tag:linuxfr.org,2005:/tags/isolation/publicLinuxFr.org : les contenus étiquetés avec « isolation »2018-09-27T15:29:08+02:00/favicon.pngtag:linuxfr.org,2005:Diary/380962018-09-11T11:27:02+02:002018-09-11T11:31:30+02:00[F-Droid] Shelter, l'usage du profil professionnel AndroidLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Bonjour Nal,<br>
<a href="https://f-droid.org/en/packages/net.typeblog.shelter/">Shelter</a> est disponible sur F-Droid, le magasin applicatif que l'on ne présente plus. Shelter propose la gestion sur un même appareil d'apps personnelles et professionnelles. Cette gestion de profils complète l'offre de Google pour <a href="https://developers.google.com/android/work/overview">l'usage d'Android en entreprise</a> ("gestion d'applications", "appareil dédié à un seul usage", "appareil entièrement administré", et "appareil combinant usage personnel et professionnel") </p>
<p><em>Avertissement : la dernière version de Shelter est pour Android 8, il vous faut donc un appareil dont le système est à jour.</em> </p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f6769742e616e6772792e696d2f50657465724378792f5368656c7465722f7261772f6272616e63682f6d61737465722f6172742f69635f6c61756e636865725f6567672d7765622e706e67/ic_launcher_egg-web.png" alt="shelter logo" title="Source : https://git.angry.im/PeterCxy/Shelter/raw/branch/master/art/ic_launcher_egg-web.png"></p>
<p>Shelter permet à toutes et tous de profiter facilement d'un second profil. Les cas d'usages courants peuvent être un usage différencié entre usage perso et pro (pour une administration ou une entreprise privée ou une association) mais aussi différencié à titre personnel (isoler certaines Apps.)</p>
<p>Concrètement Shelter va :</p>
<ul>
<li>Créer un espace de stockage dédié ;</li>
<li>Y placer une copie de l'app "contacts" ainsi qu'une copie de l'app "fichiers" ;</li>
<li>Faire apparaître le menu "professionnel" dans "utilisateurs et comptes" ;</li>
<li>Faire apparaître la gestion de son accès dans le menu "sécurité et confidentialité" ;</li>
<li>Vous laissez dupliquer vers cet espace dédié des apps déjà installées ;</li>
<li>Vous permettre de rendre inaccessibles ces apps en l'absence mot de passe spécifique ;</li>
<li>Congeler ces apps ;</li>
<li>Leur permettre de synchroniser en arrière plan, ou pas ;</li>
<li>Ne pas leur permettre d'avoir accès à vos contacts, vos photos, votre historique d'appel, vos fichiers .. ces apps ne voient <em>presque</em> que leur espace de stockage dédié.</li>
</ul>
<p>C'est une solution simple, élégante, et très facile d'usage. Shelter est développé par <a href="https://typeblog.net/">PeterCyx</a> et distribué sous licence <a href="https://fr.wikipedia.org/wiki/WTFPL">WTFPL</a>. Son code source est disponible sur la plateforme Angry.im, sur le <a href="https://git.angry.im/PeterCxy">compte de l'auteur</a></p>
<p>Quelques captures d'écrans :</p>
<p><strong>Gestion par Shelter du profil pro, paramètres "utilisateurs et comptes" :</strong><br>
<img src="//img.linuxfr.org/img/68747470733a2f2f7069782e746f696c652d6c696272652e6f72672f75706c6f61642f6f726967696e616c2f313533363635373739362e706e67/1536657796.png" alt="" title="Source : https://pix.toile-libre.org/upload/original/1536657796.png"></p>
<p><strong>Sécurité et confidentialité du profil prof :</strong><br>
<img src="//img.linuxfr.org/img/68747470733a2f2f7069782e746f696c652d6c696272652e6f72672f75706c6f61642f6f726967696e616c2f313533363635373537372e706e67/1536657577.png" alt="" title="Source : https://pix.toile-libre.org/upload/original/1536657577.png"></p>
<p><strong>Menu/tiroir général des apps, ou celles du profil pro apparaissent avec un cadenas, et grisées si le profil pro est refermé :</strong><br>
<img src="//img.linuxfr.org/img/68747470733a2f2f7069782e746f696c652d6c696272652e6f72672f75706c6f61642f6f726967696e616c2f313533363635373831362e706e67/1536657816.png" alt="" title="Source : https://pix.toile-libre.org/upload/original/1536657816.png"></p>
<p><strong>L'app Shelter elle même, permettant de copier des apps d'un profil à un autre, et de les congeler en un click :</strong><br>
<img src="//img.linuxfr.org/img/68747470733a2f2f7069782e746f696c652d6c696272652e6f72672f75706c6f61642f6f726967696e616c2f313533363635373830332e706e67/1536657803.png" alt="" title="Source : https://pix.toile-libre.org/upload/original/1536657803.png"></p>
<p><em>Notes personnelles : un service Shelter tourne en arrère plan lorsque le second profil est actif, puis ce service s'arrête une fois le profil refermé, je n'ai pas observé de consommation notable de cpu ni de batterie, 'ras'. Au quotidien c'est plus simple de gérer avec Shelter plutôt qu'autorisation par autorisation, app après app</em></p>
<div><a href="https://linuxfr.org/users/bubar/journaux/f-droid-shelter-l-usage-du-profil-professionnel-android.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/115249/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/bubar/journaux/f-droid-shelter-l-usage-du-profil-professionnel-android#comments">ouvrir dans le navigateur</a>
</p>
bubar🦥https://linuxfr.org/nodes/115249/comments.atomtag:linuxfr.org,2005:Diary/366982016-07-01T16:11:01+02:002016-07-01T18:44:09+02:00Nuit du Hack 2016 & ANSSILicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>L'<em>Agence Nationale de la Sécurité des Systèmes d'Informations</em> sera de nouveau présente à l'édition 2016 de la <em>Nuit du Hack</em>. NDH2016 se déroule demain, à Paris, non à Marnes La Vallée, non à Chessy … Bref c'est ce week end et c'est en région parisienne !</p>
<p>L'ANSSI tiendra donc un stand cette année également. Et présentera à cette occasion une nouvelle distribution Linux, nommée "CLIP", qui a pour objectif :</p>
<blockquote>
<p>fournir des mécanismes de cloisonnement qui rendent possible le traitement simultané, sur le même poste informatique, d’informations publiques d’une part et sensibles d’autre part, au sein de deux environnements logiciels totalement isolés.</p>
</blockquote>
<p>Pour cela il s'appuie sur : </p>
<blockquote>
<p>basé sur Linux intègre un ensemble de mécanismes de sécurité qui lui confèrent un très haut niveau de résistance aux codes malveillants et lui permettent d’assurer la protection d’informations sensibles. Il fournit par ailleurs des mécanismes de cloisonnement</p>
</blockquote>
<p>Cette distribution sera donc présentée sur le stand l'ANSSI ce week-end. </p>
<p>Cela peut rappeler la distribution qui avait été conjointement développé par Mandrake et par Bertin Technologies, sous la gouvernance de ce dernier, au service de l'Armée Française, et qui était la seule distribution Linux à obtenir <strong>EAL-5</strong> des <a href="https://fr.wikipedia.org/wiki/Evaluation_Assurance_Level">Common Criteria</a>. Là, avec l'ANSSI, il semble que l'objectif soit différent :</p>
<blockquote>
<p>Ce système peut être déployé aussi bien sur des passerelles de sécurité que sur des postes clients, y compris portables. Il permet notamment l’accès à des informations sensibles dans un cadre d’utilisation nomade.</p>
</blockquote>
<ul>
<li><a href="http://www.ssi.gouv.fr">ANSSI</a></li>
<li><a href="https://www.nuitduhack.com">NDH2016</a></li>
<li><a href="http://www.ssi.gouv.fr/administration/services-securises/clip/">CLIP, présentation sommaire</a></li>
</ul><div><a href="https://linuxfr.org/users/bubar/journaux/nuit-du-hack-2016-anssi.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/109386/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/bubar/journaux/nuit-du-hack-2016-anssi#comments">ouvrir dans le navigateur</a>
</p>
bubar🦥https://linuxfr.org/nodes/109386/comments.atomtag:linuxfr.org,2005:Post/361562015-11-28T18:06:05+01:002015-11-28T18:06:05+01:00Isoler les données de chaque application<p>Bonjour,</p>
<p>Le système de permissions d'Android est un truc qui me plaît beaucoup, et que j'aimerais bien reproduire dans ma Debian. Plus précisément, je voudrais pouvoir choisir à quelles données certaines applications peuvent accéder.</p>
<p>Et j'aimerais faire ça parce que ça me paraît être un bon moyen de protéger mes données d'un exploit quelconque, surtout dans les programmes qui accèdent à Internet. Par exemple, donner à Firefox l'accès à uniquement ~/.mozilla et ~/Téléchargements permettrait de moins exposer mes ~/Images et ~/Documents.</p>
<p>En fait j'aimerais savoir, plus généralement, pourquoi les grandes distributions Linux sur PC ne proposent pas le genre de protections qui sont apparues il y a quelques années avec les smartphones et les magasins d'applications. Pourquoi le système n'isole-t-il pas plus les données par défaut ?</p>
<p>J'ai entendu parler de SELinux, sans bien comprendre son but et son fonctionnement. Est-ce qu'il fait ce que je cherche ? Et si oui, est-ce que quelqu'un a réussi à le faire fonctionner sans casser la moitié de ses applications, et pourrait me donner quelques conseils ?</p>
<p>Et sinon, existe-t-il d'autres solutions pour "isoler" mes fichiers ?</p>
<p>Merci.</p><div><a href="https://linuxfr.org/forums/linux-general/posts/isoler-les-donnees-de-chaque-application.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/107492/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/linux-general/posts/isoler-les-donnees-de-chaque-application#comments">ouvrir dans le navigateur</a>
</p>
UnGenshttps://linuxfr.org/nodes/107492/comments.atomtag:linuxfr.org,2005:Diary/359922015-07-17T14:38:37+02:002015-07-18T17:13:23+02:00Vacances & Réseaux hostilesLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Bonjour Nal,</p>
<p>Cette période propice à l'oisiveté est également parfois synonyme de déplacements physiques vers des contrées ensoleillées. Et comme tu es prévoyant, cher Nal, tu as probablement en stock un ou deux VPN plus ou moins communautaires, afin de pallier à l'absence de sécurité des points réseaux rencontrés, et de préserver ta vie privée. Combinaison de photos estivales personnelles et de réseaux inconnus, il n'en fallait pas plus pour que tu t'équipes. Cependant, par défaut ce n'est pas toujours pratique car tout ton beau système va se caler sur la patte réseau disponible. Or tu voudrais bien lancer HotDog-Time sur un vpn pour lui tout seul, par exemple. Et en même temps consulter ton courriel via imap sur un second vpn. Tout en surfant pour vérifier la météo des jours prochains directement sur le wifi de l'hotel. Bref, tu voudrais tout en même temps, et tout de suite.</p>
<p>Proxy locaux ? Règles de routage seules ? Machine Virtuelle dédiée ? Que nenni ! Il y a plus simple, et taillé pour : l'isolation par espaces de nommages, ou <em>namespaces</em> La <a href="http://man7.org/linux/man-pages/man7/namespaces.7.html">documentation</a> est limpide, non ? Alors allons y par l'exemple. Et pour se faire, nous allons utiliser les spécificités "netns" de la commande "ip". Elle est pas belle, la vie ? :-)</p>
<p><strong>A) Déclaration espace nommé "tunnel1"</strong></p>
<pre><code>ip netns add tunnel1
</code></pre>
<p><strong>B) Activation boucle locale</strong></p>
<pre><code>ip netns exec tunnel1 ip addr add 127.0.0.1/8 dev lo
ip netns exec tunnel1 ip link set lo up
</code></pre>
<p><strong>C) Activation interface virtuelle</strong></p>
<pre><code>ip link add vpn0 type veth peer name vpn1
ip link set vpn0 up
</code></pre>
<p><strong>D) Assignation dans l'espace, IP interne & route</strong></p>
<pre><code>ip link set vpn1 netns tunnel1 up
ip addr add 10.20.20.1/24 dev vpn0
ip netns exec tunnel1 ip addr add 10.20.20.2/24 dev vpn1
ip netns exec tunnel1 ip route add default via 10.20.20.1 dev vpn1
</code></pre>
<p><em>Voilà voilà. Le plus gros est fait (attention bienzur à votre attribution d'ip, ici en exemple sur un réseau 10.20.20.0)</em></p>
<p><strong>E) Iptables par dessus</strong></p>
<pre><code>iptables -A INPUT \! -i vpn0 -s 10.20.20.0/24 -j DROP
iptables -t nat -A POSTROUTING -s 10.20.20.0/24 -o wl+ -j MASQUERADE
</code></pre>
<p><em>C'est bon, chez Nal ? (attention là aussi à la déclaration de carte réseau, ici pour l'exemple wl+ afin de faire matcher toute carte wifi, qu'elle se nomme wlanX ou wlpZyGds0z78 :p)</em></p>
<p><strong>F) Autorise forward</strong></p>
<pre><code>sysctl -q net.ipv4.ip_forward=1
</code></pre>
<p><strong>G) Ajout d'un DNS</strong></p>
<pre><code>mkdir -p /etc/netns/tunnel1
echo 'nameserver 8.8.8.8' > /etc/netns/tunnel1/resolv.conf
</code></pre>
<p><em>(attention ici aussi : pour l'exemple c'est un dns de google, rien ne t'empêche d'utiliser un dns de la quadrature du net, par exemple) Et c'est prêt. Le namespace "tunnel1" est maintenant à tes ordres, cher Nal<</em></p>
