forum.opennet.ru

"Анонсирован Openwall GNU/*/Linux 3.1-stable"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для сортировки сообщений в нити по дате нажмите "Сортировка по времени, UBB".

. *"Анонсирован Openwall GNU//Linux 3.1-stable"**	+2 +/–
Сообщение от solardiz (ok), 07-Янв-15, 12:24
> Я смотрел ранее openwall, <nitpick> JFYI, Openwall - это наша команда. У нас несколько своих проектов, а также поддержка некоторых ресурсов для более широкого сообщества (в частности, список рассылки oss-security) и работы для наших клиентов. Owl - один из проектов, но не основной (мы не выделяем какой-либо проект как основной). </nitpick> > и как это ни странно меня больше всего заинтересовало переведение shadow на tcb, Не странно. Это один из компонентов, требовавшихся для ухода от SUID root программ, что мы и сделали. Наша реализация tcb также применяется в ALT Linux и Mandriva/Mageia, но без их полного ухода от SUID root в поставке по умолчанию это имеет меньший эффект для безопасности системы, чем в Owl. > но решение какое то не полное, сделано только для shadow, а для passwd group gshadow нет. У вас собираются это доделывать? Ой. А что там доделывать, и зачем? Раскидать passwd на кучу мелких файлов "для красоты"? Нет, для безопасности это не нужно. Аналогично с group. Для отказа от SUID root на команде passwd (и chage) достаточно было раскидать shadow. С gshadow вопрос сложнее: тем очень немногим, кто знает о возможности поставить пароль на группу и этим пользуется, да еще и не от root'а, сейчас приходится сначала выполнить команду "control gpasswd wheelonly" или даже "control gpasswd public", при этом получив обратно SUID root на программу gpasswd. Это плохо. Мы могли бы попытаться это решить раскидав gshadow на файлы с администраторами групп в качестве владельцев. Но при этом останется вопрос как этими группами потом пользоваться? Всё равно команда newgrp, которую для этого потребовалось бы включить тем же control'ом, потребовала бы SUID root для переключения группы, либо патча в ядро, чтобы какие-то переключения групп работали с привилегиями, не эквивалентными root'у. Таким образом, мы получили бы либо недоделку, либо неоправданно сложную (и поэтому опасную) конструкцию. И всё ради возможности о которой мало кто знает и совсем мало кто пользуется. К этому можно добавить еще и принципиальные риски, связанные с использованием newgrp из-под пользователя. Поэтому мы поступили проще и поставляем gpasswd и newgrp доступными только root'у, и control-файлы для тех немногих, кто хочет эту возможность включить (на свой риск). Так что нет, мы считаем tcb доделанным.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Анонсирован Openwall GNU/*/Linux 3.1-stable, opennews, 05-Янв-15, 11:25 [смотреть все]

При сборке пакетов по умолчанию включены опции -Wl,-z,relro и -Wl,-z эпическ, Аноним, 05-Янв-15, 11:25 (1) //
- Тут все расписано https wiki debian org Hardening, Аноним, 05-Янв-15, 13:54 (11)
- А ты попробуй hardening-check your executable - узнаешь для себя много нового , Аноним, 05-Янв-15, 18:32 (31)
- facepalm , Аноним, 05-Янв-15, 20:10 (35)
штабильность , Аноним, 05-Янв-15, 11:42 (2) //
- С предыдущего, которое тоже 2 6 18 и тоже разве что по надписи на борту Вы в, Michael Shigorin, 06-Янв-15, 01:33 (41)
это уже не просто консерватизм, а диагноз , Baz, 05-Янв-15, 12:03 (3) //
- Конечно Твой рогрессивизм же не межет быть диагнозом Конечно, нет-нет I I , Andrey Mitrofanov, 05-Янв-15, 12:13 (4)
- Ну так давно известно что самая безопасная система - та которой никто не пользуе, Аноним, 05-Янв-15, 18:04 (27)
Как это сочетатьориентированного на обеспечение высокой безопасности и Вместо b, Сергей, 05-Янв-15, 12:20 (5) //
- всё просто фраза Owl может использоваться как для создания высокозащищённых се, Аноним, 05-Янв-15, 13:17 (9)
- Я сначала даже не понял откуда это взялось, но потом нашел у нас в CHANGES-3 1 з, solardiz, 05-Янв-15, 15:21 (15) //
  - gt оверквотинг удален То есть переход на что-то полегче в bin sh и bash как l, EHLO, 05-Янв-15, 16:18 (21) //
    - Четких планов на этот счет нет Нам бы по более важным вопросам определиться с , solardiz, 05-Янв-15, 17:40 (24)
      - А это потому что все это скриптовое болото писаное левой пяткой никто не пробова, Аноним, 05-Янв-15, 18:14 (28)
        
        Да нет, в скриптах уязвимости то и дело находят И в bash, так скажем, особеннос, solardiz, 05-Янв-15, 18:50 (32)
        
        И почему я не удивлен А шеллшок выделяется тем что показал что1 Нефиг пихать, Аноним, 06-Янв-15, 12:58 (47)
Ностальжи , commiethebeastie, 05-Янв-15, 12:49 (6)
Десктоп параноика, pipip, 05-Янв-15, 12:56 (7) //
- Десктоп параноика, батенька, это, например, Qubes OS Ну или более просто, как у, Аноним, 05-Янв-15, 15:38 (16) //
  - Батенька в винде любит посидеть , MIRV, 05-Янв-15, 16:33 (22) //
    - Только поиграть , Аноним, 05-Янв-15, 19:49 (34)
- Десктоп с ядром 2 6 18 Ну если запускать это на той же машине что жидитоба р, Аноним, 05-Янв-15, 18:16 (29)
старовато ядрышко, безопасность видимо на самом первом плане , dmnord, 05-Янв-15, 13:02 (8) //
- Новые эксплойты делаются под современный софт и новые ядра Очень оригинальный за, Аноним, 05-Янв-15, 13:18 (10) //
  - Понабежали школьники, не знающие про RHEL , Аноним, 05-Янв-15, 15:39 (17) //
    - Так нынче рхел 7 уж вышел А это из пятого еще , Аноним, 05-Янв-15, 18:16 (30)
  - Очень оригинальный защитный ход Security by obscurity , Аноним, 06-Янв-15, 11:00 (46)
- Старовато, да Особенно учитывая предстоящий в феврале EOL этой ветки в проекте , solardiz, 05-Янв-15, 16:02 (19)
От платных эксплойтов вас и старое ядро не спасет , Аноним, 05-Янв-15, 13:56 (12)
На самом деле мы разработчики не считаем выход Owl 3 1-stable важной новостью , solardiz, 05-Янв-15, 15:01 (14) //
- Это действительно хорошая новость Также, как и JTR jumbo Последнего заждались,, Аноним, 05-Янв-15, 15:41 (18)
- solardiz, новости о jtr из первых рук были бы интересны Для людей не подписанны, анон, 05-Янв-15, 16:07 (20) //
  - Не тяжело, но я всё же не стану каждое обновление jumbo анонсировать здесь Это , solardiz, 05-Янв-15, 17:52 (26)
- Конечно Ключевое слово systemd - отсутствует же , myhand, 05-Янв-15, 19:08 (33)
- Да уж поважней многого или даже следует - Интересно As to contributing to m, Michael Shigorin, 06-Янв-15, 01:54 (42) //
  - Здесь есть какие-то правила о не публикации старых новостей Пока что я ви, solardiz, 06-Янв-15, 09:08 (44) //
    - А какие приводятся технические аргументы На localhost systemd нет в силу харак, Michael Shigorin, 07-Янв-15, 18:15 (52)
      - Все, приведенные именно в контексте разработки Owl, есть в том треде в owl-users, solardiz, 08-Янв-15, 14:05 (54)
        
        В этом -- http www openwall com lists owl-users 2014 12 21 2Размышлял над эти, Michael Shigorin, 08-Янв-15, 16:29 (55)
        
        Да, в этом треде в сообщениях от galaxy , solardiz, 09-Янв-15, 11:26 (59)
- Было бы неимоверно круто если бы вы это делали Я иногда посматриваю на него, но, Аноним, 07-Янв-15, 18:31 (53)
Какие данные передаются через пипец, например , Аноним, 05-Янв-15, 17:40 (23) //
- Например, удобно с длинным dd 1 заместо размахивания сигналами и прикидки в уме, Michael Shigorin, 06-Янв-15, 01:57 (43)
А systemd будет , Амоним, 05-Янв-15, 20:27 (36) //
- Всенепременно C ядром 2 6 18, да , Аноним, 05-Янв-15, 20:57 (37)
- ненужно, Аноним, 13-Янв-15, 12:26 (70)
не понял, а зачем этот древний vconfig разве ip link add link eth0 name eth0 12, Amnesiac, 05-Янв-15, 22:11 (38) //
- vconfig add eth0 123, Аноним, 06-Янв-15, 01:12 (40) //
  - И что Типа, короче Тю cat my_vconfig bin shusage echo usage basenam, Amnesiac, 06-Янв-15, 17:35 (48)
- Legacy По сути уже не нужен Если проектом снова заняться всерьез, надо бы пере, solardiz, 06-Янв-15, 09:18 (45) //
  - Я смотрел ранее openwall, и как это ни странно меня больше всего заинтересовало , Павел Самсонов, 07-Янв-15, 11:48 (49) //
    - nitpick JFYI, Openwall - это наша команда У нас несколько своих проектов, а та , solardiz, 07-Янв-15, 12:24 (50)
      - gt оверквотинг удален Чесно говоря я так исчитал что это логичный следующий ша, Павел Самсонов, 08-Янв-15, 18:18 (56)
        
        Ах да, chfn и chsh у нас сейчас поставляются ограниченными только для root а Ра, solardiz, 09-Янв-15, 11:23 (58)
      - gt оверквотинг удален Да я забыл, вы правы, newgrp может только root, это setc, Павел Самсонов, 08-Янв-15, 18:38 (57)
  - Это уже сделано в etcnet, если что , Michael Shigorin, 07-Янв-15, 18:12 (51)
Интересует также результат прохождение передовых тестов paxtest http pax grsec, Аноним, 10-Янв-15, 17:55 (60) //
- но далеко не все По ряду показателей Owl сейчас отстает от других hardened , solardiz, 10-Янв-15, 19:07 (61) //
  - PAX Grsecurity занимаются почти исключительно ядром Linux и компилятором GCC , Аноним, 12-Янв-15, 16:58 (63) //
    - Я в курсе Довольно странно мне рассказывать про проект, который исходно появилс, solardiz, 12-Янв-15, 19:01 (65)
      - Респект gradm умеет автоматом создавать политики в сравнении с selinux где поли, Аноним, 13-Янв-15, 10:51 (67)
  - Свяжись с gentoo-hardened на lists gentoo org или gentoo-hardened на irc freeno, Аноним, 12-Янв-15, 17:18 (64) //
    - Мы немного общаемся с конкретными ребятами из Gentoo , но активно туда что-то п, solardiz, 12-Янв-15, 19:12 (66)
      - При других обстоятельствах может бы взялся за поддержку ваших патчей в Гентоо, н, Аноним, 13-Янв-15, 11:02 (68)
        
        Для очевидных фиксов так и делаем С требующими обсуждения убеждения вещами - сл, solardiz, 13-Янв-15, 11:20 (69)
        
        Хотел задать ещё вопрос о ситуации с продвижением патчей grsecurity PaX и Openwa, Аноним, 13-Янв-15, 13:05 (71)
        
        Я когда-то частично это прокомментировал здесь http www opennet ru openforum , solardiz, 13-Янв-15, 17:35 (72)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру