HOME / 日記 / UNIXだってLinuxだってガンブラー風マルウェアは怖い

Date: 2010/02/10 |  このエントリーをはてなブックマークに追加  |  Tags: OpenSolaris, firefox, jail, zone, container, コンテナ, ゾーン

UNIXだってLinuxだってガンブラー風マルウェアは怖い

ふと考えてみた。

通常、OpenSolarisでブラウジングしている。

(残念ながら)マイナーなものだから、OpenSolarisを狙うウィルスはほとんど無いかも知れないが、今回のようなセキュリティホールが発覚し、例えばFirefoxで任意のローカルリソースにアクセス出来る何らかのスクリプトが実行出来てしまったとする。

たとえば、

.ssh/know_host
.ssh/id_rsa
.ssh/config

このあたりをサクサク、2chなどの掲示板に暴露するウィルスがでてきたらどうなるんだろう?

・・・

恐ろしくて死にそうです。

そんなわけで、FirefoxをZone中で動かすことを考えてみました。

普通にzoneを作成する

〜割愛〜

  • etherstubを用意(dladm create-etherstub)
  • そこにリンクを落とすネットワークで、global-zoneとnon-globalzoneで通信する。IPは適当に設定
  • exclusive zoneにする(ipfilterやipnatが使えないため)

ユーザの作成

pkg install -v SUNWzsh
groupadd -g <GID> <グループ名>
useradd -u <UID> -g <グループ名> -d /home/kohju -s /bin/zsh -m kohju
chmod +x /

などなど。

ユーザ環境を設定

  • .ssh/authorized_keys のみ設置
  • プライマリアドミニストレータとかは付けない。
  • RSA認証のみ
  • ~/.mozillaを何らかの方法でコピーする。

sshの設定

/etc/sshd/sshd_configを編集。パスワードでログインする必要なし。

#PasswordAuthentication yes
PasswordAuthentication no
#PAMAuthenticationViaKBDInt yes
PAMAuthenticationViaKBDInt no

ついでに・・・・

chmod go-rwx /etc/ssh/sshd_config
svcadm restart ssh

その他のツール群

firefoxを動かすために必要なツール。割と使うツールをいれてみる。

pkg install -v pkg:/SUNWgnu-emacs-nox\

pkg:/SUNWwget \
pkg:/SUNWgtar\
pkg:/SUNWpkgcmds\
pkg:/SUNWjpg\
pkg:/SUNWxwrtl pkg:/SUNWxwplt\
pkg:/SUNWfreetype2\
pkg:/SUNWfontconfig\
pkg:/SUNWdbus pkg:/SUNWdbus-libs\
pkg:/SUNWgnome-base-libs\
pkg:/SUNWgnome-desktop-prefs\
lang-support-japanese

フォントのインストール

firefoxのインストール

  • コンピュータTips/OpenSolarisOS/Firefoxのインストール

flashのインストール

  • コンピュータTips/Solaris/Flashプレイヤー

スキンをgnomeの物にする

下記をインストールする

pkg install -v pkg:/SUNWgnome-themes pkg:/SUNWgnome-themes-hires pkg:/SUNWgnome-l10ndocument-ja pkg:/SUNWgnome-desktop-prefs

設定変更は。下記をインストール

gnome-appearance-properties

その他

  • 日本語入力ができないので、もう少し考える必要有り

下記だけじゃだめっぽい

export XMODIFIERS=@im=SCIM
export GTK_IM_MODULE=scim-bridge

ZoneとGlobalZoneを橋渡しするもの

たとえば、/export/downloadをグローバルzoneとノングローバルゾーンの共通ディレクトリにしたいならこうする。

add fs
set dir=/export/download
set special=/export/download
set type=lofs
add options rw
add options nodevices
end

つまり、Zone内のブラウザから、このdownloadディレクトリだけが、グローバルゾーンに渡せる領域である。

起動方法

ssh -X ホスト名 /opt/sfw/bin/firefox

2つめのインスタンスは、GlobalZoneのfirefoxのアイコンから起動するだけで、コンテナ内のFirefoxが増えるようです(forkかな?)。

ブラウザーZoneと外部との接続について

もし、IPNATを使う場合は、globalzoneにipfilterを起動し、ipnatの設定をする(割愛)

もし、Proxyサーバを使って外部と通信するならば、コンピュータTips/OpenSolarisOS/Squidの設定(Forward Proxy)でも参考にし、squidの設定をする。

所感・・・

実はlxzoneのCentOS4の上で、Firefox動かせば、Linuxのプラグインも全部使えてハッピーなんじゃね?

とおもって頑張ってみたのですが、CentOS4でfirefox 3.6をインストールするのにあたる、ミドルウェアのインストールが面倒すぎて、途中で挫折しました。いろんなミドルウェアを最新にする必要があるし。

OpenSolarisの物は非常に簡単でした。


この方法なら、ブラウザがやられても、firefox以外のリソースにアクセスができず、最小限の汚染ですみます。

残念ながら、Firefoxが抱える情報はとても多く、様々なサイトやASP、SaaSの情報が入っており、こちらは汚染される可能性はまだあります。

それにしても、嫌な世の中ですね。



日記

Recent Updates

openjdk(SPARC)

SPARC用のJAVA。 最近は新しいバージョンがSPARCでリリースされず、苦労している人も多いのですが、SPARC Solarisの界隈人達がビルドして代わりに使われているものです。 Solaris 11 SPARC jdk builds
»続きを読む

Solaris11のCPU(Critical Patch Unit)の当て方

コンピュータTips/Solaris/Solaris11のCPU(Critical Patch Unit)の当て方

Solaris 11.4には4つのリビジョンがあります。 2024年4月現在、Solaris自体の開発はメンテナンスフェーズになったわけでもなく、SRU毎に、最新機能がモリモリ入っていきます。 GA(Release 版) 一応、無償のOTNライセンスの利用も可能 いわゆる、リリース時点のバージョンのことですが、現在は 利用しません 。 以前は、1〜2年に1度の頻度でリリ …
»続きを読む

Emacs.appで書類(Documents)がアクセス出来ないとき

コンピュータTips/MacOSX/Emacs.appで書類(Documents)がアクセス出来ないとき

Catalina以降の権限問題なので、システム設定のセキュリティとポリシーの中にあるプライバシー内のFull Disk Accessに、Emacs.appと/usr/bin/rubyを入れればすむ。 /usrフォルダを、プライバシーの+から入れるのは、ちょっと面倒なので、あらかじめFinderのお気に入りの中に入れておくと良いでしょう。   rubyが入るのは、Emac …
»続きを読む

SONY WH-1000XM3

自分用メモです。 ノイズキャンセラーの性能が良い。 WH-1000Xのころは、ノイズキャンセラーを有効すると、音は聞こえないのに妙な音圧があったが、それがかなり軽減。個人的には気にならなくなった。 また、WH-1000Xのころは、ノイズキャンセラーを無効にしても、なんか作られたような音が出ていたような気がしたが、割と普通に聞こえる。 USB-Cになったのも良い。飛行機でも使う …
»続きを読む

Catalina(10.15)

Catalina Beta を入れ始めたので、自分用のまとめ。 2019/10/8、Catalinaが振ってきたので製品版用に記載を変えました。 32bitアプリを確認すること。 Activity Monitorで32bitアプリがわかるので、そういうアプリがあるなら代替品を見つけておくこと。 /etc以下のいくつかのファイルをバックアップしておくこと。 /etc …
»続きを読む

ディスクの不良を確認する(iostat -EnのError等)

ディスク関係のスタックをざっくり書くと次の様になっています 例、SAS Expanderを使う場合、 例、AHCIなどを使う場合、 これらのエラーは、次の様なコマンドで知ることができます。 出力結果例 このなかで、 たとえば、SATAディスクを利用している際に負荷が上がってしまい、ディスクの応答が間に合わないシチュエーションでは、Transport Errorが一気に …
»続きを読む

2017年、新年明けまして、おめでとうございます。

日記/2017年、新年明けまして、おめでとうございます。

新年明けまして、おめでとうございます。今年もよろしくお願いします。 昨年中は、皆様にお世話になりました。 昨年は、コツコツと3年程前から行ってきた改革がある程度完成された年で、この先5年、10年を見据えて、次のフェーズへと進む為の土台が完成した年でもありました。 それにキャッチアップする形で、個々の従業員一同が、役割を自覚し、明確に動けた年であったかと考えています。 …
»続きを読む

RSA鍵認証のみにし、Password認証を無効化する

意外に覚えきれなくて、いつも忘れるので、メモついでに残しておきます。 古いOpenSSHや、SunSSHの場合は、これも無効にします。 ユーザ目線でのザックリとした説明を。OpenSSHではなく別のSSH実装も含めて考えているので、OpenSSHのソースをじっくり読んだわけではないため、間違ってたらすみません。 まず、Password認証を無効にする場合、 PasswordAut …
»続きを読む

最新  |  << 前ページ  |  次ページ >>  |  最初