belasting-vm (dankzij vagrant) is niet veilig met de standaardinstellingen!

Felix C. Stegerman flx at fsfe.org
Mon Jan 27 23:49:37 CET 2014 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

On 2014-01-27 10:02, Kevin Keijzer wrote:
> Hoi Felix,
> 
> On Mon, 2014-01-27 at 02:21 +0100, Felix C. Stegerman wrote:
> 
>> Zodra ik tijd heb zal ik het VM script weer online zetten.  Vond
>> je de waarschuwing bij m'n development VM duidelijk genoeg?  Dan
>> kan ik die gebruiken.
> 
> Op zich wel. En eventueel kan je ook één van je vorige mails
> quoten:
> 
>> On Sun, 2014-01-26 at 00:39 +0100, Felix C. Stegerman wrote: Dus
>> als je een firewall gebruikt zodat ook open poorten niet
>> bereikbaar zijn (of je hele netwerk vertrouwd) en niets te vrezen
>> hebt van andere gebruikers op dezelfde computer, zou het redelijk
>> veilig moeten zijn -- maar ik kan niets garanderen.  Dus moet je
>> eigenlijk genoeg kennis van zaken hebben om de security ook te 
>> kunnen controleren.

Ik ga die development VM morgen testen met een oudere vagrant versie.
 Daarna pas ik 'm aan zodat ie de belasting VM wordt.  En dan zet ik
een link samen met die quote op m'n blog.  Dan kun je daar naar linken.

>> Dat lijkt me niet zo simpel.
> 
> De binaries zijn niet gigantisch. /usr/bin/ib2013ux is 9,2MB en de
> 8 binaries in /usr/share/belastingdienst.nl/ib2013/ komen opgeteld
> op 1,8MB. Voor de rest lijkt het programma te bestaan uit gezipte
> HTML's.
> 
> 
>> Ik zal er al over na te denken.  Je kunt iets doen met een extra
>> user aanmaken en die toegang geven tot je X server.  Een chroot
>> lijkt me niet zo simpel.  En apparmor/selinux ook niet.
> 
> Anders maar gewoon adviseren om pen en papier te gebruiken? Dat doe
> ik zelf namelijk ook.

;-)

>> ... en ib20XXux (in een VM)
> 
> Alleen om de packages te testen; inderdaad in verschillende VM's.
> Maar zelf doe ik m'n aangifte met de hand. (Niet dat er veel aan te
> geven valt, maar dat komt door m'n leeftijd.)
> 
> Ik hoop dat het aangifteprogramma tegen de tijd dat ik serieus
> dingen in moet gaan vullen gewoon een AJAX-oplossing is geworden. 
> Zelfs als het niet voor 'ons' zou zijn, hebben de mensen met
> tablets daar in ieder geval nog iets aan. (Zelf vind ik
> touchscreens verschrikkelijk, maar om de één of andere reden ben ik
> daar een uitzonderingsgeval in.)

Mijn nieuwe laptop heeft een touchscreen, en dat is voor bijvoorbeeld
het 'tikken' (ipv klikken) op links soms toch wel handig (al gebruik
ik het zelden).  Verder gebruik ik liever geen touchscreen, en ook
liever geen muis (en al helemaal geen touchpad).  Maar het ligt erg
aan de context.  Ik heb ook een tablet (leuk speelgoed) en daar vind
ik het touchscreen niet zo'n probleem.  Je moet er alleen niet mee
willen werken.

>> en javascript?
> 
> Zo min mogelijk. Zoals mijn eigen website ook wel aantoont, ben ik
> geen grootverbruiker van JS-code. :)
> 
> 
>> en firmware?
> 
> Alleen wat er in de chips zelf zit. Ik zoek al m'n componenten uit
> om geen propriëtaire firmware nodig te hebben die door de kernel
> geladen moet worden. Intel-microcode zou op zich ook niet nodig
> zijn als ik m'n BIOS regelmatig zou updaten, maar BIOS-updates
> zorgen bij mij altijd alleen maar voor regressies. Dus doe dan maar
> <20kB aan microcode in /lib/firmware.
> 
> Daarnaast heb ik ook nog een Lemote YeeLoong in de kast liggen. :)
> 
> In de praktijk zijn WiFi-chips vaak het grootste probleem, maar
> Atheros lijkt het de afgelopen jaren heel goed te doen wat
> degelijke vrije drivers en firmware betreft. En voor minder dan 10
> euro heb je al een Atheros-module inclusief verzendkosten uit Azië,
> als je bereid bent om twee maanden op de bezorging te wachten.

Ik heb jammer genoeg zo'n broadcom die firmware nodig heeft :-(

>> Ik ook.  Maar ik heb voor m'n werk soms met (interne) niet-vrije
>> code te maken, die draai ik dan in een VM.  Sowieso prettig om
>> dat gescheiden te houden.
> 
> Ik gebruik eigenlijk altijd VM's als 'staging ground', zelfs voor
> vrije software. Ik wil toch eerst de nodige ervaring met
> applicaties hebben voordat ik ze op m'n productiesystemen toelaat.

Daar gebruik ik ze idd. ook voor.  Was ook handig om bijvoorbeeld mijn
backup script te testen; ik wil immers liever niet dat ik ineens data
kwijt ben door een typefout.  En ik heb dus nu voor mijn werk
eindelijk een standaard development VM voor de programmeurs gemaakt.

> Verder heb ik (helaas) unrar geïnstalleerd, al meen ik dat dat niet
> vrij maar wel open source is. Als het goed is, is het alleen niet
> vrij omdat de broncode niet gebruikt mag worden om het
> rar-algoritme te reverse-engineeren. En aangezien ik toch nooit
> iets met rar comprimeer, heb ik ook totaal geen interesse in dat
> algoritme.

Ik gebruik daarvoor unar [sic], daar zit een vrije implementatie van
unrar in.  En virtualbox zit natuurlijk tegenwoordig in contrib.


- - Felix

- -- 
Felix C. Stegerman
vice-coordinator, dutch fellowship group of fsfe

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Icedove - http://www.enigmail.net/

iQIcBAEBCgAGBQJS5uJ6AAoJELIY/ywn/GzGYh4QANCDdSbmnydrdhxIyr1zWGtQ
gfsm/XNF7bFWuf7HaJTszPbc+MBqcUQfnXjKDL8ZdUsLZWMXaKtIwvsMg9Bf8jA8
lf/KECXjYShuUnxu4TphIDxqcIBh8l1TIJVzY1Z2K3bTkWk2H+InjGVvh+o50m4o
DaaVabs+8U3Px3aOjI4e2Q013+QlcEj4PcCyRWqcuYAzAjlZu+XBi2H3M01qH0nI
G7J5980wtKQcdNh5cZtAl3vJ1PWWK3MQXAPQyUoLPdmb7rSolESTJAvCFpg0F209
SIA2KdLEYuDa5nlh+xaXwAqzZStf+y8Ha2Im3pyiifri4hZ1h+7C+5+IbFxZomUZ
hkB85pu7kOQCbtgbjPi4H2JPcGSvm5ryJ7/JOmz5Cw7Vjros14151NezKc+44a4w
7xDWKv6gI7NP0LAeaqKkpxwmmWmVKiXMxMKtYei6W2WPyy/GIcEwye+7Mi07Defy
j85FaXyOSxMiBdhHpHe2hda+MRkNITJM1eVkeOHssjphTe+ApDKSb6p4GMW6Potk
YXVjJQ+v+pakQ9du1nm/NBZM0j4wF1XlpPuZBGpMaHnUFPYHcTZ5Y+zdZEMvp6X2
bahAKSa/CwUjRdmCT9q8L/fAgIq5KTr/fSbx0dL4WbHiOIBbJLecG8KW3mFw3jnR
AiyYp7HPfnt2DeBlnTAV
=g90s
-----END PGP SIGNATURE-----

More information about the Fsfe-nl mailing list