Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

В OpenBSD предложен новый системный вызов unveil() для изоля..., opennews (?), 29-Июл-18, (0) [смотреть все] А если открыт допуск на запуск bin sh , - что еще надо подлому коту Леопольду , Аноняшка (?), 09:04 , 29-Июл-18, (1) +7 // Как и sudo на запуск любого контекста, Аноним (4), 09:15 , 29-Июл-18, (4) –1 // Можно и не любого Как настроишь, так и будет , Catwoolfii (ok), 09:31 , 29-Июл-18, (5) –1 ну-ну , Аноним (28), 18:28 , 29-Июл-18, (28) +1 В принципе, в сочетании с pledge можно как раз очень сильно ограничить возможно, Аноним (10), 11:53 , 29-Июл-18, (10) Сам по себе bin sh не много умеет , Аноним (59), 00:59 , 31-Июл-18, (59) // Всего лишь запускать произвольные программы и открывать произвольные файлы, угу , PereresusNeVlezaetBuggy (ok), 13:21 , 31-Июл-18, (62) +3 AppArmor в бинарнике сотворили , Аноним (4), 09:06 , 29-Июл-18, (2) –4 // Тоже такая мысль сразу возникла , Аноним (24), 16:30 , 29-Июл-18, (24) Странно ограничивать приложение из него самого Еще и окажется, что надо исходни, Аноним (3), 09:15 , 29-Июл-18, (3) +4 // Разработчикам стоит просто выпилить поддержку OpenBSD для решения проблемы , Аноним (4), 09:35 , 29-Июл-18, (6) –5 // Разработчикам чего Решению какой именно проблемы Боюсь, выпиливание поддержки , Аноним (28), 12:53 , 29-Июл-18, (19) +4 Леннарт, залогиньтесь , Аноним (67), 10:59 , 19-Ноя-19, (67) Наоборот, только приложение автор приложения знает какие доступы ему нужны А , anonymous (??), 11:02 , 29-Июл-18, (7) +1 // Ну да, и автор тоже великолепно знает, куда я хочу положить данные , Prototik (ok), 11:33 , 29-Июл-18, (9) +1 // А что, у нас open уже мысли научился читать Так или иначе белый путь приложение, anonymous (??), 12:07 , 29-Июл-18, (13) +1 C Program Files Program name Temp, Аноним (20), 15:12 , 29-Июл-18, (20) –1 Я могу тоже написать любой путь Какая мысль скрыта за ним То что на системе по, anonymous (??), 15:17 , 29-Июл-18, (21) +1 Конечно знает Хардкоденные пути он и так знает Нехардкоденные - прочитает из к, Аноним (67), 11:01 , 19-Ноя-19, (68) Более того, именно само приложение знает, когда привилегии перестают быть нужны , Аноним (10), 11:58 , 29-Июл-18, (11) +1 Я автор софта для наложения смешных эффектов на фотки Моему приложению нужен до, Аноним (14), 12:23 , 29-Июл-18, (14) +8 // Вам лучше так и оставаться на прикладном уровне и пользоваться android sdk Огра, anonymous (??), 12:31 , 29-Июл-18, (15) +2 man sarcasm, .. (?), 18:17 , 29-Июл-18, (27) +7 GPS, биометрический сенсор и доступ к фитнес-трекеру забыл , Аноним (67), 11:02 , 19-Ноя-19, (69) Очевидное применение , - ограничивать любой интерпретатор , aknor (?), 12:33 , 29-Июл-18, (16) –2 Странно не слышать ни разу о добровольном сбросе привилегий на случай уязвимос, Аноним (28), 12:39 , 29-Июл-18, (17) +2 // Чувак, я ничерта не понял из того что ты сказал, но ты заговорил и достучался до, Аноним (45), 00:54 , 30-Июл-18, (45) +1 Если приложение может прочитать путь из конфига, оно его и будет вайтлистить, не, Аноним (31), 19:57 , 29-Июл-18, (31) +1 unveil 8212 это защита от ситуаций, когда порядочная программа взламывается и, PereresusNeVlezaetBuggy (ok), 20:47 , 29-Июл-18, (35) +5 Это аналог firejailOpenBSD 1, Alex (??), 11:21 , 29-Июл-18, (8) –1 // Нет, это не аналог firejail Приезжайте на LVEE, расскажу подробнее , Аноним (10), 12:00 , 29-Июл-18, (12) firejail и используемый там seccomp на бумаге гибче, но на практике абсолютно , Аноним (50), 03:43 , 30-Июл-18, (50) +3 Я в начале подумал, что системный вызов назвали unevil, Аноним (18), 12:42 , 29-Июл-18, (18) +1 // Это обыгрывалось, да, только уже не помню, кем , PereresusNeVlezaetBuggy (ok), 15:24 , 29-Июл-18, (22) +2 когда хотели изобрести SELinux, но не догадались вынести список файлов в отдельн, Аноним (23), 16:06 , 29-Июл-18, (23) –2 // Когда лапчато-перепончатые не в курсе, но гордо задранную гузку после высказыван, Аноним (28), 17:02 , 29-Июл-18, (25) Когда кто-то хотел сумничать, но громко напузырял Пути сцеплены с логикой прило, anonymous (??), 18:00 , 29-Июл-18, (26) // Что в SELinux костыльного Реализация в ядре, гибкая настройка всего и всея в юз, Аноним (29), 19:27 , 29-Июл-18, (29) –4 // чувааак тут недавно нет бсд 8 вышла с тем же pkgsrc не нравится опенка , adaww (?), 19:45 , 29-Июл-18, (30) –1 Все Потому что написание правил selinux заслуженно считается крайне трудоемким , Аноним (31), 20:38 , 29-Июл-18, (32) +5 Верно Как раз для Chrome уже давно реализована песочница на базе pledge , тепе, PereresusNeVlezaetBuggy (ok), 20:54 , 29-Июл-18, (36) В лялихе не через pledge, там seccomp , Аноним (31), 20:55 , 29-Июл-18, (37) Угу К SECCOMP ещё несколько лет назад была масса вопросов вроде возможности от, PereresusNeVlezaetBuggy (ok), 21:07 , 29-Июл-18, (38) Насчет отыграть не в курсе 8212 можно ссылку , Аноним (31), 21:28 , 29-Июл-18, (40) +1 PR_SET_NO_NEW_PRIVS появился в 3 5 только, если я правильно разобрался , PereresusNeVlezaetBuggy (ok), 01:29 , 30-Июл-18, (46) Если я правильно понял описание, то это для того, чтобы потомки не могли делать , A. Stahl Is Gay (?), 13:04 , 31-Июл-18, (60) И это тоже, так как в seccomp, насколько помню, привилегии просто наследуются В, PereresusNeVlezaetBuggy (ok), 13:25 , 31-Июл-18, (63) В OpenBSD механизмы ограничения системных вызовов были тогда, когда на Linux не , PereresusNeVlezaetBuggy (ok), 20:43 , 29-Июл-18, (34) RSBAC, позволяющий ограничить все что угодно в линухе, появился в 2000 году В т, Аноним (65), 23:50 , 05-Авг-18, (65) –1 1 171 Появился 187 он в виде патча, а не в mainline ядре Напомните, когда , PereresusNeVlezaetBuggy (ok), 02:22 , 06-Авг-18, (66) Я сам линуксоид, но SELinux - переусложненная хрeнь, которая, мягко говоря, не у, Аноним (42), 22:48 , 29-Июл-18, (42) Не знают и не могут знать man pamman nss, Аноним (44), 00:24 , 30-Июл-18, (44) +1 А это как раз много 171 хорошего 187 говорит об архитектуре PAM и NSS Когда , PereresusNeVlezaetBuggy (ok), 01:32 , 30-Июл-18, (47) Вообще-то это называется API и information hiding Приложение должно знать т, Crazy Alex (ok), 19:15 , 30-Июл-18, (55) Это было бы information hiding, если бы таковые форки, открытие файловых дескрип, PereresusNeVlezaetBuggy (ok), 19:42 , 30-Июл-18, (57) Ты бы ещё LD_PRELOAD вспомнил, Аноним (50), 03:00 , 30-Июл-18, (49) И маленький ньюанс Для ускорения всего и вся занесли чать Самбы в ядро ну чтоб , КО (?), 10:16 , 30-Июл-18, (53) +1 SELinux -- это не костыльный вариант Это классический корпоративный оверинжинир, Ordu (ok), 04:11 , 30-Июл-18, (51) // Который при этом так же классчиески работает в корпоративных системах, не привяз, Crazy Alex (ok), 19:17 , 30-Июл-18, (56) +1 Да-да, я о том же Корпоративный оверинжиниринг, попытка решить 200 проблем одн, Ordu (ok), 22:04 , 30-Июл-18, (58) +2 1 SELinux появился куда позднее, скажем, systrace 8212 который в OpenBSD уже, PereresusNeVlezaetBuggy (ok), 20:41 , 29-Июл-18, (33) –1 // и тут я немного наврал хотя systrace был добавлен в OpenBSD в 2002 году, а , PereresusNeVlezaetBuggy (ok), 21:21 , 29-Июл-18, (39) А ограничения наследуются дочерними процессами , Ordu (ok), 22:24 , 29-Июл-18, (41) +1   // Тоже задался таким вопросом Можно было бы написать шелл-враппер для старта прог, антончик (?), 00:13 , 30-Июл-18, (43)   // Получается с unveil нужно еще системное приложение писать, для программ которые , Аноним (52), 06:48 , 30-Июл-18, (52)   // Написать можно, но смысл теряется немалая часть путей при типовом использовании, PereresusNeVlezaetBuggy (ok), 13:07 , 30-Июл-18, (54)   Для pledge это определяется вторым аргументом, он позволяет задать ограничения и, PereresusNeVlezaetBuggy (ok), 01:36 , 30-Июл-18, (48) +1   подпишусь ка я , Урри (?), 13:14 , 31-Июл-18, (61) Тео видимо на тяжелые наркотики с пива перешел , Daemon (??), 23:25 , 01-Авг-18, (64) 1,2,3,8,18,23,41,61,64

