Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
On 14/08/13 11:28, Juan José López wrote: Lo que pretendeis hacer no es tan sencillo. fakeroot carga un librería que envuelve algunas llamadas al sistema, para que parezca que el proceso llamante tiene permisos de root (udi=0), aunque realmente no los tenga. Es decir, el proceso cree llamar a la función 'getuid()' del sistema, cuando en realidad está llamando a la función 'getuid()' de la librería cargada. Esta técnica es relativamente fácil de implementar, permitiendo envolver cualquier llamada a la librería libc (en general, a cualquier librería), pero presenta un MUY GRAVE problema de seguridad. Nada impide a una aplicación realizar llamadas directas a las funciones del núcleo, saltandose la librería libc y cualquier otra que este cargada. Si la seguridad es prioritaria, esta técnica está descartada. Dejando a un lado la discutible facilidad de implementación de esta técnica, por los motivosque comentas, veo no es la solución. Entiendo Carlos lo comentó para tomar el ejemplo de cómo trabaja fakeroot (interceptando llamadas a sistema a través de libc) y encontrar/aplicar una solución similar. Otro enfoque es utilizar herramientas del tipo AppArmor, SELinux, e incluso Linux Containers. No tengo experiencia práctica con ellas, y no se hasta que punto se pueden configurar para que intercepten ciertas llamdas al sistema y emulen un entorno aislado. Son multitud las llamadas a interceptar, y los resultados han de ser coherentes y persistentes durante todo el tiempo de ejecución de la aplicación, si queremos que esta funciones con normalidad. Es decir, si la aplicación crea un archivo y realiza lecturas y escrituras, ese archivo y esos datos han de existir durante el tiempo que la aplicación esté activa. Este método puede considerarse el mas seguro, a costa de limitar la integración general con el sistema. Llamadas a servicios esperados por la aplicación (dbus, por ejemplo, o el socket de X), lectura de archivos estandar (/dev/nul, /etc/services, /etc/passwd ). Librerías compartidas necesarias, ... Como dije en un correo previo, creo que SELinux tiene tool de sandboxing (sólo en CentOS/Redhat) y AppArmor algo parecido para SuSe, pero como comentó Camaleon, configurarlo tiene su complejidad (algo que intento evitar). En cuanto al tema de containers, si bien necesita su espacio en disco, el uso de recursos es contenido (comparado con las soluciones de virtualización). Pero al menos con lxc acabo de ver [1] [2] que para poder tener un entorno con escritorio, necesitas habilitar acceso a dispositivos, y eso merma la seguridad. [1] http://unix.stackexchange.com/questions/18003/linux-lxc-deploying-images-with-tiniest-possible-x11 [2] http://www.jonnor.com/2010/03/hardware-passthrough-in-lxc-or-running-a-desktop-in-a-cgroup/ Un enfoque similar es utilizar chroot. Configurar un entorno chroot es practicamente igual a configurar nuestro entorno 'real'. Una escalada de privilegios se produce de igual forma tanto en el entorno real como en el chrooteado. Un bug de una aplicación o del propio kernel presenta los mismos problemas, y si se consigue acceso root, el chroot no sirve para nada. Los chroot ofrecen más facilidades de integración entre las 'jaulas' y el entorno real. Se pueden compartir sistemas de ficheros, incluso hacer que los cambios a un archivo se realicen en realidad en un sistema de archivos distinto. UnionFS, ROFS, 'mount -o ro,bind', ... y los sockets son accesibles, pero se pueden filtar de varias maneras. Creo que hay por ahí un módulo para IPTABLES que permite filtrar los paquetes por usuario. Un chroot, un usuario específico para las pruebas de aplicaciones, un sistema de archivos tipo UnionFS, que escriba en un volumen distinto, filtros IPTABLES especiales para ese usuario, ... las posibilidades son múltiples. Demasiada complicación para conseguir sólo aislamiento (y no también monitorización de la actividad de la aplicación, algo que por lo que veo no cubre ningúna aplicación orientada a usuario, sino herramientas dispares y que necesitan cierta familiaridad/habilidad en el manejo como tripwire, tcpdump, strace... e incluso gdb). En otras palabras, que al final voy a acabar tirando por la opción inicial de usar una VM: tendré el entorno más aislado, aunque sin tool de monitorización/rastreo de lo que hace una aplicación dada. Cualquier opción necesita su propio espacio. A mayor seguridad, mayor espacio requerido para proporcionar a la aplicación un entorno más 'aislado'. La aplicación puede leer las librerías compartidas del sistema, o proporcionarle unas propias. Si utilizas copias de librerias, se necesita espacio para ellas. Si utilizar las librerías del entorno 'real', asegurate de que no pueda escribir en ellas. Si no puede escribir en ellas, asegurate de que si puede escribir en aquellos sitios en los que lo necesite (típicamente, /home). Resumiendo: si la seguridad es prioritária, utiliza una VM. Prioridad a la seguridad implica no importar el
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
On 08/15/2013 02:31 PM, jors wrote: On 14/08/13 11:28, Juan José López wrote: Lo que pretendeis hacer no es tan sencillo. fakeroot carga un librería que envuelve algunas llamadas al sistema, para que parezca que el proceso llamante tiene permisos de root (udi=0), aunque realmente no los tenga. Es decir, el proceso cree llamar a la función 'getuid()' del sistema, cuando en realidad está llamando a la función 'getuid()' de la librería cargada. Esta técnica es relativamente fácil de implementar, permitiendo envolver cualquier llamada a la librería libc (en general, a cualquier librería), pero presenta un MUY GRAVE problema de seguridad. Nada impide a una aplicación realizar llamadas directas a las funciones del núcleo, saltandose la librería libc y cualquier otra que este cargada. Si la seguridad es prioritaria, esta técnica está descartada. Dejando a un lado la discutible facilidad de implementación de esta técnica, por los motivosque comentas, veo no es la solución. Entiendo Carlos lo comentó para tomar el ejemplo de cómo trabaja fakeroot (interceptando llamadas a sistema a través de libc) y encontrar/aplicar una solución similar. Otro enfoque es utilizar herramientas del tipo AppArmor, SELinux, e incluso Linux Containers. No tengo experiencia práctica con ellas, y no se hasta que punto se pueden configurar para que intercepten ciertas llamdas al sistema y emulen un entorno aislado. Son multitud las llamadas a interceptar, y los resultados han de ser coherentes y persistentes durante todo el tiempo de ejecución de la aplicación, si queremos que esta funciones con normalidad. Es decir, si la aplicación crea un archivo y realiza lecturas y escrituras, ese archivo y esos datos han de existir durante el tiempo que la aplicación esté activa. Este método puede considerarse el mas seguro, a costa de limitar la integración general con el sistema. Llamadas a servicios esperados por la aplicación (dbus, por ejemplo, o el socket de X), lectura de archivos estandar (/dev/nul, /etc/services, /etc/passwd ). Librerías compartidas necesarias, ... Como dije en un correo previo, creo que SELinux tiene tool de sandboxing (sólo en CentOS/Redhat) y AppArmor algo parecido para SuSe, pero como comentó Camaleon, configurarlo tiene su complejidad (algo que intento evitar). En cuanto al tema de containers, si bien necesita su espacio en disco, el uso de recursos es contenido (comparado con las soluciones de virtualización). Pero al menos con lxc acabo de ver [1] [2] que para poder tener un entorno con escritorio, necesitas habilitar acceso a dispositivos, y eso merma la seguridad. [1] http://unix.stackexchange.com/questions/18003/linux-lxc-deploying-images-with-tiniest-possible-x11 [2] http://www.jonnor.com/2010/03/hardware-passthrough-in-lxc-or-running-a-desktop-in-a-cgroup/ Un enfoque similar es utilizar chroot. Configurar un entorno chroot es practicamente igual a configurar nuestro entorno 'real'. Una escalada de privilegios se produce de igual forma tanto en el entorno real como en el chrooteado. Un bug de una aplicación o del propio kernel presenta los mismos problemas, y si se consigue acceso root, el chroot no sirve para nada. Los chroot ofrecen más facilidades de integración entre las 'jaulas' y el entorno real. Se pueden compartir sistemas de ficheros, incluso hacer que los cambios a un archivo se realicen en realidad en un sistema de archivos distinto. UnionFS, ROFS, 'mount -o ro,bind', ... y los sockets son accesibles, pero se pueden filtar de varias maneras. Creo que hay por ahí un módulo para IPTABLES que permite filtrar los paquetes por usuario. Un chroot, un usuario específico para las pruebas de aplicaciones, un sistema de archivos tipo UnionFS, que escriba en un volumen distinto, filtros IPTABLES especiales para ese usuario, ... las posibilidades son múltiples. Demasiada complicación para conseguir sólo aislamiento (y no también monitorización de la actividad de la aplicación, algo que por lo que veo no cubre ningúna aplicación orientada a usuario, sino herramientas dispares y que necesitan cierta familiaridad/habilidad en el manejo como tripwire, tcpdump, strace... e incluso gdb). En otras palabras, que al final voy a acabar tirando por la opción inicial de usar una VM: tendré el entorno más aislado, aunque sin tool de monitorización/rastreo de lo que hace una aplicación dada. Cualquier opción necesita su propio espacio. A mayor seguridad, mayor espacio requerido para proporcionar a la aplicación un entorno más 'aislado'. La aplicación puede leer las librerías compartidas del sistema, o proporcionarle unas propias. Si utilizas copias de librerias, se necesita espacio para ellas. Si utilizar las librerías del entorno 'real', asegurate de que no pueda escribir en ellas. Si no puede escribir en ellas, asegurate de que si puede escribir en aquellos sitios en los que lo necesite (típicamente, /home). Resumiendo: si la seguridad es prioritária, utiliza una VM. Prioridad a la seguridad implica
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
On 15/08/13 16:43, carlopmart wrote: Jors, Cada vez me queda más claro que tu solución es utilizar solaris zones (una solucion mucho más madura que lxc como comenté antes). No necesitas instalar un Solaris de per-se, te basta con un OmniOS e incluso, más recomendable un SmartOS. A nivel de seguridad es mucho más maduro que las vm (y más seguro). ¿Que tipo de apps quieres probar: gráficas, daemons, etc?? Una pista: en entornos donde se requieren exactamente el tipo de requisitos de los que hablas, utilizan servidores ESXi (tienes una versión free para servidores con un máximo de 32 GiB de RAM) y/o Solaris Zones/FreeBSD jails. Si tu decisión son las VMs, ESXi es la solución. En principio la idea era (1) tener un entorno aislado para probar software bajado de fuentes no-confiables y posterirmente se me ocurrió (2) ir a la búsqueda de alguna app de sandboxing. Si bien me centro en apps gráficas y ejecutables de consola/terminal, se hace extensible a cualquier tipo de aplicación. Y todo esto poderlo hacer desde mi laptop con (por supuesto) Debian GNU/Linux :) Si fuera una necesidad más profesional y que pudiera tener un host dedicado sólo a eso, no descartaba probar lo que comentas. Sobre lo del uso de ESXi... pues hombre, puede ser mejor o peor que otras soluciones de virtualización, pero no deja de ser virtualización y para eso ya uso lo que tengo instalado en mi Debian: KVM. ¿Lo decías por algo en particular que se me escapa? Salut, jors -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/520ceded.1040...@enchufado.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
On 08/15/2013 03:04 PM, jors wrote: On 15/08/13 16:43, carlopmart wrote: Jors, Cada vez me queda más claro que tu solución es utilizar solaris zones (una solucion mucho más madura que lxc como comenté antes). No necesitas instalar un Solaris de per-se, te basta con un OmniOS e incluso, más recomendable un SmartOS. A nivel de seguridad es mucho más maduro que las vm (y más seguro). ¿Que tipo de apps quieres probar: gráficas, daemons, etc?? Una pista: en entornos donde se requieren exactamente el tipo de requisitos de los que hablas, utilizan servidores ESXi (tienes una versión free para servidores con un máximo de 32 GiB de RAM) y/o Solaris Zones/FreeBSD jails. Si tu decisión son las VMs, ESXi es la solución. En principio la idea era (1) tener un entorno aislado para probar software bajado de fuentes no-confiables y posterirmente se me ocurrió (2) ir a la búsqueda de alguna app de sandboxing. Si bien me centro en apps gráficas y ejecutables de consola/terminal, se hace extensible a cualquier tipo de aplicación. Y todo esto poderlo hacer desde mi laptop con (por supuesto) Debian GNU/Linux :) Si fuera una necesidad más profesional y que pudiera tener un host dedicado sólo a eso, no descartaba probar lo que comentas. Sobre lo del uso de ESXi... pues hombre, puede ser mejor o peor que otras soluciones de virtualización, pero no deja de ser virtualización y para eso ya uso lo que tengo instalado en mi Debian: KVM. ¿Lo decías por algo en particular que se me escapa? Salut, jors Pues entonces a menos que quieras probar Qubes-OS (se basa en Fedora y Xen y crea sandboxing on the fly) la única opción que veo es lxc. El tema del ESXi te lo comento porque podrás probar casi cualquier SO y apps basadas en i386/amd64. Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/520cf329.5040...@gmail.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
