forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в Glibc ld.so, позволяющая получить права root в ..."
Отправлено Аноним, 08-Окт-23 21:13

> из принципа не следует стандартам POSIX
Жопslashes, case-нетерпимость, буквы устройств, ФС без DAC и стойкое желание всё это насадить всем другим, POSIX-совместимым ОС, а хоть бы и через железных вендоров (см. UEFI), -- не дадут соврать. Из принципа. Чтобы всё, что напишут "Developers, Developers", работало только в Пинде и нигде больше - без переписывания.
> по всей ОС раскиданы SUID-утилиты
systemd монтирует все разделы (включая автоматические) с nosuid, кроме явно определенных админом в /etc/fstab. См. выхлоп findmnt.
Выносим /usr/{bin,lib} в отдельный раздел (или subvolume на Btrfs). Всё остальное монтируем с nosuid. И всё работает. Ничего не сломалось - невероятно!
А в /usr/ файлы попадают только из пакетного менеджера, не минуя пары глаз сопроводителя.
Утилиты, использующие SUID, в современных системах можно по пальцам двух рук пересчитать. Большинство не нужно пользователю в повседневной работе на предварительно настроенной системе.
Для всего остального (обычно пускаемого из-под root) давно используют man 7 capabilities.
Находим все SUID-файлы: `# find /usr -type f -perm /u=s,g=s -printf '%M\t%H/%P\n' 2>/dev/null`
Блокируем их вызов в программах через AppaArmor/SELinux: "audit deny rwklmx /usr/bin/sudo,"
Или запускаем программы изолированно через bwrap/flatpak, где получаем "no new privs" при попытке вызвать SUID-программу.
Linux capabilities также явно разрешаются через MAC и user namespaces.

Исходное сообщение
"Уязвимость в Glibc ld.so, позволяющая получить права root в ..." Отправлено Аноним, 08-Окт-23 21:13
> из принципа не следует стандартам POSIX Жопslashes, case-нетерпимость, буквы устройств, ФС без DAC и стойкое желание всё это насадить всем другим, POSIX-совместимым ОС, а хоть бы и через железных вендоров (см. UEFI), -- не дадут соврать. Из принципа. Чтобы всё, что напишут "Developers, Developers", работало только в Пинде и нигде больше - без переписывания. > по всей ОС раскиданы SUID-утилиты systemd монтирует все разделы (включая автоматические) с nosuid, кроме явно определенных админом в /etc/fstab. См. выхлоп findmnt. Выносим /usr/{bin,lib} в отдельный раздел (или subvolume на Btrfs). Всё остальное монтируем с nosuid. И всё работает. Ничего не сломалось - невероятно! А в /usr/ файлы попадают только из пакетного менеджера, не минуя пары глаз сопроводителя. Утилиты, использующие SUID, в современных системах можно по пальцам двух рук пересчитать. Большинство не нужно пользователю в повседневной работе на предварительно настроенной системе. Для всего остального (обычно пускаемого из-под root) давно используют man 7 capabilities. Находим все SUID-файлы: `# find /usr -type f -perm /u=s,g=s -printf '%M\t%H/%P\n' 2>/dev/null` Блокируем их вызов в программах через AppaArmor/SELinux: "audit deny rwklmx /usr/bin/sudo," Или запускаем программы изолированно через bwrap/flatpak, где получаем "no new privs" при попытке вызвать SUID-программу. Linux capabilities также явно разрешаются через MAC и user namespaces.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> из принципа не следует стандартам POSIX > Жопslashes, case-нетерпимость, буквы устройств, ФС без DAC и стойкое желание всё это > насадить всем другим, POSIX-совместимым ОС, а хоть бы и через железных > вендоров (см. UEFI), -- не дадут соврать. Из принципа. Чтобы всё, > что напишут "Developers, Developers", работало только в Пинде и нигде больше > - без переписывания. >> по всей ОС раскиданы SUID-утилиты > systemd монтирует все разделы (включая автоматические) с nosuid, кроме явно определенных > админом в /etc/fstab. См. выхлоп findmnt. > Выносим /usr/{bin,lib} в отдельный раздел (или subvolume на Btrfs). Всё остальное монтируем > с nosuid. И всё работает. Ничего не сломалось - невероятно! > А в /usr/ файлы попадают только из пакетного менеджера, не минуя пары > глаз сопроводителя. > Утилиты, использующие SUID, в современных системах можно по пальцам двух рук пересчитать. > Большинство не нужно пользователю в повседневной работе на предварительно настроенной > системе. > Для всего остального (обычно пускаемого из-под root) давно используют man 7 capabilities. > Находим все SUID-файлы: `# find /usr -type f -perm /u=s,g=s -printf '%M\t%H/%P\n' > 2>/dev/null` > Блокируем их вызов в программах через AppaArmor/SELinux: "audit deny rwklmx /usr/bin/sudo," > Или запускаем программы изолированно через bwrap/flatpak, где получаем "no new privs" при > попытке вызвать SUID-программу. > Linux capabilities также явно разрешаются через MAC и user namespaces.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру