| 1.1, Онаним (?), 21:21, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +37 +/– |
Никогда не было, и вот...
Опять...
В очередной раз повторюсь: по умолчанию ЭТО должно быть выключено.
| | |
| |
| |
| |
| 4.37, Медоед (?), 23:44, 12/01/2022 [^] [^^] [^^^] [ответить]
| –4 +/– |
про дырявого Тьюринга уже пошучено? Если нет, я первый занимал.
| | |
|
| 3.38, Медоед (?), 23:45, 12/01/2022 [^] [^^] [^^^] [ответить]
| –6 +/– |
Миша, Миргородский вас хвалит, а на вики Альта про вас нехорошести написаны :)
| | |
| |
| 4.63, Аноним (63), 07:08, 13/01/2022 [^] [^^] [^^^] [ответить]
| +13 +/– |
Вики Альта писал Шигорин. Себя хвалить не стал, воспитание.
| | |
|
| 3.45, Аноним (45), 01:42, 13/01/2022 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>Не опять, а снова.
Даже шутка про то что Ш смешон, и то тупая.
| | |
|
| 2.43, Аноним (43), 01:08, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
Системд уже использует ebpf по умолчанию, так что это уже сложно выключить.
| | |
| |
| 3.48, Аноним (-), 03:32, 13/01/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Таков был замысел. Там еще со стороны ефи скоро подвезут подвязочку.
| | |
| |
| |
| |
| 6.130, anonymous (??), 10:59, 14/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
Я вообще-то не шутил. Если вы действительно верите в заговор, то напишите о нём.
| | |
|
|
|
| 3.138, Аноним (138), 14:02, 22/01/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Не используейте systemd & eBPF
И дистры с systemd, dbus, polkitd+JS, JIT,... тоже не используйте.
| | |
|
| 2.64, Аноним (63), 07:13, 13/01/2022 [^] [^^] [^^^] [ответить]
| +5 +/– | |
>> В очередной раз повторюсь: по умолчанию ЭТО должно быть выключено
ЭТОГО быть не должно.
Если по системд претензии скорее к реализации, чем к идее, то ебпф звездец со всех сторон.
| | |
| |
| 3.106, Аноним (-), 13:11, 13/01/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Если по системд претензии скорее к реализации, чем к идее,
чего чего ?
| | |
| |
| 4.113, Аноним (63), 15:10, 13/01/2022 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Стандартизированная система инициализации нужна, да и там много чего полезного ещё.
Реализация - вендорлок, впиливание в ядро, завязка прикладного софта на функции системд, конфиги бинарные.
Там овердохрена лютой дичи, которую непонятно как пропихали. То есть, понятно как и кто пихал, хз чем остальные думали.
| | |
| |
| 5.133, Аноним (133), 15:19, 15/01/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> То есть, понятно как и кто пихал, хз чем остальные думали.
Остальные говорили что тр*ан*све*стир*ова*ть ли**н*уп*са не надо, но *р*а*с*т*ы к*а*стри*ров*али инит и пришили с*ы*з*ду.
| | |
|
| 4.119, . (?), 17:33, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Ну он видимо имел в виду - есть же нормальный, человеческий, svchost ;-)
| | |
|
| 3.131, Аноним (131), 17:15, 14/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
eBPF - украденный из фрибзд анализатор трафика сети. С какой стороны это звиздец?
| | |
| |
| 4.134, Аноним (133), 15:21, 15/01/2022 [^] [^^] [^^^] [ответить]
| +/– | |
JIT - изменения бинаря во время исполнения.
Не удовлетворяет минимальному критерию безопасности уровню C1
| | |
| 4.135, Аноним (-), 15:36, 15/01/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> eBPF - украденный из фрибзд анализатор трафика сети.
У тебя слишком жидкий наброс. Только сам забрызгался.
Попробуй еще раз.
| | |
|
|
|
| 1.2, Аноним (2), 21:23, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
больше BumbleBee богу BumbleBee! облегчим распространение [и эксплуатацию] уязвимостей уровня ядра!
| | |
| |
| 2.30, Аноним (30), 22:43, 12/01/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
Это к чему? Bumblebee — решение, позволяющее задействовать NVIDIA Optimus в ноутбуках с GNU/Linux. При чем тут оно?
| | |
| |
| 3.32, Аноним (30), 22:50, 12/01/2022 [^] [^^] [^^^] [ответить]
| +4 +/– |
Однако, это еще и инструментарий для eBPF. Вся силы ушли на придумывание названия, а на проверку кода в ядре уже не осталось.
| | |
|
|
| 1.3, Аноним (3), 21:26, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Да сейчас все так работает. Что удивляться то? Разрабы по умолчанию включают все опции, ибо юзверь дурак и не сможет сам догадаться включить все эти мегаполезные фичи. И вдвойне дурак, если решит их выключить. Так что не просто включаем их, но еще и опции на всякий случай уберем.
| | |
| |
| 2.54, lockywolf (ok), 05:41, 13/01/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Юзер не может ничего включить и выключить, потому что модули его ядра подписаны sha512, и приватный ключ у вендора. А само ядро тоже подписано, и при его замене, прошивка не будет его грузить.
| | |
| |
| 3.59, Аноним (59), 06:43, 13/01/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это я про всякие ведроиды, где тебе по умолчанию ставят в залоченный телефон фэйсбук и даже не спрашивают, нужен он тебе или нет. Покупаешь телефон? Значит нужен.
| | |
| |
| 4.105, Аноним (105), 13:01, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– | |
>Покупаешь телефон? Значит нужен.
Живёшь в современном мире? Терпи его реалии. У тебя обязан быть facebook, twitter, whatsapp, tiktok, tinder, netflix, gmail, dropbox, yandex, ростелеком-биометрия, сбер, нпск и ещё до верха кучи. Не нравится в Ро^W современном мире - в любой момент можешь эмигрировать, было бы желание, виза не нужна.
| | |
| 4.115, penetrator (?), 16:09, 13/01/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
а ты не покупай залоченый телефон, а то производители совсем в край охренели
кроме самсунга, пикселей и 1+ ничего и не осталось, а под линейку так и самсунгов можно сказать нет
сами расплодили вские каловеи и хренооми, а потом удивляетесь, что не дают oem unlock
LOS + pico (+ battery manager) живет на моем 1+ в режиме ожидания (Wi-Fi on + 5G) 2 недели, на стоковой прошивке максимум 3 дня
| | |
|
|
|
| 1.4, Аноним (4), 21:27, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
Предлагаю начинать заголовки с "очередная уязвимость в ebpf, позволяющая выполнить код на уровне ядра".
| | |
| |
| 2.97, Аноним (94), 11:33, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
Правильнее. Разработчики уязвимостей раскрыли часть старых ненужных уязвимостей, которые утекли неправильным людям. И вставили новые уязвимости для правильных людей.
| | |
| 2.99, Жироватт (ok), 11:43, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
 Хм...думаю, стоит переформулировать как "Найден еще один способ использования уязвимости BPF"
| | |
|
| |
| 2.21, AntonAlekseevich (ok), 21:57, 12/01/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Хмм, вот это было неожиданно.
Я же подозревал что это будет. eBPF работает для меня как черный ящик, а ведь могли сделать проще и одокументить его особенности и функции.
| | |
| |
| 3.61, Аноним (61), 06:53, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
 а говорили что только в винде есть недокументированные возможности...
| | |
| |
| 4.73, Аноним (73), 09:38, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
Кто говорил? Можно ссылку (только не на форум типа habr)? И Вашу фамилию тоже.
| | |
|
|
|
| 1.11, Аноним (11), 21:42, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Надо поместить это в изолированный сандбокс-контейнер!!! Лучше в два слоя!
| | |
| |
| |
| |
| 4.49, Аноним (-), 03:36, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
глянул докер через докер что там делают руты, вдруг сосдений тушит докер тот что докер через докер потому что eBPF !
| | |
|
| 3.78, Аноним (78), 09:44, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> ехал докер через докер...
Докер очень помогает от дыр в ядре (на самом деле нет).
И выбраться оттуда, имея рута, нельзя (на самом деле можно).
| | |
|
|
| |
| 2.14, Онаним (?), 21:47, 12/01/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ды вот да.
Корпорасты втянули в пространство ядра то, чего там по определению быть не должно.
Оптимизировать передачу данных для пакетной обработки в сторону юзерспейса оказалось сложно - подкостылили порося.
| | |
| |
| 3.18, fernandos (ok), 21:52, 12/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
 Ну вытянули б и вытянули, но оно ещё и включено зачем-то по умолчанию.
То есть, тут не просто кто-то пропихнул в ядро странную технологию, её ещё и включили у пользователей просто так, чтоб была.
| | |
|
| 2.31, Аноним (31), 22:47, 12/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
Из новости непонятно зачем? Для выполнения кода на уровне ядра.
| | |
| |
| 3.107, Аноним (80), 13:15, 13/01/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Пиши модуль ядра соблюдая GPL. Можешь еще подписывать сертификатом от MS, чтобы secure boot не ругался.
А то странно все это выглядит: строят противоатомный бункер ... с дырой для прицельного закидывания бомб стратегического назначения.
| | |
|
|
| 1.15, Аноним (-), 21:48, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
jit в ядре небезопасно говорили они,а потом хренак хренак и в продакшн
| | |
| |
| 2.58, Аноним (58), 06:35, 13/01/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
 eBPF это local execution, а NPM это remote execution. Очевидно, что победа за NPM. А вообще и то и другое является проблемой, только если код тянуть откуда попало. Но с тем же успехом можно ставить ПО методом curl $URL | sudo sh
| | |
| |
| 3.86, Онаним (?), 10:23, 13/01/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
А если скомбинировать NPM с eBPF - может и вообще конфетка получиться
| | |
| |
| 4.102, Жироватт (ok), 11:52, 13/01/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
В eBPF крутится jvm.
В этой jvm крутится Node.js
В этом Node.js крутится специальная версия электрона на чистом js.
В этом js'троне крутится лисповый интерпретатор на js
В этом интерпретаторе крутится дотнет и powershell через транслятор IL2lisp.
В дотнетовской виртуалке крутится интерперататор для вебасма
В этом интерперататоре вебасма крутится лаунчер
В этом лаунчере запущен гипервизор
В гипервизоре запущен нативный винсервер 2019
В этом винсервере крутится нативный электрон
В этом нативном электроне крутится проект, вобравший в себя максимальное число лефтпадов и фейкеров с NPM
В доме, который построил корпорат Джек
| | |
|
|
|
| |
| |
| |
| |
| 5.75, Аноним (78), 09:41, 13/01/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну, конкретно псевдонимус (aka пох) - винадмин.
Походу, у них там плохо с v6.
| | |
| |
| 6.104, псевдонимус (?), 12:32, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Ну, конкретно псевдонимус (aka пох) - винадмин.
> Походу, у них там плохо с v6.
Я не пох. Не увидеть это может разве что сосачер или зумерок.
| | |
| 6.110, Газпром (?), 13:22, 13/01/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Ну, конкретно псевдонимус (aka пох) - винадмин.
Благодарим Вас за объемный, качественный, двойной выброс горючего газа в эти тяжелые и холодные времена!
| | |
|
|
| 4.84, Онаним (?), 10:20, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Бред это не блокировать айпив6 целиком. Отрубил какаху в ядре и все
> хорошо.
Вот fuckt.
Тот же OVH IPv6 даёт супплементарно, по 1 адресу на впсочку. Видимо клиентов настолько много (нет), что решили вообще не заморачиваться.
| | |
| 4.101, Аноним (101), 11:49, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
Это только "благодаря" Роскомпозору в Рассеюшке IPv6 практически отсутствует.
| | |
| |
| 5.108, Аноним (-), 13:17, 13/01/2022 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Это только "благодаря" Роскомпозору в Рассеюшке IPv6 практически отсутствует.
гребаная рука кремля.
| | |
|
|
|
| 2.98, Аноним (101), 11:42, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
Nftables, как и iptables, не позволяет обычному юзеру правила грузить.
| | |
|
| |
| 2.40, Аноним (40), 00:36, 13/01/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Ну и где этот ваш палец Линуса, когда он нужен?
В интересном месте у Платиновых Спонсоров, из чьих денег ему и платит фоундейшн?
| | |
| |
| 3.72, Аноним (70), 09:26, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
Вот NVidia бы заплатила, и Линус палец в ж-пу ещё раньше засунул.
| | |
|
| 2.76, Аноним (78), 09:42, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну и где этот ваш палец Линуса, когда он нужен?
Показывает направление для путешествия всем, кому не нравится eBPF.
| | |
|
| 1.42, Аноним (-), 00:56, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Какой-то бред. Зачем вообще нужен этот ваш eBPF, если netfilter его не использует?
| | |
| 1.47, Аноним (47), 02:41, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
С ентим ЕБиПиФэ обычная история - хотели как лучше, а вышло как всегда.
| | |
| 1.52, Аноним (52), 04:55, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
"В подсистеме eBPF, позволяющей запускать обработчики внутри ядра Linux в специальной виртуальной машине с JIT"
Все испугались и побежали на виндовс да мякушку , там это хотя бы возведено в норму как и отдача телеметрии на диски облачных овощно хранителей. Докопаться , запужать. Да я в этом ебпф вижу только одни плюсы в виде нативитили и прочих плюшек
| | |
| |
| 2.124, Аноним (123), 22:03, 13/01/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Где ж ты найдёшь в Андроиде ядро 5.8? Там обычно что-то древнее, типа 4.19.
