| 1.1, Аноним (-), 00:04, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +24 +/– |
Предлагаю в следующей версии отключить возможность входа в систему... и вообще запуска каких-либо процессов... из соображений безопасности...
| | |
| |
| 2.2, ssh (ok), 00:11, 16/07/2016 [^] [^^] [^^^] [ответить]
| +5 +/– |
 > Предлагаю в следующей версии...
Зачем вы тут предлагаете? Тео же не читает опеннет, напишите ему на deraadt@openbsd.org.
| | |
| |
| |
| 4.20, анонимоус7657 (?), 13:17, 16/07/2016 [^] [^^] [^^^] [ответить]
| +6 +/– |
Господин Тео, может вообще снести систему, перекрасить компьютер в зеленой цвет и выбросить в поле чтобы никто не нашел? Думаю таким образом проблема уязвимостей будет окончательно решена.
| | |
| |
| 5.42, Аноним (-), 18:29, 16/07/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
Лучше еще заменить компьютер на железобетонный блок, для надежности.
| | |
| |
| 6.61, Аноним (-), 19:47, 18/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Еще питание отключить. Мало ли что там в блок встроено. А с батарейками у всего человечества проблемы, еще никто не смог это победить.
| | |
|
|
|
| 3.14, ы (?), 11:26, 16/07/2016 [^] [^^] [^^^] [ответить]
| –4 +/– |
Тео скажет что молодые программисты нынче не те. Часть лезет на IT форум ничего не понимая и не интересуясь в разработке чтобы прокомментировать чужую работу, а часть - чтобы прокомментировать тех кто комментирует. Но самой разработкой никто не интересуется, да и знаний и навыков нет, хватает только тяфкунуть. Вот как я сейчас. Хотя хотел бы найти работу связанную с разработкой ОС
| | |
| |
| 4.19, наноним (?), 12:48, 16/07/2016 [^] [^^] [^^^] [ответить]
| +7 +/– | |
>знаний и навыков нет, хватает только тяфкунуть. Вот как я сейчас.
Тяф-кун?
| | |
| 4.30, nuclight (??), 15:33, 16/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > Хотя хотел бы найти работу связанную с разработкой ОС
Легко. Например, хоть те же средства доверенной загрузки, работающие до старта "полноценной" ОС (скажем на базе UEFI, Grub2) - им нужно уметь в файловые системы, интерфейсы отрисовывать, etc., вполне себе получаются миниатюрные узкоспециализированные ОС.
С "большими" ОС типа линукса тоже достаточно легко можно найти работу, связанную, скажем, с написанием/допилом драйверов... да много всего.
P.S. Но, конечно, всегда можно поступить проще, записаться в майнтейнеры/тестировщики какого-нибудь дистрибутива, и всем гордо говорить "я разработчик операционных систем", гы-гы. Встречал таких.
| | |
| |
| 5.31, жабабыдлокодер (ok), 15:41, 16/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 А системным программистом еще проще стать, чем разработчиком операционных систем. Я вот на днях посматривал вакансии, читаю: "Системный программист". Думаю, что за хрень? Кому тут у нас системный программист понадобился? Полез в вакансию, а там: "Требуется программист для работы в системе 1С"...
| | |
|
| 4.49, Аноним (-), 23:40, 16/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
Все просто. Это не моложые программисты. Программистов вообще немного в сравнении с числом посетителей опеннета.
| | |
|
|
|
| 1.3, iZEN (ok), 01:40, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Ещё запретите писать в /tmp - для верности. А то ещё переполнят невзначай системный раздел. И ещё на Си нужно запретить писать - в нём часто случаются меморилики, выходы за пределы массивов и разрушения куч и стэков, что может сыграть на руку хакерам-террористам. :))
| | |
| |
| |
| 3.53, Аноним (-), 16:11, 17/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
тогда уж на Оберон-2 обьектные форки.
вот уж где файловер допилен "из коробки" и обработка исключений "для ленивых".
ну или ванильный эрланг(в форках/ампутациях - там наоборот урезано чуток.в тч - как раз это)
| | |
|
|
| 1.4, Аноним (-), 02:03, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Да что там мелочится - возможность загрузки ОС пусть отключают сразу, от неё все проблемы идут!
| | |
| |
| 2.44, РОСКОМУЗОР (?), 18:36, 16/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Отключить возможность загрузки ОС непривилегированными пользователями. Это повысит безопасность!
| | |
| |
| 3.46, Потёртый (?), 20:19, 16/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Предлагаю все полномочия передать Скайнету. Это радикально повысит безопасность, потому что нет людей — нет опасности.
| | |
|
|
| |
| |
| 3.23, Аноним (-), 14:21, 16/07/2016 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Под рутом сидишь!111 :D
А зачем на роутере под кем-то ещё сидеть?
| | |
|
|
| 1.12, Аноним (-), 09:59, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Такой ход открывает путь всем тем "уязвимостям", для которых нужен привилегированный доступ, потому как использоваться такой доступ будет чаще.
Поэтому это решение, возможно, временное.
| | |
| |
| 2.15, ssh (ok), 11:30, 16/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Такой ход открывает путь всем тем "уязвимостям", для которых нужен привилегированный доступ,
> потому как использоваться такой доступ будет чаще.
> Поэтому это решение, возможно, временное.
doas/sudo позволяют предоставить пользователю возможность монтирования устройств практически с тем же уровнем комфорта. Честное слово, не вижу в запрете никакой драмы.
| | |
| |
| 3.17, Аноним (-), 12:19, 16/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
проблема не в админе, а в самостоятельных скриптах, которые теперь может потребоваться выполнять из-под рута; с живым админом проблемы тут действительно нет, потому что при ручном монтировании он будет с привелегиями выполнять только само монтирование (подразумевается разумный админ).
| | |
| |
| 4.18, Аноним (-), 12:28, 16/07/2016 [^] [^^] [^^^] [ответить]
| –3 +/– |
костыль: можно в скрипте команду заменить на "echo $USERPWD | sudo -S --prompt="" mount ...", и соответственно настроить sudoers; проблема в том, что $USERPWD тут в скрипте лежать должен, что совсем плохая практика.
| | |
| |
| 5.24, Аноним (-), 14:22, 16/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
> костыль: можно в скрипте команду заменить на "echo $USERPWD | sudo -S
> --prompt="" mount ...", и соответственно настроить sudoers; проблема в том,
> что $USERPWD тут в скрипте лежать должен, что совсем плохая практика.
man sudo | grep NOPASSWD
| | |
| |
| 6.33, Аноним (-), 16:29, 16/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Убрать пароль - это очень меткое решение. Продвинутые Windows уже 20 лет как позволяют админу без паролей в систему входить. Очень нехватает этого в юниксах и - особенно - в OpenBSD.
| | |
| |
| 7.39, Аноним (-), 17:21, 16/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Не пойму - ты из секты забанненых в гугле или это ускользающе тонкий юмор?
| | |
| 7.52, Аноним (-), 12:10, 17/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
Зачем убирать пароль для одной команды? Я свободный от зад ротство человек! Лучше я сохраню его в скрипте, который все прочитают!
| | |
|
|
|
|
| |
| 4.54, angra (ok), 18:22, 17/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Чудак, об этом все нормальные админы знают и только ты открыл для себя Америку. Хочешь я тебе еще несколько столь же страшных "уязвимостей" расскажу, а ты новую статейку тиснешь в бложик?
| | |
| |
| 5.56, Comdiv (ok), 00:04, 18/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Чудак, об этом все нормальные админы знают и только ты открыл для
> себя Америку.
Очень рад за нормальных админов, у которых есть время покрасноглазить, но есть и ведь и такая разновидность, как админы локалхостов, и безопасность им тоже нужна. И моё мнение просто - в основных дистрибутивах наиболее безопасное поведение должно быть настроено по умолчанию, а если нет, то хотя бы пользователи должны знать об этом. И для этого, как ни страннно, в том числе, нужно писать об этом в бложиках.
> Хочешь я тебе еще несколько столь же страшных "уязвимостей"
> расскажу, а ты новую статейку тиснешь в бложик?
Зачем? Напишите об этом в свой бложик. Вместо того, чтобы высокомерно дартаньянить, гордясь своей причастностью к тру-специалистам, распространяйте информацию и способствуйте повышению общего уровня. Такую деятельность нужно не высмеивать, а поддерживать.
| | |
| |
| 6.57, angra (ok), 03:08, 18/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Да причем здесь красноглазие? Или вы думаете, что это какая-то особо тайная информация, доступная избранным? Это просто здравый вывод делаемый _самостоятельно_ админом из понимания того, что такое PATH, а также из понимания разграничения прав пользователя. В качестве мощнейшей подсказки выступает невозможность запустить программу непосредственно из текущей директории. А если чуть лучше изучить вопрос и практику работы админов, то окажется, что проблема вообще надумана.
Хотя если судить по предлагаемым путям решения, то создается впечатление, что кое-кто очень слабо понял как работают права, шелл, пользователи, переменные окружения и запуск привелигированных программ. И вместо реального понимания черпает представления из опыта винды. Вот расскажи мне реальный сценарий получения прав с использованием данной "уязвимости". Ну создал ты юзером файлик sudo со своим кодом, добавил его в _свой_ PATH, а дальше что? Ведь у тебя сразу четыре проблемы:
1. Заставить админа переключится на твоего пользователя
2. Заставить его при этом загрузить твое окружение
3. Убедить его запустить sudo, которое ему нафиг не нужно под твоим пользователем.
4. Хоть что-то из этого поиметь, кроме получения своего же собственного пароля, который тебе и так известен.
| | |
| |
| 7.59, Comdiv (ok), 12:04, 18/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Да причем здесь красноглазие? Или вы думаете, что это какая-то особо тайная
> информация, доступная избранным?
Об этом догадается любой, кто об этом задумается, но не все задумываются, потому что для них ОС второстепенна, и думают они над решаемыми задачами, а не настройке. Обратите внимание, на чьё сообщение я отвечал. Он об этом догадывался?
Вы полагаете, что я считаю это тайной информацией, и поэтому говорю об этом в интернете для всех? Сарказм должен быть уместным, иначе он только усиливает сказанную глупость.
> А если чуть лучше изучить вопрос и
> практику работы админов, то окажется, что проблема вообще надумана.
Ещё раз, не все являются админами, а безопасность нужна везде и по умолчанию, а не после долгих настроек. Я исхожу из фактов - почти все рецепты в сети подаются неправильно, даже ОС услужливо подсказывает неправильно. И это свидетельствует о том, что проблема надумана?
> использованием данной "уязвимости". Ну создал ты юзером файлик sudo со своим
> кодом, добавил его в _свой_ PATH, а дальше что? Ведь у
Я же написал, для чего это может быть применено - для повышения привилегий и получения пароля пользователя. Надеюсь, как грамотный админ Вы понимаете, что речь не идёт о проникновении с одной стороны, а с другой стороны, что такие вещи должны исправляться независимо, чтобы у злоумышленника не было возможности совместить обе вещи.
Итак:
1. Запускаем злонамеренный код через троян или уязвимость.
2. Если скопрометирован терминал, вызываем setenv, если нет - правим .bashrc
3. Создаём свой sudo, считывающий пароль пользователя и незаметно выполняющим подставной код.
4. Ждём, когда пользователю потребуется sudo
5. Profit
Есть такая возможность или нет? Или я из Windows что-то притащил?
| | |
| |
| 8.60, angra (ok), 14:54, 18/07/2016 [^] [^^] [^^^] [ответить] | +/– | Ой, как всё запущено Я думал ты пытаешься придумать как из под пользователя адм... текст свёрнут, показать | | |
| |
| 9.62, iZEN (ok), 22:48, 18/07/2016 [^] [^^] [^^^] [ответить] | +/– | Похоже на то, что наступил кризис жанра Почему-то под Windows никто не задумы... текст свёрнут, показать | | |
| 9.63, Comdiv (ok), 23:32, 18/07/2016 [^] [^^] [^^^] [ответить] | –1 +/– | То есть, Вы 2-а раза не поняли о чём заметка, и выставляете это как доблесть Я ... текст свёрнут, показать | | |
| |
| 10.64, angra (ok), 02:25, 19/07/2016 [^] [^^] [^^^] [ответить] | +1 +/– | Последнее объяснение с помощью аналогии, так как нормально ты похоже не понял ... текст свёрнут, показать | | |
| |
| 11.65, Comdiv (ok), 03:21, 19/07/2016 [^] [^^] [^^^] [ответить] | –1 +/– | Последнее объяснение с помощью аналогии, так как нормально Вы так и непоняли и у... текст свёрнут, показать | | |
| |
| 12.66, angra (ok), 05:28, 19/07/2016 [^] [^^] [^^^] [ответить] | +/– | Во-первых, не надо искажать мою аналогию, а то возникает впечатление, что ты хоч... текст свёрнут, показать | | |
| |
| 13.67, Comdiv (ok), 13:40, 19/07/2016 [^] [^^] [^^^] [ответить] | –1 +/– | Дело в том, что созданные известными архитекторами эскизы, по которым был постро... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
|
|
| |
| 2.16, Аноним (-), 11:39, 16/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
doas/sudo позволяют предоставить пользователю возможность монтирования устройств практически с тем же уровнем комфорта.
| | |
|
| 1.25, Daemon (??), 14:32, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Тео походу пивка обпился :) :) :) Может послабее варить будешь? :) :) :)
| | |
| |
| 2.28, Аноним (-), 15:17, 16/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> В линуксе уже давно так. Решается Халом и прочими udisk-ами
нет.
| | |
|
| |
| 2.34, Аноним (-), 16:32, 16/07/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
Переезжайте в Россию - тут всё свободно. Даже борцунов с кровавым режимом не сажают и не расстреливают (если не заводить романы с моделями из соседнего государства).
| | |
|
| 1.41, IMHO (?), 18:20, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
скоро в новостях:
- прекращена поддержка настройки сети
- прекращена поддержка настройки ОС
- прекращена поддржка установки программ
...
- прекращена ...
| | |
| 1.50, Аноним (-), 23:42, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
У них там fuse есть?
Вообще, если у системы вообще есть (непривилегированные) пользователи, то монтировать нужно. А если система этого немогет, то это делает ее менее юзабильной.
| | |
| |
| 2.68, Аноним (-), 00:35, 20/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> У них там fuse есть?
Есть. Работает.
> Вообще, если у системы вообще есть (непривилегированные) пользователи, то монтировать
> нужно. А если система этого немогет, то это делает ее менее
> юзабильной.
doas mount
| | |
|
| 1.51, Нанобот (ok), 07:45, 17/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Это полумеры! Из соображений безопасности нужно запретить непривелигерованых пользователей!
| | |
| |
| 2.55, Sfinx (ok), 21:31, 17/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Точно, нет юзера - нет и проблемы ;) Хороший юзер - deleted user !
| | |
|
|
