[amd64] VM Fedora 39 + Adobe Flash 32.0.0.465 [VirtualBox OVA-template] {SELinux=HARDENED}

Страницы:  1
Ответить
 

shumok88

Top Seed 01* 40r

Стаж: 16 лет 3 месяца

Сообщений: 243

shumok88 · 17-Дек-23 21:42 (1 год 2 месяца назад, ред. 13-Дек-24 03:22)

VM Fedora 39 + Adobe Flash 32.0.0.465 [VirtualBox OVA-template] {SELinux=HARDENED}

Год Выпуска: 2023
Версия: 39
Разработчик: fedoraproject
Системные требования: - VirtualBox или любой гипервизор, понимающий OVA-формат. В принципе, возможно конвертировать под VMWare / KVM / QEMU
- CPU Core2Duo и выше (нужна аппаратная виртуализация), 1 Гб RAM, 5 Гб места на диске.
- 1.4 Gb OVA -> 4.1 Gb VMDK
Теоретически можно и на 350 Мб оперативки+ и на более дохлых процах, но плавность работы уже под вопросом.
Архитектура: amd64
Таблэтка: не требуется
Язык интерфейса: Мультиязычный (русский присутствует)
MD5: 01cd670d5edc469a769ec4dc011eb052
SHA256: e0fcb95595d8c35f5c1c69d7bfc0207e24121efef003fce0e1d6af2d9bc9a419
Описание: Готовая виртуальная машина для запуска старых флеш-игр (файлы *.swf) и использования устаревших веб-интерфейсов на флеше.
За основу взят дистрибутив Linux Fedora 39 x64, оболочка - LXDE
Доп. информация: Флеш : плагин в браузере Firefox 52 ESR + standalone player (запуск локальных swf-файлов)
! selinux = Enforcing
!!! selinux-user ( user1 ) = user_u
! sshd = disabled
! firewalld - TCP/22 INPUT
! установлены VirtualBox Guest Addons
+ несколько локальных игр и мультиков в комплекте для проверки (P.S. в ту эпоху было много прикольной дичи)
прочий софт по минимуму - mc / htop / leafpad.
Скриншоты
Зачем и почему
Компания адобе очень жёстко расправилась над adobe flash. Начиная с некоторой версии, апдейты флеша шли с заложенной "закладкой" - "часовой бомбой" на отключение в заданную дату, и в один момент были удалены все ссылки на сайте комании. Однако как огромный массив старых игр и прикольных мультиков, так и ряд старых систем, где веб-интерфейс были на флеше, никуда не делись.
Оказалось, что в 2022 нельзя просто так взять и запустить SWF, и с момента окончательных похорон флеша в 2020-м никто так ничего и не сделал для удобного запуска старого ПО. На офсайте ссылки дохлые, современные браузеры не совместимы c флешем вообще, даже из многих реп флеш выпилен.
Если вам надо просто чуток ностальгировать по той эпохе, поиграть в оригинальные флеш-игры / посмотреть древние swf-мульты, или надо настроить железку / открыть старый сайт с веб-мордой на флеше - то эта ВМ позволит вам сделать это сразу, не занимаясь поисками особых браузеров и совместимой версии плагина. Всё настроено и готово к работе.
Это обновлённая версия вот этой ВМ, но с ядром 6.6.x, заметно более компактная и с paranoid_mode = on;
Доступы и защиты селинукс (на примере доступа к веб-камере)
По-умолчанию веб-камеры (V4L-устройства) SELinux-пользователю user_u недоступны, как и ряд многих других важных системных устройств.
Если вам нужна веб-камера внутри данной ВМ, есть два решения - простое и правильное.
Простое решение.
Отключить селинукс-защиту для пользователя. (semanage login -d user1)
Это простое, но менее безопасное решение.
Правильное решение.
Написать свой модуль политик безопасности.
Все действия делаются от рута в контексте unconfined, логинимся на отдельной консоли.
Создаём файл политики с типом Type Enforcement (*.te - файл), например v4l.te :
Код:
module My-V4L 1.0;
require {
    type user_t;
    type v4l_device_t;
    class chr_file map;
}
allow user_t v4l_device_t:chr_file map;
Код модуля собирается на основе вывода journalctl - f | audit2allow и общих познаний о SELinux.
Переводим этот модуль в бинарный вид (компилим) и ставим тремя командами:
Код:
checkmodule -M -m -o v4l.mod v4l.te
semodule_package --outfile my-v4l.pp --module v4l.mod
semodule -i my-v4l.pp
Веб-камера должна стать доступной сразу, ребут не требуется.
Если веб-камеры нет или она вам не нужна для флеша - вам вся эта магия не пригодится.
Это более сложное, но и более безопасное решение.
Дополнительные опции - обмен файлами с ВМ, обновления, безопасность
Пароли стоят простые, поэтому SSH в сборке выключен из автозагрузки.
Варианты обмена файлами с ВМ:
- подключение из ВМ к внешнему серверу FTP / SSH / WebDAV - программы Gigolo, mc
- есть самба-клиент (для подключения к виндовым шарам)
- монтирование образов напрямую к ВМ.
- подключение извне к ВМ.
Для этого надо сделать следующее:
в настройках ВМ поставить тип сетевого включения - Сетевой мост вместо NAT.
Логинимся на отдельной консоли (прожимаем Ctrl-Alt-F2 на виртуальной клавиатуре), надо ввести логин root и рут-пароль из readme (ввод пароля не отображается !) , mcedit /etc/ssh/sshd_config (отредактировать PasswordAuthentication= yes в конце конфига), systemctl start sshd, ip a (посмотреть ip вм-ки)
снаружи: с помощью SSH-клиента (mc, WinSCP) соединиться с виртуальной машиной пользователем user1
Чтобы SSHd запускался всегда, даём команду systemctl enable sshd
- Общие папки. Работают и монтируются на лету, но по умолчанию доступны только руту и группе vboxsf.
Для удобства добавьте пользователя user1 в группу vboxsf:
Код:
usermod -G vboxsf user1
и ребутнитесь.
Обновления.
Автоматические обновления отключены (удалены dnfdragora / PackageKit). Надо обновить систему - ручками dnf update -y и reboot в терминале от рута.
Если очень захочется на более новую федору - в помощь команда dnf system-upgrade. Понадобится ещё несколько гигов места, и это более рискованный тип обновления.
Безопасность.
Если вы включили SSH с парольной авторизацией, поставьте стойкий пароль. Но лучше настройте авторизацию по ключам - это несложно.
Адобе флеш сам по себе крайне небезопасен. Используйте снапшот чистого состояния и всегда откатывайте к нему ВМ после работы с неизвестными сторонними файлами.
Если вы используете старую ОС на основном хосте - после закидывания файлов внутрь ВМ можете отключить ВМ от сети (в ВМ меню -> Устройства - Сеть -> снять опцию "Сетевой кабель подключён" )
SELinux-restricted логин
В этой версии включена такая настройка. Теперь в рамках той же GUI-сессии нельзя апнуться до рута, даже зная его пароль.
Для всех системных действий потребуется отдельный логин на отдельной консоли (для включения нужно вызывать виртуальную клавиатуру и использовать комбинации клавиш Ctrl+Alt+F2 / Ctrl+Alt+F1).
Это закрывает возможность делать su до рута из GUI-сессии, закрывает доступ к ряду системных настроек и устройств, пользователь вообще не видит с списке процессов команды других пользователей. Работе флеша, доступу в интернет и монтированию образов это не мешает.
Как это поменять ?
- вызываем виртуальную клавиатуру, прожимаем Ctrl+Alt+F2, логинимся рутом напрямую.
Код:
# снимаем SELinux-ограничения с логина user1
  semanage login -d user1
# Ставим SELinux-ограничения контекста user_u для логина user1 (всё работает, кроме шаренных каталогов и поднятия привилегий паролем)
  semanage login -a -s user_u user1
# Ставим SELinux-ограничения контекста xguest_u для логина user
# (не рекомендую, пользователям этого контекста недоустпна звуковая карта, программный ребут заблокирован, пользователь может только разлогиниться)
  semanage login -a -s xguest_u user1
- ребутимся.
Почему именно Fedora
Это hardened-GNU/Linux дистрибутив с _включенным_ SELinux и рядом защитных мер в ядре, при этом достаточно простой в использовании и весьма надёжный.
В системе не установлены средства запуска DOS/Windows приложений, что делает бесполезным подавляющее большинство старых вредоносных нагрузок, которые в те времена запросто могли встречаться во флеш-контенте, но были заточены сугубо под связки типа IE@виндовс. Это, конечно, не является 100% гарантией, но существенно снижает риски использования. В текущей сборке также применён крайне агрессивный рестрикт - пользователь теперь под селинукс-защитой, контекст user_u.
Особо параноидальный режим сетевой защиты (изоляция от локалки / белый список / мониторинг траффика)
Поднимите рядом ещё одну небольшую ВМ вот отсюда: https://rutr.life/forum/viewtopic.php?t=6258575
В настройках ВМ с флешем укажите тип сетевой карты - "внутренняя сеть", имя сети укажите такое же, как и у второй сетевой карты от мини-гейта.
У первой сетевой карты мини-гейта поставьте тип "сетевой мост" к своей физической сетевой карте.
Запустите обе ВМ. Флеш-контент через такой шлюз не сможет получить доступ в локальную сеть, при этом коннекты во внешний мир проходить будут.
Мини-гейт даёт вам полный контроль над траффиком ВМ с флешем.
При желании можно настроить файервол и на самой ВМ, прописав фильтры в iptables / OUTPUT.
Очень жирная ВМ. Есть полегче ?
Да. Вот тут: https://rutr.life/forum/viewtopic.php?t=6376169 более легковесная система для проигрывания флеша, но оно больше для SWF-файлов.
Для веб-интерфейсов лучше текущая сборка на федоре.
НЕ ИСПОЛЬЗУЙТЕ одну и ту же ВМ для работы с неизвестным флеш-контентом и критичными сервисами типа банк-клиента в любом случае.
Мануал по импорту в ProxMox (серверный гипервизор): https://www.youtube.com/watch?v=4lYulcTd5yc
IPFS
Download
Rutracker.org не распространяет и не хранит электронные версии произведений, а лишь предоставляет доступ к создаваемому пользователями каталогу ссылок на торрент-файлы, которые содержат только списки хеш-сумм
Как скачивать? (для скачивания .torrent файлов необходима регистрация)
[Профиль]  [ЛС] 

a987898987

Стаж: 14 лет 9 месяцев

Сообщений: 23


a987898987 · 08-Фев-25 03:47 (спустя 1 год 1 месяц)

Так swf-ки и так работают на всём и вся же. Кладёшь куда-нибудь стандалон плеер, ассоциируешь с ним swf, и всё. Сейчас на вин 11 играю в весь старый флеш, нет проблем
[Профиль]  [ЛС] 

shumok88

Top Seed 01* 40r

Стаж: 16 лет 3 месяца

Сообщений: 243

shumok88 · 08-Фев-25 09:51 (спустя 6 часов)

старые флеши могут быть с вредоносной нагрузкой. Флеш - уязвимое по, на основной ОС стартовать рискованно.
Мёртвому софту - свой склеп.
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error