<p><strong>H) Lancement vpn isolé</strong></p>
<pre><code>ip netns exec tunnel1 openvpn --config /etc/openvpn/hotdog-time.ovpn
</code></pre>
<p><em>C'est sympa, non ? ip netns exec nom-espace mon-prog (attention là encore à faire pointer vers ta config à toi, ici nommé "hotdog-time.ovpn" qui pourrait aussi bien être Oslo.conf !)</em></p>
<p><strong>I) Exécution application</strong></p>
<pre><code>ip netns exec tunnel1 sudo -u tankey /opt/hotdog-time/hotdog-time
</code></pre>
<p><em>(attention là aussi à placer ton nom de user :p, et ensuite à lancer le prog de ton choix, ici pour l'exemple hotdog-time qui aurait pu être qupzilla)</em></p>
<p><strong>This is the end</strong><br>
Bref : une app = un réseau isolé des autres. Si tu veux. <br><em>& merci de bien vouloir me pardonner ma fainéantise à ne pas faire des schémas explicatifs pour les cartes et le namespace, ni de m'être lancé dans des explications concises et précises comme une doc de gentoo, mais ce sont les vacances, non ?</em></p><div><a href="https://linuxfr.org/users/bubar/journaux/vacances-reseaux-hostiles.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/106329/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/bubar/journaux/vacances-reseaux-hostiles#comments">ouvrir dans le navigateur</a>
</p>
bubar🦥https://linuxfr.org/nodes/106329/comments.atomtag:linuxfr.org,2005:Post/334502013-12-13T18:53:22+01:002013-12-13T18:53:22+01:00Deux systèmes d'exploitation isolés sur une même machine hôte<p>Bonjour à tous,</p>
<p>J'aimerai pouvoir utiliser sur un même ordinateur différents systèmes d'exploitation isolés en eux, dans le but que si un système est compromis, les autres restent sains. J'utilise actuellement Fedora avec un i5, qui supporte les instructions VT, et un disque de 1TB. Je penses à deux possibilités :</p>
<p>--> Un multiboot, partitionnement GPT, un GRUB qui renvoie vers les différents OS.<br>
Avantage(s) :<br>
- performances maximales (pas de virtualisation)</p>
<p>Inconvénients :<br>
- <strong>les systèmes peuvent accéder aux partitions des autres OS</strong> (ou alors il faut chiffrer toutes les partitions)<br>
- Utilisation d'un seul système à la fois</p>
<p>--> Virtualisation avec un <a href="http://fr.wikipedia.org/wiki/Hyperviseur#Type_2">hyperviseur de type 2</a>, probablement KVM qui est bien intégré à Fedora.<br>
Avantages :<br>
- <strong>isolation complète, le système n'a pas accès au matériel de la machine hôte ni aux autres partitions</strong><br>
- plusieurs systèmes d'exploitation peuvent fonctionner simultanément<br>
- possibilité de revenir facilement à un état antérieur avec les snapshots</p>
<p>Inconvénients :<br>
- perte de performances à cause de la virtualisation, cependant faible avec l'utilisation d'Intel VT ?</p>
<p>Qu'en pensez-vous ?</p><div><a href="https://linuxfr.org/forums/linux-general/posts/deux-systemes-d-exploitation-isoles-sur-une-meme-machine-hote.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/100665/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/linux-general/posts/deux-systemes-d-exploitation-isoles-sur-une-meme-machine-hote#comments">ouvrir dans le navigateur</a>
</p>
Florenthttps://linuxfr.org/nodes/100665/comments.atomtag:linuxfr.org,2005:Post/308832012-01-15T14:07:11+01:002012-01-15T14:07:11+01:00Cherche casque stéréo pour isolation sonore<p>Bonjour, je cherche un casque stéréo qui procure une excellente isolation des bruits ambiants. </p>
<p>Si certaines personnes ont l'occasion d'essayer les modèles actifs et passifs, pourrions nous discuter des avantages et inconvénients respectifs à chacun ? </p>
<p>Je cherche un modèle efficace, sobre et bon marché.</p>
<p>Merci.</p><div><a href="https://linuxfr.org/forums/general-cherche-materiel/posts/cherche-casque-st%C3%A9r%C3%A9o-pour-isolation-sonore.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/89032/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/forums/general-cherche-materiel/posts/cherche-casque-st%C3%A9r%C3%A9o-pour-isolation-sonore#comments">ouvrir dans le navigateur</a>
</p>
davehttps://linuxfr.org/nodes/89032/comments.atom