Skusit BSD?

Re:Skusit BSD?
« Odpověď #30 kdy: 12. 07. 2022, 15:50:10 »
Já mám dva MacBooky a na každém jiném PC mám Linux. Co že to garantuješ?  :o

Ahojte,
ti co pouzivate BSD, tak pre co?

Rozmyslam si nejake BSD-cko skusit.
Jasne. Kup si Macbook Pro alebo Mac Mini a garantujem Ti, ze uz nikdy v zivote nebudes chciet ziadny iny pocitac. Proste to tak je. A Unix vychadzajuci z BSD mas uz v cene (Darwin).


Re:Skusit BSD?
« Odpověď #31 kdy: 12. 07. 2022, 17:01:35 »

Možná by stálo za to se na to víc podívat. Udržovat AA profily není žádný problém. Může se stát, že díky striktnímu profilu aplikace po aktualizaci nenaběhne, ale v AA se to ladí velmi snadno. Já takhle funguju už roky a "náročné" bylo jen se to naučit (no asi den jsem tomu věnoval), pak jsou změny v pohodě. AA je fakt pěkný.

Ono jsou věci, které člověk sám optimálně neošéfuje (kvalita algoritmů, bezpečnost systémových aplikací atp.), jsou věci, které jsou fajn, když udělá sama apka (drop capů, sandbox atp.) a jsou věci, které nikdo neudělá líp, než Vy sám (právě ochrana dat v HOME a izolace aplikace), částečně proto, že to s sebou přináší jisté nepohodlí (nějaká "super fíčura" nemusí fungovat, webové aplikace prostě nevidí do dokumentů, protože tam prostě prohlížeč nesmí) a to nikdo neudělá by default, a taky je každý systém jiný a každý uživatel má data jinak. Představa, že se mi někdo univerzálně postará o 100% bezpečnost mého systému je naprosto naivní, ale když chci tomu pomoct, Linux ty nástroje má, Widle ne.

ono to bude přímo souviset s tím jaké aplikace používáš. Udržovat AA profily je určitá práce navíc a musíš na ní myslet a je to stejně jen řešení na půl cesty, nelze tím selektovat síťové komunikace, nelze tím snadno podchytit programy, které spouštíš poprvé, takže běžná práce je si vše spouštět v sandboxu a podle prvního chování si vygenerovat AA profil. Pak stačí jednou aplikaci spustit přímo nebo nepohlídat profil a máš bezpečnostní problém na světě. Jako nástroj pro servery, kde mám nějakou přípravnou fázi, testovací a produkční to je přijatelné, ale pro desktop? Není to zatím ono. Ano, také to používám, právě proto si nedokážu představit, že to někomu představím jako řešení.

Izolace aplikací v rámci jednoho účtu je na Mac OS nebo Windows řešena lépe, tam to ale zabíjí řada jiných chyb, na linuxu ty chyby nejsou, protože neexistují komponenty, které by je mohli obsahovat. Už jen to, že AA lze obejít přes eBPF je dost velká divnost v návrhu, ano, končí to deaktivací eBPF.

AA nebo Selinux jsou velice dobré nástroje, o tom žádná, ale pro desktop, kde si chci v prohlížeči pouštět videa, nahrávat soubory, programovat v IDE, kompilovat programy, scriptovat v pythonu, instalovat conda balíčky je to dost komplikované a nepřipravené, aspoň teda pro mě.

Re:Skusit BSD?
« Odpověď #32 kdy: 12. 07. 2022, 17:03:11 »
Mam 2 macbook air (takze nesplnuji tvoje pozadavky, ale system je stejny) a nejaky iPady.
Dalsi Apple si neporidim, dokud zase nedostane od trhu po cuni a docasne se nevzpamatuje.( Coz se deje periodicky. )

takovy pohrdanim uzivatelem a preferovanim formy pred funkci, to clovek fakt musi hledat.
Cela rodina je v tom zajedno.

takze nikomu nic negarantuj, respektive co me rodine das  za selhani sve zaruky.

Ahojte,
ti co pouzivate BSD, tak pre co?

Rozmyslam si nejake BSD-cko skusit.
Jasne. Kup si Macbook Pro alebo Mac Mini a garantujem Ti, ze uz nikdy v zivote nebudes chciet ziadny iny pocitac. Proste to tak je. A Unix vychadzajuci z BSD mas uz v cene (Darwin).

Re:Skusit BSD?
« Odpověď #33 kdy: 12. 07. 2022, 17:29:42 »

Od začátku reaguji na tvrzení, že Linux neumí nastavit různá oprávnění pro jednotlivé aplikace pod jedním uživatelem. To je přesně, co AA dělá. Že s tím někdo neumí je jeho problém. Pokud aplikace není podezřelá, ale může být zneužitelná (typicky ten prohlížeč), není až takový problém to pustit nanečisto, člověk z auditu stejně ví, co to dělalo. Pokud podezřelá je, tak rovnou použiji FireJail. Vy už tady po několikáté píšete, že Widle to mají řešeno lépe, ale Widle to nemají řešeno vůbec (mimo FW). Jak můžu ve Widlích zabránit aplikaci, aby měla přístup do nějaké složky, nebo povolit jen R/O, když jako uživatel tam zapisovat můžu? Nebo jak můžu ve Widlích zablokovat nějaké syscally? Já teda o ničem nevím.

Nic méně, jak už jsem psal, u sítě je to obráceně, aplikační FW bych opravdu uvítal.

Re:Skusit BSD?
« Odpověď #34 kdy: 12. 07. 2022, 20:16:41 »

Od začátku reaguji na tvrzení, že Linux neumí nastavit různá oprávnění pro jednotlivé aplikace pod jedním uživatelem. To je přesně, co AA dělá. Že s tím někdo neumí je jeho problém. Pokud aplikace není podezřelá, ale může být zneužitelná (typicky ten prohlížeč), není až takový problém to pustit nanečisto, člověk z auditu stejně ví, co to dělalo. Pokud podezřelá je, tak rovnou použiji FireJail. Vy už tady po několikáté píšete, že Widle to mají řešeno lépe, ale Widle to nemají řešeno vůbec (mimo FW). Jak můžu ve Widlích zabránit aplikaci, aby měla přístup do nějaké složky, nebo povolit jen R/O, když jako uživatel tam zapisovat můžu? Nebo jak můžu ve Widlích zablokovat nějaké syscally? Já teda o ničem nevím.

Nic méně, jak už jsem psal, u sítě je to obráceně, aplikační FW bych opravdu uvítal.

nepsal jsem, že to přímo neumí, jen že Win/Mac jsou v těch ochrannách dál a že na linuxu si musíš řadu věcí ošetřit sám, není to připravené na to, abys byl chráněný bez toho, abys musel implicitně používat dané technologie a udržovat k nim pravidla, to považuji za zásadní problém pro někoho, kdo se ptá, jestli systém X je bezpečnější než Y. AA je skvělej, ale jak chrání proti IPC, může ho povolit nebo zakázat, ale to je vše? X server není řešen vůbec, u LSM nemáš možnost alokace dat, aktualizace pravidel a držení historie, eset to řeší přes user space proces, který ty data drží, to ale není optimální).

A jak myslíš, že na Windows fungují antiviry? Blokují přístup na soubory, syscally a síť. Nikde jsem nepsal, že to má být uživatel pod kontrolou, ale jestli OS tu možnost nabízí, abych tam k tomu mohl mít specializované aplikace, na linuxu takové api chybí, LSM je dost low-level, hookuje přímo volání do kernel kódu a je nutné to pečlivě testovat na každou verzi kernelu, neumožňuje držet stav a context. Windows třeba dneska mají i Windows sandbox, to je určeno pro uživatele. To je i důvod proč na linux v podstatě neexistují antiviry, které by dělali realtime ochranu, velká část antivirů je asynchronních a do řady provozu se vůbec nedostanou snadno (např. zajistit kontrolu stahovaných souborů přináší problém, jak se dostat k zdrojové url).

Máš pravdu v tom co píšeš, AA je mocný, umí toho hodně, pokud ho používáš správně a výlučně, máš velice dobře systém pod kontrolou, ale to můžeš tak akorát používat u sebe, nelze tím říct, že linux je díky tomu bezpečný, není, protože žádná linux desktop distribuce tohle nemá zapnutý automaticky (Tails na to jde trochu jinak a není to uživatelsky zrovna přívětivé).


Re:Skusit BSD?
« Odpověď #35 kdy: 12. 07. 2022, 20:46:56 »

Takže Widle nic neumí, ale dají se na to hacknout externím programem. To je trochu rozdíl. Navíc touhle logikou byl vlastně nejbezpečnější DOS případně 16b. Widle. Nic méně i ty antiviry jsou schopny odhalit a zablokovat jim známé malwary a konkrétní útoky, žádný nezablokuje 0-day a už vůbec ne to, co vypadá legitimně (tak něco čte tenhle soubor, já, AV, vůbec nevím, že je to klíčenka / citlivý dokument a že na to fakt tahle apka nemá, co sahat), a těhle malých/velkých hrozeb jsou mraky. Když je appka oddělená v jailu/NS nebo má preventivně zákaz tam, kde nemá co dělat (což bez intervence uživatele moc nejde), tak jsou systém a zejména data chráněna i proti 0-day a dobře.

V každém případě stále platí, Linux umí, jen to chce obeznámeného uživatele, Widle neumí nic (jen se to dá teoreticky dohackovat). A rozhodně to neplatí obráceně.

oss

  • ***
  • 132
    • Zobrazit profil
    • E-mail
Re:Skusit BSD?
« Odpověď #36 kdy: 13. 07. 2022, 07:51:26 »

Od začátku reaguji na tvrzení, že Linux neumí nastavit různá oprávnění pro jednotlivé aplikace pod jedním uživatelem. To je přesně, co AA dělá. Že s tím někdo neumí je jeho problém. Pokud aplikace není podezřelá, ale může být zneužitelná (typicky ten prohlížeč), není až takový problém to pustit nanečisto, člověk z auditu stejně ví, co to dělalo. Pokud podezřelá je, tak rovnou použiji FireJail. Vy už tady po několikáté píšete, že Widle to mají řešeno lépe, ale Widle to nemají řešeno vůbec (mimo FW). Jak můžu ve Widlích zabránit aplikaci, aby měla přístup do nějaké složky, nebo povolit jen R/O, když jako uživatel tam zapisovat můžu? Nebo jak můžu ve Widlích zablokovat nějaké syscally? Já teda o ničem nevím.

Nic méně, jak už jsem psal, u sítě je to obráceně, aplikační FW bych opravdu uvítal.

Omyl Windows to velmi dobre riesi cez GP. Na vyssich ediciach je k tomu AppLocker, ktory to riesi tiez.


Takže Widle nic neumí, ale dají se na to hacknout externím programem. To je trochu rozdíl. Navíc touhle logikou byl vlastně nejbezpečnější DOS případně 16b. Widle. Nic méně i ty antiviry jsou schopny odhalit a zablokovat jim známé malwary a konkrétní útoky, žádný nezablokuje 0-day a už vůbec ne to, co vypadá legitimně (tak něco čte tenhle soubor, já, AV, vůbec nevím, že je to klíčenka / citlivý dokument a že na to fakt tahle apka nemá, co sahat), a těhle malých/velkých hrozeb jsou mraky. Když je appka oddělená v jailu/NS nebo má preventivně zákaz tam, kde nemá co dělat (což bez intervence uživatele moc nejde), tak jsou systém a zejména data chráněna i proti 0-day a dobře.

V každém případě stále platí, Linux umí, jen to chce obeznámeného uživatele, Widle neumí nic (jen se to dá teoreticky dohackovat). A rozhodně to neplatí obráceně.

Opakujem linuxu chyba zakladne api na zabezpecenie aplikacii a ma nedostatcne vyriesene prava.

Re:Skusit BSD?
« Odpověď #37 kdy: 13. 07. 2022, 09:02:49 »

Takže Widle nic neumí, ale dají se na to hacknout externím programem. To je trochu rozdíl. Navíc touhle logikou byl vlastně nejbezpečnější DOS případně 16b. Widle. Nic méně i ty antiviry jsou schopny odhalit a zablokovat jim známé malwary a konkrétní útoky, žádný nezablokuje 0-day a už vůbec ne to, co vypadá legitimně (tak něco čte tenhle soubor, já, AV, vůbec nevím, že je to klíčenka / citlivý dokument a že na to fakt tahle apka nemá, co sahat), a těhle malých/velkých hrozeb jsou mraky. Když je appka oddělená v jailu/NS nebo má preventivně zákaz tam, kde nemá co dělat (což bez intervence uživatele moc nejde), tak jsou systém a zejména data chráněna i proti 0-day a dobře.

V každém případě stále platí, Linux umí, jen to chce obeznámeného uživatele, Widle neumí nic (jen se to dá teoreticky dohackovat). A rozhodně to neplatí obráceně.

A co je appArmor pro Linux jiného než externí program? Už 14 let na něj práva vlastní společnost Canonical, ta ho i dále rozvíjí. Zapomeň na antivirus a jejich heuristiku pro vyhledávání známých virů, jde o schopnost reagovat na údálosti v systému a jejich běh povolit nebo zakázat, Linux takové informace neposkytuje v dobře integrovatelné podobě, zmíněné LSM je nedostatečný, dnes se zkouší tohle řešit přes eBPF, ale to zatím považuji za divnou to cestu.

Re:Skusit BSD?
« Odpověď #38 kdy: 13. 07. 2022, 09:13:39 »

AppLocker ale jen umožňuje zabránit startu aplikace, ne ji odříznout oprávnění. GP je pouze orchestrace, tím můžete něco nastavit, ale to něco musí existovat, ale ono neexistuje.

Opakujem linuxu chyba zakladne api na zabezpecenie aplikacii a ma nedostatcne vyriesene prava.

Další tah mimo šachovnici. Co se týče těch oprávnění, už toho bylo zmíněno dost a pokud stále trváte na tom, že nic na Widlích je lepší než něco na Linuxu, tak budiž.

Re:Skusit BSD?
« Odpověď #39 kdy: 13. 07. 2022, 09:17:44 »

LSM je součástí jádra. A řeč byla o odizolování aplikace, to s real-time kontrolou otevíraných souborů externí apkou nemá moc společného. Navíc to, že ve Widlích může AV kontrolovat každou aplikaci v systému je právě dané šílenou děravostí toho systému, v každém případě je to OT.

Re:Skusit BSD?
« Odpověď #40 kdy: 13. 07. 2022, 11:53:19 »

LSM je součástí jádra. A řeč byla o odizolování aplikace, to s real-time kontrolou otevíraných souborů externí apkou nemá moc společného. Navíc to, že ve Widlích může AV kontrolovat každou aplikaci v systému je právě dané šílenou děravostí toho systému, v každém případě je to OT.

AppArmor, ale není součástí jádra, je to externí aplikace. LSM si jen tak sám nemůžeš ovládat (nebo jsi zkoušel psát injectovaný kód do syscallů?), to není api, to je hook inject.

Ne, řeč byla přímo o tomhle tvrzení, které jsi začal nesmyslně rozporovat přes AA, který to neřeší:
pokud jde o desktop, tak bezpečnost linuxu a ani *BSD není vysoká, chybí jim totiž transparentní možnost jak oddělit práva procesů spuštěných pod stejným uživatelem. Ubuntu se to snaží dělat přes snap, openBSD to řeší/neřeší zároveň, ale proti ochranám, které mají Windows nebo MacOS, to je nesrovnatelné, musíš se na těch systémech chovat hodně odpovědně a případně si řadu věcí ošetřit sám.

Stejná situace je i s Mac OS, poskytuje api pro integraci bezpečnostních aplikací a mohou vzniknout věci jako little snitch, také je pro tebe děravý? Jak na Linux zajistíš alternativu k UAC nebo Privacy preferences (u Mac OS) pro desktopové aplikace? Sudo a spouštět aplikaci s právy root? Opravdu? Nebo jaké je alternativu na linuxu k memory exploit mitigation (nebo využívání anonymous executable memory aka ROP exploity), což je třeba kritické při přehrávání videí v prohlížeči? Množství úspěšných útoků a malwarů pro linux roste meziročně o desítky procent i v CZ prostředí (jsem z oboru), objevují se čím dál více fileless malwary (proti tomu AA nechrání v podstatě vůbec).

Ono to jde i dál, ochrana jádra před superuživatelem, u Windowsu ani Mac OS nejsem schopný jednoduše jádro napadnout, ikdyž jako nějaký zákeřný program dostane práva (např. tím, že jsem přibalený k nějakému legitimnímu programu). Na Linuxu máš díky AppArmor otevřený LSM, což jsou zadní vrátky do celého systému (stejně jako eBPF). Pokud zapneš direktivu kernelu SECURITY_LOCKDOWN_LSM_EARLY, ztratíš možnost měnit AA profily za běhu systému a pro každou změnu musíš dělat restart, v opačném případě jsi náchylný k řadě útoků. Kdyby v tomhle byl Linux v pořádku, nemusí vznikat projekty jako https://github.com/linux-lock/bpflock, však si přečti odůvodnění, to nejsou pohádky, ale reálné problémy.

Linux lze dobře zabezpečit pro spouštění kontrolovaného provozu, AA a jiné nástroje jsou strašně silné, ale znamená to, že znám dobře každou aplikaci, mohu hledat anomálie v logách. Tohle ale už dobře nefunguje pro desktop, kde přes AA není možné chránit aplikace mezi sebou, mezi tím, aby si navzájem šahali do paměti nebo si posílali signály, AA tohle neřeší, řeší to třeba cgroup, ale u toho neexistuje distribuce, která by všechny aplikace spouštěla ve vlastní cgroupě (ano,  cgrules.conf si musím dělat sám a nachystat pro vše, co spouštím, nelze vynutit pro všechny aplikace striktně).

Sám si musíš být vědom, kde AA má svoje limity a co vlastně vůbec neřeší.



Re:Skusit BSD?
« Odpověď #41 kdy: 13. 07. 2022, 17:56:27 »

Už mě ani nebaví na tohle fundovaně odpovídat. Bílá je černá, černá je bílá, díra je bezpečnost a bezpečnostní systém díra. A když se Vás zeptám na něco konkrétního mluvíte o něčem jiném a když Vám 2x připomenu na jaké nesmyslné tvrzení jsem reagoval, tak začnete tvrdit, že jste vlastně psal něco jiného.