https://opennet.ru/openforum/vsluhforumID3/127743.html В утилите для изолированного выполнения приложений Firejail выявлена уязвимость (CVE-2022-31214), позволяющая локальному пользователю получить права root в основной системе. В открытом доступе имеется рабочий эксплоит, проверенный в актуальных выпусках openSUSE, Debian, Arch, Gentoo и Fedora с установленной утилитой firejail. Проблема устранена в выпуске firejail 0.9.70. В качестве обходного пути защиты можно выставить в настройках (/etc/firejail/firejail.config) параметры "join no" и "force-nonewprivs yes"...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57337<br> https://opennet.ru/openforum/vsluhforumID3/127743.html#63 Tue, 21 Jun 2022 22:32:02 GMT &gt;&gt; Это не про desktop, а про то как изолировать приложения без этой вашей оркестрации как в snap или flatpack.<br>&gt; Не согласен - кому надо тот давно по старинке в чрутах или <br>&gt; еще каких systemd-nspawn демона изолированно крутит. Если приложение или сервис "не <br>&gt; демон", для взаимодействия с юзером и обратно (что уже ближе к <br>&gt; desktop/laptop), скачан "с интернетов", то провести пару вечером за ручной настройкой <br>&gt; такой изоляции нравится не всем, даже если предположить что с такой <br>&gt; задачей рандомный пользователь вообще справится.<br><br>Как раз в firejail есть профили. Можно не париться. Порог ниже чем в apparmor или selinux.<br><br><br>&gt;&gt; А на Linux desktop лезут корпорасты с их "все свое ношу с собой".<br>&gt; Если хоть кто-то лезет, то не так девка^W линукс и страшен. Хотя <br>&gt; мне кажется вы слегка приукрашиваете реальность и на самом деле никто <br>&gt; не лезет - всем глубоко побую. У условного гугла работают Chromebooks, <br>&gt; а бороться за апстриминг этого и мир во всём мире - <br>&gt; накой им надо.<br>&gt; Сообщество не смогл https://opennet.ru/openforum/vsluhforumID3/127743.html#62 Tue, 21 Jun 2022 12:58:57 GMT &gt; Это не про desktop, а про то как изолировать приложения без этой вашей оркестрации как в snap или flatpack.<br><br>Не согласен - кому надо тот давно по старинке в чрутах или еще каких systemd-nspawn демона изолированно крутит. Если приложение или сервис "не демон", для взаимодействия с юзером и обратно (что уже ближе к desktop/laptop), скачан "с интернетов", то провести пару вечером за ручной настройкой такой изоляции нравится не всем, даже если предположить что с такой задачей рандомный пользователь вообще справится.<br><br><br>&gt; А на Linux desktop лезут корпорасты с их "все свое ношу с собой".<br><br>Если хоть кто-то лезет, то не так девка^W линукс и страшен. Хотя мне кажется вы слегка приукрашиваете реальность и на самом деле никто не лезет - всем глубоко побую. У условного гугла работают Chromebooks, а бороться за апстриминг этого и мир во всём мире - накой им надо.<br><br>Сообщество не смогло сформировать единый центр принятия решений, корпорации значит сформируют за них.<br><br><br> https://opennet.ru/openforum/vsluhforumID3/127743.html#61 Tue, 21 Jun 2022 10:33:23 GMT Давно, уже, лет 15 как все сделано - называется SELINUX. <br>Кроме изоляции позволяет написать пароль рута на заборе, дать рутовские ключи каждому 1-мы хакеру и вообще не волноватся по этому поводу.<br>Для совсем уж шапочек из фольги grsec+rsbac вообще творит чудеса.<br>Но как и везде, если сделать что то, чем может пользоватся и дурак, то только дурак и будет им пользоватся.<br> https://opennet.ru/openforum/vsluhforumID3/127743.html#60 Mon, 20 Jun 2022 22:42:36 GMT Это не про desktop, а про то как изолировать приложения без этой вашей оркестрации как в snap или flatpack. А на Linux desktop лезут корпорасты с их "все свое ношу с собой". <br> https://opennet.ru/openforum/vsluhforumID3/127743.html#59 Wed, 15 Jun 2022 09:40:13 GMT Сейчас бы для каждой программы создавать свою виртуалку. И, тем более, скачивать какой-то qubes, а не настроить самому в любом дистрибутиве.