| | |
| |
| 3.125, Аноним (125), 22:58, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
Под древние есть пачки све с уже готовыми эксплоитами. Тут вопрос о свежих ведроидах для которых пока нет ничего.
| | |
| |
| 4.127, Аноним (123), 02:05, 14/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
Samsung S20 достаточно свежий для тебя? Вот там как раз ядро 4.19. И, думаю, старые дыры старых ядер там пропатчены. И когда года через 2 выйдёт телефон с каким-нибудь LTS-ядром 5.10, эта eBPF дыра тоже там будет пропатчена.
| | |
|
|
|
| 1.68, Аноним (68), 09:14, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
На самом деле это быдлокод, как и все ядро линукса. В том плане, что монолитное ядро линуха как раз и родилось из желания сделать все проще. Фактически на коленке. Затащить все, что только можно, в монолитное ядро намного проще, чем пилить сложные абстракции, типа HAL в винде. Зачем такие костыли то? В винде вон уже 100500 лет все дрова работают в пространстве ядра. И да, это дыра для вирусни. Но сейчас не 95й год и данная проблема решаема. Например при помощи цифровых подписей.
| | |
| |
| 2.79, Аноним (80), 09:45, 13/01/2022 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> при помощи цифровых подписей
Только правильные вирусы от проверенных производителей вирусов!
| | |
| 2.128, Аноним (128), 09:42, 14/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
А помните как трансмишн с легально цифровой подписью на яблоко все ставили?
| | |
|
| 1.74, Аноним (80), 09:39, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> подсистема eBPF, позволяющая выполнить код на уровне ядра Linux
Тавтология.
| | |
| 1.81, Аноним12345 (?), 09:58, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ebpf используется в чатности для фильтрации сетевого трафика
но не только фильтрации, но и вообще его маршрутизации
ebpf может показывать программы, которым ядро по той или иной причине не даёт время на выполнение, при этом утилиту pprof для этой цели использовать бесполезно
можно взять какой-нибудь язык программирования типа python или php и пересобрать его с опцией trace, после чего можно узнать много нового о выполняемых этими интерпретаторами программах
ebpf позволяет написать программу, вызов которой - внимание - можно вставить в любую ядерную функцию
и наваял этот ebpf некто Алексей Старовойтов
| | |
| |
| 2.82, Аноним (80), 10:08, 13/01/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> некто Алексей Старовойтов
Русский(?) след. Надо готовить очередной пакет санкций, ой, tcp.
| | |
|
| |
| 2.90, Аноним (73), 10:45, 13/01/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ага. Ошибка из серии: заходим с консоли, вводим пароль рута и ... о ужас, делаем что угодно!
| | |
| |
| |
| 4.137, Аноним (-), 20:02, 16/01/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> ядра Linux 5.4 набор патчей "lockdown", предложенный Дэвидом Хоуэллсом (David Howells, работает в Red Hat) и Мэтью Гарретом (Matthew Garrett, работает в Google) для ограничения доступа пользователя root к ядру.
Надеюсь там (в Red Hat, в Google) разберутся кому какие права нужны. А самое главное будет документация как с этим жить,и как отключить!
| | |
|
|
|
| 1.111, Аноним (111), 14:20, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Что и говорилось. Лин полон закладок, которые еще искать 10 лет. Вот тут одну нашли. Молодцы.
| | |
| 1.112, pda (ok), 14:24, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Начинает казаться, что eBPF это не самая хорошая идея. (И реализация.)
Хм... Может ещё Flash Player в ядро включить до комплекта?..
| | |
| 1.120, Легивон (?), 20:04, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Когда уже сайты смогут выполнять произвольные eBPF программы в пространстве ядра? Всем понятно: там есть виртуальная машина - значит безопасно!
Чего они ждут? Мне позарез нужна эта возможность чтобы рисовать менюшку гамбургер и моргающие картинки.
| | |
| 1.132, Аноним (133), 15:14, 15/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> В подсистеме eBPF, позволяющей запускать обработчики внутри ядра Linux в специальной виртуальной машине с JIT, выявлена уязвимость
BPF с Linux можно выкинуть только правками кода ядра. Отключить в конфиге нет возможности.
Вот и задумайтесь о подарке eBPF с JIT от Microsoft в Linux. Троян явный!
| | |
|
