Чому немає дозволів, як Android чи iOS?

Коли я встановлюю таку програму, як GIMP або LibreOffice в Linux, мене ніколи не запитують про дозволи. Встановлюючи програму на Ubuntu, я явно даю цій програмі повний дозвіл на читання / запис у будь-якому місці мого диска та повний доступ до Інтернету?

Теоретично чи міг GIMP читати чи видаляти будь-який каталог на моєму диску, не вимагаючи пароля типу sudo?

Мені цікаво лише, якщо це технічно можливо, а не, якщо це ймовірно чи ні. Звичайно, я знаю, що це мало ймовірно.

Тут є дві речі:

• при встановленні програми звичайними засобами (інсталятор системи, наприклад apt / apt-get на Ubuntu), вона зазвичай встановлюється в деякому каталозі, де вона доступна всім користувачам (/ usr / bin ...). Цей каталог вимагає запису привілеїв, щоб вам потрібні спеціальні привілеї під час встановлення.

• коли ви використовуєте програму, вона працює з вашим ідентифікатором користувача і може читати чи писати лише там, де програмам, виконаним з вашим ідентифікатором, дозволено читати чи писати. У випадку з Gimp ви побачите, наприклад, що ви не можете редагувати стандартні ресурси, такі як кисті, оскільки вони є загальними, /usr/share/gimp/і вам потрібно спершу скопіювати їх. Це також показує, Edit>Preferences>Foldersде більшість папок припадає на пари, система, яка є лише для читання, і користувацька, до якої можна записати.

Встановлюючи програму на Ubuntu, я явно даю цій програмі повний дозвіл на читання / запис у будь-якому місці мого диска та повний доступ до Інтернету?

Так, якщо ви використовуєте sudoабо подібний еквівалент, ви даєте інсталятору повний дозвіл на читання / запис у будь-якому місці диска. Це здебільшого те саме. Існує також прапор, який інсталятор може встановити, який називається setuid, завдяки чому програма матиме повні дозволи після встановлення.

Навіть якщо ми ігноруємо інсталятор і якщо програма не налаштована (дуже часто в програмах використовується setuid), коли ви запускаєте програму, вона має повний доступ до всього, до чого може отримати доступ ваш обліковий запис. Наприклад, якщо ви ввійшли у свій Інтернет-банкінг, це може гіпотетично направити всі ваші кошти в Нігерію.

Чому немає дозволів, як Android чи iOS?

Модель безпеки - це означає, як розроблена система безпеки - в Linux дуже стара. Він успадкований від Unix, який датується 1960 -ми. Тоді ще не було Інтернету, і більшість людей у ​​відділі користувалися одним комп’ютером. Більшість ваших програм надходили від великих компаній, яким довіряли. Отже система захисту була розроблена для захисту користувачів один від одного, а не для захисту користувачів від програм, які вони запускають.

Сьогодні вона досить застаріла. Android базується на Linux, але він працює, створюючи окремий "обліковий запис користувача" для кожного додатку, а не для кожного користувача. Я не знаю, що використовує iOS. Намагання, такі як Flatpak, зараз намагаються перенести такий самий предмет на робочий стіл Linux.

Те, що ви хочете, надається додатками Flatpack. Це в значній мірі еквівалент додатків для iOS, Android або Windows Store.

Я не використовував їх, тому не знаю, чи вони ще реалізували графічний інтерфейс, щоб побачити дозволи, необхідні кожному додатку при його встановленні.

https://blogs.gnome.org/alexl/2017/01/20/the-flatpak-security-model-part-2-who-needs-sandboxing-anyway/

Кожна програма flatpak містить маніфест, який називається метадані. Цей файл описує деталі програми, як її ідентифікатор (ідентифікатор програми) та час виконання, який він використовує. Тут також перераховані дозволи, необхідні додатку.

За замовчуванням після встановлення програма отримує всі дозволи, які вона вимагала. Однак ви можете змінювати права дозволів кожного разу, коли ви запускаєте flatpak run або глобально на основі програми за допомогою програми, використовуючи переопрацювання flatpak (деталі див. В Manpages для запуску flatpak та overpakide flatpak). Обробка дозволів додатків наразі дещо прихована в інтерфейсі, але довгостроковий план полягає в тому, щоб показати дозволи під час встановлення та полегшити їх перегляд.

Я також не використовував альтернативу Ubuntu, Snappy, щоб знати, чи вона надає таку функцію, видиму в графічному інтерфейсі.

Це технічно можливо, і рішення включають в себе apparmor, selinuxі firejailнавіть повний контейнер на кшталт LXCабо повну віртуальну машину (наприклад VirtualBox, kvmабо vmware). Для роботи в мережі є opensnitchклон littlesnitchпрограми з OSX.

Причини, по яких немає широко розповсюдженої моделі безпеки з дозволами, наданими користувачем, полягають у тому, що традиційно ви уважно ставитеся до того, що ви працюєте на своєму ПК. 90% того, що є в магазинах мобільних систем, вважатиметься зловмисним програмним забезпеченням на ПК.

Існують сканери рекламного ПЗ (тобто adaware або Spybot D&D), які б класифікували поведінку, як підключення facebook, Google аналітики та рекламних мереж як зловмисне програмне забезпечення на ПК. Мобільна екосистема - це як ціла перезавантаження комп'ютерів, коли мова йде про ці речі. Кожен постачає рекламне програмне забезпечення, просто тому, що це легко і додає аналітики, просто тому, що він цікавий. Побічні ефекти - зниження конфіденційності та безпеки. Частина безпеки припадає на модель пісочниці, частина конфіденційності все ще залишається відкритою проблемою.

Ще однією причиною відсутності цього на ПК довгий час є складність пісочниці, а це означає, що це може бути занадто повільним для старих ПК деякий час тому і вимагає більше інженерії для чогось, що мало переваги тоді.

Сьогодні ми бачимо спроби використовувати пісочницю в нових форматах пакетів, таких як оснащення та flatpak, а браузери також використовують її для розширення. Chromium використовує модель дозволу з самого початку, а Firefox використовує одну для всіх веб-розширень (оскільки 57 є єдиними розширеннями, які ви можете встановити). Це цілком розумно, адже люди встановлюють розширення браузера від невідомих авторів так само, як програми від людей, про яких вони ніколи не чули, думаючи, що вони не небезпечніші за веб-сайт, який вони відвідують, що є фатальною помилкою, коли немає пісочниці для їх захисту.

Android використовує модель захисту "на ринку": різні програми надходять від різних (напівнадійних) постачальників, і їх слід ізолювати від захищених ресурсів та один від одного. Більшість додатків розповсюджуються з метою отримання прибутку: вони продаються (платне програмне забезпечення), показують платну рекламу або "монетизують" своїх користувачів, продаючи свої дані третім особам. Існує висока мотивація брати участь у незаконному доступі до даних, навіть якщо вони потрапляють.

Більшість застосунків у Debian, Red Hat та подібних "класичних" дистрибутивах Linux поширюються у вихідному вигляді: після того, як програми з відкритим кодом отримують достатню тягу, його вручну вибирають для включення диспетчери дистрибутива. Мотивація до незаконного доступу до даних мало, - потенційні здобутки не виправдовують зусиль.

Варто зазначити, що вдосконалена модель безпеки Android є однією з причин, чому вона набрала стільки тяги, легко долаючи iOS на мобільних ринках. Сучасні настільні дистрибутиви Linux не просто "різні", - вони фактично сильно відстають у часі з точки зору їх безпеки та дистрибутивних моделей.

