Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Анонсирован Openwall GNU/*/Linux 3.1-stable, opennews (??), 05-Янв-15, (0) [смотреть все] При сборке пакетов по умолчанию включены опции -Wl,-z,relro и -Wl,-z эпическ, Аноним (-), 11:25 , 05-Янв-15, (1) –3 // Тут все расписано https wiki debian org Hardening, Аноним (-), 13:54 , 05-Янв-15, (11) +1 А ты попробуй hardening-check your executable - узнаешь для себя много нового , Аноним (-), 18:32 , 05-Янв-15, (31) +1 facepalm , Аноним (-), 20:10 , 05-Янв-15, (35) штабильность , Аноним (-), 11:42 , 05-Янв-15, (2) +3 // С предыдущего, которое тоже 2 6 18 и тоже разве что по надписи на борту Вы в, Michael Shigorin (ok), 01:33 , 06-Янв-15, (41) это уже не просто консерватизм, а диагноз , Baz (?), 12:03 , 05-Янв-15, (3) –2 // Конечно Твой рогрессивизм же не межет быть диагнозом Конечно, нет-нет I I , Andrey Mitrofanov (?), 12:13 , 05-Янв-15, (4) +2 Ну так давно известно что самая безопасная система - та которой никто не пользуе, Аноним (-), 18:04 , 05-Янв-15, (27) Как это сочетатьориентированного на обеспечение высокой безопасности и Вместо b, Сергей (??), 12:20 , 05-Янв-15, (5) –1 // всё просто фраза Owl может использоваться как для создания высокозащищённых се, Аноним (-), 13:17 , 05-Янв-15, (9) Я сначала даже не понял откуда это взялось, но потом нашел у нас в CHANGES-3 1 з, solardiz (ok), 15:21 , 05-Янв-15, (15) +4 // gt оверквотинг удален То есть переход на что-то полегче в bin sh и bash как l, EHLO (?), 16:18 , 05-Янв-15, (21)   // Четких планов на этот счет нет Нам бы по более важным вопросам определиться с , solardiz (ok), 17:40 , 05-Янв-15, (24) +1   А это потому что все это скриптовое болото писаное левой пяткой никто не пробова, Аноним (-), 18:14 , 05-Янв-15, (28)   Да нет, в скриптах уязвимости то и дело находят И в bash, так скажем, особеннос, solardiz (ok), 18:50 , 05-Янв-15, (32) +3   И почему я не удивлен А шеллшок выделяется тем что показал что1 Нефиг пихать, Аноним (-), 12:58 , 06-Янв-15, (47)   Ностальжи , commiethebeastie (ok), 12:49 , 05-Янв-15, (6) Десктоп параноика, pipip (?), 12:56 , 05-Янв-15, (7) // Десктоп параноика, батенька, это, например, Qubes OS Ну или более просто, как у, Аноним (-), 15:38 , 05-Янв-15, (16) –2 // Батенька в винде любит посидеть , MIRV (?), 16:33 , 05-Янв-15, (22) +4 // Только поиграть , Аноним (-), 19:49 , 05-Янв-15, (34) Десктоп с ядром 2 6 18 Ну если запускать это на той же машине что жидитоба р, Аноним (-), 18:16 , 05-Янв-15, (29) –3 старовато ядрышко, безопасность видимо на самом первом плане , dmnord (ok), 13:02 , 05-Янв-15, (8) // Новые эксплойты делаются под современный софт и новые ядра Очень оригинальный за, Аноним (-), 13:18 , 05-Янв-15, (10) // Понабежали школьники, не знающие про RHEL , Аноним (-), 15:39 , 05-Янв-15, (17) +4 // Так нынче рхел 7 уж вышел А это из пятого еще , Аноним (-), 18:16 , 05-Янв-15, (30) Очень оригинальный защитный ход Security by obscurity , Аноним (-), 11:00 , 06-Янв-15, (46) Старовато, да Особенно учитывая предстоящий в феврале EOL этой ветки в проекте , solardiz (ok), 16:02 , 05-Янв-15, (19) +2 От платных эксплойтов вас и старое ядро не спасет , Аноним (-), 13:56 , 05-Янв-15, (12) –1 На самом деле мы разработчики не считаем выход Owl 3 1-stable важной новостью , solardiz (ok), 15:01 , 05-Янв-15, (14) +6 // Это действительно хорошая новость Также, как и JTR jumbo Последнего заждались,, Аноним (-), 15:41 , 05-Янв-15, (18) solardiz, новости о jtr из первых рук были бы интересны Для людей не подписанны, анон (?), 16:07 , 05-Янв-15, (20) +1 // Не тяжело, но я всё же не стану каждое обновление jumbo анонсировать здесь Это , solardiz (ok), 17:52 , 05-Янв-15, (26) +1 Конечно Ключевое слово systemd - отсутствует же , myhand (ok), 19:08 , 05-Янв-15, (33) –1 Да уж поважней многого или даже следует - Интересно As to contributing to m, Michael Shigorin (ok), 01:54 , 06-Янв-15, (42) +2 // Здесь есть какие-то правила о не публикации старых новостей Пока что я ви, solardiz (ok), 09:08 , 06-Янв-15, (44) +2 // А какие приводятся технические аргументы На localhost systemd нет в силу харак, Michael Shigorin (ok), 18:15 , 07-Янв-15, (52) Все, приведенные именно в контексте разработки Owl, есть в том треде в owl-users, solardiz (ok), 14:05 , 08-Янв-15, (54) +1 В этом -- http www openwall com lists owl-users 2014 12 21 2Размышлял над эти, Michael Shigorin (ok), 16:29 , 08-Янв-15, (55) Да, в этом треде в сообщениях от galaxy , solardiz (ok), 11:26 , 09-Янв-15, (59) +1 Было бы неимоверно круто если бы вы это делали Я иногда посматриваю на него, но, Аноним (-), 18:31 , 07-Янв-15, (53) Какие данные передаются через пипец, например , Аноним (-), 17:40 , 05-Янв-15, (23) –1 // Например, удобно с длинным dd 1 заместо размахивания сигналами и прикидки в уме, Michael Shigorin (ok), 01:57 , 06-Янв-15, (43) А systemd будет , Амоним (?), 20:27 , 05-Янв-15, (36) +1 // Всенепременно C ядром 2 6 18, да , Аноним (-), 20:57 , 05-Янв-15, (37) ненужно, Аноним (-), 12:26 , 13-Янв-15, (70) не понял, а зачем этот древний vconfig разве ip link add link eth0 name eth0 12, Amnesiac (?), 22:11 , 05-Янв-15, (38) // vconfig add eth0 123, Аноним (-), 01:12 , 06-Янв-15, (40) +1 // И что Типа, короче Тю cat my_vconfig bin shusage echo usage basenam, Amnesiac (?), 17:35 , 06-Янв-15, (48) Legacy По сути уже не нужен Если проектом снова заняться всерьез, надо бы пере, solardiz (ok), 09:18 , 06-Янв-15, (45) +1 // Я смотрел ранее openwall, и как это ни странно меня больше всего заинтересовало , Павел Самсонов (?), 11:48 , 07-Янв-15, (49) // nitpick JFYI, Openwall - это наша команда У нас несколько своих проектов, а та, solardiz (ok), 12:24 , 07-Янв-15, (50) +2 gt оверквотинг удален Чесно говоря я так исчитал что это логичный следующий ша, Павел Самсонов (?), 18:18 , 08-Янв-15, (56) Ах да, chfn и chsh у нас сейчас поставляются ограниченными только для root а Ра, solardiz (ok), 11:23 , 09-Янв-15, (58) +1 gt оверквотинг удален Да я забыл, вы правы, newgrp может только root, это setc, Павел Самсонов (?), 18:38 , 08-Янв-15, (57) Это уже сделано в etcnet, если что , Michael Shigorin (ok), 18:12 , 07-Янв-15, (51) Интересует также результат прохождение передовых тестов paxtest http pax grsec, Аноним (-), 17:55 , 10-Янв-15, (60) +1 // но далеко не все По ряду показателей Owl сейчас отстает от других hardened , solardiz (ok), 19:07 , 10-Янв-15, (61) +1 // PAX Grsecurity занимаются почти исключительно ядром Linux и компилятором GCC , Аноним (-), 16:58 , 12-Янв-15, (63) // Я в курсе Довольно странно мне рассказывать про проект, который исходно появилс, solardiz (ok), 19:01 , 12-Янв-15, (65) +1 Респект gradm умеет автоматом создавать политики в сравнении с selinux где поли, Аноним (-), 10:51 , 13-Янв-15, (67) Свяжись с gentoo-hardened на lists gentoo org