¿Es suficiente el arenero nativo de Chrome y Firefox o SELinux mejoraría su seguridad?

6

Chrome en Windows y Linux y Firefox en Windows se ejecutan en un sandbox. En Linux, ¿es suficiente la zona de pruebas de Chrome o obtendríamos seguridad si utilizamos SELinux para proteger la ejecución de Chrome? Me gustaría evitar SELinux debido a su complejidad si no mejora la seguridad.

    
pregunta Eloy Roldán Paredes 27.05.2016 - 19:48
fuente

1 respuesta

11

SELinux lo protegerá contra los errores creados por la comunidad de Chromium y sus "oopses" o "características ocultas" de ese navegador. No puede poner todos los huevos en una canasta cuando se trata de seguridad. Aquí, algunos ejemplos donde deshabilitar selinux no puede ser una buena idea:

SELinux lo hace, de hecho, mejora la seguridad y crea otra capa para protegerlo de las funciones dañadas introducidas en las actualizaciones de Chromium.

¿Qué debe bloquear la política predeterminada?

Citaré a Dan Walsh en su livejournal , donde explica los conceptos básicos de la Política de Chrome. Esta es una explicación que se dio en la fecha en que se concibió esta política, y básicamente:

  

SELinux impide que Chrome-Sandbox:

     
  • Usando la red

         
    • No puede copiar archivos a internet

    •   
    • No puede enviar correos electrónicos y convertirse en un bot de spam.

    •   
  •   
  • Escribiendo en cualquier parte de mi directorio personal. O prácticamente en cualquier parte del sistema

  •   
  • Leer la mayoría de las ubicaciones en mi sistema

         
    • Me gusta mysql_db_t donde podría tener datos críticos del sistema

    •   
    • /etc/shadow

    •   
    • ~/.ssh

    •   
    • ~/secret/DansPlanForWorldDomination.odp

    •   
  •   

Hacer cumplir el privilegio mínimo y todo lo que no esté permitido se bloqueará. Por lo tanto, en cualquier momento, chromium implementa algo nuevo que colide con las políticas predeterminadas (y recuerde que las políticas de SELinux son MÁS ANTIGUAS que su navegador), obtendrá un AVC.

Y esto no está siendo malo con el cromo. Este es el comportamiento predeterminado entre cualquier software que esté limitado por las políticas de SELinux.

Enlaces relacionados (documentos adicionales):

respondido por el nwildner 27.05.2016 - 20:21
fuente

Lea otras preguntas en las etiquetas