Bonjour,
Le système de permissions d'Android est un truc qui me plaît beaucoup, et que j'aimerais bien reproduire dans ma Debian. Plus précisément, je voudrais pouvoir choisir à quelles données certaines applications peuvent accéder.
Et j'aimerais faire ça parce que ça me paraît être un bon moyen de protéger mes données d'un exploit quelconque, surtout dans les programmes qui accèdent à Internet. Par exemple, donner à Firefox l'accès à uniquement ~/.mozilla et ~/Téléchargements permettrait de moins exposer mes ~/Images et ~/Documents.
En fait j'aimerais savoir, plus généralement, pourquoi les grandes distributions Linux sur PC ne proposent pas le genre de protections qui sont apparues il y a quelques années avec les smartphones et les magasins d'applications. Pourquoi le système n'isole-t-il pas plus les données par défaut ?
J'ai entendu parler de SELinux, sans bien comprendre son but et son fonctionnement. Est-ce qu'il fait ce que je cherche ? Et si oui, est-ce que quelqu'un a réussi à le faire fonctionner sans casser la moitié de ses applications, et pourrait me donner quelques conseils ?
Et sinon, existe-t-il d'autres solutions pour "isoler" mes fichiers ?
Merci.
# SELinux le fait
Posté par lay . Évalué à 4.
Oui SELinux est fait pour ça. C'est même certainement le plus utilisé avec AppArmor d'Ubuntu puisqu'il est activé directement sur certaines distributions genre RedHat.
Pour ma part, j'utilise Tomoyo qui est un autre système de gestion d'accès d'un processus.
Ce qui est sympa c'est qu'il est possible de le lancer en mode learning, il va alors générer une liste de règles pour un binaire que tu peux ensuite vérifier avant de l'activer réellement. Les autres le font peut être aussi mais je ne les ai jamais utilisés.
[^] # Re: SELinux le fait
Posté par UnGens . Évalué à 1.
Merci :D
Si j'ai une liste de dossiers/fichiers à whitelister pour certains binaires, il y a un moyen de créer une policy rapidement pour SELinux ou c'est long et compliqué ?
# re
Posté par Anonyme . Évalué à 2. Dernière modification le 29 novembre 2015 à 02:13.
Le sujet m'intéresse j'aimerais aussi appliquer.
Depuis peu, pour chaque grosse application lié à internet j'utilise pour chacun d'eux un système chrooté.
Donc: 1 application = 1 système sous chroot avec 1 utilisateur simple avec son home vide ou seule fichiers lié à l'application.
Au besoin, voir automatiser, faire un mount bind, pour avoir un dossier partagé entre le système principale et celui du système chroot de l'application.
Surtout après file:/// dans la barre de firefox..
[^] # Re: re
Posté par UnGens . Évalué à 1.
Tu peux préciser comment tu as monté ça ? Tu installes un système complet dans un dossier, tu chroot dedans, et après ?
[^] # Re: re
Posté par Marotte ⛧ . Évalué à 3.
Sans noyau.
Pour Debian il y a un programme pour ne pas avoir à le faire à la main, c’est expliqué en français ici.
Après tu y installes ton (tes) programmes avec apt-get.
[^] # Re: re
Posté par Anonyme . Évalué à 2. Dernière modification le 29 novembre 2015 à 16:20.
Je lance:
debootstrap --include locales --arch i386(ouamd64) jessie /location/à/un/dossier/cible http://ftp.debian.com/debian
Une fois installation terminé:
chroot /location/à/un/dossier/cible /bin/bash
, j'ai la ligne de commande dans le système chrooté.Pour le bon fonctionnement un petit
dpkg-reconfigure locales
choisir pour ma part: us en utf8, puis mettre à jours le système (normalement il doit l'être), vérifier sources.list qui est incomplet (non-free pour plugin flash, ligne sur dépôt sécurité absent si je me souviens bien).Je mount pas trop de chose comme le font dans les tutoriels en générale c'est pas notre objectif.
Je fais celui du proc et sys:
mount -t proc none /chroot/cible/proc
mount -t sysfs sys /chroot/cible/sys
Je ne mount pas mon /dev/ du système principale dans le système chrooté, mais juste celui du
/dev/snd/
pour avoir le son dans firefox viamount --bind /dev/snd /chroot/cible/dev/snd
en créant au préalable le répértoire snd dans /chroot/cible/dev/, mais pour d'autre application tu n'auras probablement pas besoin.En fin d'utilisation umount le tout:
umount -l /chroot/cible/dev/snd
,umount -l /chroot/cible/proc
,umount -l /chroot/cible/sys
.Et faire les installations logiciels dedans en minimale, ta pas besoin d'installer un environnement de bureau.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.