Impostare dei limiti a Wine per proteggere le /home

[Danielsan]

C'è un modo per impedire a Wine di funzionare automaticamente con i file .exe?
Si può impostare per farlo funzionare esclusivamente con alcuni software?

Sulla sicurezza le faq di Wine sono piuttosto inconsistenti

10. Risks

10.1. Wine is malware-compatible
Just because Wine runs on Linux doesn't mean you're protected from viruses, trojans, and other forms of malware.
There are several things you can do to protect yourself:

1. Never run executables from sites you don't trust. Infections have already happened.
2. In web browsers and mail clients, be suspicious of links to URLs you don't understand and trust.
3. Never run any GUI application (including Wine applications) as root. (See above. )
4. Use a virus scanner, e.g. ClamAV is a free virus scanner you might consider using if you are worried about an infection; see also Ubuntu's notes on how to use ClamAV. No virus scanner is 100% effective, though.
5. Consider removing the default Wine Z: drive, which maps to the unix root directory. This is only a weak defense, but it might help against some attacks. The downside to this is you won't be able to run Windows applications that aren't reachable from a Wine drive (like C: or D:), so you might have to move downloaded installers to ~/.wine/drive_c before you can run them.
6. If you're running applications that you suspect to be infected, run them as their own Linux user or in a virtual machine.

10.2. Nautilus can delete your home directory when you empty the trash!
In some versions of Gnome (2.21.90?), if you move ~/.wine to trash, and empty the trash, everything that you can write to in your root filesystem is then deleted (including the contents of your home folder).

Praticamente uno installa Wine e poi si ritrova tutti i difetti di Windows?  ::)

[AirPort]

Semplicemente se prendi del malware su wine, quando usi wine sei sotto gli effetti del malware stesso, pericolo che si estende solo alla tua home perché wine non ha i permessi di root.

[Danielsan]

Il mio cruccio è questo: mio fratello è un ricercatore di storia e lingua cinese, per scrivere le parti in Cinese delle sue ricerche, usa un particolare programma per Win che gira piuttosto bene anche su Wine.
Ora sul suo pc gli ho montato Xubuntu e tolto Windows, ma il mio caro fratello non è particolarmente avvezzo all'informatica e mi sta venendo il dubbio che mettergli wine che apre i .exe è come mettergli una bomba a orologeria fra le mani.
E purtroppo, dato che nella Home ci sono i dati sensibili, è meglio che si frigga la root piuttosto che la home. Quello che c'è nella root lo recuperi con mezzora di lavoro mentre quello che c'è nella home no.

[AirPort]

Se i programmi sono privi di malware non hai problemi.

Il mio problema cruccio è questo, mio fratello è un ricercatore di storia e lingua cinese, per scrivere le parti in Cinese delle sue ricerche usa un programma particolare per Win che gira piuttosto bene anche su Wine.
Ora sul suo pc gli ho montato Xubuntu, ma il mio caro fratello non è particolarmente avvezzo all'informatica, e mi sta venendo il dubbio che mettergli wine che apre i .exe è come mettergli una bomba a orologeria fra le mani.
E purtroppo dato che nella Home ci sono i dati sensibili è meglio che si frigga la root piuttosto che la home. Quello che c'è nella root lo recuperi con mezzora di lavoro mentre quello che c'è nella home no.

Backup periodici :P

[perfab]

non uso nè l'uno (wine) nè l'altro ma dicono che sia abbastanza sicura l'opzione di usare virtualbox che in effetti non dovrebbe contaminare la tua installazione di base... però ribadisco la mia ignoranza in materia

[luxtux]

Fai funzionare wine in un ambiente 'protetto', chroot puo' essere una soluzione.

ciao
L.

[AirPort]

Oppure ancora creare un altro account non amministratore per wine.

[Danielsan]

Non credo che quel PC sia cosi performante da reggere Virtualbox e usare un'altro account non mi sembra una cosa pratica.

Sto cercando informazioni su CHROOT ma tanto per cambiare non ho capito nulla... >:(

[AirPort]

Volendo proprio ci sarebbe anche la possibilità di limitarlo con apparmor, ma entreresti in una spirale discendente da cui potresti non uscire. Per me comunque ti stai facendo troppi problemi: se deve usare quel programma collaudato non dovresti temere niente. Al massimo imposta un backup e sei a posto.

[luxtux]

Non credo che quel PC sia cosi performante da reggere Virtualbox e usare un'altro account non mi sembra una cosa pratica.

Sto cercando informazioni su CHROOT ma tanto per cambiare non ho capito nulla... >:(

Credo che una ricerca di questo tipo ti possa aiutare.

ciao
L.

[Danielsan]

Chroot non mi sembra la soluzione migliore, fa semplicemente girare un utente in ambiente protetto.
Poi leggo che non si dovrebbe usare spesso.

Mi domandavo ma non posso mettere dei permessi a Wine per farlo lavorare solo con alcune applicazioni?

[Danielsan]

Forse posso usare Selinux?
Magari creando delle policy?
(sempre se ne sono capace...  (mad))

[AirPort]

Se vuoi impelagarti in un pantano del genere tanto vale che usi apparmor, già preinstallato.

[paologab]

ciao anch'io sono molto interessato

in open suse c'è questo link

http://apparmor.opensuse.org/profiles/show/3847

non so se può servire per cominciare a impostare apparmor, anche se la soluzione più semplice per newbie mi pare quella di creare un utente Wine.

Cmq l'unica soluzione intelligente mi paiono i backup programmati automatici perchè se i files nella /home + preziosi x tuo fratello sono 'cinesi' e li crei/leggi/modifichi da wine ...  come puoi proteggerli?  ???

[Danielsan]

Ora cerco di capire qualcosa su AppArmor, purtroppo la sicurezza in Linux è un affare da esperti.

[AirPort]

Sarà una bella faticata, te lo posso assicurare.

[paologab]

Io aspetto fiducioso!

dalle parti di suse c'è un corposo wiki

mi raccomando poi non dimenticarti di postare la soluzione!

[paologab]

Sarà una bella faticata, te lo posso assicurare.

per curiosità, parlando di programmi .exe che leggono e scrivono solo dentro a /.wine/*, quindi nessun contatto esterno, se uno 'ingabbia' wine poi è apposto o bisogna loggare e studiare ciascun programma?

[AirPort]

Sarà una bella faticata, te lo posso assicurare.

per curiosità, parlando di programmi .exe che leggono e scrivono solo dentro a /.wine/*, quindi nessun contatto esterno, se uno 'ingabbia' wine poi è apposto o bisogna loggare e studiare ciascun programma?

Apparmor (e SELinux e qualunque altro) non può ingabbiare un programma che gira su un layer d'emulazione, pertanto si ingabbia wine e tutti programmi che girano su di esso non potranno leggere/scrivere (a seconda di come si imposta) all'infuori dei limiti consentiti a quello.

[Danielsan]

Non vi fate troppe aspettative, se trovo qualcosa di comprensibile mi cimento con delle prove, ma la mia preparazione di base è -1000.