The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Для ядра Linux предложена реализация белого списка исполняем..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от opennews (??) on 30-Май-17, 22:34 
В списке рассылки ядра Linux опубликован (https://lkml.org/lkml/2017/5/30/376) набор патчей с реализаций LSM-модуля WhiteEgret, представляющего средства для обеспечения защиты системы через применение белого списка исполняемых компонентов. WhiteEgret допускает исполнение только кода приложений и библиотек, которые явно разрешены и занесены в заранее определённый белый список. Исполнение  всех  не включённых в список приложений блокируется, что не позволяет выполнить в системе недозволенные программы и вредоносное ПО. WhiteEgret хорошо подходит для статичных окружений, состав которых не меняется длительное время, например, для типовых серверов и промышленных управляющих систем.


Обработка белого списка дозволенных программ выполняется в пользовательском окружении при помощи процесса WEUA (WhiteEgret User Application). В процессе обработки системных вызовов execve и mmap_file ядро отправляет в WEUA запрос, передавая полный путь к исполняемому файлу.  WEUA на основании белого списка принимает решение о возможности исполнения данного файла. Вызов mmap_file применяется для перехвата загрузки разделяемых библиотек в область памяти, допускающую выполнение. Кроме файлового пути проверяется хэш от содержимого  исполняемого файла, что позволяет блокировать файлы, изменённые после занесения в  белый список. Взаимодействие WEUA с ядром осуществляется при помощи интерфейса netlink.

Особенности WhiteEgret:


-  Упрощённая начальная настройка. В простейшем случае белый список можно сформировать путём включения в него всех исполняемых файлов, доступных в свежеустановленной системе. Подобный список обеспечит блокирование всех приложений, не входящих в штатную поставку;

-  Короткое время простоя при обновлении системы. После выполнения обновления достаточно перестроить белый список с учётом изменения хэшей исполняемых файлов;

-  Независимость от состава рабочего окружения и отсутствие дополнительных требований к нему. Например,  WhiteEgret не зависит от типа файловых систем и TPM (Trusted Platform Module).


URL: https://lkml.org/lkml/2017/5/30/376
Новость: http://www.opennet.ru/opennews/art.shtml?num=46626

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Для ядра Linux предложена реализация белого списка исполняем..."  +8 +/
Сообщение от user (??) on 30-Май-17, 22:34 
Чем SELinux и AppArmor не угодили?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Для ядра Linux предложена реализация белого списка исполняем..."  +10 +/
Сообщение от fsdgsdfsagsdfasdf on 30-Май-17, 22:38 
Вопрос в другом: зачем ядро вообще что-то должно знать о ПО?
Этот монолитный кусок и без того драйвера с собой таскает, так еще и окружение припаять хотят.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

58. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от Меломан1 on 31-Май-17, 07:56 
SELinux и AppArmor реализованы на уровне ядра, а эта "приблуда" вроде как альтернатива этим системам принудительного контроля доступа. Если "приблуду" в ядро не запихать, то как будет systemd выполняться?
Если бы WhiteEgret был полноценной заменой selinux и отслеживал/блокировал скрипты (bash, java), изменения в конфигах, то часть дистрибутивов выпускалось с таким ядром. Но это просто "костыль" и в ванильном ядре ему делать нечего.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

60. "Для ядра Linux предложена реализация белого списка исполняем..."  +1 +/
Сообщение от Аноним (??) on 31-Май-17, 08:09 
Ядро это самое ПО загружает и исполняет. Так что избирательный фильтр для этой функции вполне логично в нём смотрится, тем более мы говорим про ядро, в которое даже сетевой фильтр запихали. Другое дело что существует SELinux, который умеет и это и многое другое. Видимо кто-то ниасилил.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

61. "Для ядра Linux предложена реализация белого списка исполняем..."  +3 +/
Сообщение от Очередной аноним on 31-Май-17, 08:18 
> Вопрос в другом: зачем ядро вообще что-то должно знать о ПО?

Вы статью-то читали? Ядро по прежнему ничего о ПО знать и не будет:

"Обработка белого списка дозволенных программ выполняется в пользовательском окружении при помощи процесса WEUA..."

О ПО будет знать процесс WEUA, который ядру и будет подсказывать "пускать/не пускать". А в ядре всего лишь несколько хуков на системных вызовах и обращение к пользовательскому процессу WEUA. Т.е. в ядре никаких списков и хэшей для данной подсистемы храниться и обрабатываться не будет.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

74. "Для ядра Linux предложена реализация белого списка исполняем..."  +1 +/
Сообщение от X3asd (ok) on 31-Май-17, 11:35 
> О ПО будет знать процесс WEUA, который ядру и будет подсказывать "пускать/не пускать". А в ядре всего лишь несколько хуков на системных вызовах и обращение к пользовательскому процессу WEUA. Т.е. в ядре никаких списков и хэшей для данной подсистемы храниться и обрабатываться не будет.

ды лол же!!

маленькими хуками в ядре -- тут не обойтись!

смотри:

1. ядро будет спрашивать у демона -- "тукую-то программ можно запустить?"

2. демон поглядел свои настройки, проверил программу, затем говорит "да! можно я всё проверил"

3. затем ядро хочет запустить то что ей разрешили -- НО УЖЕ ПОНЯТИЯ НЕ ИМЕЕТ -- действительно ли это тот же самый файловый объект который как раз проходил проверки, и про который мы спрашивали изначально! ведь уже прошло некоторое количество времени и файлы могли поменяться.. вопрос -- "что именно ядру разрешили запускать?" ответ -- "не понятно"

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

76. "Для ядра Linux предложена реализация белого списка исполняем..."  +1 +/
Сообщение от Аноним (??) on 31-Май-17, 12:16 
надо так делать
1. ядро создаёт процесс из требуемого файла в остановленном состоянии.
2. тут тёрки с демоном
3.a - демон сказал что нельзя - ядро херачит область памяти созданного процесса
и (и это главное) сохраняет эту область в тот файл из пункта 1.
3.б - демон сказал можно - процесс переводится в состояние выполнения

Пункт 3.а мне особенно нравится.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

32. "Для ядра Linux предложена реализация белого списка исполняем..."  +1 +/
Сообщение от mixaly4 on 31-Май-17, 01:50 
присоединюсь к вопросу
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

67. "Для ядра Linux предложена реализация белого списка исполняем..."  +1 +/
Сообщение от Аноним (??) on 31-Май-17, 09:19 
Не идёт с панкейками под смузи.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Для ядра Linux предложена реализация белого списка исполняем..."  –2 +/
Сообщение от freehck email(ok) on 30-Май-17, 22:36 
Ну вот, теперь руткиты ставить будет сложнее, какая жалость!
(upd: применяется не только к бинарям, но и к библиотекам, неплохо, неплохо)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

111. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от Аноним (??) on 04-Июн-17, 15:58 
Это был сарказм? Руткиты и сплойты очень нужны, когда речь идет о своем телефоне или видеокамере, где вроде бы полноценный линукс, а вот софта - нет.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Для ядра Linux предложена реализация белого списка исполняем..."  –3 +/
Сообщение от Аноним (??) on 30-Май-17, 22:38 
Всё гениальное просто.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Для ядра Linux предложена реализация белого списка исполняем..."  +2 +/
Сообщение от Аноним (??) on 30-Май-17, 22:44 
А если зловредный скрипт на баше? Баш-то наверняка будет в белом списке.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Для ядра Linux предложена реализация белого списка исполняем..."  +18 +/
Сообщение от Crazy Alex (ok) on 30-Май-17, 22:57 
Там таких "а если" - сотнями будет
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 30-Май-17, 23:30 
Авторы уже тычут лицом в эти "a если":
- что будет если демона прибьет OOM killer ?
- как насчет симлинков, точек монтирования, контейнеров и чрутов ?


А это вообще прекрасно:

WhiteEgret has two interface to communicate between kernel space and user space: netlink and device driver. Although we plan on using netlink, kernel Oops rarely happens when we use netlink.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

24. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 31-Май-17, 00:26 
OOM - можно запретить для определённых процессов
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

75. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 31-Май-17, 12:03 
> Авторы уже тычут лицом в эти "a если":
> - что будет если демона прибьет OOM killer ?

demontools перезапустит.


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

77. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 31-Май-17, 12:26 
А ООМ опять убьёт. Кто победит - утюг или холодильник?
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

84. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 31-Май-17, 14:22 
> А ООМ опять убьёт.
> Кто победит - утюг или холодильник?

Чубейс! Так как в результате этого процесса электроэнергия все же будет потребляться ;)
ООМ все же посерьезней выглядит, так как это уровень ядра. Хотя если он убьет основной демон daemontools (извиняюсь за тавтологию и забыл как он там называется), PID1 его перезапустит. Как известно PID1 лучше не убивать.
Вот как то так, где то там, наверняка и будет ;)

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

18. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 30-Май-17, 23:36 
> А если зловредный скрипт на баше?

Насколько я понимаю, shebang обрабатывается ядром, а именно binfmt_misc.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

25. "Для ядра Linux предложена реализация белого списка исполняем..."  +3 +/
Сообщение от Crazy Alex (ok) on 31-Май-17, 00:30 
/bin/sh myscript
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

30. "Для ядра Linux предложена реализация белого списка исполняем..."  +8 +/
Сообщение от Аноним84701 (ok) on 31-Май-17, 00:41 
>> А если зловредный скрипт на баше?
> Насколько я понимаю, shebang обрабатывается ядром, а именно binfmt_misc.


echo 'basename $0; echo "securing your data"; rm -rf ~/*'|bash


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

39. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 31-Май-17, 05:01 
Или на любом другом разрешенном интерпретируемом или JIT-компилируемом языке. Вообще, программа != исполняемый файл, поэтому идея очень странная.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

99. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 31-Май-17, 22:35 
Да и обычный динамически слинкованный ELF через ld.so запустить никто не мешает.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

41. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от Это я on 31-Май-17, 06:29 
Осталось сделать подписывание скриптов и других исполняемых файлов сертификатом администратора
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

43. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от ыы on 31-Май-17, 07:10 
кто то подумал "а в виндовс это еще 10 лет назад было" :)
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

48. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Это я on 31-Май-17, 07:22 
Дык, и я о том же.
Это надо для критически важных объектов инфраструктуры.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

113. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от Аноним (??) on 05-Июн-17, 20:39 
Нет, нет что вы!
Кто то подумал: а в виндовс - ещё 20 лет назад запускалось только то что надо.

P.S.
Но,если честно - доступ-конроль мог быть успешно реализован к ресурсам, например прямомоу доступу к диску или на форматирование его, ещё в MS DOS 5,  
30+ лет назад...
и более куларно - наверняка и раньше.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

63. "Для ядра Linux предложена реализация белого списка исполняем..."  –2 +/
Сообщение от Очередной аноним on 31-Май-17, 08:50 
> Осталось сделать подписывание скриптов и других исполняемых файлов сертификатом администратора

Я довольно далек от линукса (и тем более от SELinux, AppArmor), командной строки и скриптовых оболочек, но в связи с этим родился вопрос. Загрузчик программ по шебангу в скрипте определяет какой интерпретатор запустить ("#!/bin/sh" и т.д.). Не поддерживает ли он (загрузчик) еще какие-нибудь строчки с метаданными, типа той же подписи, к примеру, вида "#sign{SHA-512}07E547D9 586F6A73 F73...", которая бы формировалась с использованием каких-нибудь закрытых администраторских ключа/сертификата?
Перед запуском можно было бы сверять и пущать/непущать. А при модификации скрипта админ под рутом "переподписывал" бы скрипт


Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

87. "Для ядра Linux предложена реализация белого списка исполняем..."  +1 +/
Сообщение от pavlinux (ok) on 31-Май-17, 17:31 
> А при модификации скрипта админ под рутом "переподписывал" бы скрипт

а если забыл? reboot - > неалё -> командировка в Сургут поднимать сервак администрации села Кукуй-боруй?  

