HOME / 日記 / UNIXだってLinuxだってガンブラー風マルウェアは怖い

Date: 2010/02/10 |  このエントリーをはてなブックマークに追加  |  Tags: OpenSolaris, firefox, jail, zone, container, コンテナ, ゾーン

UNIXだってLinuxだってガンブラー風マルウェアは怖い

ふと考えてみた。

通常、OpenSolarisでブラウジングしている。

(残念ながら)マイナーなものだから、OpenSolarisを狙うウィルスはほとんど無いかも知れないが、今回のようなセキュリティホールが発覚し、例えばFirefoxで任意のローカルリソースにアクセス出来る何らかのスクリプトが実行出来てしまったとする。

たとえば、

.ssh/know_host
.ssh/id_rsa
.ssh/config

このあたりをサクサク、2chなどの掲示板に暴露するウィルスがでてきたらどうなるんだろう?

・・・

恐ろしくて死にそうです。

そんなわけで、FirefoxをZone中で動かすことを考えてみました。

普通にzoneを作成する

〜割愛〜

  • etherstubを用意(dladm create-etherstub)
  • そこにリンクを落とすネットワークで、global-zoneとnon-globalzoneで通信する。IPは適当に設定
  • exclusive zoneにする(ipfilterやipnatが使えないため)

ユーザの作成

pkg install -v SUNWzsh
groupadd -g <GID> <グループ名>
useradd -u <UID> -g <グループ名> -d /home/kohju -s /bin/zsh -m kohju
chmod +x /

などなど。

ユーザ環境を設定

  • .ssh/authorized_keys のみ設置
  • プライマリアドミニストレータとかは付けない。
  • RSA認証のみ
  • ~/.mozillaを何らかの方法でコピーする。

sshの設定

/etc/sshd/sshd_configを編集。パスワードでログインする必要なし。

#PasswordAuthentication yes
PasswordAuthentication no
#PAMAuthenticationViaKBDInt yes
PAMAuthenticationViaKBDInt no

ついでに・・・・

chmod go-rwx /etc/ssh/sshd_config
svcadm restart ssh

その他のツール群

firefoxを動かすために必要なツール。割と使うツールをいれてみる。

pkg install -v pkg:/SUNWgnu-emacs-nox\

pkg:/SUNWwget \
pkg:/SUNWgtar\
pkg:/SUNWpkgcmds\
pkg:/SUNWjpg\
pkg:/SUNWxwrtl pkg:/SUNWxwplt\
pkg:/SUNWfreetype2\
pkg:/SUNWfontconfig\
pkg:/SUNWdbus pkg:/SUNWdbus-libs\
pkg:/SUNWgnome-base-libs\
pkg:/SUNWgnome-desktop-prefs\
lang-support-japanese

フォントのインストール

firefoxのインストール

flashのインストール

スキンをgnomeの物にする

下記をインストールする

pkg install -v pkg:/SUNWgnome-themes pkg:/SUNWgnome-themes-hires pkg:/SUNWgnome-l10ndocument-ja pkg:/SUNWgnome-desktop-prefs

設定変更は。下記をインストール

gnome-appearance-properties

その他

  • 日本語入力ができないので、もう少し考える必要有り

下記だけじゃだめっぽい

export XMODIFIERS=@im=SCIM
export GTK_IM_MODULE=scim-bridge

ZoneとGlobalZoneを橋渡しするもの

たとえば、/export/downloadをグローバルzoneとノングローバルゾーンの共通ディレクトリにしたいならこうする。

add fs
set dir=/export/download
set special=/export/download
set type=lofs
add options rw
add options nodevices
end

つまり、Zone内のブラウザから、このdownloadディレクトリだけが、グローバルゾーンに渡せる領域である。

起動方法

ssh -X ホスト名 /opt/sfw/bin/firefox

2つめのインスタンスは、GlobalZoneのfirefoxのアイコンから起動するだけで、コンテナ内のFirefoxが増えるようです(forkかな?)。

ブラウザーZoneと外部との接続について

もし、IPNATを使う場合は、globalzoneにipfilterを起動し、ipnatの設定をする(割愛)

もし、Proxyサーバを使って外部と通信するならば、コンピュータTips/OpenSolarisOS/Squidの設定(Forward Proxy)でも参考にし、squidの設定をする。

所感・・・

実はlxzoneのCentOS4の上で、Firefox動かせば、Linuxのプラグインも全部使えてハッピーなんじゃね?

とおもって頑張ってみたのですが、CentOS4でfirefox 3.6をインストールするのにあたる、ミドルウェアのインストールが面倒すぎて、途中で挫折しました。いろんなミドルウェアを最新にする必要があるし。

OpenSolarisの物は非常に簡単でした。


この方法なら、ブラウザがやられても、firefox以外のリソースにアクセスができず、最小限の汚染ですみます。

残念ながら、Firefoxが抱える情報はとても多く、様々なサイトやASP、SaaSの情報が入っており、こちらは汚染される可能性はまだあります。

それにしても、嫌な世の中ですね。



日記

Recent Updates