ano, udělej si sám. Která z linux distribucí to má pro desktop připravené?
SELinux je právě od začátku postavený, aby fungoval out of the box. Ale my spolu moc nekamarádíme.
U AppArmoru a FireJailu, to chce intervenci (i když základní profily jsou), ale je to můj systém a moje rozhodnutí, kam chci co pustit, zbytek je práce na 5 minut.
A když někdo neumí, je to jeho problém, ne systému.
Mluvím třeba o obdobě ACG/CIG u Windows nebo KIP/KTRR u Mac OS.
To je sice hezký, ale reálně je to tak leda "Mírný pokrok v mezích zákona." Tohle za Vás moc nevyřeší.
Linux má LSM (nad tím je postavený Selinux nebo apparmor), ale to je dost bezzubé, musíš mít připravené profily dopředu (kde je vezmu?), neumíš je měnit za běhu aplikace, pak stejně stačí eBPF, který obchází celé LSM. Projekty jako SARA jsou bez vývoje.
SELinux se snaží být předpřipravený, udělat profil pro apparmor není problém (a je na to generátor, pokud si to člověk jednou troufne pustit, ale i tak se dá vzít základ a doladit generátorem). Já mám rád ještě firejail, který toho umožní ještě o dost víc. V tu chvíli máte zabezpečení o kterém se Vám jinde může jen zdát, bezzubost je zde hodně úsměvný pojem.
Měl jsem v ruce mod eset_rtp, to je také šílenost jak nesmyslně se snaží do linuxu na desktop přidat realtime ochranu, předávání dat do user space aplikace ke kontrole je hnus.
Tohle v Linuxu (a unixových systémech obecně) právě moc nefunguje. Právě proto, že tady se kontrola nad systémem přebírá o dost obtížněji. Ale jako jo, tohle by možná chtělo vymyslet pro BFU, ale tady je logičtější cesta zabránit průniku do systému, protože jinak je člověk beztak vystaven 0-day.
Jak linux zabrání, aby přes stejnou zranitelnost v FF neunikla data? Ptám se na výchozí instalaci a ne udělej si sám.
Chcete být špičkovým závodníkem, ale zároveň chcete, aby jste nemusel umět řídit. Věci, které jsou out-of-the-box nebývají dokonalé, ale např. v implicitním profilu AA pro firefox je blokace zápisu do HOME (aspoň něco), když chcete blokovat čtení, tak do toho musíte sáhnout, logicky (nikdo jiný to neví). Opět, neznalost uživatele není problém systému. A třeba v tom FireJailu si do HOME namountujete TMPFS a aplikace ani neví, že nevidí. Jak to udělám, prosím, ve Widlích?