Stoji za zvazeni pouzivat MAC. At uz GRsecurity nebo SE Linux. Nebo pro kriticke veci (browser, mail klient, prehravace medii, prohlizec pdf) alespon firejail.
Firejail mam rad, je to z hlediska uzivatele krasne jednoduche reseni. Ale AFAIK nikdo poradne nerozebiral jeho bezpecnost, tak bych na nej zas tak nespolehal...
(btw: pokud mas ten profil upraveny pro seamonkey, tak udelej pullrequest na githubu. Autori je celkem ochotne merguji, pokud davaji smysl.)
Zběžně jsem vyzkoušel firejail v Debianu (bohužel není ve stable) a mám z toho asi takový pocit:
Vypadá to, že firejail se snaží nějak rozumně automaticky omezit přístup aplikace k citlivým datům a citlivým akcím. Například firejail zsh neměl přísup ke keyringu a nemohl spustit sudo (takže ani sudo nastavené permisivně pro všechny uživatele snad není možné zavolat). Ale věřil bych tomu spíš pro osekání přístupu důvěryhodné aplikace než pro spouštění nedůvěryhodných aplikací. Nezkoumal jsem, jak má firejailnutá aplikace například přístup do schránky, k ostatním X11 aplikacím, k .bashrc/.zshrc apod. Věřím ale, že s dostatečným zkoumáním se tu nějaká skulinka najde. Například s přístupem do schránky můžu čekat, až se tam objeví příkaz, upravit ho a doufat, že ho pak někdo pastne do konzole. Nebo upravit číslo bankovního účtu.
Stále to může u důvěryhodných aplikací zabránit útokům jako tento nebo directory traversal, nebo aspoň prakticky omezit jejich praktickou zneužitelnost. U remote code execution bych se na to díval jako na nějaký mitigation factor (aspoň u necílených útoků, kde útočník s firejailem nepočítá), ale tady už útočník dostává dost potenciálních možností škodit. Qubes OS má IMHO stále smysl. Vhodná kombinace Firejailu a Qubes OS ale taky může mít smysl.
Pokud ale máte někdo hlubší analýzu nebo jiný názor, sem s tím :)
> QubesOS je uplne jina liga
To určitě.
> neni nad Archem
AdminVM (dom0) jede na Fedoře, ale je to celkem jedno. Tam toho stejně moc neinstaluju a neměním. Ostatně tam není ani síť.
Pro AppVMs je možné použít i Arch, byť jsem to nezkoušel.
> nema tiling windos manager.
Jsou tu patche pro podporu AwesomeWM a není až tak těžké je aplikovat. Já jsem to nainstalovat z repozitářů a patchnul.