HOME / 日記 / UNIXだってLinuxだってガンブラー風マルウェアは怖い

Date: 2010/02/10 |  このエントリーをはてなブックマークに追加  |  Tags: OpenSolaris, firefox, jail, zone, container, コンテナ, ゾーン

UNIXだってLinuxだってガンブラー風マルウェアは怖い

ふと考えてみた。

通常、OpenSolarisでブラウジングしている。

(残念ながら)マイナーなものだから、OpenSolarisを狙うウィルスはほとんど無いかも知れないが、今回のようなセキュリティホールが発覚し、例えばFirefoxで任意のローカルリソースにアクセス出来る何らかのスクリプトが実行出来てしまったとする。

たとえば、

.ssh/know_host
.ssh/id_rsa
.ssh/config

このあたりをサクサク、2chなどの掲示板に暴露するウィルスがでてきたらどうなるんだろう?

・・・

恐ろしくて死にそうです。

そんなわけで、FirefoxをZone中で動かすことを考えてみました。

普通にzoneを作成する

〜割愛〜

  • etherstubを用意(dladm create-etherstub)
  • そこにリンクを落とすネットワークで、global-zoneとnon-globalzoneで通信する。IPは適当に設定
  • exclusive zoneにする(ipfilterやipnatが使えないため)

ユーザの作成

pkg install -v SUNWzsh
groupadd -g <GID> <グループ名>
useradd -u <UID> -g <グループ名> -d /home/kohju -s /bin/zsh -m kohju
chmod +x /

などなど。

ユーザ環境を設定

  • .ssh/authorized_keys のみ設置
  • プライマリアドミニストレータとかは付けない。
  • RSA認証のみ
  • ~/.mozillaを何らかの方法でコピーする。

sshの設定

/etc/sshd/sshd_configを編集。パスワードでログインする必要なし。

#PasswordAuthentication yes
PasswordAuthentication no
#PAMAuthenticationViaKBDInt yes
PAMAuthenticationViaKBDInt no

ついでに・・・・

chmod go-rwx /etc/ssh/sshd_config
svcadm restart ssh

その他のツール群

firefoxを動かすために必要なツール。割と使うツールをいれてみる。

pkg install -v pkg:/SUNWgnu-emacs-nox\

pkg:/SUNWwget \
pkg:/SUNWgtar\
pkg:/SUNWpkgcmds\
pkg:/SUNWjpg\
pkg:/SUNWxwrtl pkg:/SUNWxwplt\
pkg:/SUNWfreetype2\
pkg:/SUNWfontconfig\
pkg:/SUNWdbus pkg:/SUNWdbus-libs\
pkg:/SUNWgnome-base-libs\
pkg:/SUNWgnome-desktop-prefs\
lang-support-japanese

フォントのインストール

firefoxのインストール

  • コンピュータTips/OpenSolarisOS/Firefoxのインストール

flashのインストール

スキンをgnomeの物にする

下記をインストールする

pkg install -v pkg:/SUNWgnome-themes pkg:/SUNWgnome-themes-hires pkg:/SUNWgnome-l10ndocument-ja pkg:/SUNWgnome-desktop-prefs

設定変更は。下記をインストール

gnome-appearance-properties

その他

  • 日本語入力ができないので、もう少し考える必要有り

下記だけじゃだめっぽい

export XMODIFIERS=@im=SCIM
export GTK_IM_MODULE=scim-bridge

ZoneとGlobalZoneを橋渡しするもの

たとえば、/export/downloadをグローバルzoneとノングローバルゾーンの共通ディレクトリにしたいならこうする。

add fs
set dir=/export/download
set special=/export/download
set type=lofs
add options rw
add options nodevices
end

つまり、Zone内のブラウザから、このdownloadディレクトリだけが、グローバルゾーンに渡せる領域である。

起動方法

ssh -X ホスト名 /opt/sfw/bin/firefox

2つめのインスタンスは、GlobalZoneのfirefoxのアイコンから起動するだけで、コンテナ内のFirefoxが増えるようです(forkかな?)。

ブラウザーZoneと外部との接続について

もし、IPNATを使う場合は、globalzoneにipfilterを起動し、ipnatの設定をする(割愛)

もし、Proxyサーバを使って外部と通信するならば、コンピュータTips/OpenSolarisOS/Squidの設定(Forward Proxy)でも参考にし、squidの設定をする。

所感・・・

実はlxzoneのCentOS4の上で、Firefox動かせば、Linuxのプラグインも全部使えてハッピーなんじゃね?

