forum.opennet.ru

"Проект по портированию механизма изоляции pledge для Linux"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Проект по портированию механизма изоляции pledge для Linux"	–1 +/–
Сообщение от Аноним (-), 18-Июл-22, 12:11
// disclaimer: я другой анон но разделяю взгляды того анона, поэтому... > Дело в том, что "интегрировать в systemd" -- это здесь такая дежурная > шутка. Потому не всегда понятно, что имеет ввиду автор сообщения. При том 90% шутников - некомпетентные ламы заучившие в лохматые годы команды и решившие что других вариаинтов нет и быть не может. Им плевать что линух за годы ушел сильно вперед, что там куча фич. Так то clone() и unshare() довольно забавно сделаны. Namespaces вращаются вокруг них. Чем процесс от треда в линухе отличается? У процесса unshare()'d немного больше. А у контейнеров - еще немного больше. В принципе комбо флагов вроде даже можно получить "внеклассовые" абстракции. То что это никто не делает - ну, есть устаканившиеся варианты, они понятны пиплу, ими и пользуются. > Я когда-то написал, что может иметь смысл добавить в пакетный менеджер функцию > контроля за целостностью системы, наверное, тоже восприняли как "шутку". А в какой пакетный менеджер это надо добавлять? У редхата есть, для дебиана отдельная утилса есть, а у какого-нибудь арча пакетник что так рудиментарный что эдак. А что до системды: лично я тоже использую урезание прав системным сервисам системдой. Оно может и сисколы порубать, и юзера выставить, и unshare того или иного namespace сделать. Там есть свои тупняки, но, вообще, можно конфижком на полэкрана нехило доступ в систему порубать, при том вот именно unix way-ем такое не особо то и соберешь - просто потому что в процессе сборки изолированой арены нужные части системы уже недоступны. А зачем вебсерваку уметь вызывать баш? Чтобы скриптокиду было удобнее систему ломать? А вот хрен ему, удобно админу должно быть, хакерам наоборот. Иначе нахрен такая безопасность нужна? Заодно там же всякие шедулеры и приоритеты им можно поставить и проч и все такое прочее. Идея всегда-резидентной привилегированой запускалки которая может отвесить все нужные сисколы в верном порядке, не развалив арену и не завися от внешних компонентов (которые в контейнерах становятся недоступны) имхо сама по себе ОК. Поцтер просто вовремя не угомонился и чересчур разогнался. Скажем нетворкд вышел странной хренью, но он вообще опционален.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Проект по портированию механизма изоляции pledge для Linux, opennews, 15-Июл-22, 14:33 [смотреть все]

FreeBSD обгадили pledge , хотя работа там уже большая проделана, думаю этот про, Аноним, 15-Июл-22, 14:39 (4) //
- Сабжу похрен будет его кто ревьюить или нет У них там своя либа и свой враппер,, Аноним, 18-Июл-22, 10:56 (78)
Оно не будет адски тормозить со всеми этими проверками , Аноним, 15-Июл-22, 14:42 (6) //
- Будет но что ты называешь адски Это зависит от твоего самоощущения , Аноним, 15-Июл-22, 14:43 (8) //
  - Юзера пускают с BPF в ядро, чтобы фильтровать этого самого юзера , Аноним, 16-Июл-22, 12:32 (54) //
    - P S И вообще, что значит модифицированного приложения Огораживаемое приложен, Аноним, 16-Июл-22, 12:39 (56)
      - Это может иметь смысл для компонентов системы Хэккер обнаружил технологическое , n00by, 16-Июл-22, 13:04 (58)
        
        Значит, псевдо-защита уже не сработала, если прошла удалённая атака , Аноним, 16-Июл-22, 13:37 (60)
        
        Подменять ошибка в программе на защита - так себе приём риторики Складывает, n00by, 16-Июл-22, 14:31 (62)
        
        Хорошо Хэккер ошибочно попал на твой комп Он не хотел, но попал , Аноним, 16-Июл-22, 17:02 (66)
        
        Ну вот, попал он и пишет привычно perl exe --skompilirovat-sploetа тот ему в отв, n00by, 16-Июл-22, 19:39 (67)
        
        По такой же технологии некто тигар на freebsd вырусы на хостинге тролил, мол, п, Аноним, 18-Июл-22, 11:13 (81)
        
        Так то да Но в условном банке есть СБ, камеры, сигнализация, сейф с ключами А , n00by, 18-Июл-22, 11:34 (86)
        
        Да, необычное окружение - может поломать вредителю планы, демаскировать его и пр, Аноним, 19-Июл-22, 01:14 (91)
        
        Ну конечно, многоступенчатые системы защиты, несколько линий обороны и прочие не, Аноним, 18-Июл-22, 11:01 (79)
        
        Если твой Хэккер уже в системе, сдались ему системные компоненты, он будет сво, Аноним, 16-Июл-22, 13:40 (61)
        
        Боюсь, это слишком сложный сценарий атаки, что бы я мог его понять , n00by, 16-Июл-22, 14:37 (63)
        
        Учись, студент с , Аноним, 16-Июл-22, 17:00 (65)
        
        Я и так могу с ещё более меньшим содержанием смысла произвольные слова скомбинир, n00by, 16-Июл-22, 19:49 (68)
        
        На mirai позырь Делает такой себе libc-типа минимальный прямо из сисколов ядр, Аноним, 18-Июл-22, 11:12 (80)
        
        Так тут вызовы в ядре фильтруются, какая разница, если ли связывание с libc Как, n00by, 18-Июл-22, 11:25 (85)
        
        Если вот именно в ядре, и мы в его контексте - тогда по идее упс Mirai линуксный, Аноним, 18-Июл-22, 13:54 (89)
        
        1 предлагаю вам уточнить - что значит проник в систему иначе разговор ни о ч, john_erohin, 17-Июл-22, 19:31 (73)
        
        Предлагаю оставлять при цитировании контекст Это может иметь смысл для компоне, n00by, 18-Июл-22, 08:44 (76)
        
        ок вот что значит проник в систему пусть так будет а далее произвольный код, john_erohin, 24-Июл-22, 20:10 (104)
        
        Код никуда на ходит, а располагается в памяти Исполняет его процессор При этом, n00by, 26-Июл-22, 07:03 (106)
        
        это были данные они сперва оказались в памяти ядра,а потом почему-то выполнилис, john_erohin, 26-Июл-22, 13:17 (107)
        
        Это сценарий с отличной от нуля вероятностью Полная вероятность события 171 п, n00by, 27-Июл-22, 14:43 (108)
- Всего лишь до уровня первопня на i9-11xxx, Жироватт, 15-Июл-22, 15:04 (12)
- Это как бы от программы сильно зависит Скажем чтобы активно считать вообще не н, Аноним, 16-Июл-22, 00:42 (36)
- Если программа которую Вы используете лезет туда, куда не следует, то ИМХО нео, Аноним, 16-Июл-22, 07:47 (42) //
  - Уже дырища в системе, поздно лечить , Аноним, 16-Июл-22, 16:58 (64)
чой-та не понял можно ли этой штуковиной скрыть для приложения системный файл, кофейник, 15-Июл-22, 16:37 (16) //
- firejail --blacklist etc --noprofile --net none bash, Аноним, 15-Июл-22, 19:51 (25) //
  - Чем это лучше unshare -n Он же про другое спрашивает Вот как в венде, пока про, Аноним, 15-Июл-22, 20:45 (26) //
    - Тем, что firejail точно имеет SUID флаг в любом дистрибутиве Человек спросил пр, Аноним, 15-Июл-22, 20:52 (27)
    - Но ведь в винде только входящие порты запрещены, Аноним, 15-Июл-22, 22:18 (32)
      - Если галочку поставить , Аноним, 15-Июл-22, 23:42 (35)
    - Умеет в довольно продвинутые профайлы Которые для популярных штук написаны не в, Аноним, 16-Июл-22, 00:45 (37)
    - и даже сервер DNS не сможет запросить и получить ответ ps стандартный бикон , john_erohin, 17-Июл-22, 19:37 (74)
      - Еще половина малвари просто просит браузер сходить на урлу Предполагая что брау, Аноним, 19-Июл-22, 02:40 (94)
        
        кстати если от имени текущий юзер , и этот юзер - я, то uMatrix, настроенный , john_erohin, 24-Июл-22, 20:34 (105)
  - он SUIDный и проблемный по безопасности https www opennet ru opennews art s, кофейник, 16-Июл-22, 09:36 (44) //
    - Прекратите сами себя накручивать - использование firejail вполне безопасно Даже, Аноним, 16-Июл-22, 11:22 (47)
  - Так приведённое выше --net none не запретит программе никуда не идти , Аноним, 16-Июл-22, 11:29 (48) //
    - Всё запущенное внутри изоляции, тупо не увидит сетевой интерфейс , Аноним, 16-Июл-22, 12:24 (53)
    - Куда ж ты пойдешь на машине без сети В новом namespace сети - тупо интерфейсов , Аноним, 18-Июл-22, 11:17 (82)
      - локалхост там есть, но он не связан с интерфейсом реальной системы, Аноним, 18-Июл-22, 11:41 (87)
        
        По-моему, lo создавать надо самому, если это на уровне именно создания namespace, Аноним, 19-Июл-22, 01:29 (92)
- Да, в описании написано, что можно указать списки директорий для чтения, записи , freehck, 16-Июл-22, 11:04 (46)
Т е ещё нужно активировать BPF в котором будет работать вирусня имеющая привиле, Аноним, 15-Июл-22, 16:41 (17) //
Надо отметить, что утилита-обёртка не может полностью заменить явный вызов pledg, Аноним, 15-Июл-22, 17:43 (20) //
- Сразу видно человека не разбирающегося в теме, Аноним, 15-Июл-22, 19:40 (24) //
  - Буду рад развёрнутому ответу , Аноним, 15-Июл-22, 21:32 (29)
По-моему, проблема в том, что тому же браузеру, самой уязвимой программе на моём, Аноним, 15-Июл-22, 18:07 (21) //
- Но вы же можете скачивать страницы через wget, а просматривать через less Немно, Аноним, 15-Июл-22, 19:23 (23) //
  - в которых ничего нет, кроме адресов скриптов , Аноним, 15-Июл-22, 21:03 (28) //
    - Такие страницы не индексируются Скачать скрипты, скачать json ответы Смотреть и, Аноним, 15-Июл-22, 22:12 (30)
    - Нормальный такой unix-way уровня tar gz где для получения списка файлов нужно ве, Аноним, 15-Июл-22, 22:15 (31)
      - Ты в опаснасте Тебя злая дядя такать пистолет и заставлять использовать тара-гз, gogo, 16-Июл-22, 01:35 (39)
  - Начала 80х годов прошлого века , _kp, 18-Июл-22, 10:49 (77)
  - Проиграл с клоуна , Аноним, 19-Июл-22, 08:53 (95)
- Ну оно их и получает Вопрос только где и почему Так что вот тут оно видит D, Аноним, 16-Июл-22, 00:48 (38)
- Отнюдь не все Вот пример использования pledge и unveil для разных процессов огн, Аноним, 16-Июл-22, 11:31 (49)
https justine lolВот что скажу это прекрасный хакер в лучшем смысле этого сло, freehck, 15-Июл-22, 23:03 (34)
Модератор freehck опять мое сообщение удалил, про добавление этого механизма изо, Аноним, 16-Июл-22, 20:00 (69) //
- Дело в том, что интегрировать в systemd -- это здесь такая дежурная шутка Пот, n00by, 16-Июл-22, 20:09 (70) //
  - disclaimer я другой анон но разделяю взгляды того анона, поэтому При том 9 , Аноним, 18-Июл-22, 12:11 (88) //
    - В том случае Михаил Шигорин кого-то озадачил вопросом предложите что-то конкрет, n00by, 18-Июл-22, 15:24 (90)
      - Тут что угодно может быть Он периодически пытается допустим дебианщиков подъ , Аноним, 19-Июл-22, 02:24 (93)
        
        Пакетник тоже может дать отлуп - он знает, что вот эти файлы именно такой верс, n00by, 19-Июл-22, 09:33 (96)
        
        Это что, на каждый сискол мнение пакетника спрашивать И сколько MIOPS core полу, Аноним, 19-Июл-22, 10:40 (97)
        
        Нет Самый очевидный вариант - нотификации ФС Касаемо pledge эти вопросы ведь ни, n00by, 19-Июл-22, 11:22 (98)
        
        Нотификации приходят постфактум, в этот момент уже поздно отлуп возвращать К то, Аноним, 19-Июл-22, 14:14 (99)
        
        ИМХО позорно другое Для Виндоса, где как бы нет исходников ОС, одних только ант, n00by, 19-Июл-22, 16:12 (100)
        
        Ну-ну https github com freebsd pkg blob master mk static-lib mk code ldd -f, Аноним, 19-Июл-22, 23:06 (101)
        
        Как я успел понять из недавней темы про руткит с LD_PRELOAD, в GNU Linux сформир, n00by, 20-Июл-22, 06:14 (102)
- хорошим дополнением именно за счет простоты настройки, Аноним, 16-Июл-22, 21:16 (71)
Космополитан, лол 3, Аноним, 18-Июл-22, 11:21 (84)
Угадайте, кто в первую очередь будет использовать этот pledge Гугля , Аноним, 22-Июл-22, 15:13 (103)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру