Die Sicherheit von sicherheitskritischen Anwendungen wie Browser lässt sich erhöhen, indem man diese unter einem eigenen Benutzer(account) laufen lässt. Das schützt zwar nicht gegen Angriffe vermindert aber deren Auswirkungen, weil die übrigen Dateien die dem Account nicht gehören nicht im Zugriffsbereich liegen. Man schützt also auch seine eigenen Dokumente gegen Spionage.
Man kann sogar noch einen Schritt weiter gehen, indem man das Verzeichnis dieses Benutzeraccounts quasi als Read-Only realisiert. Dadurch kann sich auch im Homeordner dieses Nutzers nichts auf Dauer einnisten.
Wie man das Ganze nun praktisch umsetzt, will ich an dem folgenden Beispiel demonstrieren. Dabei wird ein Benutzer namens browser angelegt. Die zu verwendene Applikation ist hier der Firefox. Im Prinzip ist aber alles austauschbar.
Zunächst einmal legt man einen neuen User an. Dafür stehen ja diverse Tools zur Verfügung. Auf der Kommandozeile gibts dafür useradd oder das etwas konfortablere adduser. Optimalerweise hat der User auch seine eigene Gruppe der jeder Benutzer in einer Gruppe sein muss, aber bestehende Gruppen nicht verwendet werden sollten, da damit meist besondere zusätzliche Rechte einhergehen. Bei adduser wird das je nach /etc/adduser.conf automatisch mit erledigt. Sollte das nicht der Fall sein, legt man zuerst die entsprechende Gruppe an mit groupadd.
Damit wir uns komfortabel mit diesem Benutzer anmelden können, kann man sudo dahernehmen. Für den Firefox bietet sich zum Beispiel folgender Eintrag in der Datei /etc/sudoers an:
myusername ALL = (browser) NOPASSWD: /usr/bin/firefox
Das NOPASSWD: verhindert die Abfrage des Passwortes für den Benutzer browser. Dadurch kann man ein beliebig Komplexes wählen, wenn man verhindern will, dass andere sich als browser anmelden ohne es sich merken und eintippen zu müssen.
Für die grafische Oberfläche bieten sich die Programme kdesudo bzw. gksudo an. Nimmt man das normale sudo-Kommando, darf der Subprozess in der Regel kein Fenster öffnen (eine Eigenschaft von X-Window aus Sicherheitsgründen).
kdesudo -u browser /usr/bin/firefox Startet dann den Firefox als Benutzer browser.
Soweit so gut. Als nächstes kommen wir zur Implementierung des Read-Only. Ein echtes Read-only (via Dateirechte) wird aber in der Regel nicht möglich sein, wenn Programme (wie unser Firefox) Schreibrechte benötigen. Das Problem kann man aber umgehen, indem man via unionfs bzw. aufs3 über das Homeverzeichnis des Benutzers browser ein anderes Verzeichnis legt. Da die Daten, die beim browsen so anfallen meist überschaubar sind, bietet sich hierfür eine RAM-Disk an.
RAMDisk anlegen:
mount -t tmpfs none /pfad/zum/einhängepunkt
Auf den Details, wie man nun die RAM-Disk5 verwaltet usw. gehe ich an dieser Stelle nicht ein. Notfalls einfach fragen.
Für das mounten des Union-FS nehme ich fürs Beispiel aufs. Die Syntax für unionfs ist aber fast identisch. Die RAMDisk soll hierbei unter /mnt/ramdisk gemountet sein:
mount -t aufs -o dirs=/mnt/ramdisk/:/home/browser/=ro none /home/browser/
Ab da landen alle Schreibzugriffe auf /home/browser in der RAMDisk und sind spätestens nach dem Neustart des PCs verschwunden. Man kann natürlich auch die Dateien auf der RAMDisk manuell löschen indem man die entsprechenden Dateien entfernt, die dem User browser gehören.
Die ganzen Mount-Anweisungen lassen sich natürlich auch in die /etc/fstab eintragen:
Wenn man bestimmte Sachen mal durchschreiben möchte (für Konfigurationen etc.), muss man einfach nur das Union-Dateisystem derweil "unmounten".
Mit dieser Vorgehensweise lässt sich relativ einfach für Programme eine sandboxed-Umgebung schaffen und damit die Sicherheit zu erhöhen.
Gruß MichaelK
PS: Natürlich sollte man immer im Hinterkopf behalten, dass die Sandbox als solches sich eine Infektion einfangen kann. Warez-Seiten besuchen und direkt danach OnlineBanking machen ist daher vllt. keine so gute Idee.
Nein, das ist leider viel zu kompliziert und den Aufwand nicht wert. Zähl nur mal wie viele privilegierte Operationen dieses Browser-Sandboxing benötigt und frag dich dann wie Du das nachhaltig verdrahten willst.. so dass Du in 12 Monaten noch weisst was und warum du es gemacht hast.
Zähl nur mal wie viele privilegierte Operationen dieses Browser-Sandboxing benötigt Ich verstehe das Problem nicht ganz.
frag dich dann wie Du das nachhaltig verdrahten willst Ähm bitte was?
so dass Du in 12 Monaten noch weisst was und warum du es gemacht hast. Man kann solche Sachen ja dokumentieren.
Alternativ kannst Du auch virtuelle Maschinen und Browser-Appliances nehmen. Ein anderer Benutzername ist aber die ressourcenschonende LightWeight-Variante.
Daheim habe ich nur noch Thunderbird ESR (Linux, Win7) installiert. Da war kürzlich die dritte Neuinstallation fällig, da das inkrementelle Update jedes Mal fehlschlug. Wenn Firefox ESR ebenfalls derart zuverlässig funktioniert, sehe ich schwarz.
Am WE steige ich eh auf Claws Mail um, dann ist das Kapitel Netscape/Mozilla nach 16 jahren für mich endgültig beendet.
Werde ich auch mal ausprobieren. Der allergrößte Schwachsinn war bei Thunderbird 11 die Menüleiste unterhalb der Tabs anzuordnen. Ich kann nicht nachvollziehen, wie man eine so bescheuerte Entscheidung treffen konnte.
Überlass die Updates doch am besten der Distribution. OpenSUSE z.B. stellt die ESR-Versionen in Mozilla OBS bereit ("firefox-esr", "thunderbird-esr"): http://download.opensuse.org/repositories/mozilla/ Firefox-ESR wird sogar noch für openSUSE 11.1 angeboten, neben Firefox 3.6.28 und Firefox 11.0.
Von Berliner Optimist am Di, 27. März 2012 um 09:32 #
Es wird sich doch in einem Unternehmen mit mehr als 0 Beschäftigten jemand finden lassen, der bei einem angebotenen Browserupdate das Bestätigungsknöpfchen zu betätigen in der Lage ist.
Testen, ob damit verbundene Skripte, eigene Änderungen des Quellcodes, Erweiterungen, damit verbundene Programme usw. funktionieren braucht ja niemand. Wird schon schief gehen
Von Berliner Optimist am Di, 27. März 2012 um 15:54 #
Nun, ich habe mal wieder den gelben Zwinkerer beim ersten Posting vergessen (ich vermutete, dass meine übertrieben gestelzte Ausdrucksweise genug Hinweis auf Ironie gäbe); aber nun steh' ich echt auf'm Schlauch. Wenn man eh eine eigene Version des Browsers programmiert hat ("Quellcodeänderungen"), entfällt dann das von Mozilla angeleierte Update nicht sowieso?
Du glaubst gar nicht wie viele Idioten als Administrator tätig sind. Die meisten können quasi nichts und brauchen für die simpelsten Tätigkeiten ein Vielfaches meiner Zeit.
Von Zeit für einen Fork am Di, 27. März 2012 um 10:30 #
Es wird Zeit für einen Fork. Die Mozilla Foundation ist zu mächtig geworden. Die machen hunderte Millionen Umsatz im Jahr! Die denken nur noch ans Geld und nicht mehr an die Benutzer. Deshalb will Moz die NUtzer ausspionieren, um noch mehr Geld zu machen. Gemeinnützigkeit sieht anders aus.
Ich bleibe bei 3.6 bis es wieder einen richtigen Browser gibt.
Wenn du an diesem Punkt konsequent bleiben willst bleibt dir eigentlich nur ein Wechsel zu Konqueror oder Dillo. Die Textbrowser mal außen vor gelassen. Die anderen Browser sind alle durch profitgierige Konzerne unterwandert.
Dann wäre es aber besser, den noch unterstützten Firefox 3.5 aus Debian Squeeze zu benutzen. Allerdings ist es schon jetzt so, dass Firefox 3.5 ("Iceweasel 3.5") nicht mehr alle Webseiten korrekt anzeigen kann. Dieses Problem wird bei der Diskussion um Browserlangzeitsupport leider meist übersehen. Im Debianbereich versucht man dieses Malheur u.a. mit dem mozilla.debian.net-Repo abzumildern. Dort sind neben Iceweasel 3.6 auch ein aktueller Iceweasel 11.0 sowie Iceweasel 10 ESR als auch Iceape 2.7 ESR (i.e. ein Seamonkey 2.7-ESR-Klon) für Debian Squeeze erhältlich.
iceweasel-3.6 hab ich unter http://mozilla.debian.net/dists/squeeze-backports/ nicht mehr gefunden. (Wer's findet kriegt 'nen Keks )
Außerdem war keine deutschsprachige Lokalisierung verfügbar, die man sich deshalb mühsam aus dem Firefox-Paket extrahieren musste. Und die letzten Updates des 3.6-Firefox wurden AFAIK auch nicht mehr übernommen.
Für mich gibt es glücklicherweise inzwischen alle notwendigen Add-Ons für den aktuellen Iceweasel, weshalb ich nach langem Ringen Abschied vom 3.6 genommen habe
Ubuntu macht das schon richtig. Die wären doch verrückt, wenn sie alle paar Tage eine FF-Version einpflegen müssten, nur weil die Mozdevs gerade in Wallung sind und ihre Software mal wieder komplett umschmeißen. Fakt ist: Firefox wird gerade bewusst zu Tode entwickelt. Die privaten Nutzer wenden sich mit Grausen ab, und wandern zu Chrome bzw. Chromium. Die Unternehmen haben die Schnauze ebenfalls voll und blieben bislang bei 3.6 in der Hoffnung, dass sich alle wieder einrenke. Die ESR-Releases sind ein schlechter Witz. Die werden bewusst versteckt, damit man Ende sagen kann, niemand habe sie gewollt.
Was verstehst du unter "zu Tode entwickeln"? Der Browser funktioniert, ist ausreichend schnell und von Zeit zu Zeit gibt's ein Update. Wo liegt das Problem?
Ich habe es satt so oft zu aktualisieren und verbleibe einfach beim 3.6er.
Die auftauchenden Sicherheitslöcher sind ja auch ganz egal
Wer schlau ist hat keine Angst vor Löchern. Man muss nur ansprechend verhalten.
Kopf -> Tischplatte.
Wer schlau ist, behält solche Aussagen für sich.
Man muss nur ansprechend verhalten.
Ja, nur noch offline benutzen ;-)
Die Sicherheit von sicherheitskritischen Anwendungen wie Browser lässt sich erhöhen, indem man diese unter einem eigenen Benutzer(account) laufen lässt.
Das schützt zwar nicht gegen Angriffe vermindert aber deren Auswirkungen, weil die übrigen Dateien die dem Account nicht gehören nicht im Zugriffsbereich liegen. Man schützt also auch seine eigenen Dokumente gegen Spionage.
Man kann sogar noch einen Schritt weiter gehen, indem man das Verzeichnis dieses Benutzeraccounts quasi als Read-Only realisiert. Dadurch kann sich auch im Homeordner dieses Nutzers nichts auf Dauer einnisten.
Wie man das Ganze nun praktisch umsetzt, will ich an dem folgenden Beispiel demonstrieren. Dabei wird ein Benutzer namens browser angelegt. Die zu verwendene Applikation ist hier der Firefox. Im Prinzip ist aber alles austauschbar.
Zunächst einmal legt man einen neuen User an. Dafür stehen ja diverse Tools zur Verfügung. Auf der Kommandozeile gibts dafür useradd oder das etwas konfortablere adduser. Optimalerweise hat der User auch seine eigene Gruppe der jeder Benutzer in einer Gruppe sein muss, aber bestehende Gruppen nicht verwendet werden sollten, da damit meist besondere zusätzliche Rechte einhergehen.
Bei adduser wird das je nach /etc/adduser.conf automatisch mit erledigt. Sollte das nicht der Fall sein, legt man zuerst die entsprechende Gruppe an mit groupadd.
Damit wir uns komfortabel mit diesem Benutzer anmelden können, kann man sudo dahernehmen. Für den Firefox bietet sich zum Beispiel folgender Eintrag in der Datei /etc/sudoers an:
Das NOPASSWD: verhindert die Abfrage des Passwortes für den Benutzer browser. Dadurch kann man ein beliebig Komplexes wählen, wenn man verhindern will, dass andere sich als browser anmelden ohne es sich merken und eintippen zu müssen.
Für die grafische Oberfläche bieten sich die Programme kdesudo bzw. gksudo an. Nimmt man das normale sudo-Kommando, darf der Subprozess in der Regel kein Fenster öffnen (eine Eigenschaft von X-Window aus Sicherheitsgründen).
kdesudo -u browser /usr/bin/firefox
Startet dann den Firefox als Benutzer browser.
Soweit so gut.
Als nächstes kommen wir zur Implementierung des Read-Only. Ein echtes Read-only (via Dateirechte) wird aber in der Regel nicht möglich sein, wenn Programme (wie unser Firefox) Schreibrechte benötigen. Das Problem kann man aber umgehen, indem man via unionfs bzw. aufs3 über das Homeverzeichnis des Benutzers browser ein anderes Verzeichnis legt. Da die Daten, die beim browsen so anfallen meist überschaubar sind, bietet sich hierfür eine RAM-Disk an.
RAMDisk anlegen:
Auf den Details, wie man nun die RAM-Disk5 verwaltet usw. gehe ich an dieser Stelle nicht ein. Notfalls einfach fragen.
Für das mounten des Union-FS nehme ich fürs Beispiel aufs. Die Syntax für unionfs ist aber fast identisch. Die RAMDisk soll hierbei unter /mnt/ramdisk gemountet sein:
Ab da landen alle Schreibzugriffe auf /home/browser in der RAMDisk und sind spätestens nach dem Neustart des PCs verschwunden. Man kann natürlich auch die Dateien auf der RAMDisk manuell löschen indem man die entsprechenden Dateien entfernt, die dem User browser gehören.
Die ganzen Mount-Anweisungen lassen sich natürlich auch in die /etc/fstab eintragen:
Wenn man bestimmte Sachen mal durchschreiben möchte (für Konfigurationen etc.), muss man einfach nur das Union-Dateisystem derweil "unmounten".
Mit dieser Vorgehensweise lässt sich relativ einfach für Programme eine sandboxed-Umgebung schaffen und damit die Sicherheit zu erhöhen.
