Cześć!
Jak najlepiej jest instalować oprogramowanie, by nie dać mu "zbyt dużych" uprawnień? O ile tak się w ogóle da (?).
Na co dzień oczywiście korzystam z konta zwykłego usera. Aczkolwiek, gdy coś instaluję za pośrednictwem APT, przelogowuję się do admina przy pomocy komendy "su". No i teraz pytanie - czy to duży błąd?
Dzięki za odpowiedź!
Instalacja oprogramowania
Re: Instalacja oprogramowania
Robisz to poprawnie jak widze. Natomiast jeśli chcesz zmniejszyć uprawnienia to musisz zainstalować i skonfigurować dodatkowe narzędzia. Apparmor lub selinux
Re: Instalacja oprogramowania
Czy dobrze widzę, że AppArmor to lepszy wybór dla kogoś niezbyt zaawansowanego? Ten pierwszy wygląda mi na program, który wymaga znacznie większej świadomości od użytkownika. Słuszne spostrzeżenie?
EDIT:
Czy AppArmor ma jakieś defaultowe ustawienia lub np. jakieś "presety"? Albo spytam inaczej - jak zacząć, by nie nabałaganić, a zwrócić uwagę tylko na konkretne aplikacje, co do których nie mam zbyt dużego zaufania? Chodzi szczególnie o programy, które domyślnie mogą wykonywać pewne operacje na plikach lokalnych. Chciałbym mieć przynajmniej świadomość tego, że coś jest robione - choćby jakieś logi, czy coś?
EDIT2:
Wygląda na to, że mam zainstalowany i aktywny AppArmor. Wywołanie cat /sys/kernel/security/apparmor/profiles zwróciło mi listę profili. Niektóre z nich są jako complain, a inne jako enforce. Widzę pośród nich także program, który mnie interesuje.
EDIT:
Czy AppArmor ma jakieś defaultowe ustawienia lub np. jakieś "presety"? Albo spytam inaczej - jak zacząć, by nie nabałaganić, a zwrócić uwagę tylko na konkretne aplikacje, co do których nie mam zbyt dużego zaufania? Chodzi szczególnie o programy, które domyślnie mogą wykonywać pewne operacje na plikach lokalnych. Chciałbym mieć przynajmniej świadomość tego, że coś jest robione - choćby jakieś logi, czy coś?
EDIT2:
Wygląda na to, że mam zainstalowany i aktywny AppArmor. Wywołanie cat /sys/kernel/security/apparmor/profiles zwróciło mi listę profili. Niektóre z nich są jako complain, a inne jako enforce. Widzę pośród nich także program, który mnie interesuje.
Re: Instalacja oprogramowania
Tak. Apparmor jest włączony standardowo, a Selinux jest trudniejszy w konfiguracji. Teraz musisz nauczyć się konfiguracji. Przykładowe konfiguracje dla danych programów można znaleźć w internecie. Możesz je posciagac, pozmieniać konfigurację pod siebie w zależności od potrzeb i poziomu wprowadzonych zabezpieczeń. W Debianie jest pakiet z dodatkowymi profilami. Doinstaluj go sobie. To na poczatek
......
Podstawa to musisz nauczyć się konfiguracji, Jest też możliwość generowania własnych profili. Najprościej jest jednak ściągać gotowe profile od ludzi, którzy się na tym dobrze znają i tworzą dobrze zabezpieczone profile. Oczywiście przy znajomości konfiguracji możesz je jeszcze bardziej modyfikować pod siebie i tuningowac.
......
Podstawa to musisz nauczyć się konfiguracji, Jest też możliwość generowania własnych profili. Najprościej jest jednak ściągać gotowe profile od ludzi, którzy się na tym dobrze znają i tworzą dobrze zabezpieczone profile. Oczywiście przy znajomości konfiguracji możesz je jeszcze bardziej modyfikować pod siebie i tuningowac.
Re: Instalacja oprogramowania
Domyślam się, że dodatkowe profile, które mogę zainstalować i tak dotyczą bardziej znanych softów? Te, o których myślę, nie są zbyt popularne. Niektóre zaciągałem przez Snapa, co już pewnie spotkałoby się z krytyką ze strony osób, które przywiązują dużą wagę do bezpieczeństwa i stabilności systemu.
Niby widzę profile niektórych z tych programów w AppArmor, ale nie wiem, czy to jest w ogóle coś wartościowego. Zaczynają się od snap.nazwa_programu.nazwa_programu oraz snap.nazwa_programu.hook.configure i oba są oznaczone, jako enforce.
Jak mogę zaciągnąć dodatkowe profile, o których wspominasz?
Niby widzę profile niektórych z tych programów w AppArmor, ale nie wiem, czy to jest w ogóle coś wartościowego. Zaczynają się od snap.nazwa_programu.nazwa_programu oraz snap.nazwa_programu.hook.configure i oba są oznaczone, jako enforce.
Jak mogę zaciągnąć dodatkowe profile, o których wspominasz?
Re: Instalacja oprogramowania
poszukaj, a znajdziesz
https://gitlab.com/apparmor/apparmor-pr ... ter/ubuntu
https://github.com/roddhjav/apparmor.d/ ... apparmor.d
Zawsze analizuj kogoś profil zanim zdecydujesz go dodać do ochrony systemu...
To co wyżej pisałem trzeba nauczyć się wcześniej składni konfiguracji
Może dostrzegniesz, że jakiś profil ma lukę w bezpieczeństwie. Ludzie popełniają błędy.
https://gitlab.com/apparmor/apparmor-pr ... ter/ubuntu
https://github.com/roddhjav/apparmor.d/ ... apparmor.d
Zawsze analizuj kogoś profil zanim zdecydujesz go dodać do ochrony systemu...
To co wyżej pisałem trzeba nauczyć się wcześniej składni konfiguracji
Może dostrzegniesz, że jakiś profil ma lukę w bezpieczeństwie. Ludzie popełniają błędy.