Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
|
mac:sandbox [2011/04/16 16:37] wikisysop |
mac:sandbox [2011/04/16 20:39] (aktuell) wikisysop |
||
|---|---|---|---|
| Zeile 23: | Zeile 23: | ||
| Mit dieser Konfigurationsdatei kann ich jetzt eine Shell starten, die keinen Zugriff auf das Netzwerk hat. | Mit dieser Konfigurationsdatei kann ich jetzt eine Shell starten, die keinen Zugriff auf das Netzwerk hat. | ||
| - | <xterm2>$ <fc #008000>sandbox-exec -f /usr/share/sandbox/org.prontosystems.nonetwork.sb /bin/bash</fc> | + | <xterm>$ <fc #008000>sandbox-exec -f /usr/share/sandbox/org.prontosystems.nonetwork.sb /bin/bash</fc> |
| bash-3.2$ <fc #008000>ping -c 1 localhost</fc> | bash-3.2$ <fc #008000>ping -c 1 localhost</fc> | ||
| PING localhost (127.0.0.1): 56 data bytes | PING localhost (127.0.0.1): 56 data bytes | ||
| Zeile 29: | Zeile 29: | ||
| --- localhost ping statistics --- | --- localhost ping statistics --- | ||
| 1 packets transmitted, 0 packets received, 100.0% packet loss | 1 packets transmitted, 0 packets received, 100.0% packet loss | ||
| - | </xterm2> | + | </xterm> |
| Aber Achtung: Der Zugriff auf bereits eingehängte Netzwerkvolumes ist nach wie vor möglich, da der Zugriff drauf auf den lokalen Mountpoint erfolgt: | Aber Achtung: Der Zugriff auf bereits eingehängte Netzwerkvolumes ist nach wie vor möglich, da der Zugriff drauf auf den lokalen Mountpoint erfolgt: | ||
| - | <xterm2>bash-3.2$ <fc #008000>cd /Volumes/orgfiles/</fc> | + | <xterm>bash-3.2$ <fc #008000>cd /Volumes/orgfiles/</fc> |
| bash-3.2$ <fc #008000>ls</fc> (cr) | bash-3.2$ <fc #008000>ls</fc> (cr) | ||
| CompatibilityPack_Office2007 Office Streams.zip streams.exe | CompatibilityPack_Office2007 Office Streams.zip streams.exe | ||
| Icons ScreenShot.png Sun_ODF-Plugin_for_MS_Office windows.txt | Icons ScreenShot.png Sun_ODF-Plugin_for_MS_Office windows.txt | ||
| MacData Streams fproxy3.png | MacData Streams fproxy3.png | ||
| - | </xterm2> | + | </xterm> |
| Mit einer weiteren Modifikation unseres Profils lässt sich aber auch das verhindern: | Mit einer weiteren Modifikation unseres Profils lässt sich aber auch das verhindern: | ||
| Zeile 55: | Zeile 55: | ||
| </code> | </code> | ||
| - | <xterm2>$ <fc #008000>sandbox-exec -f /usr/share/sandbox/org.prontosystems.nonetwork.sb /bin/bash</fc> (cr) -> | + | <xterm>$ <fc #008000>sandbox-exec -f /usr/share/sandbox/org.prontosystems.nonetwork.sb /bin/bash</fc> (cr) |
| bash-3.2$ <fc #008000>cd /Volumes/orgfiles</fc> (cr) | bash-3.2$ <fc #008000>cd /Volumes/orgfiles</fc> (cr) | ||
| cd: error retrieving current directory: getcwd: <fc #800000>cannot access parent directories: Operation not permitted</fc> | cd: error retrieving current directory: getcwd: <fc #800000>cannot access parent directories: Operation not permitted</fc> | ||
| - | </xterm2> | + | </xterm> |
| Natürlich ist eine "allow default" Regel unbefriedigend, zu gross ist die Gefahr, dass beim Schliessen bzw. Verbieten der gewünschten Aktionen etwas übersehen wird. Demnach stellt eine "deny default" Regel, gefolgt durch diverse allow Regeln, welche den Zugriff auf das System Stück für Stück erlauben, eine wesentlich höhere Sicherheit dar. Hier ein Beispielprofil, welche einer Shell zwar erlaubt im gesamten Filesystem zu lesen aber schreibenden Zugriff nur im tmp-Verzeichnis erlaubt: | Natürlich ist eine "allow default" Regel unbefriedigend, zu gross ist die Gefahr, dass beim Schliessen bzw. Verbieten der gewünschten Aktionen etwas übersehen wird. Demnach stellt eine "deny default" Regel, gefolgt durch diverse allow Regeln, welche den Zugriff auf das System Stück für Stück erlauben, eine wesentlich höhere Sicherheit dar. Hier ein Beispielprofil, welche einer Shell zwar erlaubt im gesamten Filesystem zu lesen aber schreibenden Zugriff nur im tmp-Verzeichnis erlaubt: | ||
| Zeile 82: | Zeile 82: | ||
| </code> | </code> | ||
| - | <xterm2>$ <fc #008000>sandbox-exec -f /usr/share/sandbox/org.prontosystems.allowtmp.sb /bin/bash</fc> | + | <xterm>$ <fc #008000>sandbox-exec -f /usr/share/sandbox/org.prontosystems.allowtmp.sb /bin/bash</fc> |
| bash-3.2$ <fc #008000>ping -c 1 wiki.prontosystems.org</fc> | bash-3.2$ <fc #008000>ping -c 1 wiki.prontosystems.org</fc> | ||
| <fc #800000>could not lookup DNS configuration info service: (ipc/send) invalid destination port | <fc #800000>could not lookup DNS configuration info service: (ipc/send) invalid destination port | ||
| ping: cannot resolve wiki.prontosystems.org: Unknown host</fc> | ping: cannot resolve wiki.prontosystems.org: Unknown host</fc> | ||
| - | </xterm2> | + | </xterm> |
| - | <xterm2>bash-3.2$ <fc #008000>touch /tmp/test.txt</fc> | + | |
| + | <xterm>bash-3.2$ <fc #008000>touch /tmp/test.txt</fc> | ||
| bash-3.2$ <fc #008000>rm /tmp/test.txt</fc> | bash-3.2$ <fc #008000>rm /tmp/test.txt</fc> | ||
| bash-3.2$ <fc #008000>touch ~/Desktop/test.txt</fc> | bash-3.2$ <fc #008000>touch ~/Desktop/test.txt</fc> | ||
| touch: /Users/pronto/Desktop/test.txt: <fc #800000>Operation not permitted</fc> | touch: /Users/pronto/Desktop/test.txt: <fc #800000>Operation not permitted</fc> | ||
| - | </xterm2> | + | </xterm> |
| Man sieht, es ist kein Netzwerkzugriff möglich; das Anlegen und Löschen einer Datei in /tmp ist möglich; das Anlegen einer Datei auf dem Desktop hingegen nicht. | Man sieht, es ist kein Netzwerkzugriff möglich; das Anlegen und Löschen einer Datei in /tmp ist möglich; das Anlegen einer Datei auf dem Desktop hingegen nicht. | ||