Gruß
MichaelK
PS: Natürlich sollte man immer im Hinterkopf behalten, dass die Sandbox als solches sich eine Infektion einfangen kann. Warez-Seiten besuchen und direkt danach OnlineBanking machen ist daher vllt. keine so gute Idee.
Du "erhöhst" die Sicherheit des Browser indem du myusername erlaubst mit Root Rechten Firefox zu starten? LOL
Nein, tut er nicht.
[ ] Du kennst und verstehst 'sudo'
[X] Du kennst und verstehst 'sudo' leider nicht.
relativ einfach
Nein, das ist leider viel zu kompliziert und den Aufwand nicht wert. Zähl nur mal wie viele privilegierte Operationen dieses Browser-Sandboxing benötigt und frag dich dann wie Du das nachhaltig verdrahten willst.. so dass Du in 12 Monaten noch weisst was und warum du es gemacht hast.
Zähl nur mal wie viele privilegierte Operationen dieses Browser-Sandboxing benötigt
Ich verstehe das Problem nicht ganz.
frag dich dann wie Du das nachhaltig verdrahten willst
Ähm bitte was?
so dass Du in 12 Monaten noch weisst was und warum du es gemacht hast.
Man kann solche Sachen ja dokumentieren.
Alternativ kannst Du auch virtuelle Maschinen und Browser-Appliances nehmen.
Ein anderer Benutzername ist aber die ressourcenschonende LightWeight-Variante.
Gruß
MichaelK
Oder Selbstmord durch Luft anhalten begehen?
Man kann ja fürs Online-Banking oder andere kritische Online-Anwendungen auch weitere user anlegen
Prima Idee
Firefox ESR und nur noch 1x im Jahr eine neue Installation...
Daheim habe ich nur noch Thunderbird ESR (Linux, Win7) installiert. Da war kürzlich die dritte Neuinstallation fällig, da das inkrementelle Update jedes Mal fehlschlug. Wenn Firefox ESR ebenfalls derart zuverlässig funktioniert, sehe ich schwarz.
Am WE steige ich eh auf Claws Mail um, dann ist das Kapitel Netscape/Mozilla nach 16 jahren für mich endgültig beendet.
Werde ich auch mal ausprobieren. Der allergrößte Schwachsinn war bei Thunderbird 11 die Menüleiste unterhalb der Tabs anzuordnen. Ich kann nicht nachvollziehen, wie man eine so bescheuerte Entscheidung treffen konnte.
Das waren vermutlich dieselben Helden, die per default ein transparentes Theme eingestellt haben.
Überlass die Updates doch am besten der Distribution.
OpenSUSE z.B. stellt die ESR-Versionen in Mozilla OBS bereit ("firefox-esr", "thunderbird-esr"):
http://download.opensuse.org/repositories/mozilla/
Firefox-ESR wird sogar noch für openSUSE 11.1 angeboten, neben Firefox 3.6.28 und Firefox 11.0.
Ich bleibe beim Mosaic.
Es wird sich doch in einem Unternehmen mit mehr als 0 Beschäftigten jemand finden lassen, der bei einem angebotenen Browserupdate das Bestätigungsknöpfchen zu betätigen in der Lage ist.
[ ] du hast voll die Ahnung, wie in Unternehmen administriert wird
Testen, ob damit verbundene Skripte, eigene Änderungen des Quellcodes, Erweiterungen, damit verbundene Programme usw. funktionieren braucht ja niemand. Wird schon schief gehen
Nun, ich habe mal wieder den gelben Zwinkerer beim ersten Posting vergessen (ich vermutete, dass meine übertrieben gestelzte Ausdrucksweise genug Hinweis auf Ironie gäbe); aber nun steh' ich echt auf'm Schlauch. Wenn man eh eine eigene Version des Browsers programmiert hat ("Quellcodeänderungen"), entfällt dann das von Mozilla angeleierte Update nicht sowieso?
Du glaubst gar nicht wie viele Idioten als Administrator tätig sind. Die meisten können quasi nichts und brauchen für die simpelsten Tätigkeiten ein Vielfaches meiner Zeit.
Es wird Zeit für einen Fork. Die Mozilla Foundation ist zu mächtig geworden. Die machen hunderte Millionen Umsatz im Jahr! Die denken nur noch ans Geld und nicht mehr an die Benutzer. Deshalb will Moz die NUtzer ausspionieren, um noch mehr Geld zu machen. Gemeinnützigkeit sieht anders aus.
Ich bleibe bei 3.6 bis es wieder einen richtigen Browser gibt.
Wenn du an diesem Punkt konsequent bleiben willst bleibt dir eigentlich nur ein Wechsel zu Konqueror oder Dillo. Die Textbrowser mal außen vor gelassen. Die anderen Browser sind alle durch profitgierige Konzerne unterwandert.
Dann wäre es aber besser, den noch unterstützten Firefox 3.5 aus Debian Squeeze zu benutzen.
Allerdings ist es schon jetzt so, dass Firefox 3.5 ("Iceweasel 3.5") nicht mehr alle Webseiten korrekt anzeigen kann.
Dieses Problem wird bei der Diskussion um Browserlangzeitsupport leider meist übersehen.
Im Debianbereich versucht man dieses Malheur u.a. mit dem mozilla.debian.net-Repo abzumildern. Dort sind neben Iceweasel 3.6 auch ein aktueller Iceweasel 11.0 sowie Iceweasel 10 ESR als auch Iceape 2.7 ESR (i.e. ein Seamonkey 2.7-ESR-Klon) für Debian Squeeze erhältlich.
Vermutlich kann man auf Webseiten die mit Firefox 3.5 Probleme haben gut verzichten.
Wenn man kein Javascript benötigt, dann funktioniert Firefox 3.5 noch ganz gut, das stimmt.
iceweasel-3.6 hab ich unter
http://mozilla.debian.net/dists/squeeze-backports/
nicht mehr gefunden. (Wer's findet kriegt 'nen Keks )
Außerdem war keine deutschsprachige Lokalisierung verfügbar, die man sich deshalb mühsam aus dem Firefox-Paket extrahieren musste. Und die letzten Updates des 3.6-Firefox wurden AFAIK auch nicht mehr übernommen.
Für mich gibt es glücklicherweise inzwischen alle notwendigen Add-Ons für den aktuellen Iceweasel, weshalb ich nach langem Ringen Abschied vom 3.6 genommen habe
seltsam, dass ubuntu den alten ubuntuversionen kein neues firefox spendiert.
die alten ubuntu sind immer noch bei firefox 3.6
Ubuntu macht das schon richtig. Die wären doch verrückt, wenn sie alle paar Tage eine FF-Version
einpflegen müssten, nur weil die Mozdevs gerade in Wallung sind und ihre Software mal wieder komplett umschmeißen. Fakt ist: Firefox wird gerade bewusst zu Tode entwickelt. Die privaten Nutzer wenden sich mit Grausen ab, und wandern zu Chrome bzw. Chromium. Die Unternehmen haben die Schnauze ebenfalls voll und blieben bislang bei 3.6 in der Hoffnung, dass sich alle wieder einrenke. Die ESR-Releases sind ein schlechter Witz. Die werden bewusst versteckt, damit man Ende sagen kann, niemand habe sie gewollt.
Was verstehst du unter "zu Tode entwickeln"? Der Browser funktioniert, ist ausreichend schnell und von Zeit zu Zeit gibt's ein Update. Wo liegt das Problem?
"Die werden bewusst versteckt, damit man Ende sagen kann, niemand habe sie gewollt."
Das stimmt wohl.
Ein Grund mehr, ständig auf die ESR-Versionen hinzuweisen.
Welchen alten Versionen? Alle Versionen ab dem letzten LTS erhalten die neuen Firefoxe.