(teilweise gelöst)Wine unter Linux ein Sicherheitsrisiko?

[geier22]

Es ist eigentlich einfach. docker ist hier im Forum kaum präsent, was mich etwas wundert. Ein großer Vorteil ist es, daß man mit docker viel weniger Ressourcen braucht als mit einer VM. Ist einfach schneller und performanter.

Hab da keine Erfahrungen mit.
Allerdings sieht man ja daran, dass man sich die "Zutaten"selber holen muss, dass es zumindest ein "ungeliebtes Kind" bei Debian ist.

[Animefreak79]

So... Da ich aus meheren Gründen ungern ein OS von Microsoft auf meinen Rechner lassen möchte und ich nicht im Besitz einer Setup-CD eines Windows Systems bin, entscheid ich mich zunächst für ReactOS... Gleich vorweg: VirtualBox an sich funktioniert. Aber: Bei ReactOS hat die Konfiguration des Soundkartentreibers nicht funktioniert, ergo kein Sound, und Zugriff auf mein DVD-Laufwerk war auch nicht möglich. Vom Betriebssystem abgesehen, habe ich aber alles so gemacht, wie geier22 es geschrieben hat. Also habe ich es nochmals mit LMDE2 und der dortigen Installation von Wine probiert, hat sogar geklappt. Mit Sound, und Zugriff auf mein DVD-Laufwerk habe ich auch. Dennoch könnte die Perfomance besser sein. Liegt vermutlich daran, dass ich Wine in einer VM nutze. Wenn ich mit VirtualBox arbeiten will, müsste ich mir für vernünftige Ergebnisse vermutlich doch ein Windows installieren, aber eigentlich will ich das nicht. (Da kommt wieder der Asperger.Typ in mir durch XD)...

Original von bitfreak
Als alternative Möglichkeit möchte ich hierbei noch Debianfirejail erwähnen, mit welchem man wine ebenso vom Rest des Systems abschranken kann.

Was denn... SO einfach kann man es auch haben? In dem ich mein Wine ganz normal mit Firejail (welches ich sowieso schon benutze) in eine Sandbox sperre, brauche ich mir keine Sorgen mehr zu machen? Das klingt irgendwie schon fast ein bisschen ZU einfach. Vermutlich werde ich MartinV seine Lösung auch mal ausprobieren, mit dem Docker, aber nicht mehr heute. Will noch Animes glotzen.^^

[uname]

Ich verwende kein Wine. Aber um zur Ursprungsfrage zurückzukommen. Ich glaube einige haben falsche Vorstellungen von Malware. Was gibt es tatsächlich aus Wine im Linux (wenn überhaupt implementiert) zu holen? Vielleicht extra Benutzer, alle andreren Homes mal ordentlich einschränken und Shares korrekt konfigurieren. Gefahr angemessen gebannt. Wenn nicht werft eure Smartphones weg.

Ähnlich dämlich wie Debian für Internet-Banking abzusichern. Die beste Sicherung ist dort Debian und nicht vorhandene Windows-Bestandteile.

[MartinV]

Was gibt es tatsächlich aus Wine im Linux (wenn überhaupt implementiert) zu holen? Vielleicht extra Benutzer, alle andreren Homes mal ordentlich einschränken und Shares korrekt konfigurieren. Gefahr angemessen gebannt.

Da hapert es schon - per default hat in debian jeder Benutzer freien Lesezugriff auf alle Daten aller Benutzer. Selbst wenn ich einen eigenen Benutzer für wine einrichte, kann eine auf wine ausgelegte Malware problemlos meine sämtlichen persönlichen Daten/Dokumente ins Internet hochladen.

Ich finde diesen default (Lesezugriff auf persönliche Daten für alle Benutzer) selten dämlich und verstehe nicht, warum das so ist. Aus dem Handgelenk weiß ich auch nicht, wie ich das ändern soll.

[bitfreak]

Original von bitfreak
Als alternative Möglichkeit möchte ich hierbei noch Debianfirejail erwähnen, mit welchem man wine ebenso vom Rest des Systems abschranken kann.

Was denn... SO einfach kann man es auch haben? In dem ich mein Wine ganz normal mit Firejail (welches ich sowieso schon benutze) in eine Sandbox sperre, brauche ich mir keine Sorgen mehr zu machen? Das klingt irgendwie schon fast ein bisschen ZU einfach.

Stimmt, war ein unqualifizierter Kommentar von mir. Einfach "firejail wine ..." wird mit hoher Sicherheit für deine Ansprüche auch nicht reichen, da das firejail-profil für wine vermutlich nicht für alle möglichen Windows-Programme, die darüber ausgeführt werden können, ausgelegt ist. Da wäre sicher zusätzliche Konfiguration des selbigen erforderlich um eine ähnliche Sandbox wie über Docker zu erhalten.

[MartinV]

Ich finde diesen default (Lesezugriff auf persönliche Daten für alle Benutzer) selten dämlich und verstehe nicht, warum das so ist. Aus dem Handgelenk weiß ich auch nicht, wie ich das ändern soll.

Ok,ich kann den Lesezugriff auf meine Daten begrenzen mit:

Code: Alles auswählen

chmod 700 $HOME

Das war einfacher als gedacht; ich hatte erst angenommen, ich müßte die Zugriffsrechte auch für alle Daten unterhalb von $HOME ändern, was nicht so einfach ist. In dem Fall ist die einfachste Lösung tatsächlich:
- Zugriffsrechte auf eigene Daten ändern
- wine unter einem anderen Benutzer starten

Die Default-Einstellung von debian, daß jeder meine privaten Daten lesen darf, bleibt trotzdem dämlich.

[rendegast]

Bug https://bugs.debian.org/202943 ist als 'wontfix' (nicht "wantfix").

In https://packages.ubuntu.com/adduser resp. https://launchpad.net/ubuntu/+source/adduser/+bugs nicht aufgeführt.
Dort in 3.116ubuntu1 auch 'DIR_MODE=700'. EDIT default 'DIR_MODE=0755'
Einziger Unterschied zu debians Vorlage adduser.conf ist ein auskommentiertes '#USE_EXTRAUSERS=1'

[fireburner]

Hat Virtualbox inzwischen wirklich brauchbare 3D Beschleunigung?
Ich warte nach wie vor nur, das mir eine non K CPU über den Weg läuft und dann würde einem Windows über QEMU/KVM mit dedizierter Grafik Weiterleitung nichts mehr im Weg stehen.

P.S: wer eine Sandy/Ivy Bridge non K Intel CPU (mit Vt-d) abgeben kann, kann sich gerne per P.M. melden

[Animefreak79]

wine ist ein "windows", in dem Du (immer) mit Administrator-Rechten arbeitest.
So kann sich auch jede malware installieren und ausführen.

Dieses Problem habe ich mittlerweile anders gelöst, mit einem dedizierten Benutzerkonto namens wingames. Ich habe doch tatsächlich kürzlich beim Aufräumen meine alte Oblivion-DVD gefunden und einfach die Lust verspürt, dieses Game wieder zu zocken. Also habe ich zunächst meinem Standardnutzer zum Arbeiten und Surfen das Recht entzogen, wine als auch playonlinux auszuführen. Also:

Code: Alles auswählen

chown -c wingames /usr/bin/wine

als auch

Code: Alles auswählen

chgrp -c wingames /usr/bin/wine

Danach noch

Code: Alles auswählen

chmod o-x /usr/bin/wine

Da ich für dieses Spiel keinen Netzwerkzugriff benötige, schalte ich bevor ich den wingames-Account starte natürlich noch als root über die Firewall den Zugriff komplett aus:

Code: Alles auswählen

ufw default deny incoming

und

Code: Alles auswählen

ufw default deny outgoing

(wobei die incoming-Geschichte im ersten Code-Tag weggelassen werden kann, da ich ufw eh so eingestellt habe, hab das nur der Vollständigkeit halber so gepostet). Klar mag dies nicht die eleganteste Lösung sein und ist natürlich ungeeignet für Online-Games, aber... Es funktioniert auch mit meinen eher grundlegenden Kenntnissen als Ottonormal-User. Und: Es motiviert mich, in absehbarer Zeit noch mit anderen Lösungen zu experimentieren.^^

[Trollkirsche]

Wenn du die Sicherheit so hoch einschätzt, dann solltest du Wine wohl sein lassen. So wie ich das verstehe muss man die Gefahr aber etwas relativieren. Das wine Package stammt von den Wine Entwicklern, nicht von Microsoft. Es ist aber wohl möglich, dass eine dafür auf Wine ausgelegte Schadsoftware Probleme machen kann.

Vielleicht sollte man generell sein Surfverhalten überdenken, wenn den in das System einzubindenden Quellen derart misstraut wird. Einen Spiel Elex von GOG wird das zb. wohl nicht der Fall sein.