とおもって頑張ってみたのですが、CentOS4でfirefox 3.6をインストールするのにあたる、ミドルウェアのインストールが面倒すぎて、途中で挫折しました。いろんなミドルウェアを最新にする必要があるし。

OpenSolarisの物は非常に簡単でした。


この方法なら、ブラウザがやられても、firefox以外のリソースにアクセスができず、最小限の汚染ですみます。

残念ながら、Firefoxが抱える情報はとても多く、様々なサイトやASP、SaaSの情報が入っており、こちらは汚染される可能性はまだあります。

それにしても、嫌な世の中ですね。



日記

Recent Updates

ディスクの不良を確認する(iostat -EnのError等)

ディスク関係のスタックをざっくり書くと次の様になっています 例、SAS Expanderを使う場合、 例、AHCIなどを使う場合、 これらのエラーは、次の様なコマンドで知ることができます。 出力結果例 このなかで、 たとえば、SATAディスクを利用している際に負荷が上がってしまい、ディスクの応答が間に合わないシチュエーションでは、Transport Errorが一気に …
»続きを読む

2017年、新年明けまして、おめでとうございます。

日記/2017年、新年明けまして、おめでとうございます。

新年明けまして、おめでとうございます。今年もよろしくお願いします。 昨年中は、皆様にお世話になりました。 昨年は、コツコツと3年程前から行ってきた改革がある程度完成された年で、この先5年、10年を見据えて、次のフェーズへと進む為の土台が完成した年でもありました。 それにキャッチアップする形で、個々の従業員一同が、役割を自覚し、明確に動けた年であったかと考えています。 …
»続きを読む

RSA鍵認証のみにし、Password認証を無効化する

意外に覚えきれなくて、いつも忘れるので、メモついでに残しておきます。 古いOpenSSHや、SunSSHの場合は、これも無効にします。 ユーザ目線でのザックリとした説明を。OpenSSHではなく別のSSH実装も含めて考えているので、OpenSSHのソースをじっくり読んだわけではないため、間違ってたらすみません。 まず、Password認証を無効にする場合、 PasswordAut …
»続きを読む

Nexus7 2013をMarshmallow(Android 6.0)化

OTAでない方法で。 だいたい ここに書いてある方法 なんだけど、adbなどが一式使えている状態で。 まずは自分の機種のものをダウンロードする。僕のは、 Android 6.0 Marshmallow for Nexus 7 2013 Wi-Fi 。tgzを展開し、zipも解いておく。 まずはboot loaderへ。 bootloader自体のアップデート。一式、updat …
»続きを読む

OS X 10.11 El Capitanで、phpのモジュールインストール

Yosemiteからのアップデートは割と簡単です。なぜならYosemite時に、すでにapache 2.4になり、php 5.5になっているから(笑 アップデート前に、まずはphp.iniとhttpd.confをバックアップしておきましょう きになるなら、hostsとかapache以下全てをバックアップしておいてもいいかも。 後はEl Capitanにアップデートする。 アッ …
»続きを読む

EasyAcc Powerbank PB4000CB

スマフォTips/モバイルバッテリー/モバイルバッテリー製品レビュー/EasyAcc Powerbank PB4000CB

薄型のモバイルバッテリーEasyAcc Powerbank PB4000CBです。 今や、モバイルバッテリーは大型のものが好まれるのか、隙間無く商品があります。20,000mAh越えで、「でけえ!」とか言ってますけど、大きいのを探せば、100Wh(27,000mAh)、200Wh当たり前、探せば500Wh(135,000mAh)とか、もっともっとあるのです。用途がどんどん異なっていくので …
»続きを読む

EC Technology Sports Headsets S10-JWH07B

デバイスTips/Bluetooth/EC Technology Sports Headsets S10-JWH07B

Bluetoothのスポーツヘッドセット、 S10-JWH07B について。 今までブログに記載することはなかったのですが、実は割とBluetoothと言うか無線型のヘッドフォンを沢山持っています。赤外線や独自物、Bluetoothなどいくつもストックを持っていたりします。普通の人からするとマニアです。でも、マニアからみるとそうでもないレベルです。 ただ「ヘッドフォンの音質」というの …
»続きを読む

静岡県内をVPNでつなぐ(割と特殊な例)

静岡というのはある意味特殊な土地で、ほとんどのインターネットプロバイダのPOIは静岡でつながれておらず、NTT西圏内のどこかで繋がっているので、大抵大阪折り返しになる。仮に静岡県内にPOIがあっても、だいたい静岡でルーティングしてないので、やっぱり東京折り返しになってたりする。例え 同じプロバイダを使っていたとしても 。 だから静岡←→静岡のVPNは、静岡←→東京や、静岡←→大阪よりも遅 …
»続きを読む

最新  |  << 前ページ  |  次ページ >>  |  最初