belasting-vm (dankzij vagrant) is niet veilig met de standaardinstellingen!

[Kevin Keijzer]

Hoi Felix,

On Mon, 2014-01-27 at 02:21 +0100, Felix C. Stegerman wrote:

> Zodra ik tijd heb zal ik het VM script weer online zetten.  Vond je de
> waarschuwing bij m'n development VM duidelijk genoeg?  Dan kan ik die
> gebruiken.

Op zich wel. En eventueel kan je ook één van je vorige mails quoten:

> On Sun, 2014-01-26 at 00:39 +0100, Felix C. Stegerman wrote:
> Dus als je een firewall gebruikt zodat ook open
> poorten niet bereikbaar zijn (of je hele netwerk vertrouwd) en niets
> te vrezen hebt van andere gebruikers op dezelfde computer, zou het
> redelijk veilig moeten zijn -- maar ik kan niets garanderen.  Dus moet
> je eigenlijk genoeg kennis van zaken hebben om de security ook te
> kunnen controleren.


> Dat lijkt me niet zo simpel.

De binaries zijn niet gigantisch. /usr/bin/ib2013ux is 9,2MB en de 8
binaries in /usr/share/belastingdienst.nl/ib2013/ komen opgeteld op
1,8MB. Voor de rest lijkt het programma te bestaan uit gezipte HTML's.


> Ik zal er al over na te denken.  Je kunt iets doen met een extra user
> aanmaken en die toegang geven tot je X server.  Een chroot lijkt me
> niet zo simpel.  En apparmor/selinux ook niet.

Anders maar gewoon adviseren om pen en papier te gebruiken? Dat doe ik
zelf namelijk ook.


> ... en ib20XXux (in een VM)

Alleen om de packages te testen; inderdaad in verschillende VM's. Maar
zelf doe ik m'n aangifte met de hand. (Niet dat er veel aan te geven
valt, maar dat komt door m'n leeftijd.)

Ik hoop dat het aangifteprogramma tegen de tijd dat ik serieus dingen in
moet gaan vullen gewoon een AJAX-oplossing is geworden.
Zelfs als het niet voor 'ons' zou zijn, hebben de mensen met tablets
daar in ieder geval nog iets aan. (Zelf vind ik touchscreens
verschrikkelijk, maar om de één of andere reden ben ik daar een
uitzonderingsgeval in.)


> en javascript?

Zo min mogelijk. Zoals mijn eigen website ook wel aantoont, ben ik geen
grootverbruiker van JS-code. :)


> en firmware?

Alleen wat er in de chips zelf zit. Ik zoek al m'n componenten uit om
geen propriëtaire firmware nodig te hebben die door de kernel geladen
moet worden. Intel-microcode zou op zich ook niet nodig zijn als ik m'n
BIOS regelmatig zou updaten, maar BIOS-updates zorgen bij mij altijd
alleen maar voor regressies. Dus doe dan maar <20kB aan microcode
in /lib/firmware.

Daarnaast heb ik ook nog een Lemote YeeLoong in de kast liggen. :)

In de praktijk zijn WiFi-chips vaak het grootste probleem, maar Atheros
lijkt het de afgelopen jaren heel goed te doen wat degelijke vrije
drivers en firmware betreft. En voor minder dan 10 euro heb je al een
Atheros-module inclusief verzendkosten uit Azië, als je bereid bent om
twee maanden op de bezorging te wachten.


> Ik ook.  Maar ik heb voor m'n werk soms met (interne) niet-vrije code
> te maken, die draai ik dan in een VM.  Sowieso prettig om dat
> gescheiden te houden.

Ik gebruik eigenlijk altijd VM's als 'staging ground', zelfs voor vrije
software. Ik wil toch eerst de nodige ervaring met applicaties hebben
voordat ik ze op m'n productiesystemen toelaat.


Verder heb ik (helaas) unrar geïnstalleerd, al meen ik dat dat niet vrij
maar wel open source is. Als het goed is, is het alleen niet vrij omdat
de broncode niet gebruikt mag worden om het rar-algoritme te
reverse-engineeren.
En aangezien ik toch nooit iets met rar comprimeer, heb ik ook totaal
geen interesse in dat algoritme.


-- 
Met vriendelijke groeten, / With kind regards,


Kevin Keijzer

FSFE Edu Team

kevin at quietlife.nl / the_unconventional at fsfe.org

()  against HTML e-mail 
/\  against proprietary attachments
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: This is a digitally signed message part
URL: <http://mail.fsfeurope.org/pipermail/fsfe-nl/attachments/20140127/a8f34d7d/attachment-0001.pgp>