Re: Странная проблема с перименованием файла
On Sun, 13 Nov 2016 00:28:05 +0300
yumkam+debian@gmail.com (Yuriy M. Kaminskiy) wrote:
> Чтобы уменьшить attack surface, firejail убирает из /bin "всякое
> ненужное", монтируя в свежеотфорканном mount namespace "недоступный
> файл" поверх всего-подряд (в частности, gcc, perl, python, и так
> далее, см. /etc/firejail/disable-devel.inc); или, наоборот, собирает
> "новый /bin", состоящий только из нужных бинарников (при помощи ровно
> того же mount --bind).
>
> (IMO, это из раздела одевания презерватива на огурец, но...)
>
> (Ну и тоже самое с кучей файлов в $HOME, с теми же последствиями:
> при запущенном firejail [и на ядре из jessie], сделать mv
> ~/.bashrc{,~} тоже не получится [а вот это уже часть необходимой
> защиты, без которой не обойтись])
Ну то есть имеет смысл отказаться от firejail и вместо этого
использовать решения на базе schroot, если не kvm, где будут
отдельные /bin и /home
с ОТДЕЛЬНЫМИ бинарниками и скриптами, которые никаким образом не
связанны с основной системой, и не содержат ничего лишнего чисто
физически?
--
Victor Wagner <vitus@wagner.pp.ru>
Reply to: