OpenBSD - isolamento no nível de aplicativo Desktop

0

Qual método utilizável é preferido como isolamento de aplicativos no OpenBSD?

  • Executando aplicativos GUI com usuários diferentes? Diferente para o navegador, cliente de torrent, visualizador de PDF, etc.
  • chroot? - link
  • Ou existem outros métodos utilizáveis?

Propósito: Se um invasor chegar através do navegador, ele não deverá acessar os arquivos (pessoais) (ex .: pw gerenciador de arquivo DB), conteúdo da memória, deve ser limitado de alguma forma.

    
por Peter 20.11.2017 / 12:43

1 resposta

1

Pode-se usar uma conta de usuário diferente para executar o navegador da web (e um servidor X11 diferente para esse usuário diferente, para que não haja compartilhamento entre sua conta normal e o local de execução do navegador).

Outra opção pode ser vmm(4) , caso em que você executaria um OpenBSD virt e executaria os aplicativos problemáticos. Gráficos acelerados ou de outra forma podem ser complicados (não faz ideia aqui, nenhuma das minhas CPUs são novas o suficiente para usar vmm(4) )

Alguns aplicativos são prometidos (leia pledge(2) ), o que pode limitar seu acesso a recursos. Outros são irremediavelmente não prometidos, então isso não ajuda. (Compare versões de cromo vs. versões antigas do firefox.)

    
por 20.11.2017 / 16:53