Stimmt. Und hat damit so gar nichts mit "Zugriff auf Verzeichnisse" zu tun. Und auch nicht mit TomLs "noexec".MSfree hat geschrieben:08.02.2018 09:49:56Das hilft gegen so etwas leider nicht:Code: Alles auswählen
echo 'cd find . -type f ' | /bin/bash
Mein Beispiel oben kommt sogar komplett ohne eine Zwischendatei (script.sh) aus.musst du auch cat script.sh | bash - verbieten
Ich denke, dass schon das "noexec" so einiges bringt - das dürfte den durchschnittlichen Cryptotrojaner stoppen, die sind nämlich meistens in C geschrieben und seltenst in "Bash".
Auf der anderen Seite sind TomLs Überlegungen offensichtlich unausgereift ... er weiß selber nicht so genau, wie und gegen was er sich wie stark schützen will. Sein "Prove of Concept" - "Schaut, ich kann mein eigenes Script nicht mehr ausführen" wirkt nicht so richtig überzeugend. Und auf dein Beispiel bezogen - wenn der User "find" ausführen darf, ob nun mit Bash oder ... eh ... mit Bash, sieht das auch nicht so richtig bedrohlich aus. Aber ich verstehe, was du meinst ... und es stellt sich die Frage "wo kommt das Script her?". Bei TomLs Einleitungstext mit "unbemerkte Online-Infiltration" dachte ich mir zuerst "Okay, reißen wir mal JavaScript aus dem Browser raus". Dann ging's plötzlich um Bash ... nunja ...
Somit ist mein Hinweis auf SELinux auch nicht als Allheilmittel zu verstehen sondern nur als weiteres Puzzelstück für TomLs Experimente und Gedanken.
Aus der Perspektive darfst du gar kein Computersystem mehr benutzen. Irgendwo sind die immer undicht. Spectre schon abgedichtet? Oh, verzeihung, neuerdings werden Sicherheitslücken ja eh nicht mehr gestopft sondern nur noch "gemildert".MSfree hat geschrieben:08.02.2018 09:49:56Von Aussagen wie "etwas dichter" halte ich gar nichts, das klingt so wie "etwas schwangerer".
Stimmt, den Eindruck hatte ich auch. Ein komplettes System mit SELinux-Policies abzusichern ist eine Mammutaufgabe. Da braucht es einen Anbieter, der einen guten Regelsatz mit ausliefert, wie Fedora. Aber auch die sind meineswissens primär darauf ausgelegt, das System gegen sich selber und gegen den User zu schützen. TomL will hier den User gegen sich selber schützen. Wieweit er da Neuland betritt, weiß ich nicht, aber ich finde den Ansatz interessant.breakthewall hat geschrieben:08.02.2018 12:08:28Ich hatte SELinux längere Zeit im Einsatz, aber würde aufgrund der Erfahrungen nicht dazu raten. Denn allein die Konfiguration ist eine Mammutaufgabe, und muss stets penibel gepflegt werden.
Hier wirfst du Red Hat und Fedora durcheinander. Die beiden sind zwar eng verwandt, aber sich nicht immer einig. Aber um mal auf's Thema zurückzukommen: Mit flatpak kriegst du eine Sandbox gratis. Aber auch die scheint mir beim groben Überfliegen vorallem dazu gedacht, das System gegen den User zu schützen. Wieweit die auch taugt, einzelne User-Anwendungen gegeneinander abzuschotten, weiß ich mal wieder nicht.breakthewall hat geschrieben:08.02.2018 12:08:28Interessant ist nebenbei auch, dass Redhat daran arbeitet, die Struktur regulärer Linux-Distributionen komplett zu verändern. Somit soll es im Bezug auf Fedora zukünftig so aussehen, dass das System in zwei Bereiche unterteilt wird, einmal mal in das Basissystem und einmal in einen Nutzerbereich, der nur noch aus Flatpaks bestehen soll.