Как обеспечить безопасный запуск приложений в Ubuntu?

Question

[ideological]

Имеем домашний персональный pc, на который очень хочется поставить linux в лице ubuntu. И вопросы:
1. Если запустить приложение но не вводить пароль sudo - ничего кроме файлов текущего пользователя не пострадает?
2. Есть ли безопасный способ запуска приложений? На ум приходит виртуалка, но это же не практично. Неужели нет разумного встроенного легкого системного метода "запустить в изоляции"?
3. Как обезопасить конкретный файл или папку? Ну чтобы никто не имел доступ к ней кроме меня. Например есть pdf очень параноидально важный. Я хочу чтобы его могла читать только одна программа. Такое возможно?
Или папка, которую желательно беречь от всех программ кроме системных.
Как вообще защищают свои файлы параноики?

Буду рад любым советам и решениям. (Консоли не пугаюсь, есть опыт работы с vps на debian.)

Answer 1

[pfg21]

3. никто не имеет прав доступа к файла кроме тебя - это "chmod 600 file" никто, кроме программок, запущенных под пользователем, совпадающим с владельцем файла, не имеет никакого доступа к файлу.

как вариант, чтобы дать доступ к файлу только одной программки к файлу.
создать отдельного пользователя.
его прописать владельцем pdf-файла с доступом 600.
владельцем исполняемого файла тоже прописать этого пользователя и прописать параметр Suid, тогда исполняемый файл вне зависимости какой пользователь его запускает, будет запускаться от имени владельца файла, у которого есть доступ к pdf-файлу.
такой вот быстрый "грязный хак".

Answer 2

[Saboteur]

chroot?

Answer 3

[CityCat4]

Изыди, дух Windows!
Это в винде права на файлы поставлены так, что все читают все за исключением некоторых мест. В линухе (даже в "дружественном" типа бубунты) - все наоборот. Пользователь имеет доступ ровно туда, куда ему дал рут. По умолчанию - это домашняя папка и /tmp. Причем в /tmp он тоже читает только свои файлы.
1. Еще могут пострадать файлы, принадлежащие пользователю, от имени которого запущена программа. Практика "приложение имеет своего пользователя" очень частая в линухе. Но не более. Никакие файлы системы, других пользователей, ядра тем паче - затронуты точно не будут.
2. Что значит "безопасный"? От какой опасности надо защищать?
3. chmod 0600/chmod 0700 ? Это защитит от всех других пользователей и демонов, кроме тех, что работают от рута.
Относительные параноики доверяют ядру и считают, что защиту, установленную правами 0700 взломать невозможно.
Полные параноики не доверяют ничему и работают на компе без интернета, за который никого не пускают :)

Comments

[ideological]

>>Еще могут пострадать файлы, принадлежащие пользователю, от имени которого запущена программа.
>>Но не более. Никакие файлы системы, других пользователей, ядра тем паче - затронуты точно не будут
Запускаю я вроде бы безопасное приложение, и оно вдруг шифрует все мои "home" файлы и мне типа легче что системные не пострадали, так? :)

[CityCat4]

ideological, все ИТ-шники делятся на тех, кто еще не делает бэкапы, тех, кто уже их делает и тех кто делает и изредка проверяет, как они восстанавливаются. Ценные файлы нужно бэкапить. Это вещь, которую не доказывают. Причем бэкапить так, чтобы никто кроме рута к ним не добрался и желательно на другое устройство.
Безопасным является только приложение, которое Вы сами собрали из исходников, подвергнутых аудиту. В противном случае - ССЗБ

Answer 4

[Moris Haos]

Привет,
UNIX-системы (Linux, FreeBSD, macOS и т.п.) уже давно позаботились о вашей безопасности, так как включают в себя все необходимые механизмы для этого (chmod, chown, ...). Тем более на домашнем компьютере.

Правило 0. Пароль root не сообщать никому.
Правило 1. Пароль от своей учетки не сообщать никому. И не давайте под своей учеткой никому работать. Если кому-то из вашей семьи дома нужно работать на вашем компьютере - создайте ему учетку без административных прав и пусть он работает в своей домашней папке.
Правило 2. У вас есть своя домашняя папка. Храните в ней свои файлы. Для каталогов поставьте права 700, для файлов 600.
Правило 3. Регулярно обновляйте ОС и установленное ПО на компьютере.

Выполнение этих правил обеспечит вам достаточный уровень безопасности.

Comments

[ideological]

Привет,
приняли за полного ламера, но я не в обиде)

Запущенная программа от имени меня, так же будет видеть все мои файлы (что само собой обычно нормально). Меня беспокоит что важный файл или папку нельзя изъять из доступа всем программам запущенным от моего имени.
Такой функционал разве помешал бы в системе?

Вот есть встроенный сервис "Пароли и ключи", он же может шифровать связки и показывать их когда нужно. Так почему такое же не встроить в файлы или папки?