или gentoo-hardened на irc freeno, Аноним (-), 17:18 , 12-Янв-15, (64) +1 // Мы немного общаемся с конкретными ребятами из Gentoo , но активно туда что-то п, solardiz (ok), 19:12 , 12-Янв-15, (66) При других обстоятельствах может бы взялся за поддержку ваших патчей в Гентоо, н, Аноним (-), 11:02 , 13-Янв-15, (68) Для очевидных фиксов так и делаем С требующими обсуждения убеждения вещами - сл, solardiz (ok), 11:20 , 13-Янв-15, (69) Хотел задать ещё вопрос о ситуации с продвижением патчей grsecurity PaX и Openwa, Аноним (-), 13:05 , 13-Янв-15, (71) Я когда-то частично это прокомментировал здесь http www opennet ru openforum , solardiz (ok), 17:35 , 13-Янв-15, (72) 1,2,3,5,6,7,8,12,14,23,36,38,60

Сообщения

[Сортировка по времени | RSS]

	21. "Анонсирован Openwall GNU/*/Linux 3.1-stable"	+/–
	Сообщение от EHLO (?), 05-Янв-15, 16:18
	>[оверквотинг удален] > нас в CHANGES-3.1 запись, которая могла быть так интерпретирована. На самом > деле, в ней речь шла об изменении имени шелла (а не > самого шелла) при работе с LiveCD, чтобы включалась цветная выдача в > команде ls. А bash запускался и до и после этого изменения. > В качестве альтернативы в Owl есть tcsh. Иронию насчет bash'а и > его излишней функциональности я понимаю и принимаю: > http://www.openwall.com/presentations/ZeroNights2014-Is-Info... > http://www.openwall.com/presentations/ZeroNights2014-Is-Info... > Разумеется, Shellshock в Owl 3.1-stable исправлен. Но ирония осталась, да и раньше > была. То есть переход на что-то полегче в /bin/sh и bash как login shell как в Дебиане не планируете?
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Анонсирован Openwall GNU/*/Linux 3.1-stable"	+1 +/–
	Сообщение от solardiz (ok), 05-Янв-15, 17:40
	> То есть переход на что-то полегче в /bin/sh и bash как login shell как в Дебиане не планируете? Четких планов на этот счет нет. (Нам бы по более важным вопросам определиться с будущим проекта.) Если bash всё равно останется в Owl, то добавление какого-то еще шелла лишь увеличивает суммарное количество потенциальных уязвимостей - возможно, не в конкретных установленных системах, но в дистрибутиве, а значит и с точки зрения его поддержки и нами и сисадминами. Тот же dash в Debian вполне вероятно помог спасти от Shellshock отдельные сервисы и даже системы, но для сисадминов работы было не меньше так как заранее (без затрат времени на анализ) было не понять не уязвим ли какой-либо сервис на конкретной системе через запуск bash откуда-то еще (не как login shell) - так что системы всё равно следовало обновлять все. Также, Shellshock - это (пока?) один такой пример за ~25 лет. Да, в bash много "лишнего", но для безопасности важен attack surface. А так ли уж больше attack surface в bash с полностью исправленным Shellshock (включая prefix/suffix patch от Florian'а, что исключает парсер из атак через произвольные переменные окружения), чем в том же dash? Возможно, да, но не проанализировав control и data flow в том и другом, я не уверен. Делать предположения по общему объему кода можно (в целом для большого количества различных шеллов положительная корреляция объема кода и attack surface должна быть), но в отдельном случае можно и ошибиться. Не хотелось бы принимать решения не изучив вопрос всерьез, но и не хотелось бы тратить значительное время на не очень важный для проекта вопрос. (Да, у меня опять вышел слишком длинный ответ.)