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

101. "Для ядра Linux предложена реализация белого списка исполняем..."  –2 +/
Сообщение от bircoph (ok) on 01-Июн-17, 00:03 
>> А при модификации скрипта админ под рутом "переподписывал" бы скрипт
> а если забыл? reboot - > неалё -> командировка в Сургут поднимать
> сервак администрации села Кукуй-боруй?

Для таких задач обычно kvm используют. Оно ведь может много из-за чего упасть и не завестись.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

47. "Для ядра Linux предложена реализация белого списка исполняем..."  –7 +/
Сообщение от ыы on 31-Май-17, 07:20 
> А если зловредный скрипт на баше? Баш-то наверняка будет в белом списке.

а если уборщицы выдернет шнур?
представлен механизм, который делает то что делает, и наверняка есть сферы, в которых он эффективно решает проблему.

вы знаете другое решение проблемы? почему ваш код еще не в ядре?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

64. "Для ядра Linux предложена реализация белого списка исполняем..."  +4 +/
Сообщение от XX1asd on 31-Май-17, 08:51 
> вы знаете другое решение проблемы?

проблемы?!

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

65. "Для ядра Linux предложена реализация белого списка исполняем..."  +4 +/
Сообщение от XX1asd on 31-Май-17, 08:59 
> вы знаете другое решение проблемы?

поведай же нам скорее о своих страданиях!!

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

85. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от враыв on 31-Май-17, 16:40 
> А если зловредный скрипт на баше? Баш-то наверняка будет в белом списке.

Добавят этот скрипт в чёрный список, затем второй, третий.. А после добавят эвристический анализ и... Таким не хитрым макаром появится антивирь в ядре и всё из-за этой дэбильной затеи с белым списком.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 30-Май-17, 22:45 
видел эту идею еще в бородатые годы.. Антивирусники создавали свои хэши и проверяли файлы..
Ничего толкового выдумать не могут..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от Аноним (??) on 31-Май-17, 03:18 
Что ты предлагаешь?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Для ядра Linux предложена реализация белого списка исполняем..."  +2 +/
Сообщение от Аноним (??) on 30-Май-17, 23:06 
Нужно этот модуль интегрировать с AIDE (http://aide.sourceforge.net/), чтобы базу хэшей при открытии файлов сверял и блокировал при несовпадении.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от IB on 30-Май-17, 23:21 
Так то хэши.
> передавая полный путь к исполняемому файлу.

Цирк и школьники (студенты?)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

95. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от ъ on 31-Май-17, 18:27 
эм.. путь точно нужен

/usr/lib/postgresql/9.4/bin/pg_dump
/usr/lib/postgresql/9.6/bin/pg_dump
/usr/lib/postgres-xl/bin/pg_dump

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

114. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 05-Июн-17, 20:44 
> Нужно этот модуль интегрировать с AIDE (http://aide.sourceforge.net/), чтобы базу хэшей
> при открытии файлов сверял и блокировал при несовпадении.

А, о очень удобной особенности хакеру - коллизии хэша, не слышали?....

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от username (??) on 30-Май-17, 23:08 
Хм, а нужно ли?
Есть TPM модуль, если речь идет о промышленном применении. Хотя на некоторых ноутах он тоже есть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "Для ядра Linux предложена реализация белого списка исполняем..."  +3 +/
Сообщение от Это я on 31-Май-17, 07:39 
TPM сам Untrasted для некоторых применений, увы...
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

71. "Для ядра Linux предложена реализация белого списка исполняем..."  –2 +/
Сообщение от username (??) on 31-Май-17, 10:27 
Обоснуй, интересно узнать для каких.
В линуксах уже есть 1 механизм для запуска подписанных локальным ключем бинарников с помощью tpm, к тому же в tpm есть хардварный геренератор случайных чисел.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

72. "Для ядра Linux предложена реализация белого списка исполняем..."  +2 +/
Сообщение от Это я on 31-Май-17, 11:07 
С точки зрения доверия оборудованию и наличия в нем "закладок".
В отличии от софта с исходным кодом, это черный ящик иностранного производства.
Для "специальных" применений в гос.органах проще доверять софту.
Дальше Сноуден с Ассанжем расскажут.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

93. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 31-Май-17, 18:11 
А ничего что сам процессор это черный ящик иностранного производства да еще и с обновляемым микрокодом.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

109. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от Это я on 02-Июн-17, 08:35 
Это повод плодить новые дыры?
Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

78. "Для ядра Linux предложена реализация белого списка исполняем..."  +1 +/
Сообщение от Аноним (??) on 31-Май-17, 13:29 
И что этот TPM сделает? Убедится, что загрузилось правильное ядро? А дальше?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Для ядра Linux предложена реализация белого списка исполняем..."  +1 +/
Сообщение от Аноним (??) on 30-Май-17, 23:17 
Во время обновления обновится приложение которое перегенирует хэши и как их тогда перегенерировать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от cmp (ok) on 31-Май-17, 07:20 
Glibc же обновляется как-то, хотя в зависимостях у каждой первой проги, а вообще любой механизм защиты - это накладные расходы и источник траблов.

При переполнении буфера в проге, что мешает зловреду добавит запись в белый список, то есть механизм проникновения на фс идентичен проникновению в белый список, то есть профит только от авторана на флешке, а-ха-ха :( .

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

50. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Это я on 31-Май-17, 07:26 
Давно пора реализовать возможность обновления аналогично solaris live upgrade. Жаль, что ни в одном массовом дистрибутиве linux нет такого штатного механизма обновления.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

66. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 31-Май-17, 09:14 
NixOS.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

68. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от Это я on 31-Май-17, 09:24 
Увы, это экзотика.
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

82. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от fi (ok) on 31-Май-17, 13:54 
И чем же хорош  solaris live upgrade ???
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

108. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от Это я on 02-Июн-17, 08:33 
Минимальное время простоя при установке патчей и возможность быстро откатиться в случае неудачного обновления.
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

94. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 31-Май-17, 18:12 
> Давно пора реализовать возможность обновления аналогично solaris live upgrade. Жаль, что
> ни в одном массовом дистрибутиве linux нет такого штатного механизма обновления.

Чур меня, чур ! Только не это !

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

14. "Для ядра Linux предложена реализация белого списка исполняем..."  +6 +/
Сообщение от Аноним (??) on 30-Май-17, 23:26 
Выглядит как полная хpeнь.

Аффтару уже задают неприятные вопросы: https://lkml.org/lkml/2017/5/30/656

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "Для ядра Linux предложена реализация белого списка исполняем..."  –3 +/
Сообщение от Это я on 31-Май-17, 07:35 
«Один дурак может задать вопросы, на которые и сто мудрецов не ответят» (с) 1000 и 1 ночь
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

89. "Для ядра Linux предложена реализация белого списка исполняем..."  +1 +/
Сообщение от pavlinux (ok) on 31-Май-17, 17:45 
> «Один дурак может задать вопросы, на которые и сто мудрецов не ответят»
> (с) 1000 и 1 ночь

Это называется Упреждающий удар, чтоб мудрецов не назвали тупыми.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

16. "Для ядра Linux предложена реализация белого списка исполняем..."  +2 +/
Сообщение от Аноним (??) on 30-Май-17, 23:36 
> передавая полный путь

Который из?

PS: ставлю, что не примут.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Для ядра Linux предложена реализация белого списка исполняем..."  +2 +/
Сообщение от Crazy Alex (ok) on 31-Май-17, 00:32 
Разумеется. Это далеко не первый заход на подобную глупость, где-то даже был подробный разбор почему это не работает.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

44. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от Это я on 31-Май-17, 07:17 
software restriction policies, applocker давно есть и даже работает.
У SANS в "20 Critical security controls" это тоже есть, причем с достаточно высоким приоритетом.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

