[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] Sandbox de uso sencillo para aplicaciones de Escritorio



On 12/08/13 18:31, Carlos Zuniga wrote:
2013/8/12 jors<jors@enchufado.com>:
On 12/08/13 17:06, Carlos Zuniga wrote:

2013/8/11 jors<jors@enchufado.com>:

Buenas lista,

¿Alguien conoce alguna aplicación de sandboxing para apps de Escritorio
(en
realidad, que soporte cualquier app)? En mis dias de Windows recuerdo
usaba
Sandboxie [1] y me gustaba, y me temo no hay nada o no he sabido
encontrar
nada parecido en Linux (concretamente en Debian GNU/Linux).

He probado la app de Gentoo sandbox [2] y el script sandfox [3], y a
parte
de que no tienen nada que ver, tampoco parece que me hayan funcionado.
Baste
decir que los probé lanzando desde ellos Iceweasel y he podido guardar
páginas web en mi Escritorio.

Se que Redhat/CentOS tiene una sandbox en SELinux (que no me suena haber
visto en Debian) y que también hay algo parecido de Suse llamado AppArmor
(hay paquetes en Debian), pero no he sabido ver si tiene sandbox.

En fin, agradecido de cualquier idea/orientación al respecto.

[1] http://www.sandboxie.com/
[2] https://wiki.debian.org/Sandbox
[3] http://igurublog.wordpress.com/downloads/script-sandfox/

Salut,
jors


Y cual es tu objetivo? Evitar que la aplicación modifique o cree
archivos en tu usuario?


Idealmente que no cree/modifique nada. Y si lo hace, que sea sobre archivos
temporales que no son en realidad los del sistema.


Tal vez sería más sencillo simplemente crear otro usuario de prueba y
correrla ahí.


Si por lo que sea se ejecuta una aplicación maliciosa que consigue
sobrepasar las barreras estandar del sistema para ese usuario (p.ej.
aprovechando un bug en alguna aplicación), la jodimos.


Entonces concuerdo con los demás listeros que te recomiendan usar una
máquina virtual.

Además, idealmente la aplicación no tendría que poder cambiar nada y sin
embargo creer que sí lo hizo. ¿Algún desarrollador se anima con un soft de
sandboxing de este tipo? :D


Eso suena similar a lo que hace fakeroot, utiliza un wrapper sobre las
llamadas al sistema para hacer creer a la aplicación que tiene los
permisos necesarios, si piensas hacer una aplicación, podrías ver como
lo hacen ellos. Y creo que es un método similar el que utiliza
SandboxIE.

Muy interesante, con esto puedo tirar un poco más de la manta buscando soluciones. Aunque desarrollar una aplicación de este tipo por mi cuenta _muy_ probablemente quede fuera de mis posibilidades.

Para lo de los cambios a los ficheros, sobre la VM podrías simplemente
sacar un md5 a todos los ficheros y ver cuales han cambiado tras
correr la aplicación, o algo más elaborado sería crear un repositorio
git y ver un diff de los cambios.

En cuanto a los cambios en ficheros, también podría instalar+configurar un monitor de cambios en ficheros (p.ej. tripwire), aunque eso sólo solventaría uno (operaciones a nivel de ficheros) de los varios requisitos (auditar qué intenta hacer la aplicación en general).

Gracias compañero.

Salut,
jors


Reply to: