[amd64] VM Fedora 39 SELinux=HARDENED + Adobe Flash 32.0.0.465 [VirtualBox OVA-template] 39

Зачем и почему

Компания адобе очень жёстко расправилась над adobe flash. Начиная с некоторой версии, апдейты флеша шли с заложенной "закладкой" - "часовой бомбой" на отключение в заданную дату, и в один момент были удалены все ссылки на сайте комании. Однако как огромный массив старых игр и прикольных мультиков, так и ряд старых систем, где веб-интерфейс были на флеше, никуда не делись.
Оказалось, что в 2022 нельзя просто так взять и запустить SWF, и с момента окончательных похорон флеша в 2020-м никто так ничего и не сделал для удобного запуска старого ПО. На офсайте ссылки дохлые, современные браузеры не совместимы c флешем вообще, даже из многих реп флеш выпилен.
Если вам надо просто чуток ностальгировать по той эпохе, поиграть в оригинальные флеш-игры / посмотреть древние swf-мульты, или надо настроить железку / открыть старый сайт с веб-мордой на флеше - то эта ВМ позволит вам сделать это сразу, не занимаясь поисками особых браузеров и совместимой версии плагина. Всё настроено и готово к работе.

Дополнительные опции - обмен файлами с ВМ, обновления, безопасность

Пароли стоят простые, поэтому SSH в сборке выключен из автозагрузки.
Варианты обмена файлами с ВМ:
- подключение из ВМ к внешнему серверу FTP / SSH / WebDAV - программы Gigolo, mc
- есть самба-клиент (для подключения к виндовым шарам)
- монтирование образов напрямую к ВМ.
- подключение извне к ВМ. Логинимся на отдельной консоли (Ctrl-Alt-F2 на виртуально клавиатуре), логинимся рутом, включаем SSH, не забываем поменять пароли и включить парольную авторизацию, если логин не по ключам.
Обновления.
Автоматические обновления отключены (удалены dnfdragora / PackageKit). Надо обновить систему - ручками dnf update -y и reboot в терминале от рута.
Если очень захочется на более новую федору - в помощь команда dnf system-upgrade. Понадобится ещё несколько гигов места, и это более рискованный тип обновления.
Безопасность.
Если вы включили SSH с парольной авторизацией, поставьте стойкий пароль. Но лучше настройте авторизацию по ключам - это несложно.
Адобе флеш сам по себе крайне небезопасен. Используйте снапшот чистого состояния и всегда откатывайте к нему ВМ после работы с неизвестными сторонними файлами.
Если вы используете старую ОС на основном хосте - после закидывания файлов внутрь ВМ можете отключить ВМ от сети (в ВМ меню -> Устройства - Сеть -> снять опцию "Сетевой кабель подключён" )
SELinux-restricted логин
В этой версии включена такая настройка. Теперь в рамках той же GUI-сессии нельзя апнуться до рута, даже зная его пароль.
Для всех системных действий потребуется отдельный логин на отдельной консоли (для включения нужно вызывать виртуальную клавиатуру и использовать комбинации клавиш Ctrl+Alt+F2 / Ctrl+Alt+F1).
Это закрывает возможность делать su до рута из GUI-сессии, закрывает доступ к ряду системных настроек и устройств, пользователь вообще не видит с списке процессов команды других пользователей. Работе флеша, монтирование образов это не мешает.
Как это поменять ?
- вызываем виртуальную клавиатуру, прожимаем Ctrl+Alt+F2, логинимся рутом напрямую.
semanage login -d user1 # снимаем SELinux-ограничения с логина user1
semanage login -a -s user_u user1 # Ставим SELinux-ограничения контекста user_u для логина user1 (всё работает, кроме шаренных каталогов и поднятие привилегий)
semanage login -a -s xguest_u user1 # Ставим SELinux-ограничения контекста xguest_u для логина user1 (не рекомендую, пользователям этого контекста недоустпна звуковая карта, программный ребут заблокирован, пользователь может только разлогиниться)
- ребутимся.
Почему именно Fedora
Это hardened-GNU/Linux дистрибутив с _включенным_ SELinux и рядом защитных мер в ядре, при этом достаточно простой в использовании и весьма надёжный.
В системе не установлены средства запуска DOS/Windows приложений, что делает бесполезным подавляющее большинство старых вредоносных нагрузок, которые в те времена запросто могли встречаться во флеш-контенте, но были заточены сугубо под связки типа IE@виндовс. Это, конечно, не является 100% гарантией, но существенно снижает риски использования. В текущей сборке также применён крайне агрессивный рестрикт - пользователь теперь под селинукс-защитой, контекст user_u.
Особо параноидальный режим сетевой защиты (изоляция от локалки / белый список / мониторинг траффика)
Поднимите рядом ещё одну небольшую ВМ вот отсюда:
В настройках ВМ с флешем укажите тип сетевой карты - "внутренняя сеть", имя сети укажите такое же, как и у второй сетевой карты от мини-гейта.
У первой сетевой карты мини-гейта поставьте тип "сетевой мост" к своей физической сетевой карте.
Запустите обе ВМ. Флеш-контент через такой шлюз не сможет получить доступ в локальную сеть, при этом коннекты во внешний мир проходить будут.
Мини-гейт даёт вам полный контроль над траффиком ВМ с флешем.
Очень жирная ВМ. Есть полегче ?
Да. Вот тут: более легковесная система для проигрывания флеша, но оно больше для SWF-файлов.
Для веб-интерфейсов лучше текущая сборка на федоре.
НЕ ИСПОЛЬЗУЙТЕ одну и ту же ВМ для работы с неизвестным флеш-контентом и критичными сервисами типа банк-клиента в любом случае.