1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Security: Ransomware kann jetzt Webkit

firefox && appArmor (sicher?)

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. firefox && appArmor (sicher?)

    Autor: if_then_else 04.01.16 - 16:40

    habe unter ubuntu per appArmor dem Firefox nur Zugriff auf seine /tmp/ files und sein ~/user/.mozilla/ dir erlaubt.

    ~$: sudo aa-enforce /etc/apparmor.d/usr.bin.firefox

    frage mich nun ob das reicht:
    - jeglicher autostart (e.g. ~/user/.bashrc) ist nicht schreibbar für FF
    - daher kann FF und seine prozesse selbst nicht ausserhalb seines dirs schreiben bzw. verschlüsseln

    stimmt die Überlegung?

  2. Re: firefox && appArmor (sicher?)

    Autor: Wallbreaker 04.01.16 - 19:08

    if_then_else schrieb:
    --------------------------------------------------------------------------------
    > habe unter ubuntu per appArmor dem Firefox nur Zugriff auf seine /tmp/
    > files und sein ~/user/.mozilla/ dir erlaubt.
    >
    > ~$: sudo aa-enforce /etc/apparmor.d/usr.bin.firefox
    >
    > frage mich nun ob das reicht:
    > - jeglicher autostart (e.g. ~/user/.bashrc) ist nicht schreibbar für FF
    > - daher kann FF und seine prozesse selbst nicht ausserhalb seines dirs
    > schreiben bzw. verschlüsseln
    >
    > stimmt die Überlegung?

    Ich sag es mal so, grundsätzlich ist AppArmor eine wirksame Sache, hat jedoch auch seine Schwächen. Im Vergleich zu SELinux forciert AppArmor nur Regeln anhand von Pfadnamen, also wenn du "/usr/bin/firefox" isolierst, dann kann AppArmor nicht vor Änderungen dessen schützen. Das heißt änderst sich nun die Pfadangabe auf "/usr/bin/firefox2" und "firefox2" ist ebenso eine Binary, dann tut AppArmor hier rein gar nichts. Es ist eben ein sehr simples Regelwerk und entsprechend einfach zu nutzen, im Vergleich zu SELinux was hier sehr fein granuliert anhand etlicher Merkmale Regeln durchsetzt, aber auch äußerst aufwändig zu konfigurieren ist. Unter SELinux wird quasi jede Datei mit einem Label versehen, mit Informationen darüber was dieses Objekt darf und was nicht, was in diesem Sinne nicht einfach durch Pfadänderungen und Dergleichen ausgehebelt werden kann. Dennoch haben beide Ansätze eine gemeinsame Schwäche, den Linux Kernel, und sofern ein funktionstüchtiger Root-Exploit existieren sollte der es so weit schafft, dann lassen sich beide Maßnahmen auch aushebeln. Aber wie gesagt das ist nur Theorie was in der Praxis erst einmal funktionieren muss. Zwar nicht unmöglich aber doch außerordentlich schwierig, und sehr unwahrscheinlich. Allerdings kann die Komplexität von SELinux auch schlechte Konfigurationen zu Tage fördern, die entsprechende Lücken aufweisen die den Schutz unwirksam machen. Will man nur einzelne Programme isolieren würde sich auch LXE anbieten.

  3. Re: firefox && appArmor (sicher?)

    Autor: robinx999 04.01.16 - 19:22

    Hab mich schon immer gefragt wie gut diese Dinge sind hatte mal vor ein paar Jahren Soapbox getestet und war sehr verwirrt über die Fähigkeiten.
    http://dag.wiee.rs/home-made/soapbox/

    Und irgendwie war ich überrascht.
    Hatte mal eine Bash gestartet
    soapbox -p /tmp/test/ bash
    so das sie nur in dem Verzeichniss hätte schreiben dürfen
    Interessanterweise konnte ich auch keine Datei in einem Anderen Verzeichnis anlegen. Aber ich war überrascht das ich eine Datei die ich in dem Verzeichnis wo schreiben erlaubt war überall hin kopieren konnte mit dem Befehl
    "mplayer /tmp/test/dateiname -dumpstream -dumpfile /tmp/dateiname" und Plötzlich war die Datei direkt unter /tmp/ wohin man eigentlich nicht schreiben konnte, geht so etwas eigentlich auch bei Apparmor oder ist das sicherer?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über ARTS Holding SE, Bremen
  2. Bundesamt für Verfassungsschutz, Berlin, Köln
  3. Bertrandt Ingenieurbüro GmbH, München
  4. Techniker Krankenkasse, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 6,99€
  2. 16,29€
  3. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme