Instalacja oprogramowania

Zagadnienia bezpieczeństwa w systemie
wingcom
Posty: 12
Rejestracja: 10 października 2024, 10:48

Instalacja oprogramowania

Post autor: wingcom »

Cześć!
Jak najlepiej jest instalować oprogramowanie, by nie dać mu "zbyt dużych" uprawnień? O ile tak się w ogóle da (?).
Na co dzień oczywiście korzystam z konta zwykłego usera. Aczkolwiek, gdy coś instaluję za pośrednictwem APT, przelogowuję się do admina przy pomocy komendy "su". No i teraz pytanie - czy to duży błąd?

Dzięki za odpowiedź! :)
Awatar użytkownika
Yampress
Administrator
Posty: 6405
Rejestracja: 09 sierpnia 2007, 21:41
Lokalizacja: PL

Re: Instalacja oprogramowania

Post autor: Yampress »

Robisz to poprawnie jak widze. Natomiast jeśli chcesz zmniejszyć uprawnienia to musisz zainstalować i skonfigurować dodatkowe narzędzia. Apparmor lub selinux
wingcom
Posty: 12
Rejestracja: 10 października 2024, 10:48

Re: Instalacja oprogramowania

Post autor: wingcom »

Czy dobrze widzę, że AppArmor to lepszy wybór dla kogoś niezbyt zaawansowanego? Ten pierwszy wygląda mi na program, który wymaga znacznie większej świadomości od użytkownika. Słuszne spostrzeżenie?

EDIT:
Czy AppArmor ma jakieś defaultowe ustawienia lub np. jakieś "presety"? Albo spytam inaczej - jak zacząć, by nie nabałaganić, a zwrócić uwagę tylko na konkretne aplikacje, co do których nie mam zbyt dużego zaufania? Chodzi szczególnie o programy, które domyślnie mogą wykonywać pewne operacje na plikach lokalnych. Chciałbym mieć przynajmniej świadomość tego, że coś jest robione - choćby jakieś logi, czy coś?

EDIT2:
Wygląda na to, że mam zainstalowany i aktywny AppArmor. Wywołanie cat /sys/kernel/security/apparmor/profiles zwróciło mi listę profili. Niektóre z nich są jako complain, a inne jako enforce. Widzę pośród nich także program, który mnie interesuje.
Awatar użytkownika
Yampress
Administrator
Posty: 6405
Rejestracja: 09 sierpnia 2007, 21:41
Lokalizacja: PL

Re: Instalacja oprogramowania

Post autor: Yampress »

Tak. Apparmor jest włączony standardowo, a Selinux jest trudniejszy w konfiguracji. Teraz musisz nauczyć się konfiguracji. Przykładowe konfiguracje dla danych programów można znaleźć w internecie. Możesz je posciagac, pozmieniać konfigurację pod siebie w zależności od potrzeb i poziomu wprowadzonych zabezpieczeń. W Debianie jest pakiet z dodatkowymi profilami. Doinstaluj go sobie. To na poczatek

......
Podstawa to musisz nauczyć się konfiguracji, Jest też możliwość generowania własnych profili. Najprościej jest jednak ściągać gotowe profile od ludzi, którzy się na tym dobrze znają i tworzą dobrze zabezpieczone profile. Oczywiście przy znajomości konfiguracji możesz je jeszcze bardziej modyfikować pod siebie i tuningowac.
wingcom
Posty: 12
Rejestracja: 10 października 2024, 10:48

Re: Instalacja oprogramowania

Post autor: wingcom »

Domyślam się, że dodatkowe profile, które mogę zainstalować i tak dotyczą bardziej znanych softów? Te, o których myślę, nie są zbyt popularne. Niektóre zaciągałem przez Snapa, co już pewnie spotkałoby się z krytyką ze strony osób, które przywiązują dużą wagę do bezpieczeństwa i stabilności systemu.

Niby widzę profile niektórych z tych programów w AppArmor, ale nie wiem, czy to jest w ogóle coś wartościowego. Zaczynają się od snap.nazwa_programu.nazwa_programu oraz snap.nazwa_programu.hook.configure i oba są oznaczone, jako enforce.

Jak mogę zaciągnąć dodatkowe profile, o których wspominasz?
Awatar użytkownika
Yampress
Administrator
Posty: 6405
Rejestracja: 09 sierpnia 2007, 21:41
Lokalizacja: PL

Re: Instalacja oprogramowania

Post autor: Yampress »

poszukaj, a znajdziesz
https://gitlab.com/apparmor/apparmor-pr ... ter/ubuntu
https://github.com/roddhjav/apparmor.d/ ... apparmor.d


Zawsze analizuj kogoś profil zanim zdecydujesz go dodać do ochrony systemu...
To co wyżej pisałem trzeba nauczyć się wcześniej składni konfiguracji
Może dostrzegniesz, że jakiś profil ma lukę w bezpieczeństwie. Ludzie popełniają błędy.
ODPOWIEDZ