Сообщения

[Сортировка по времени | RSS]

41. "В OpenBSD предложен новый системный вызов unveil() для изоля..."	+1 +/–
Сообщение от Ordu (ok), 29-Июл-18, 22:24
А ограничения наследуются дочерними процессами?
Ответить | Правка | Наверх | Cообщить модератору

	43. "В OpenBSD предложен новый системный вызов unveil() для изоля..."	+/–
	Сообщение от антончик (?), 30-Июл-18, 00:13
	Тоже задался таким вопросом. Можно было бы написать шелл-враппер для старта программы и явно указать куда ей можно ходить, чтоб в ~/.ssh даже не думала заглядывать.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "В OpenBSD предложен новый системный вызов unveil() для изоля..."	+/–
	Сообщение от Аноним (52), 30-Июл-18, 06:48
	Получается с unveil нужно еще системное приложение писать, для программ которые его пока не поддерживают. Типо файрволла, только с правилами путей?
	Ответить | Правка | Наверх | Cообщить модератору

	54. "В OpenBSD предложен новый системный вызов unveil() для изоля..."	+/–
	Сообщение от PereresusNeVlezaetBuggy (ok), 30-Июл-18, 13:07
	Написать можно, но смысл теряется: немалая часть путей при типовом использовании pledge/unveil актуальна только на этапе инициализации, а при использовании внешнего приложения получается, что мы всегда позволяем максимум требуемого всегда.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "В OpenBSD предложен новый системный вызов unveil() для изоля..."	+1 +/–
	Сообщение от PereresusNeVlezaetBuggy (ok), 30-Июл-18, 01:36
	Для pledge это определяется вторым аргументом, он позволяет задать ограничения именно для запускаемых через exec бинарников. Для unveil семантика ещё до конца не устаканилась, что-то может поменяться, — изначально эта функциональность вообще планировалась как часть pledge, но постепенно стало понятно, что нужен другой принцип работы, поэтому и системный вызов отдельный.
	Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема