uschatko schrieb am 17.11.2016 19:42:
Kelran schrieb am 17.11.2016 19:11:
SELinux-Sandbox nutze. Das funktioniert nämlich mit sehr wenig Aufwand und bietet schon einiges an Sicherheit:
a) Sandbox installieren: sudo dnf install selinux-policy-sandbox seunshare
b) Browser starten (als einfacher Benutzer): /usr/bin/sandbox -X -H sehome -T tmp -t sandbox_web_t -w 1024x768 firefox
Aha also ganz einfach, vom Mausklick zu einer ellenlangen Kommandozeile wechseln. FĂĽr den durchschnittlichen Benutzer vollkommen praktikabel.
Du hast meinen Beitrag, auf den Du geantwortet hast, ganz gelesen? Ich hatte bereits geschrieben, dass ich der Meinung bin, dass man als Benutzer eines Systems sich sehr wohl Grundkenntnisse zu diesem System aneignen sollte. Das gilt auch fĂĽr PCs.
Und der Benutzer muss nicht von einem Mausklick zu einer "ellenlangen" Kommandozeile wechseln, was für Menschen ohne Handicap auch kein Problem wäre, sondern nur einmalig einen Starter hierfür anlegen. Wie das geht, wird in unzähligen Einführungen beschrieben, bsp. hier: https://wiki.ubuntuusers.de/.desktop-dateien/.
Ausserdem ist das sicher bis hier hin:
> http://www.nifis.de/veroeffentlichungen/news/datum/2016/10/07/dfn-cert-2016-1630-selinux-sandbox-eine-schwachstelle-ermoeglicht-das-umgehen-von-sicherheitsvorkeh/
Es ist ganz einfach Linux ist kein Desktop-OS und wird es auch nie werden. Da können wir noch 30 Jahre drauf warten und es wird immer noch nichts.
Tja, der Link ist leider nicht vollständig. Wenn ich einmal von der DNF-CERT-Nummer in der URL ausgehen, meinst Du vermutlich diese Meldung hier: https://portal.cert.dfn.de/adv/DFN-CERT-2016-1630/
Ja, es gab tatsächlich auch in der Sandbox-Umgebung von SELinux einmal eine Schwachstelle, die man freilich nur ausnutzen kann, wenn man gezielt die Sandbox-Umgebung (zusätzlich) angreift. Der Fehler ist innerhalb einer Woche nach der Meldung korrigiert worden (siehe https://bugzilla.redhat.com/show_bug.cgi?id=1378577).
Das ändert doch nichts daran, dass mehrstufige Sicherheitsverfahren sowohl konzeptionell als auch in der Praxis eine sehr gute Methode zur Erhöhung der IT-Sicherheit sind. Die Sandbox von SELinux liefert einen sehr guten zusätzlichen Schutz.
Das Posting wurde vom Benutzer editiert (18.11.2016 12:04).