Pagina 1 di 1

Abilitare apparmor per firefox? conviene?

Inviato: mercoledì 27 ottobre 2010, 20:48
da Simo-tux
come è noto ( https://help.ubuntu.com/community/AppAr ... %20Firefox?) il profilo per firefox c'è ma è disabilitato di default in apparmor. Mi chiedevo, come mai? Prima di abilitarlo vorrei sentire il parere di qualcuno più esperto di me

Re: Abilitare apparmor per firefox? conviene?

Inviato: domenica 31 ottobre 2010, 10:39
da Simo-tux
a beneficio di chi avesse avuto i miei stessi dubbi allego due link a due interessanti discussioni ad ubuntuforum.org

http://ubuntuforums.org/showthread.php?t=1008906 : qui c'è una chiara spiegazione del funzionamento di apparmor, che, in pratica, assomiglia molto come concetto agli integrity levels introdotti a partire da Windows Vista, con la differenza della assoluta libertà per l'utente di configurarli e di estenderli ad ogni livello di sistema (e non solo al browser, come avviene ora su windows).

http://ubuntuforums.org/showthread.php?t=1461985 : qui invece c'è la risposta alla mia domanda. In sostanza se ne sconsiglia l'uso per un impiego "desktop" del pc o, almeno, per l'utente che non voglia ritoccare la propria policy ad ogni evento "anomalo" come  un aggiornamento o un'installazione di estensioni. Se ne consiglia insomma un uso limitato su server.

Concludo lanciando un sassolino: sarebbe bello se qualcuno che avesse le giuste competenze accogliesse questi spunti e perdesse un pò di tempo a realizzare una guida pratica ai giusti settaggi con apparmor:)

Re: Abilitare apparmor per firefox? conviene?

Inviato: domenica 31 ottobre 2010, 10:43
da il_muflone
una guida alla configurazione di apparmor sta sul wiki, non ricordo se quello italiano o quello internazionale.

in genere non si perde tempo a scrivere guide simili perche` la maggior parte della gente non ne e` interessata e non sarebbe in grado di gestirla, lamentandosi poi che non funzioneranno estensioni, plugin e cose extra, per di piu` dimenticandosi di aver attivato apparmor e facendo perdere la testa a chi fornisce aiuto :)

Re: Abilitare apparmor per firefox? conviene?

Inviato: lunedì 1 novembre 2010, 16:52
da pliut
Sarebbe possibile disattivarlo? Come?
Grazie
Paolo

Re: Abilitare apparmor per firefox? conviene?

Inviato: martedì 2 novembre 2010, 12:27
da Simo-tux
da wiki il comando dovrebbe essere questo

Codice: Seleziona tutto

sudo ln -s /etc/apparmor.d/bin.firefox-3.6/etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/bin.firefox-3.6

Re: Abilitare apparmor per firefox? conviene?

Inviato: giovedì 11 novembre 2010, 9:30
da Simo-tux
per la cronaca, alla fine ho deciso di provare e ho abilitato l' "enforce" per Firefox e devo dire che funziona bene! :) Immagine Ho provato anche ad installare e disinstallare delle estensioni e non ho trovato anomalie di sorta. Vi terrò aggiornati su come si comporterà al momento di aggiornare. Se funzionasse bene comunque sarei stupito del fatto che tengano il profilo disabilitato...Firefox, Secunia docet, non è Opera, di bugs exploitabili ne ha a iosa e non tutti vengono risolti nel tempo del passaggio di versione, quindi uno strumento come apparmor è fondamentale e dovrebbe essere inserito già di default...

Re: Abilitare apparmor per firefox? conviene?

Inviato: venerdì 19 novembre 2010, 17:32
da pliut
Prima o poi proverò a farlo: praticamente utilizzi con l'apparmor un sand-box per il browser?
Paolo

Re: Abilitare apparmor per firefox? conviene?

Inviato: sabato 20 novembre 2010, 9:36
da Simo-tux
da quello che ho capito è abbastanza diverso da una sandbox, infatti in questa i processi che devono essere avviati per far partire un programma vengono riprodotti (virtualizzati) all'interno di un'area isolata non impedendo però la lettura\scrittura di quei processi di cui l'utente ha i privilegi in lettura\scrittura, quindi una sandbox non metterebbe affatto al sicuro, ad esempio, da un trojan che agisse all'interno dei privilegi dell'utente, cioè nella Home. Il trojan non intaccherebbe la vera home ma sicuramente potrebbe rubare dati sensibili e potrebbe essere avviato fin quando la sandbox non venga cancellata, questo perchè vengono riprodotti nella sandbox esattamente i processi richiesti nel sistema reale. Apparmor o selinux invece non virtualizzano niente ma limitano, anche nella Home, i permessi arbitrari in lettura\scrittura, cosa molto più utile di una sandbox in sistemi in cui l'utente comunque non agisce come superuser, come su linux.

Re: Abilitare apparmor per firefox? conviene?

Inviato: sabato 20 novembre 2010, 10:44
da pliut
http://www.kace.com/products/freetools/secure-browser/?doc%3Dindex.php%26doc%3Dsecure-browser
Per sistemi windows e solo limitatamente al browser ed a Mozilla Firefox un partner di Dell mette a disposizione gratuitamente un tool che credo abbia almeno nei risultati effetti comparabili con apparmor, sempre relativamente al browser: l'ho provato ma non sono stato in grado di utilizzarlo efficacemente, purtroppo, sul dual-boot, forse semplicemente perchè ha documentazione e tutorials in inglese e l'ho disinstallato.
Parimenti, apparmor non sono stato in grado di utilizzarlo in enforce-mode non avendo idea di che regole potessi dettargli, preferendo per compensazione, rinforzare il sistema con un firewall, pensando che in fin dei conti ambedue le istanze non sono default in Maverick.
Paolo

Re: Abilitare apparmor per firefox? conviene?

Inviato: domenica 21 novembre 2010, 20:50
da Simo-tux
per apparmor già ci sono dei profili predefiniti, firefox è tra questi, perciò non bisogna configurare nulla, la stringa è quella riportata sul wiki tranne che per la versione di firefox...occorre cioè inserire soltanto "bin.firefox", anzichè come riportato "bin.firefox-3.5"