On 15/08/13 17:26, carlopmart wrote: On 08/15/2013 03:04 PM, jors wrote: On 15/08/13 16:43, carlopmart wrote: Jors, Cada vez me queda más claro que tu solución es utilizar solaris zones (una solucion mucho más madura que lxc como comenté antes). No necesitas instalar un Solaris de per-se, te basta con un OmniOS e incluso, más recomendable un SmartOS. A nivel de seguridad es mucho más maduro que las vm (y más seguro). ¿Que tipo de apps quieres probar: gráficas, daemons, etc?? Una pista: en entornos donde se requieren exactamente el tipo de requisitos de los que hablas, utilizan servidores ESXi (tienes una versión free para servidores con un máximo de 32 GiB de RAM) y/o Solaris Zones/FreeBSD jails. Si tu decisión son las VMs, ESXi es la solución. En principio la idea era (1) tener un entorno aislado para probar software bajado de fuentes no-confiables y posterirmente se me ocurrió (2) ir a la búsqueda de alguna app de sandboxing. Si bien me centro en apps gráficas y ejecutables de consola/terminal, se hace extensible a cualquier tipo de aplicación. Y todo esto poderlo hacer desde mi laptop con (por supuesto) Debian GNU/Linux :) Si fuera una necesidad más profesional y que pudiera tener un host dedicado sólo a eso, no descartaba probar lo que comentas. Sobre lo del uso de ESXi... pues hombre, puede ser mejor o peor que otras soluciones de virtualización, pero no deja de ser virtualización y para eso ya uso lo que tengo instalado en mi Debian: KVM. ¿Lo decías por algo en particular que se me escapa? Salut, jors Pues entonces a menos que quieras probar Qubes-OS (se basa en Fedora y Xen y crea sandboxing on the fly) la única opción que veo es lxc. Nada de otros Sistemas Operativos, debe de ser en el propio portátil y me niego a desinstalar ésta maravilla :P Con lxc para tener X's hay que dejar la seguridad un poco de lado, como comentaba de los anteriores enlaces, para hacer un bypass de dispositivos. El tema del ESXi te lo comento porque podrás probar casi cualquier SO y apps basadas en i386/amd64. En realidad sólo necesito probar linuxes (igual alguna vez algo de Windows), así que de momento me quedo con KVM. Y para el tema de monitorizar la app... pues bueno, me quedo cojo con eso, así que tiraré de snapshots y herramientas (strace, gdb, tppdump...) sueltas. Descarto por eso tripwire y similares porque no me quiero cargar la SSD antes de tiempo :/ Gracias de todos modos. Salut, jors -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/520cf895.6010...@enchufado.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
El Mon, 12 Aug 2013 11:31:12 -0500 Carlos Zuniga carlos@gmail.com escribió: 2013/8/12 jors j...@enchufado.com: On 12/08/13 17:06, Carlos Zuniga wrote: 2013/8/11 jorsj...@enchufado.com: Buenas lista, ¿Alguien conoce alguna aplicación de sandboxing para apps de Escritorio (en realidad, que soporte cualquier app)? En mis dias de Windows recuerdo usaba Sandboxie [1] y me gustaba, y me temo no hay nada o no he sabido encontrar nada parecido en Linux (concretamente en Debian GNU/Linux). Y cual es tu objetivo? Evitar que la aplicación modifique o cree archivos en tu usuario? Idealmente que no cree/modifique nada. Y si lo hace, que sea sobre archivos temporales que no son en realidad los del sistema. Tal vez sería más sencillo simplemente crear otro usuario de prueba y correrla ahí. Si por lo que sea se ejecuta una aplicación maliciosa que consigue sobrepasar las barreras estandar del sistema para ese usuario (p.ej. aprovechando un bug en alguna aplicación), la jodimos. Entonces concuerdo con los demás listeros que te recomiendan usar una máquina virtual. Además, idealmente la aplicación no tendría que poder cambiar nada y sin embargo creer que sí lo hizo. ¿Algún desarrollador se anima con un soft de sandboxing de este tipo? :D Eso suena similar a lo que hace fakeroot, utiliza un wrapper sobre las llamadas al sistema para hacer creer a la aplicación que tiene los permisos necesarios, si piensas hacer una aplicación, podrías ver como lo hacen ellos. Y creo que es un método similar el que utiliza SandboxIE. Para lo de los cambios a los ficheros, sobre la VM podrías simplemente sacar un md5 a todos los ficheros y ver cuales han cambiado tras correr la aplicación, o algo más elaborado sería crear un repositorio git y ver un diff de los cambios. Saludos Lo que pretendeis hacer no es tan sencillo. fakeroot carga un librería que envuelve algunas llamadas al sistema, para que parezca que el proceso llamante tiene permisos de root (udi=0), aunque realmente no los tenga. Es decir, el proceso cree llamar a la función 'getuid()' del sistema, cuando en realidad está llamando a la función 'getuid()' de la librería cargada. Esta técnica es relativamente fácil de implementar, permitiendo envolver cualquier llamada a la librería libc (en general, a cualquier librería), pero presenta un MUY GRAVE problema de seguridad. Nada impide a una aplicación realizar llamadas directas a las funciones del núcleo, saltandose la librería libc y cualquier otra que este cargada. Si la seguridad es prioritaria, esta técnica está descartada. Otro enfoque es utilizar herramientas del tipo AppArmor, SELinux, e incluso Linux Containers. No tengo experiencia práctica con ellas, y no se hasta que punto se pueden configurar para que intercepten ciertas llamdas al sistema y emulen un entorno aislado. Son multitud las llamadas a interceptar, y los resultados han de ser coherentes y persistentes durante todo el tiempo de ejecución de la aplicación, si queremos que esta funciones con normalidad. Es decir, si la aplicación crea un archivo y realiza lecturas y escrituras, ese archivo y esos datos han de existir durante el tiempo que la aplicación esté activa. Este método puede considerarse el mas seguro, a costa de limitar la integración general con el sistema. Llamadas a servicios esperados por la aplicación (dbus, por ejemplo, o el socket de X), lectura de archivos estandar (/dev/nul, /etc/services, /etc/passwd ). Librerías compartidas necesarias, ... Un enfoque similar es utilizar chroot. Configurar un entorno chroot es practicamente igual a configurar nuestro entorno 'real'. Una escalada de privilegios se produce de igual forma tanto en el entorno real como en el chrooteado. Un bug de una aplicación o del propio kernel presenta los mismos problemas, y si se consigue acceso root, el chroot no sirve para nada. Los chroot ofrecen más facilidades de integración entre las 'jaulas' y el entorno real. Se pueden compartir sistemas de ficheros, incluso hacer que los cambios a un archivo se realicen en realidad en un sistema de archivos distinto. UnionFS, ROFS, 'mount -o ro,bind', ... y los sockets son accesibles, pero se pueden filtar de varias maneras. Creo que hay por ahí un módulo para IPTABLES que permite filtrar los paquetes por usuario. Un chroot, un usuario específico para las pruebas de aplicaciones, un sistema de archivos tipo UnionFS, que escriba en un volumen distinto, filtros IPTABLES especiales para ese usuario, ... las posibilidades son múltiples. Cualquier opción necesita su propio espacio. A mayor seguridad, mayor espacio requerido para proporcionar a la aplicación un entorno más 'aislado'. La aplicación puede leer las librerías compartidas del sistema, o proporcionarle unas propias. Si utilizas copias de librerias, se necesita espacio para ellas. Si utilizar las librerías del entorno 'real', asegurate de que no pueda escribir en ellas. Si no
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
El Sun, 11 Aug 2013 14:37:32 +0200 jors j...@enchufado.com escribió: Buenas lista, ¿Alguien conoce alguna aplicación de sandboxing para apps de Escritorio (en realidad, que soporte cualquier app)? En mis dias de Windows recuerdo usaba Sandboxie [1] y me gustaba, y me temo no hay nada o no he sabido encontrar nada parecido en Linux (concretamente en Debian GNU/Linux). He probado la app de Gentoo sandbox [2] y el script sandfox [3], y a parte de que no tienen nada que ver, tampoco parece que me hayan funcionado. Baste decir que los probé lanzando desde ellos Iceweasel y he podido guardar páginas web en mi Escritorio. Se que Redhat/CentOS tiene una sandbox en SELinux (que no me suena haber visto en Debian) y que también hay algo parecido de Suse llamado AppArmor (hay paquetes en Debian), pero no he sabido ver si tiene sandbox. En fin, agradecido de cualquier idea/orientación al respecto. [1] http://www.sandboxie.com/ [2] https://wiki.debian.org/Sandbox [3] http://igurublog.wordpress.com/downloads/script-sandfox/ Salut, jors Yo utilizo algo parecido basado en chroot para los entornos de desarrollo, para no 'ensuciar' la jerarquia principal con los paquetes -dev y -doc, y autofs para montar la partición solo cuando la necesito. Como desventaja, como tú comentas, el aumento de espacio. En mi caso particular no me preocupa mucho esto ni la seguridad, así que no te puedo comentar sobre esta última. Si el espacio es determinante, se me ocurre que podrias montar un script que, a partir de la información en /var/lib/dpkg/info/XXX.list, copie los archivos relevantes en un directorio para poder hacer chroot en él, y modifique el APPLICATION.desktop para poder acceder de forma trasparente mediante el chroot. No se si hay algo por ahí así, pero me suena de un paquete 'reducelibs' que hace algo parecido, mostrando las librerias necesarias para una aplicación. Siento no poder darte paquetes ni nombres de aplicaciones concretas. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130812105506.1a0abd43@lilu
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
On 12/08/13 07:45, C. L. Martinez wrote: A día de hoy lo más potente que hay en entornos linux es Qube-OS (http://distrowatch.com/table.php?distribution=qubes ), pero te implica la utilización de VM, y los requisitos pueden ser algo altos como comentabas anteriormente ... Pero eso sí, va fina fina. No utiliza Debian. Sí, evidentemente el uso de recursos es demasiado y desmesurado para mis propósitos. Por otro lado, tienes la opción de utilizar linux contaniers (LXC: http://lxc.sourceforge.net/), que estos sí existen en los repos de Debian y se ajustan mucho a lo que buscas. Si bien ésto no es virtualización, sería parecido a usar un chroot con un debootstrap como me comentaba Ricardo. En términos uso de recursos y espacio ocupado debe ser lo mismo, y no se hasta qué punto debe quedar más aislado (de cara a la seguridad) que un chroot. De todas formas a nivel de Unix lo más potente que hay son las Solaris Zones (para cualquier distro Solaris-like, como OmniOS, OpenIndiana, etc) y estas son potentes de verdad y las variantes en entornos BSD como FreeBSD que son las jails ... Otras que son my potentes. Bueno, el tema es hacerlo desde Debian GNU/Linux y lo que comentas creo se parece mucho a un chroot (posiblemente con más garantías de cara al aislamiento). Gracias por las ideas, de todos modos. Salut, jors -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5208cd85.3080...@enchufado.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
2013/8/12 jors j...@enchufado.com: On 12/08/13 07:45, C. L. Martinez wrote: A día de hoy lo más potente que hay en entornos linux es Qube-OS (http://distrowatch.com/table.php?distribution=qubes ), pero te implica la utilización de VM, y los requisitos pueden ser algo altos como comentabas anteriormente ... Pero eso sí, va fina fina. No utiliza Debian. Sí, evidentemente el uso de recursos es demasiado y desmesurado para mis propósitos. Por otro lado, tienes la opción de utilizar linux contaniers (LXC: http://lxc.sourceforge.net/), que estos sí existen en los repos de Debian y se ajustan mucho a lo que buscas. Si bien ésto no es virtualización, sería parecido a usar un chroot con un debootstrap como me comentaba Ricardo. En términos uso de recursos y espacio ocupado debe ser lo mismo, y no se hasta qué punto debe quedar más aislado (de cara a la seguridad) que un chroot. De todas formas a nivel de Unix lo más potente que hay son las Solaris Zones (para cualquier distro Solaris-like, como OmniOS, OpenIndiana, etc) y estas son potentes de verdad y las variantes en entornos BSD como FreeBSD que son las jails ... Otras que son my potentes. Bueno, el tema es hacerlo desde Debian GNU/Linux y lo que comentas creo se parece mucho a un chroot (posiblemente con más garantías de cara al aislamiento). Gracias por las ideas, de todos modos. Salut, jors Uy, no. Tanto Solaris Zones (o FreeBSD jails) como lxc no tienen nada que ver con chroot ... De hecho un entorno chroot es más vulnerable que cualquiera de los otros dos. Y los anteriores te permiten pruebas reales de a nivel de networking, utilización de memoria, etc ... Nada que ver con chroot ... Chroot podríamos llamarlo como el hermano pequeñín, pequeñín de los anteriores ... Saludos. P.D: Otra opción seria OpenVZ ... -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caejqa5l0qoknrtgoo7eqzf64eyha664sslqu+zgfjkxkb7w...@mail.gmail.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
El Sun, 11 Aug 2013 21:11:21 +0200, jors escribió: On 11/08/13 15:45, Camaleón wrote: El Sun, 11 Aug 2013 14:37:32 +0200, jors escribió: ¿Alguien conoce alguna aplicación de sandboxing para apps de Escritorio (en realidad, que soporte cualquier app)? ¿Un entorno chrooteado o una VM aislada no te serviría? :-? Una VM es matar moscas a cañonazos por el desperdicio de recursos: estamos hablando de un portátil. Sólo con tener una VM en idle con kvm se nota a nivel de cpu y uso del fan. Por otro lado, también es espacio en disco y con una SSD precisamente no me sobra :P (...) Estaba pensando en VB con ejecución directa de las aplicaciones que quieras sanboxear para lo cual te bastaría con asignar 128/256 MiB a la VM y a correr. No, tampoco creo que sea lo más eficiente pero sí lo más rápido, práctico y te puede servir además para otros menesteres. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.08.12.13.22...@gmail.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
El 12/08/13 10:22, Camaleón escribió: Estaba pensando en VB con ejecución directa de las aplicaciones que quieras sanboxear para lo cual te bastaría con asignar 128/256 MiB a la VM y a correr. No, tampoco creo que sea lo más eficiente pero sí lo más rápido, práctico y te puede servir además para otros menesteres. Saludos, Lo mas rápido, práctico y sencillo es la solución que propuse anteriormente: debootstrap + schroot. Con 300 MB y en 10 minutos lo tienes corriendo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5208e303.7010...@gmail.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
El Mon, 12 Aug 2013 10:28:35 -0300, Ricardo escribió: El 12/08/13 10:22, Camaleón escribió: Estaba pensando en VB con ejecución directa de las aplicaciones que quieras sanboxear para lo cual te bastaría con asignar 128/256 MiB a la VM y a correr. No, tampoco creo que sea lo más eficiente pero sí lo más rápido, práctico y te puede servir además para otros menesteres. Lo mas rápido, práctico y sencillo es la solución que propuse anteriormente: debootstrap + schroot. Con 300 MB y en 10 minutos lo tienes corriendo. Supongo que hablarás por ti porque yo monto antes una VM con VB que lo que sugieres ;-) Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.08.12.13.33...@gmail.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
El 12/08/13 10:32, Camaleón escribió: El Mon, 12 Aug 2013 10:28:35 -0300, Ricardo escribió: El 12/08/13 10:22, Camaleón escribió: Estaba pensando en VB con ejecución directa de las aplicaciones que quieras sanboxear para lo cual te bastaría con asignar 128/256 MiB a la VM y a correr. No, tampoco creo que sea lo más eficiente pero sí lo más rápido, práctico y te puede servir además para otros menesteres. Lo mas rápido, práctico y sencillo es la solución que propuse anteriormente: debootstrap + schroot. Con 300 MB y en 10 minutos lo tienes corriendo. Supongo que hablarás por ti porque yo monto antes una VM con VB que lo que sugieres ;-) Saludos, Por supuesto, asi como antes hablabas por ti. Es claro que dar esas respuestas tajantes y absolutas, siempre estan basadas en percepciones subjetivas y personales. Quien consulta, tendra la tarea de probar las soluciones propuestas y decidir por si mismo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5208e5b1.3080...@gmail.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
El Mon, 12 Aug 2013 10:40:01 -0300, Ricardo escribió: El 12/08/13 10:32, Camaleón escribió: El Mon, 12 Aug 2013 10:28:35 -0300, Ricardo escribió: El 12/08/13 10:22, Camaleón escribió: Estaba pensando en VB con ejecución directa de las aplicaciones que quieras sanboxear para lo cual te bastaría con asignar 128/256 MiB a la VM y a correr. No, tampoco creo que sea lo más eficiente pero sí lo más rápido, práctico y te puede servir además para otros menesteres. Lo mas rápido, práctico y sencillo es la solución que propuse anteriormente: debootstrap + schroot. Con 300 MB y en 10 minutos lo tienes corriendo. Supongo que hablarás por ti porque yo monto antes una VM con VB que lo que sugieres ;-) Por supuesto, asi como antes hablabas por ti. (...) No, hablaba en general. Para crear un entorno seguro considero más rápido y práctico instalar VB que cualquier otra cosa. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.08.12.13.55...@gmail.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
2013/8/11 jors j...@enchufado.com: Buenas lista, ¿Alguien conoce alguna aplicación de sandboxing para apps de Escritorio (en realidad, que soporte cualquier app)? En mis dias de Windows recuerdo usaba Sandboxie [1] y me gustaba, y me temo no hay nada o no he sabido encontrar nada parecido en Linux (concretamente en Debian GNU/Linux). He probado la app de Gentoo sandbox [2] y el script sandfox [3], y a parte de que no tienen nada que ver, tampoco parece que me hayan funcionado. Baste decir que los probé lanzando desde ellos Iceweasel y he podido guardar páginas web en mi Escritorio. Se que Redhat/CentOS tiene una sandbox en SELinux (que no me suena haber visto en Debian) y que también hay algo parecido de Suse llamado AppArmor (hay paquetes en Debian), pero no he sabido ver si tiene sandbox. En fin, agradecido de cualquier idea/orientación al respecto. [1] http://www.sandboxie.com/ [2] https://wiki.debian.org/Sandbox [3] http://igurublog.wordpress.com/downloads/script-sandfox/ Salut, jors Y cual es tu objetivo? Evitar que la aplicación modifique o cree archivos en tu usuario? Tal vez sería más sencillo simplemente crear otro usuario de prueba y correrla ahí. Saludos -- A menudo unas pocas horas de Prueba y error podrán ahorrarte minutos de leer manuales. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caabycjmxe-dgmjouq4xay5hfpefvgx+2o8bohmtznpykxtk...@mail.gmail.com
Fwd: Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
Disculpa Juan José, respondí a tu dirección personal por error! Reenvio: On 12/08/13 10:55, Juan José López wrote: Yo utilizo algo parecido basado en chroot para los entornos de desarrollo, para no 'ensuciar' la jerarquia principal con los paquetes -dev y -doc, y autofs para montar la partición solo cuando la necesito. Como desventaja, como tú comentas, el aumento de espacio. En mi caso particular no me preocupa mucho esto ni la seguridad, así que no te puedo comentar sobre esta última. La idea de todo este asunto para con la seguridad es poder ejecutar software no-confiable y que si ocasiona algún destrozo, éste quede limitado a la plataforma de ejecución/sandbox, y no más allá. Si hubiera un software de sandboxing concretamente concebido para esto, éste interactuaría con la aplicación maliciosa haciéndole creer que sus peticiones se llevaron a cabo correctamente cuando en realidad no fue así. Si ésto se lleva a cabo con un chroot/container vz/lxc o parecido, se cargará (o lo dejará no-confiable) el contenido mismo, así que habría que hacer antes una copia original para poder desechar posteriormente a la prueba el entorno de ejecución. Si el espacio es determinante, se me ocurre que podrias montar un script que, a partir de la información en /var/lib/dpkg/info/XXX.list, copie los archivos relevantes en un directorio para poder hacer chroot en él, y modifique el APPLICATION.desktop para poder acceder de forma trasparente mediante el chroot. No se si hay algo por ahí así, pero me suena de un paquete 'reducelibs' que hace algo parecido, mostrando las librerias necesarias para una aplicación. Siento no poder darte paquetes ni nombres de aplicaciones concretas. Un poco rebuscado y con pérdida de tiempo, como también lo sería obtener las librerías que usa la app (ldd), desplegarlas en un subdirectorio chrooted. A falta de algo más rápido/automatizado (una app de escritorio de sandboxing), de momento lo estoy haciendo un chroot + deootstrap a huevo. Gracias igualmente por los consejos. Salut, jors -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5208f9a8.7050...@enchufado.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
On 12/08/13 15:55, Camaleón wrote: El Mon, 12 Aug 2013 10:40:01 -0300, Ricardo escribió: El 12/08/13 10:32, Camaleón escribió: El Mon, 12 Aug 2013 10:28:35 -0300, Ricardo escribió: El 12/08/13 10:22, Camaleón escribió: Estaba pensando en VB con ejecución directa de las aplicaciones que quieras sanboxear para lo cual te bastaría con asignar 128/256 MiB a la VM y a correr. No, tampoco creo que sea lo más eficiente pero sí lo más rápido, práctico y te puede servir además para otros menesteres. Lo mas rápido, práctico y sencillo es la solución que propuse anteriormente: debootstrap + schroot. Con 300 MB y en 10 minutos lo tienes corriendo. Supongo que hablarás por ti porque yo monto antes una VM con VB que lo que sugieres ;-) Por supuesto, asi como antes hablabas por ti. (...) No, hablaba en general. Para crear un entorno seguro considero más rápido y práctico instalar VB que cualquier otra cosa. Haya paz. Para mi, personalmente me resulta más rápido y cómoda la historia del debootstrap + [s]chroot, aunque por lo que se lee, resulta menos aislado/más inseguro (es más fácil saltar las restricciones de un chroot que las de un guest virtualizado). Instalar VBox sólo para esto... teniendo ya la infraestructura software de kvm... y sabiendo los recursos que necesita la virtualización, sólo para lanzar una app... :( Salut, jors -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5208fb90.9040...@enchufado.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
On 12/08/13 17:06, Carlos Zuniga wrote: 2013/8/11 jorsj...@enchufado.com: Buenas lista, ¿Alguien conoce alguna aplicación de sandboxing para apps de Escritorio (en realidad, que soporte cualquier app)? En mis dias de Windows recuerdo usaba Sandboxie [1] y me gustaba, y me temo no hay nada o no he sabido encontrar nada parecido en Linux (concretamente en Debian GNU/Linux). He probado la app de Gentoo sandbox [2] y el script sandfox [3], y a parte de que no tienen nada que ver, tampoco parece que me hayan funcionado. Baste decir que los probé lanzando desde ellos Iceweasel y he podido guardar páginas web en mi Escritorio. Se que Redhat/CentOS tiene una sandbox en SELinux (que no me suena haber visto en Debian) y que también hay algo parecido de Suse llamado AppArmor (hay paquetes en Debian), pero no he sabido ver si tiene sandbox. En fin, agradecido de cualquier idea/orientación al respecto. [1] http://www.sandboxie.com/ [2] https://wiki.debian.org/Sandbox [3] http://igurublog.wordpress.com/downloads/script-sandfox/ Salut, jors Y cual es tu objetivo? Evitar que la aplicación modifique o cree archivos en tu usuario? Idealmente que no cree/modifique nada. Y si lo hace, que sea sobre archivos temporales que no son en realidad los del sistema. Tal vez sería más sencillo simplemente crear otro usuario de prueba y correrla ahí. Si por lo que sea se ejecuta una aplicación maliciosa que consigue sobrepasar las barreras estandar del sistema para ese usuario (p.ej. aprovechando un bug en alguna aplicación), la jodimos. Además, idealmente la aplicación no tendría que poder cambiar nada y sin embargo creer que sí lo hizo. ¿Algún desarrollador se anima con un soft de sandboxing de este tipo? :D Salut, jors -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5208fc16.7000...@enchufado.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
El Mon, 12 Aug 2013 17:13:20 +0200, jors escribió: On 12/08/13 15:55, Camaleón wrote: El Mon, 12 Aug 2013 10:40:01 -0300, Ricardo escribió: (...) Lo mas rápido, práctico y sencillo es la solución que propuse anteriormente: debootstrap + schroot. Con 300 MB y en 10 minutos lo tienes corriendo. Supongo que hablarás por ti porque yo monto antes una VM con VB que lo que sugieres ;-) Por supuesto, asi como antes hablabas por ti. (...) No, hablaba en general. Para crear un entorno seguro considero más rápido y práctico instalar VB que cualquier otra cosa. Haya paz. Para mi, personalmente me resulta más rápido y cómoda la historia del debootstrap + [s]chroot, aunque por lo que se lee, resulta menos aislado/más inseguro (es más fácil saltar las restricciones de un chroot que las de un guest virtualizado). Es que en Linux no es tan sencillo aislar los procesos. Recuerdo que Google Chrome (el navegador) tardó más tiempo en desarrollar el sistema de aislamiento para los plugins en su versión linuxera que en Windows. Al final parece que lo hicieron mediante esta funcionalidad del kernel, peor no parece que sea una implementación muy extendida: http://en.wikipedia.org/wiki/Seccomp Instalar VBox sólo para esto... teniendo ya la infraestructura software de kvm... y sabiendo los recursos que necesita la virtualización, sólo para lanzar una app... :( Que sí, hombre que sí... VB lo ponía como ejemplo de máquina virtual sencilla de instalar/usar para cualquier usuario y para mantener un entorno separado donde ejecutar aplicaciones a lo caja de arena. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.08.12.16.09...@gmail.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
2013/8/12 jors j...@enchufado.com: On 12/08/13 17:06, Carlos Zuniga wrote: 2013/8/11 jorsj...@enchufado.com: Buenas lista, ¿Alguien conoce alguna aplicación de sandboxing para apps de Escritorio (en realidad, que soporte cualquier app)? En mis dias de Windows recuerdo usaba Sandboxie [1] y me gustaba, y me temo no hay nada o no he sabido encontrar nada parecido en Linux (concretamente en Debian GNU/Linux). He probado la app de Gentoo sandbox [2] y el script sandfox [3], y a parte de que no tienen nada que ver, tampoco parece que me hayan funcionado. Baste decir que los probé lanzando desde ellos Iceweasel y he podido guardar páginas web en mi Escritorio. Se que Redhat/CentOS tiene una sandbox en SELinux (que no me suena haber visto en Debian) y que también hay algo parecido de Suse llamado AppArmor (hay paquetes en Debian), pero no he sabido ver si tiene sandbox. En fin, agradecido de cualquier idea/orientación al respecto. [1] http://www.sandboxie.com/ [2] https://wiki.debian.org/Sandbox [3] http://igurublog.wordpress.com/downloads/script-sandfox/ Salut, jors Y cual es tu objetivo? Evitar que la aplicación modifique o cree archivos en tu usuario? Idealmente que no cree/modifique nada. Y si lo hace, que sea sobre archivos temporales que no son en realidad los del sistema. Tal vez sería más sencillo simplemente crear otro usuario de prueba y correrla ahí. Si por lo que sea se ejecuta una aplicación maliciosa que consigue sobrepasar las barreras estandar del sistema para ese usuario (p.ej. aprovechando un bug en alguna aplicación), la jodimos. Entonces concuerdo con los demás listeros que te recomiendan usar una máquina virtual. Además, idealmente la aplicación no tendría que poder cambiar nada y sin embargo creer que sí lo hizo. ¿Algún desarrollador se anima con un soft de sandboxing de este tipo? :D Eso suena similar a lo que hace fakeroot, utiliza un wrapper sobre las llamadas al sistema para hacer creer a la aplicación que tiene los permisos necesarios, si piensas hacer una aplicación, podrías ver como lo hacen ellos. Y creo que es un método similar el que utiliza SandboxIE. Para lo de los cambios a los ficheros, sobre la VM podrías simplemente sacar un md5 a todos los ficheros y ver cuales han cambiado tras correr la aplicación, o algo más elaborado sería crear un repositorio git y ver un diff de los cambios. Saludos -- A menudo unas pocas horas de Prueba y error podrán ahorrarte minutos de leer manuales. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caabycjpy2eyapknq3nfhja8srb6yuvvxsa-2kyjycpyunk-...@mail.gmail.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
On 12/08/13 18:31, Carlos Zuniga wrote: 2013/8/12 jorsj...@enchufado.com: On 12/08/13 17:06, Carlos Zuniga wrote: 2013/8/11 jorsj...@enchufado.com: Buenas lista, ¿Alguien conoce alguna aplicación de sandboxing para apps de Escritorio (en realidad, que soporte cualquier app)? En mis dias de Windows recuerdo usaba Sandboxie [1] y me gustaba, y me temo no hay nada o no he sabido encontrar nada parecido en Linux (concretamente en Debian GNU/Linux). He probado la app de Gentoo sandbox [2] y el script sandfox [3], y a parte de que no tienen nada que ver, tampoco parece que me hayan funcionado. Baste decir que los probé lanzando desde ellos Iceweasel y he podido guardar páginas web en mi Escritorio. Se que Redhat/CentOS tiene una sandbox en SELinux (que no me suena haber visto en Debian) y que también hay algo parecido de Suse llamado AppArmor (hay paquetes en Debian), pero no he sabido ver si tiene sandbox. En fin, agradecido de cualquier idea/orientación al respecto. [1] http://www.sandboxie.com/ [2] https://wiki.debian.org/Sandbox [3] http://igurublog.wordpress.com/downloads/script-sandfox/ Salut, jors Y cual es tu objetivo? Evitar que la aplicación modifique o cree archivos en tu usuario? Idealmente que no cree/modifique nada. Y si lo hace, que sea sobre archivos temporales que no son en realidad los del sistema. Tal vez sería más sencillo simplemente crear otro usuario de prueba y correrla ahí. Si por lo que sea se ejecuta una aplicación maliciosa que consigue sobrepasar las barreras estandar del sistema para ese usuario (p.ej. aprovechando un bug en alguna aplicación), la jodimos. Entonces concuerdo con los demás listeros que te recomiendan usar una máquina virtual. Además, idealmente la aplicación no tendría que poder cambiar nada y sin embargo creer que sí lo hizo. ¿Algún desarrollador se anima con un soft de sandboxing de este tipo? :D Eso suena similar a lo que hace fakeroot, utiliza un wrapper sobre las llamadas al sistema para hacer creer a la aplicación que tiene los permisos necesarios, si piensas hacer una aplicación, podrías ver como lo hacen ellos. Y creo que es un método similar el que utiliza SandboxIE. Muy interesante, con esto puedo tirar un poco más de la manta buscando soluciones. Aunque desarrollar una aplicación de este tipo por mi cuenta _muy_ probablemente quede fuera de mis posibilidades. Para lo de los cambios a los ficheros, sobre la VM podrías simplemente sacar un md5 a todos los ficheros y ver cuales han cambiado tras correr la aplicación, o algo más elaborado sería crear un repositorio git y ver un diff de los cambios. En cuanto a los cambios en ficheros, también podría instalar+configurar un monitor de cambios en ficheros (p.ej. tripwire), aunque eso sólo solventaría uno (operaciones a nivel de ficheros) de los varios requisitos (auditar qué intenta hacer la aplicación en general). Gracias compañero. Salut, jors -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/520918e1.5000...@enchufado.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
El 11 de agosto de 2013 09:37, jors j...@enchufado.com escribió: Buenas lista, ¿Alguien conoce alguna aplicación de sandboxing para apps de Escritorio (en realidad, que soporte cualquier app)? En mis dias de Windows recuerdo usaba Sandboxie [1] y me gustaba, y me temo no hay nada o no he sabido encontrar nada parecido en Linux (concretamente en Debian GNU/Linux). He probado la app de Gentoo sandbox [2] y el script sandfox [3], y a parte de que no tienen nada que ver, tampoco parece que me hayan funcionado. Baste decir que los probé lanzando desde ellos Iceweasel y he podido guardar páginas web en mi Escritorio. Se que Redhat/CentOS tiene una sandbox en SELinux (que no me suena haber visto en Debian) y que también hay algo parecido de Suse llamado AppArmor (hay paquetes en Debian), pero no he sabido ver si tiene sandbox. En fin, agradecido de cualquier idea/orientación al respecto. [1] http://www.sandboxie.com/ [2] https://wiki.debian.org/Sandbox [3] http://igurublog.wordpress.com/downloads/script-sandfox/ El otro dia leia sobre Glimpse(https://launchpad.net/glimpse), no esta en los repos, creo que es una aplicacion relativamente nueva -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAACM3-4FU3DAbMOkj2G=umksgRC=PP-Xco0wtuqZ=t+_r+p...@mail.gmail.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
El 11/08/13 10:23, Ariel escribió: El 11 de agosto de 2013 09:37, jors j...@enchufado.com escribió: Buenas lista, ¿Alguien conoce alguna aplicación de sandboxing para apps de Escritorio (en realidad, que soporte cualquier app)? En mis dias de Windows recuerdo usaba Sandboxie [1] y me gustaba, y me temo no hay nada o no he sabido encontrar nada parecido en Linux (concretamente en Debian GNU/Linux). He probado la app de Gentoo sandbox [2] y el script sandfox [3], y a parte de que no tienen nada que ver, tampoco parece que me hayan funcionado. Baste decir que los probé lanzando desde ellos Iceweasel y he podido guardar páginas web en mi Escritorio. Se que Redhat/CentOS tiene una sandbox en SELinux (que no me suena haber visto en Debian) y que también hay algo parecido de Suse llamado AppArmor (hay paquetes en Debian), pero no he sabido ver si tiene sandbox. En fin, agradecido de cualquier idea/orientación al respecto. [1] http://www.sandboxie.com/ [2] https://wiki.debian.org/Sandbox [3] http://igurublog.wordpress.com/downloads/script-sandfox/ El otro dia leia sobre Glimpse(https://launchpad.net/glimpse), no esta en los repos, creo que es una aplicacion relativamente nueva Siempre tienes la opcion de usar chroot, es muy potente y seguro, sencillo de instalar y ocupa poco espacio. Mira este articulo que escribi: http://www.binarytides.com/setup-chroot-ubuntu-debootstrap/ si bien es para Ubuntu, puedes seguir los mismos pasos para usarlo en debian, solo apuntando a los repositorios de este. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52079219.4080...@gmail.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
El Sun, 11 Aug 2013 14:37:32 +0200, jors escribió: ¿Alguien conoce alguna aplicación de sandboxing para apps de Escritorio (en realidad, que soporte cualquier app)? ¿Un entorno chrooteado o una VM aislada no te serviría? :-? En mis dias de Windows recuerdo usaba Sandboxie [1] y me gustaba, y me temo no hay nada o no he sabido encontrar nada parecido en Linux (concretamente en Debian GNU/Linux). (...) Se que Redhat/CentOS tiene una sandbox en SELinux (que no me suena haber visto en Debian) y que también hay algo parecido de Suse llamado AppArmor (hay paquetes en Debian), pero no he sabido ver si tiene sandbox. Con SELinux y/o AppArmor podrías hacer algo, sí. Eso sí, de lo poco que conozco de AppArmor de mis tiempos suseros te puede decir que es complejo y pesado de configurar, al final casi todo el mundo lo dejaba desactivado porque para que realmente sea efectivo hay que afinarlo muy mucho O:-) Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.08.11.13.45...@gmail.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
On 11/08/13 15:23, Ariel wrote: El 11 de agosto de 2013 09:37, jorsj...@enchufado.com escribió: Buenas lista, ¿Alguien conoce alguna aplicación de sandboxing para apps de Escritorio (en realidad, que soporte cualquier app)? En mis dias de Windows recuerdo usaba Sandboxie [1] y me gustaba, y me temo no hay nada o no he sabido encontrar nada parecido en Linux (concretamente en Debian GNU/Linux). He probado la app de Gentoo sandbox [2] y el script sandfox [3], y a parte de que no tienen nada que ver, tampoco parece que me hayan funcionado. Baste decir que los probé lanzando desde ellos Iceweasel y he podido guardar páginas web en mi Escritorio. Se que Redhat/CentOS tiene una sandbox en SELinux (que no me suena haber visto en Debian) y que también hay algo parecido de Suse llamado AppArmor (hay paquetes en Debian), pero no he sabido ver si tiene sandbox. En fin, agradecido de cualquier idea/orientación al respecto. [1] http://www.sandboxie.com/ [2] https://wiki.debian.org/Sandbox [3] http://igurublog.wordpress.com/downloads/script-sandfox/ El otro dia leia sobre Glimpse(https://launchpad.net/glimpse), no esta en los repos, creo que es una aplicacion relativamente nueva Por la descripción parece como si fuera lo que estaba buscando, pero no hay paquete para Debian y la instalación (manual) está pensada para Ubuntu y no tengo muchas ganas de perder el tiempo adaptándolo. Como curiosidad, parece que por debajo acaba usando chroot. Gracias igualmente. Salut, jors -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5207e0fd.9070...@enchufado.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
On 11/08/13 15:31, Ricardo wrote: El 11/08/13 10:23, Ariel escribió: El 11 de agosto de 2013 09:37, jors j...@enchufado.com escribió: Buenas lista, ¿Alguien conoce alguna aplicación de sandboxing para apps de Escritorio (en realidad, que soporte cualquier app)? En mis dias de Windows recuerdo usaba Sandboxie [1] y me gustaba, y me temo no hay nada o no he sabido encontrar nada parecido en Linux (concretamente en Debian GNU/Linux). He probado la app de Gentoo sandbox [2] y el script sandfox [3], y a parte de que no tienen nada que ver, tampoco parece que me hayan funcionado. Baste decir que los probé lanzando desde ellos Iceweasel y he podido guardar páginas web en mi Escritorio. Se que Redhat/CentOS tiene una sandbox en SELinux (que no me suena haber visto en Debian) y que también hay algo parecido de Suse llamado AppArmor (hay paquetes en Debian), pero no he sabido ver si tiene sandbox. En fin, agradecido de cualquier idea/orientación al respecto. [1] http://www.sandboxie.com/ [2] https://wiki.debian.org/Sandbox [3] http://igurublog.wordpress.com/downloads/script-sandfox/ El otro dia leia sobre Glimpse(https://launchpad.net/glimpse), no esta en los repos, creo que es una aplicacion relativamente nueva Siempre tienes la opcion de usar chroot, es muy potente y seguro, sencillo de instalar y ocupa poco espacio. Mira este articulo que escribi: http://www.binarytides.com/setup-chroot-ubuntu-debootstrap/ si bien es para Ubuntu, puedes seguir los mismos pasos para usarlo en debian, solo apuntando a los repositorios de este. A falta de una aplicación que lo haga, chroot tiene pinta de ser lo único que encuentre para hacerlo. Como indican en algún sitio [1], no tengo tan claro que sea una opción 100% segura, pero de momento y sin virtualización de por medio, parece la única. Eso de que ocupa poco espacio... hacer un debootstrap de un sistema base ocupa un poco, ¿no? (un par de cientos de MB) Eso resulta en más espacio requerido que no instalar una aplicación, pero si no hay otra cosa... Gracias, lo tengo en cuenta. [1] http://verahill.blogspot.com.es/2012/10/chroot-your-iceweasel-firefox.html Salut, jors -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5207e173.70...@enchufado.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
On 11/08/13 15:45, Camaleón wrote: El Sun, 11 Aug 2013 14:37:32 +0200, jors escribió: ¿Alguien conoce alguna aplicación de sandboxing para apps de Escritorio (en realidad, que soporte cualquier app)? ¿Un entorno chrooteado o una VM aislada no te serviría? :-? Una VM es matar moscas a cañonazos por el desperdicio de recursos: estamos hablando de un portátil. Sólo con tener una VM en idle con kvm se nota a nivel de cpu y uso del fan. Por otro lado, también es espacio en disco y con una SSD precisamente no me sobra :P El tema del chroot al final va a ser la opción, aunque esperaba encontrar algo más elaborado (una app que te permita lanzar algo en sandbox a golpe de clic). En mis dias de Windows recuerdo usaba Sandboxie [1] y me gustaba, y me temo no hay nada o no he sabido encontrar nada parecido en Linux (concretamente en Debian GNU/Linux). (...) Se que Redhat/CentOS tiene una sandbox en SELinux (que no me suena haber visto en Debian) y que también hay algo parecido de Suse llamado AppArmor (hay paquetes en Debian), pero no he sabido ver si tiene sandbox. Con SELinux y/o AppArmor podrías hacer algo, sí. Eso sí, de lo poco que conozco de AppArmor de mis tiempos suseros te puede decir que es complejo y pesado de configurar, al final casi todo el mundo lo dejaba desactivado porque para que realmente sea efectivo hay que afinarlo muy mucho O:-) Si, eso me temo, así que descartado liarme con eso. Gracias igualmente. Salut, jors -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5207e1d9.6020...@enchufado.com
Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio
2013/8/11 jors j...@enchufado.com: On 11/08/13 15:45, Camaleón wrote: El Sun, 11 Aug 2013 14:37:32 +0200, jors escribió: ¿Alguien conoce alguna aplicación de sandboxing para apps de Escritorio (en realidad, que soporte cualquier app)? ¿Un entorno chrooteado o una VM aislada no te serviría? :-? Una VM es matar moscas a cañonazos por el desperdicio de recursos: estamos hablando de un portátil. Sólo con tener una VM en idle con kvm se nota a nivel de cpu y uso del fan. Por otro lado, también es espacio en disco y con una SSD precisamente no me sobra :P El tema del chroot al final va a ser la opción, aunque esperaba encontrar algo más elaborado (una app que te permita lanzar algo en sandbox a golpe de clic). En mis dias de Windows recuerdo usaba Sandboxie [1] y me gustaba, y me temo no hay nada o no he sabido encontrar nada parecido en Linux (concretamente en Debian GNU/Linux). (...) Se que Redhat/CentOS tiene una sandbox en SELinux (que no me suena haber visto en Debian) y que también hay algo parecido de Suse llamado AppArmor (hay paquetes en Debian), pero no he sabido ver si tiene sandbox. Con SELinux y/o AppArmor podrías hacer algo, sí. Eso sí, de lo poco que conozco de AppArmor de mis tiempos suseros te puede decir que es complejo y pesado de configurar, al final casi todo el mundo lo dejaba desactivado porque para que realmente sea efectivo hay que afinarlo muy mucho O:-) Si, eso me temo, así que descartado liarme con eso. Gracias igualmente. Salut, jors A día de hoy lo más potente que hay en entornos linux es Qube-OS (http://distrowatch.com/table.php?distribution=qubes ), pero te implica la utilización de VM, y los requisitos pueden ser algo altos como comentabas anteriormente ... Pero eso sí, va fina fina. No utiliza Debian. Por otro lado, tienes la opción de utilizar linux contaniers (LXC: http://lxc.sourceforge.net/), que estos sí existen en los repos de Debian y se ajustan mucho a lo que buscas. De todas formas a nivel de Unix lo más potente que hay son las Solaris Zones (para cualquier distro Solaris-like, como OmniOS, OpenIndiana, etc) y estas son potentes de verdad y las variantes en entornos BSD como FreeBSD que son las jails ... Otras que son my potentes. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAEjQA5KT_iFwsfaEdi4YfqOeeZcJGdACwhjA=jrgabbsfhc...@mail.gmail.com