AppArmor ou SELinux: Paranoia no desktop?

Olá companheiros!

Esses dias entrei no assunto de segurança do computador e procurei mais informações sobre esses dois programas que usam o LSM (Linux Security Module). Escolhi experimentar o AppArmor por ser mais simples e instalei no meu notebook de testes.

O objetivo era adicionar uma camada de segurança ao firefox, evitando que um site mal-intencionado pudesse ter acesso ao meu disco, fora de diretórios específicos do /home

Pois fiz o perfil e funcionou (interessante saber o tanto de informações que o navegador quer saber ao iniciar!!!). O efeito colateral é que não dá para fazer upload de arquivos que não estejam nessas pastas autorizadas, nem abrir outros programas que não estejam especificamente autorizados no perfil (por exemplo, precisa autorizar o okular para poder abrir um pdf vindo do navegador).

Percebi que esse perfil para o firefox que eu fiz foi muito básico e uma configuração completa vai tomar algumas horas! Também vi que os programas mais “perfilados” são os servidores de arquivos e que alguns sistemas somente fazem perfil de programas que aceitam conexões externas.

Com base nesse conhecimento adquirido eu me perguntei e gostaria de saber mais opiniões:

  1. É interessante proteger um desktop com a utilização deses programas que implementam o MAC (mandatory access control)?
  2. Quais os programas usar no modo “enforce”?
  3. Vale a pena adicionar essa camada de complicação?
1 Curtida

Era mais fácil usar Flatpak

1 Curtida

Pelo que eu entendi ele quer um meio de controlar as permissões de um app, não um meio de instalar um app, não é nem de longe a mesma coisa, o AppArmor permite um controle refinado de cada executável do sistema, o flatpak permite o isolamento dos binários da runtime e do app, pra fazer o que ele quer com o bwrap dá muito mais trabalho porque ele não foi feito pra isso

Até que não, depende do quão refinado você quer, no geral você vai querer dar permissão r pra maioria das pastas e rw para a sua home, alguma pasta de montagem como /media, a pasta /tmp e a pasta de configuração do app, feito o profile de um app, geralmente você da ctrl+c/ctrl+v e muda pouca coisa

No caso do AppArmor na minha opinião vale sim

Odeio dizer depende, mas realmente depende do seu uso

Vale sim, especialmente apps que você instalou de fontes duvidosas, o AppArmor é interessante porque protege contra falhas zero-day

1 Curtida

Pode até ser uma opção de segurança, mas seria interessante que os aplicativos a serem controlados tivessem todos versão flatpak. Não é o Fedora que tem algo nesse estilo?

O Fedora tem o Silverblue, focado em um workflow de containers/flatpak’s assim como o EndlessOS. Usando mais apps em flatpak’s = menos app’s com acesso total ao seu sistema = mais segurança…

1 Curtida

Achei hoje um guia que realmente é paranóico!

O cara roda o Firefox no firejail com um servidor X só para ele!

https://wiki.gentoo.org/wiki/Sakaki's_EFI_Install_Guide/Sandboxing_the_Firefox_Browser_with_Firejail

Acho que AppArmor está de bom tamanho hehehe Quqalquer dia desses que eu tiver algumas horas livres vou instalar. Achei um repositório do github que alguém já criou os profiles pros principais programas (até mesmo pro steam e wine). Vai facilitar bastante a implementação.

1 Curtida