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Анонсирован Openwall GNU/*/Linux 3.1-stable"	+/–
	Сообщение от Аноним (-), 05-Янв-15, 18:14
	> Shellshock - это (пока?) один такой пример за ~25 лет. А это потому что все это скриптовое болото писаное левой пяткой никто не пробовал палочкой тыкать и это судя по всему была одна из первых попыток покормить скрипты работающих с внешними данными черти чем. Судя по результативности, когда на половине систем DHCP сервер может рута получить нахаляву - теперь внимания таким атакам будет больше. > Да, в bash много "лишнего", но для безопасности важен attack surface. Как по мне так куча скриптятины писаной без оглядки на интенсивную бомбардировку недоверяемыми данными, скомпонованными недружелюбно - похоже на целое отдельное минное поле. Большинство авторов скриптов при их написании элементарно не думает что вон те данные - приходят от ремотных систем и могут содержать что угодно. > А так ли уж больше attack surface в bash с полностью исправленным Shellshock Я бы сказал что в целом вываливание скриптятины писаной абы кем и абы как и потом кормление этого барахла внешними данными - выглядит как довольно стремное начинание. Вообще в целом. Шелл интерпретаторы весьма фичасты и сами по себе не создавались для работы с недоверяемыми входными данныи. А скрипты всегда были средством системной автоматизации. А не линией обороны. А тут всякие умники додумались через скрипты какие-нибудь параметры DHCP передавать. При том что туда DHCP может пхать что угодно. Я думаю что вас (и нас) будет ждать изрядно неприятных сюрпризов.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Анонсирован Openwall GNU/*/Linux 3.1-stable"	+3 +/–
	Сообщение от solardiz (ok), 05-Янв-15, 18:50
	>> Shellshock - это (пока?) один такой пример за ~25 лет. > А это потому что все это скриптовое болото писаное левой пяткой никто не пробовал палочкой тыкать Да нет, в скриптах уязвимости то и дело находят. И в bash, так скажем, особенности бывали, хотя и на удивление мало (известных) - лет 15 назад была история с обработкой символа '\xff' в скриптах. Но Shellshock выделяется тем, что обрабатывались произвольные переменные окружения, bash'у и конкретным скриптам не предназначенные, в результате чего уязвимым оказался запуск бинарных программ через "bash -c", system(), popen() и т.д. даже при отсутствии скриптов (в полном смысле).
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Анонсирован Openwall GNU/*/Linux 3.1-stable"	+/–
	Сообщение от Аноним (-), 06-Янв-15, 12:58
	> Да нет, в скриптах уязвимости то и дело находят. И почему я не удивлен? :) А шеллшок выделяется тем что показал что 1) Нефиг пихать стремные фичи "чтоб было". Идея как-то сильно кастомно обрабатывать переменные окружения - это по любому хорошая заявка на залет. 2) Это же касается и иных входных данных. В шелскриптах вечный гемор с эскейпингом и специальной обработкой кучи всего. Если скриптам отдавать хоть какие-то данные, приезжающие с недоверяемых внешних систем - там целое поле для грабель. А скриптеры к тому же очень редко думают о таком развитии ситуации.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема