HOME / 日記 / UNIXだってLinuxだってガンブラー風マルウェアは怖い
Date: 2010/02/10 | | Tags: OpenSolaris, firefox, jail, zone, container, コンテナ, ゾーン
ふと考えてみた。
通常、OpenSolarisでブラウジングしている。
(残念ながら)マイナーなものだから、OpenSolarisを狙うウィルスはほとんど無いかも知れないが、今回のようなセキュリティホールが発覚し、例えばFirefoxで任意のローカルリソースにアクセス出来る何らかのスクリプトが実行出来てしまったとする。
たとえば、
.ssh/know_host .ssh/id_rsa .ssh/config
このあたりをサクサク、2chなどの掲示板に暴露するウィルスがでてきたらどうなるんだろう?
・・・
恐ろしくて死にそうです。
そんなわけで、FirefoxをZone中で動かすことを考えてみました。
〜割愛〜
pkg install -v SUNWzsh groupadd -g <GID> <グループ名> useradd -u <UID> -g <グループ名> -d /home/kohju -s /bin/zsh -m kohju chmod +x /
などなど。
/etc/sshd/sshd_configを編集。パスワードでログインする必要なし。
#PasswordAuthentication yes PasswordAuthentication no #PAMAuthenticationViaKBDInt yes PAMAuthenticationViaKBDInt no
ついでに・・・・
chmod go-rwx /etc/ssh/sshd_config svcadm restart ssh
firefoxを動かすために必要なツール。割と使うツールをいれてみる。
pkg install -v pkg:/SUNWgnu-emacs-nox\
pkg:/SUNWwget \ pkg:/SUNWgtar\ pkg:/SUNWpkgcmds\ pkg:/SUNWjpg\ pkg:/SUNWxwrtl pkg:/SUNWxwplt\ pkg:/SUNWfreetype2\ pkg:/SUNWfontconfig\ pkg:/SUNWdbus pkg:/SUNWdbus-libs\ pkg:/SUNWgnome-base-libs\ pkg:/SUNWgnome-desktop-prefs\ lang-support-japanese
下記をインストールする
pkg install -v pkg:/SUNWgnome-themes pkg:/SUNWgnome-themes-hires pkg:/SUNWgnome-l10ndocument-ja pkg:/SUNWgnome-desktop-prefs
設定変更は。下記をインストール
gnome-appearance-properties
下記だけじゃだめっぽい
export XMODIFIERS=@im=SCIM export GTK_IM_MODULE=scim-bridge
たとえば、/export/downloadをグローバルzoneとノングローバルゾーンの共通ディレクトリにしたいならこうする。
add fs set dir=/export/download set special=/export/download set type=lofs add options rw add options nodevices end
つまり、Zone内のブラウザから、このdownloadディレクトリだけが、グローバルゾーンに渡せる領域である。
ssh -X ホスト名 /opt/sfw/bin/firefox
2つめのインスタンスは、GlobalZoneのfirefoxのアイコンから起動するだけで、コンテナ内のFirefoxが増えるようです(forkかな?)。
もし、IPNATを使う場合は、globalzoneにipfilterを起動し、ipnatの設定をする(割愛)
もし、Proxyサーバを使って外部と通信するならば、コンピュータTips/OpenSolarisOS/Squidの設定(Forward Proxy)でも参考にし、squidの設定をする。
実はlxzoneのCentOS4の上で、Firefox動かせば、Linuxのプラグインも全部使えてハッピーなんじゃね?
とおもって頑張ってみたのですが、CentOS4でfirefox 3.6をインストールするのにあたる、ミドルウェアのインストールが面倒すぎて、途中で挫折しました。いろんなミドルウェアを最新にする必要があるし。
OpenSolarisの物は非常に簡単でした。
この方法なら、ブラウザがやられても、firefox以外のリソースにアクセスができず、最小限の汚染ですみます。
残念ながら、Firefoxが抱える情報はとても多く、様々なサイトやASP、SaaSの情報が入っており、こちらは汚染される可能性はまだあります。
それにしても、嫌な世の中ですね。