Abilitare apparmor per firefox? conviene?
Abilitare apparmor per firefox? conviene?
come è noto ( https://help.ubuntu.com/community/AppAr ... %20Firefox?) il profilo per firefox c'è ma è disabilitato di default in apparmor. Mi chiedevo, come mai? Prima di abilitarlo vorrei sentire il parere di qualcuno più esperto di me
Re: Abilitare apparmor per firefox? conviene?
a beneficio di chi avesse avuto i miei stessi dubbi allego due link a due interessanti discussioni ad ubuntuforum.org
http://ubuntuforums.org/showthread.php?t=1008906 : qui c'è una chiara spiegazione del funzionamento di apparmor, che, in pratica, assomiglia molto come concetto agli integrity levels introdotti a partire da Windows Vista, con la differenza della assoluta libertà per l'utente di configurarli e di estenderli ad ogni livello di sistema (e non solo al browser, come avviene ora su windows).
http://ubuntuforums.org/showthread.php?t=1461985 : qui invece c'è la risposta alla mia domanda. In sostanza se ne sconsiglia l'uso per un impiego "desktop" del pc o, almeno, per l'utente che non voglia ritoccare la propria policy ad ogni evento "anomalo" come un aggiornamento o un'installazione di estensioni. Se ne consiglia insomma un uso limitato su server.
Concludo lanciando un sassolino: sarebbe bello se qualcuno che avesse le giuste competenze accogliesse questi spunti e perdesse un pò di tempo a realizzare una guida pratica ai giusti settaggi con apparmor:)
http://ubuntuforums.org/showthread.php?t=1008906 : qui c'è una chiara spiegazione del funzionamento di apparmor, che, in pratica, assomiglia molto come concetto agli integrity levels introdotti a partire da Windows Vista, con la differenza della assoluta libertà per l'utente di configurarli e di estenderli ad ogni livello di sistema (e non solo al browser, come avviene ora su windows).
http://ubuntuforums.org/showthread.php?t=1461985 : qui invece c'è la risposta alla mia domanda. In sostanza se ne sconsiglia l'uso per un impiego "desktop" del pc o, almeno, per l'utente che non voglia ritoccare la propria policy ad ogni evento "anomalo" come un aggiornamento o un'installazione di estensioni. Se ne consiglia insomma un uso limitato su server.
Concludo lanciando un sassolino: sarebbe bello se qualcuno che avesse le giuste competenze accogliesse questi spunti e perdesse un pò di tempo a realizzare una guida pratica ai giusti settaggi con apparmor:)
- il_muflone
- Tenace Tecnocrate

- Messaggi: 18878
- Iscrizione: venerdì 1 maggio 2009, 15:31
- Desktop: GNOME Shell
- Distribuzione: Arch Linux x86_64
- Località: Profondo sud
- Contatti:
Re: Abilitare apparmor per firefox? conviene?
una guida alla configurazione di apparmor sta sul wiki, non ricordo se quello italiano o quello internazionale.
in genere non si perde tempo a scrivere guide simili perche` la maggior parte della gente non ne e` interessata e non sarebbe in grado di gestirla, lamentandosi poi che non funzioneranno estensioni, plugin e cose extra, per di piu` dimenticandosi di aver attivato apparmor e facendo perdere la testa a chi fornisce aiuto
in genere non si perde tempo a scrivere guide simili perche` la maggior parte della gente non ne e` interessata e non sarebbe in grado di gestirla, lamentandosi poi che non funzioneranno estensioni, plugin e cose extra, per di piu` dimenticandosi di aver attivato apparmor e facendo perdere la testa a chi fornisce aiuto
http://www.muflone.com - I miei contatti e i miei progetti - La guida completa a VirtualBox
Non mandatemi messaggi privati per chiedere aiuto, li cancello senza rispondere nemmeno.
Non mandatemi messaggi privati per chiedere aiuto, li cancello senza rispondere nemmeno.
-
pliut
- Prode Principiante
- Messaggi: 121
- Iscrizione: sabato 5 dicembre 2009, 19:15
- Distribuzione: 22
- Sesso: Maschile
- Contatti:
Re: Abilitare apparmor per firefox? conviene?
Sarebbe possibile disattivarlo? Come?
Grazie
Paolo
Grazie
Paolo
Re: Abilitare apparmor per firefox? conviene?
da wiki il comando dovrebbe essere questo
Codice: Seleziona tutto
sudo ln -s /etc/apparmor.d/bin.firefox-3.6/etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/bin.firefox-3.6Re: Abilitare apparmor per firefox? conviene?
per la cronaca, alla fine ho deciso di provare e ho abilitato l' "enforce" per Firefox e devo dire che funziona bene!
Ho provato anche ad installare e disinstallare delle estensioni e non ho trovato anomalie di sorta. Vi terrò aggiornati su come si comporterà al momento di aggiornare. Se funzionasse bene comunque sarei stupito del fatto che tengano il profilo disabilitato...Firefox, Secunia docet, non è Opera, di bugs exploitabili ne ha a iosa e non tutti vengono risolti nel tempo del passaggio di versione, quindi uno strumento come apparmor è fondamentale e dovrebbe essere inserito già di default...
-
pliut
- Prode Principiante
- Messaggi: 121
- Iscrizione: sabato 5 dicembre 2009, 19:15
- Distribuzione: 22
- Sesso: Maschile
- Contatti:
Re: Abilitare apparmor per firefox? conviene?
Prima o poi proverò a farlo: praticamente utilizzi con l'apparmor un sand-box per il browser?
Paolo
Paolo
Re: Abilitare apparmor per firefox? conviene?
da quello che ho capito è abbastanza diverso da una sandbox, infatti in questa i processi che devono essere avviati per far partire un programma vengono riprodotti (virtualizzati) all'interno di un'area isolata non impedendo però la lettura\scrittura di quei processi di cui l'utente ha i privilegi in lettura\scrittura, quindi una sandbox non metterebbe affatto al sicuro, ad esempio, da un trojan che agisse all'interno dei privilegi dell'utente, cioè nella Home. Il trojan non intaccherebbe la vera home ma sicuramente potrebbe rubare dati sensibili e potrebbe essere avviato fin quando la sandbox non venga cancellata, questo perchè vengono riprodotti nella sandbox esattamente i processi richiesti nel sistema reale. Apparmor o selinux invece non virtualizzano niente ma limitano, anche nella Home, i permessi arbitrari in lettura\scrittura, cosa molto più utile di una sandbox in sistemi in cui l'utente comunque non agisce come superuser, come su linux.
-
pliut
- Prode Principiante
- Messaggi: 121
- Iscrizione: sabato 5 dicembre 2009, 19:15
- Distribuzione: 22
- Sesso: Maschile
- Contatti:
Re: Abilitare apparmor per firefox? conviene?
http://www.kace.com/products/freetools/secure-browser/?doc%3Dindex.php%26doc%3Dsecure-browser
Per sistemi windows e solo limitatamente al browser ed a Mozilla Firefox un partner di Dell mette a disposizione gratuitamente un tool che credo abbia almeno nei risultati effetti comparabili con apparmor, sempre relativamente al browser: l'ho provato ma non sono stato in grado di utilizzarlo efficacemente, purtroppo, sul dual-boot, forse semplicemente perchè ha documentazione e tutorials in inglese e l'ho disinstallato.
Parimenti, apparmor non sono stato in grado di utilizzarlo in enforce-mode non avendo idea di che regole potessi dettargli, preferendo per compensazione, rinforzare il sistema con un firewall, pensando che in fin dei conti ambedue le istanze non sono default in Maverick.
Paolo
Per sistemi windows e solo limitatamente al browser ed a Mozilla Firefox un partner di Dell mette a disposizione gratuitamente un tool che credo abbia almeno nei risultati effetti comparabili con apparmor, sempre relativamente al browser: l'ho provato ma non sono stato in grado di utilizzarlo efficacemente, purtroppo, sul dual-boot, forse semplicemente perchè ha documentazione e tutorials in inglese e l'ho disinstallato.
Parimenti, apparmor non sono stato in grado di utilizzarlo in enforce-mode non avendo idea di che regole potessi dettargli, preferendo per compensazione, rinforzare il sistema con un firewall, pensando che in fin dei conti ambedue le istanze non sono default in Maverick.
Paolo
Re: Abilitare apparmor per firefox? conviene?
per apparmor già ci sono dei profili predefiniti, firefox è tra questi, perciò non bisogna configurare nulla, la stringa è quella riportata sul wiki tranne che per la versione di firefox...occorre cioè inserire soltanto "bin.firefox", anzichè come riportato "bin.firefox-3.5"
Chi c’è in linea
Visualizzano questa sezione: 0 utenti iscritti e 9 ospiti