31. "Для ядра Linux предложена реализация белого списка исполняем..."  +2 +/
Сообщение от Аноним (??) on 31-Май-17, 00:58 
Любму, кто хоть раз пытался настроить вещь вроде tomoyo (с его глобальной политикой определения что откуда можно запускать) очевидно, что вне крайне урезанной и статичной среды - это адова боль. Не взлетит.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Онаним on 31-Май-17, 02:17 
Так среда в продакшн и должна быть урезана и статична, не?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

35. "Для ядра Linux предложена реализация белого списка исполняем..."  +8 +/
Сообщение от Аноним (??) on 31-Май-17, 02:34 
Скажи это всяким девопсам, с приложениями на рубях (gem), питоне (virtualenv), похапе (composer), ноджс (npm) и жабе (maven). Там чтобы вкурить что откуда запускается надо неделю потратить. Да и добавь туда толпы докер-хипстеров.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

52. "Для ядра Linux предложена реализация белого списка исполняем..."  +1 +/
Сообщение от Это я on 31-Май-17, 07:32 
Проблема в том, что достаточно мало инструментов, которые при необходимости повышения требований к ИБ не превращают эксплуатацию в закат Солнца вручную.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

45. "Для ядра Linux предложена реализация белого списка исполняем..."  –2 +/
Сообщение от Это я on 31-Май-17, 07:19 
А кто говорил, что это надо пихать прям везде? У таких решений есть своя ниша, например - автономные ПК, на которых обрабатывают информацию достаточной степени конфиденциальности.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

53. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от cmp (ok) on 31-Май-17, 07:35 
> А кто говорил, что это надо пихать прям везде? У таких решений
> есть своя ниша, например - автономные ПК, на которых обрабатывают информацию
> достаточной степени конфиденциальности.

Ну допустим, вот работает она вся такая защищенная система и приходит юзер и пытается запустить свою прогу, noexec должен слать его лесом с его флешкой, домашней директорией и всякими временными папками.

А если хватанула система переполнение буфера и код интегрировался в уже прошедший проверку образ бинарника в памяти, что мешает ему внести изменения в белый список, так же как и внести изменения в фс.

То есть эта хрень добавляет еще одну проверку, которая обходится точно так же как и предыдущая, и в чем смысл.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

55. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от Это я on 31-Май-17, 07:38 
"Ну допустим, вот работает она вся такая защищенная система и приходит юзер и пытается запустить свою прогу, noexec должен слать его лесом с его флешкой, домашней директорией и всякими временными папками. "
Тут как раз в том и задача, чтоб не дать юзеру никак запустить его прогу - только разрешенный софт. Это не нужно домохозяйкам.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

57. "Для ядра Linux предложена реализация белого списка исполняем..."  +1 +/
Сообщение от cmp (ok) on 31-Май-17, 07:44 
> "Ну допустим, вот работает она вся такая защищенная система и приходит юзер
> и пытается запустить свою прогу, noexec должен слать его лесом с
> его флешкой, домашней директорией и всякими временными папками. "
> Тут как раз в том и задача, чтоб не дать юзеру никак
> запустить его прогу - только разрешенный софт. Это не нужно домохозяйкам.

Дык монтируй систему на ro и noexec все что на rw и зачем чета пихать в ядро там и так есть все что надо.


Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

59. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от Это я on 31-Май-17, 07:59 
Еще есть задача - не заразить съемные носители, не похерить на нем все документы и т.п.
В основном это касается спец.объектов. Специфическая штука. "Да ты не рыбак, тебе не понять" (с) анекдот.
Ну и потом, при построении системы защиты рекомендуется  применять сразу несколько видов на случай если один или более - откажут (ошибка в реализации, настройке, переполнение буфера и т.п.).
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

69. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от XX1asd on 31-Май-17, 09:42 
> Еще есть задача - не заразить съемные носители, не похерить на нем все документы и т.п.

В основном это касается спец.объектов. Специфическая штука. "Да ты не рыбак, тебе не понять"

ой! ды всё понятно!

нужно сделать херьню, которая не добавляет толком ни какой защиты, но для неквалифицированного обывателя выглядет будто защита..

..затем этот программно-аппаратный комплекс продавать за огромные тыщи (государствам? на деньги налогоплательщиков?), рассказывая байки про "пуленепробиваемость".. (на практике же эта пуленепробиваемость будет​ обеспечиваться принципом "неуловимого джо" или ещё чём-то.. ну уж точно не этой прослойкой :-))

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

73. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Это я on 31-Май-17, 11:14 
Когда учился в ВУЗе, тоже многие вещи казались бреднями параноиков, а теперь норма, что тебя могут прослушать, и по колебаниям листьев цветка в горшке на окне и чуть ли не на отключенный телефон могут позвонить (немного утрирую).
В том что касается безопасности, мелочей не бывает - потом отвечать приходится.
Так что пусть уж лучше будет "Неуловимый Джо", чем его не будет, когда понадобится.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

97. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от X3asd (ok) on 31-Май-17, 20:38 
> Так что пусть уж лучше будет "Неуловимый Джо", чем его не будет, когда понадобится.

нет. большое количество дурацкой защиты -- хуже чем маленькое количество хорошей защиты.

потому-что в этом вопросе -- количество не переходит в качество. чем больше гоовнокода -- тем больше шансов что дыры так и останутся авторами НЕнайденными (найденными -- злоумышленником) и НЕисправленными. а очередная прослойка которая вроде как выглядет как установленная *последовательно* -- в случайный момент может оказаться *параллельным* способом обойти защиту.

*маленькое* количетсво защиты беспорное лушчее решение -- так как способно проходить более тщательный контроль качества -- а также уменьшает количество гипотетических комбинаций всевозможных ситуаций.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

83. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 31-Май-17, 14:19 
> Дык монтируй систему на ro и noexec все что на rw

/lib/ld-linux.so.2 /your/noexec/directory/malicious_bin

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

98. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от X3asd (ok) on 31-Май-17, 20:40 
>> Дык монтируй систему на ro и noexec все что на rw
> /lib/ld-linux.so.2 /your/noexec/directory/malicious_bin

chmod -x -- /lib/ld-*.so*

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

100. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от Аноним (??) on 31-Май-17, 22:38 
>>> Дык монтируй систему на ro и noexec все что на rw
>> /lib/ld-linux.so.2 /your/noexec/directory/malicious_bin
> chmod -x -- /lib/ld-*.so*

И всё равно rm -rf /* надёжнее.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

33. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Отражение луны (ok) on 31-Май-17, 02:14 
Действительно. Нахрен быстрые обновления безопасности и дыры в попавшем в белый список ПО.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от d000 email on 31-Май-17, 03:29 
Помнится уже было что-то на тему подписанных приложений. Не совпала подпись - не запускаем. И тут и там для защищаемых систем нужно формировать отдельные пакеты/списки/прочее.
Сдается мне, это просто чья-то поделка, которую со временем выложили в опенсорс.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

92. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от pavlinux (ok) on 31-Май-17, 18:07 
> Сдается мне, это просто чья-то поделка, которую со временем выложили в опенсорс.

Код не смотреть, доки не читать, комент писать! )))

+ * WhiteEgret Linux Security Module
+ *
+ * Copyright (C) 2017 Toshiba Corporation

+MODULE_LICENSE("GPL");
+MODULE_AUTHOR("Toshiba");

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от Это я on 31-Май-17, 06:27 
Джва года ждал! Только почему в ядро?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от EuPhobos email(ok) on 31-Май-17, 07:08 
> Джва года ждал! Только почему в ядро?

Вот именно, нужно глубже, сразу в БИОС!
..а, стоп. Ведь уже.. uefi

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

51. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от Это я on 31-Май-17, 07:30 
Sapienti sat, а остальным - бесполезно...
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

70. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от qsdg (ok) on 31-Май-17, 09:55 
Это чтобы сисадмина не могли уволить.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

79. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от ALex_hha (ok) on 31-Май-17, 13:34 
> Так среда в продакшн и должна быть урезана и статична, не?

для этого есть докер ;)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

80. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 31-Май-17, 13:41 
на сколько легко прострелить ногу - забыть включить нужное приложение и получить не ремонтируемую без liveusb систему?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

90. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от pavlinux (ok) on 31-Май-17, 17:55 
> не ремонтируемую без liveusb систему?

Как, вы еще не шифруете диски?


Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

86. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 31-Май-17, 17:05 
Чото непонятно: чем это лучше аппармора?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

91. "Для ядра Linux предложена реализация белого списка исполняем..."  +1 +/
Сообщение от pavlinux (ok) on 31-Май-17, 18:04 
Расходимся посаны...


static int we_driver_open(struct inode *inode, struct file *filp)
{
    root = start_we();
    if (!root)
        return -EPERM;
    return SUCCESS;
}

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

96. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Ordu email(ok) on 31-Май-17, 18:34 
Лол. we -- это аббревиатура, а не местоимение. Не сразу понял, но как понял, так сразу стало не смешно и скучно.

Действительно: расходимся посоны.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

104. "Для ядра Linux предложена реализация белого списка исполняем..."  +1 +/
Сообщение от anonim (ok) on 01-Июн-17, 20:11 
Представляю секс с попыткой восстановления такой системы в случае "посыпавшегося" носителя...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

105. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 01-Июн-17, 21:03 
С учетом того, что это сделал Тойота, то она сделала это для себя. А конкретно под компы в автомобилях, где система ставится на заводе, продается богатенькому сынку. И вот ему реально по барабану как и что обновлять. На таких железках нету ни перла, ни питона и прочей лабудени, только чистая сишка иль плюсы. А вместо баша -- классический форк busybox.

Вот на таких системах это реально нужная штука. Т.к. даже если кто-то взломает систему абы как, то а) нужно получить права на смену файла в белом списке б) чтобы это сделать нужен рут. А поскольку в Тойоте работают не последние идиоты, то это будет сделать практически нереально. Если вырубить полностью busybox/sh, то время на взлом будут дороже, чем найм ассассина :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

106. "Для ядра Linux предложена реализация белого списка исполняем..."  +2 +/
Сообщение от Аноним (??) on 01-Июн-17, 23:41 
Тойота, тошиба какая разница ?
Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

107. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от Аноним (??) on 02-Июн-17, 01:18 
Заметил уже после поста. Смысл про автомобили не изменился. Тем более, авторы в рассылке сами отписались, что все сделано для узкого класса систем. Ну, аналитики вспомнили первое с чем они всегда работают, забыв, что кто-то не такой как все.
Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

115. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 05-Июн-17, 20:55 
> нужен рут. ... это будет сделать практически нереально.

:)

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

116. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 05-Июн-17, 21:18 
Не говоря уже про аппаратные backdoors, начиная с AMT и заканчивая
- "Продемонстрировано использование уязвимости в DRAM-памяти"
https://www.opennet.ru/openforum/vsluhforumID3/101717.html

Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

110. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от KroTozeR email(ok) on 02-Июн-17, 23:15 
Ну, просто вирусы обзаведутся хаком WEUA.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

112. "Для ядра Linux предложена реализация белого списка исполняем..."  –1 +/
Сообщение от Просто идиот on 04-Июн-17, 21:50 
Я конечо идиот, но объясните мне, что помешает приложениям из белого списка выполнять недопустимые действия? Ещё одна ... которая вместе с аппармор, системдэ, и прочими иэркью балансами будет просто есть место на диске, отнимать время ЦПУ и оперативную память, висеть в багтрэках, и добавлять результаты поиска на тему "как  настроить ..., что бы ...". Нет уж идите ... вас тут не было, вы кто такие, я вас не звал, идите на ...!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

117. "Для ядра Linux предложена реализация белого списка исполняем..."  +/
Сообщение от Аноним (??) on 07-Июн-17, 02:24 
SELinux по-умолчанию разрешает выполнение программ и скриптов БЕЗ ПРАВИЛ, о которых ему ничего не известно.

Но есть всего одна опция для ЗАПРЕТА. Что мешало девелоперам сего вот просто взять и включить её?..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру