# Sandbox w Gentoo?

## Jacekalex

Witam

Po kilku porażkach - moja przeprowadzka na Gentoo niedawno stała się faktem (wcześniej Ubuntu).

Jedno pytanie:

http://www.heise-online.pl/newsticker/news/item/Fedora-12-sandbox-dla-aplikacji-biurkowych-815780.html

Czy w Gentoo istnieje sposób, aby użyć tego mechanizmu z fedory?

Bo testowałem Gentowego Sandboxa, ale w nim nie działa np. firefox, i kilka innych programów.

[code]sys-apps/sandbox

     Available versions:  1.2.18.1-r2 (~)1.2.18.1-r3 (~)1.2.20_alpha2-r1 1.6-r2 (~)2.1 (~)2.2{tbz2} {multilib}

     Installed versions:  2.2{tbz2}(16:28:18 04.08.2010)(-multilib)

     Homepage:            http://www.gentoo.org/

     Description:         sandbox'd LD_PRELOAD hack[/code]

A testuję różne sposoby zabezpieczania aplikacji w przestrzeni jednego konta użytkownika,

- mam na myśli desktop - dźwięk i obraz.

Znam trochę apparmora (ale userspace na Gentoo nie chcialo ruszyć, a i z dostępnością łat na nowe kernele jest raczej średnio), próbuję z tomoyo - wygląda obiecująco, ale konfigi to inna bajka, mechanizm konfiguracji też.

A taki mechanizm - jak ten w fedorze, bardzo by się przydał.

Pozdrawiam

 :Cool: 

----------

## joi_

 *Jacekalex wrote:*   

> Znam trochę apparmora (ale userspace na Gentoo nie chcialo ruszyć, a i z dostępnością łat na nowe kernele jest raczej średnio), próbuję z tomoyo - wygląda obiecująco, ale konfigi to inna bajka, mechanizm konfiguracji też.

 

AppArmor 3 godziny temu  :Smile:  wylądował w drzewie Linusa

http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=7e6880951da86928c7f6cecf26dcb8e8d9f826da

----------

## SlashBeast

Jak masz za duzo czasow to pobaw sie rsbac i grsecurity rbac.

----------

## Jacekalex

grsecurity +pax i rsbac są wspaniałym zabezpieczeniem serwerów z Gentoo -hardened.

Ale na desktopie, gdzie są multimedia, dźwięk i obraz - to trochę za ciężka liga.

To tak, jakby czołg PT-91 przerabiać na kabriolet.

Apparmor - fajnie, ze idzie do przodu, o ile poprawi się jego userspace.

Skrypty do generownia i update'u profili robią często takie bzdury, że boki można zrywać.

Pamietam generowanie profilu dla Google-Chrome: - za każdym razem dodawał każdy plik tymczasowy z tmp i cache do profilu.

Po uruchomieniu ochrony - trzeba było go poprawiać.

Ale dało się z nim conieco zrobić.

Teraz testuję Tomoyo - wygląda ciekawie, ale system zarządzania polityką, jest albo zwalony, albo niedopracowany, w każdym razie wykonując wszystko wg. obrazków  na stronie - nie udało mi się zrobić profilu do programu ping, więc np. do firefoxa nie próbowałem.   :Very Happy: 

Za to testowałem tego sandboxa z fedory - działa bardzo fajnie,trzydzieści sekund, i nie ma szansy, żeby poprzez skype, czy np. pidgina - uderzył jakiś np. exploit,i majstrował przy danych w folderze użytkownika.

Gentoo ma fajne wsparcie do selinuxa, dlatego zainteresowałem się tym mechanizmem z fedory, i ciekaw jestem, czy to przypadkiem do Gentoo nie dotarło.

EDYTA:

Zapowiada się fajnie:

https://apparmor.wiki.kernel.org/index.php/AppArmorTools

Ale właśnie skompilowałem prawie cały zestaw narzędzi, poszło wszystko z wyjątkiem parsera - najważniejszej części elementu administracyjnego.  :Mad: 

Jeśli apparmor trafił do źródeł kernela, to w jakim mniej więcej czasie pokażą się narzędzia do apparmora w portage?

Jak sądzicie?

Pozdrawiam

 :Cool: 

----------

