**/*.qm mr, /usr/share/skype/sounds/*.wav kr, owner @{HOME}/.Xdefaults r, @{PROC}/sys/kernel/{ostype,osrelease} r, /sys/class/power_supply/ r, /sys/devices/**/power_supply/**/online r, /sys/devices/system/cpu/ r, /sys/devices/system/cpu/cpu[0-9]*/cpufreq/scaling_{cur_freq,max_freq} r, owner @{PROC}/[0-9]*/status r, owner @{PROC}/[0-9]*/task/ r, /usr/lib/@{multiarch}/pango/** mr, /etc/pango/@{multiarch}/* mr, owner /{dev,run}/shm/pulse-shm* m, /usr/bin/pulseaudio Pixr, deny @{HOME}/.mozilla/ r, deny /dev/ r, deny @{PROC}/*/fd/ r, deny @{PROC}/*/net/arp r, deny @{PROC}/*/cmdline r, }
#O9VO9X/BQJ / @stiletto --> #O9VO9X/NPE / 3569 дней назад
@stiletto Уау // вообще мне для браузера и cgoban, но может пригодится.
#O9VO9X/W66 / @l29ah --> #O9VO9X/BQJ / 3569 дней назад
@stiletto там две закомментированные строчки с @{HOME}/.config -- я считаю, что ему нехуй туда ходить. ты можешь по-другому сделать
#O9VO9X/0UX / @stiletto --> #O9VO9X/BQJ / 3569 дней назад
@l29ah меня в аппарморе бесит невозможность нормально разграничивать доступ к /proc/ например сказать "только к процессам в одном профиле" или "только к процессам-потомкам" или "только к себе" самое узкое что можно сделать - "только к процессам созданным тем же пользователем"
#O9VO9X/ZSS / @stiletto --> #O9VO9X/W66 / 3569 дней назад
Аппармор,
#O9VO9X/VXP / @anonim / 3569 дней назад
А вдруг ты - это не ты, а злоумышленник, который ослабляет защиту?
#O9VO9X/IXG / @o01eg / 3569 дней назад
@stiletto Сам писал?
#O9VO9X/RQ3 / @fuck --> #O9VO9X/BQJ / 3569 дней назад
ipv6 ready BnW для ведрофона BnW на Реформале Викивач Котятки

Цоперайт © 2010-2016 @stiletto.