Деякі дистрибутиви Linux розробляють вдосконалення системи розповсюдження програмного забезпечення: централізовані сторонні сховища програмного забезпечення (AUR), спеціалізовані формати пакетів для розповсюдження програмного забезпечення сторонніх виробників (AppImage, Snappy, Flatpack), вторинні системи сховищ (Docker). На жаль, ці вдосконалення дуже швидко натягуються з часом: AppImage був винайдений у 2004 році, перша версія AUR була випущена в 2005 році, але жоден із сучасних дистрибутивів Linux офіційно не прийняв своїх особливостей після> 10 років.

Коли я встановлюю таку програму, як GIMP або LibreOffice в Linux, мене ніколи не запитують про дозволи.

Ці програми встановлюються у привілейованій частині файлової системи, до якої ви та більшість користувачів зазвичай не маєте доступу.

У звичайних дистрибутивах, встановлених для використання на робочому столі, один користувач, спочатку встановлений під час встановлення, зазвичай має права адміністратора. Все, що їх зазвичай запитують - це власний пароль для входу для встановлення програмного забезпечення, і не завжди це.

Після встановлення програмне забезпечення за замовчуванням буде налаштовано на виконання звичайними користувачами та дозволить читати файли даних. Це все, що потрібно.

Встановлюючи програму на Ubuntu, я явно даю цій програмі повний дозвіл на читання / запис у будь-якому місці мого диска та повний доступ до Інтернету?

Не програма. Що відбувається, так це те, що обліковий запис користувача належить до різних груп, а різні групи надають доступ до різних ресурсів.

Модель безпеки в Linux полягає в тому, що ваш обліковий запис користувача має певні права, а групи, до яких належить ваш обліковий запис, мають певні права. Право на будь-яку частину файлової системи вимагає кореневих привілеїв, які зазвичай не надаються користувачам. Навіть використовуючи судо, ви не отримуєте всіх прав.

Звичайні облікові записи користувачів зазвичай мають доступ до ресурсів, які, як очікується, знадобляться, наприклад, до Інтернету.

Теоретично чи міг GIMP читати чи видаляти будь-який каталог на моєму диску, не вимагаючи пароля типу sudo?

Будь-який каталог або файл, до якого ви як користувач маєте права доступу, може отримати доступ до програми, яку ви запускаєте, оскільки вона зазвичай успадковує ваші права. Користувач, який зазвичай входить у систему, за замовчуванням зазвичай не має права змінювати більшість критичних системних файлів або спільних файлів.

Мені цікаво лише, якщо це технічно можливо, а не, якщо це ймовірно чи ні. Звичайно, я знаю, що це мало ймовірно.

Майте на увазі, що більшість користувачів зазвичай встановлюють додатки із сховищ, які добре захищені, і ризик ворожої коду низький.

Я, мабуть, запропонував би додаткове читання, щоб познайомитися з дозволами Linux.

• Вступ до дозволів Linux

• Розуміння прав доступу до файлів Linux

Модель безпеки Android розвивається так, щоб відповідати потребам користувачів, які не тільки взагалі нічого не розуміють щодо основної моделі безпеки ОС, але навряд чи розуміють щось про комп'ютери.

Модель Linux (яка мені відверто подобається більше) призначена для того, щоб дозволити користувачам (і зокрема адміністраторам) здійснювати більше контролю над безпекою в системі (в межах, якщо їх дозволені дозволи).

Я думаю, що з точки зору користувача це найкраще описати як різницю між повною автоматичною та напівавтоматичною або ручною керуванням. Сучасні споживачі хочуть повністю авто. Linux має напівавтоматичну та ручну. Більшість користувачів Linux ніколи не знає про модель безпеки в наші дні, але контроль є, якщо вам це потрібно чи потрібно.

Встановлюючи деякі програми, ви зможете встановити їх у власному просторі користувачів (тобто, міститься у вашому домашньому каталозі), а не на всій системі. Таким чином, вам не просять привілеїв суперпользователя, оскільки вони вам не потрібні для установки програми для власного користування. Програма, встановлена ​​таким чином, дійсно не змогла б отримати доступ до файлів, яким не надано дозвіл "невласник, який не є власником групи, може прочитати цей" дозвіл при відсутності ескалації привілеїв.