<br> https://opennet.ru/openforum/vsluhforumID3/127743.html#58 Tue, 14 Jun 2022 19:52:34 GMT &gt;&gt; И правда, в каком месте jail изолирован от системы, ага.<br>&gt; В вашем рецепте его не было. А так все хорошо.<br><br>Читать ветку обсуждения целиком, а не выхватывать частями и все будет хорошо?<br><br>&gt;&gt; bastille и заводят темплейт firefox, те кто немножно умеет - имеет <br>&gt;&gt; стандартный темплейт в jail.conf, типа <br>&gt; А этот темплейт в готовом, актуальном, безглючном виде у них есть и <br>&gt; майнтайнится под актуальные версии и их причуды? Потому что как тот <br>&gt; кто делал сабжу кастомные профайлы для сложных программ я имею заметить: <br><br>Потому что как тот, кто запускает ФФ в джейле, имею заметить - мейнтейнить там особо ничего не надо. Т.к. уровень джейлов - повыше будет, несмотря на схожесть имен. <br>Даже сам "хост" по умолчанию помещен в prison0.<br><br>&gt; пакости уровня файрфокса надо довольно много всякой дряни от системы. При <br>&gt; том если этим не заморочиться, либо оно сможет шарахаться по системе <br>&gt; с широкими возможностями - и за что тогда боролись?! Либо половина <br>&gt; фич сломается и будет икать постоянными обломами. https://opennet.ru/openforum/vsluhforumID3/127743.html#57 Tue, 14 Jun 2022 00:17:03 GMT &gt; И правда, в каком месте jail изолирован от системы, ага.<br><br>В вашем рецепте его не было. А так все хорошо.<br><br>&gt; bastille и заводят темплейт firefox, те кто немножно умеет - имеет <br>&gt; стандартный темплейт в jail.conf, типа <br><br>А этот темплейт в готовом, актуальном, безглючном виде у них есть и майнтайнится под актуальные версии и их причуды? Потому что как тот кто делал сабжу кастомные профайлы для сложных программ я имею заметить: пакости уровня файрфокса надо довольно много всякой дряни от системы. При том если этим не заморочиться, либо оно сможет шарахаться по системе с широкими возможностями - и за что тогда боролись?! Либо половина фич сломается и будет икать постоянными обломами. То звука в ютубе нет, то файло не качается, то ускорение отпало, то еще какая-нибудь кантата.<br><br>&gt; [code] <br>&gt; # /etc/jail.conf <br><br>...<br>&gt; }[/code]<br><br>И что в нем после этого отвалится? И вон то как-то подозрительно просто выглядит для того чтобы зарубать все реально ненужное и при этом позволять все нужное.<br><br>&gt; да, какая "прелес https://opennet.ru/openforum/vsluhforumID3/127743.html#56 Mon, 13 Jun 2022 19:49:25 GMT &gt;&gt; Pkg install kde5 <br>&gt;&gt; Pkg install Firefox <br>&gt; И в каком месте тут наступает изоляция файрфокса от системы? <br>&gt; В firejail она наступает после запуска файрфокса как "firejail firefox" - а довольно <br><br>И правда, в каком месте jail изолирован от системы, ага.<br><br>&gt; навороченый профайл расписывающий куда его пустить все же надо чтобы он <br>&gt; работал, как и что ему точно не надо уметь - писали другие люди. <br><br>Там не нужен навороченный профайл. Те, кто не хотят читать - ставят bastille и заводят темплейт firefox, те кто немножно умеет - имеет стандартный темплейт в jail.conf, типа<br><br>[code]<br># /etc/jail.conf<br><br>allow.nomount;<br>exec.clean;<br>mount.devfs;<br>host.hostname = "$name.your-host-name.lan";<br>path = "/jails/${name}/root";<br>#securelevel = 3;<br><br>firefox {<br> ip4.addr = "10.0.0.2";<br> #exec.start = "/bin/sh /home/firefox/run-firefox";<br> #exec.jail_user = "firefox";<br> persist;<br> devfs_ruleset = 5;<br>}[/code]<br><br>&gt;&gt; "Уязвимость в firejail, позволяющая получить root-доступ в системе" <br>&gt; В чем прелесть с https://opennet.ru/openforum/vsluhforumID3/127743.html#55 Mon, 13 Jun 2022 11:59:07 GMT опять тюрьму сожгли и сбежали, изверги<br>