| |
| 2.17, n00by (ok), 12:19, 31/10/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Параноики напряглись.
Участники секты Свидетелей Тысячеглаза догадались, что их обнуляют, и принялись делать покерфейс.
| | |
| |
| 3.21, Афроним (?), 12:40, 31/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Гики сидят на коре дуба и в ус не дуют, а остальным придется изворачиваться.
| | |
| |
| 4.47, n00by (ok), 11:42, 01/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Покерфейс - это когда ставки сделаны, у партнёров флешрояль, а эксперт невозмутимо заявляет "всем водки, всем икры! медведей сюда и цыганей -- бюджет всё равно не мой"
| | |
|
| 3.41, Тысячеглаз рулез (?), 21:42, 31/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Если выбирая сторону "сильных" думаешь, что так всегда будешь на коне, то нет, этим самым конём и будешь.
| | |
| |
| 4.46, n00by (ok), 11:38, 01/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Если выбирая сторону "сильных" думаешь, что так всегда будешь на коне, то
> нет, этим самым конём и будешь.
Откуда взялись кони? В народном творчестве "за морём тёлушка полушка...", а тут её бесплатно отдают.
| | |
|
|
| 2.42, Megacock (ok), 21:43, 31/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
 Принцип неуловимого Джо пока неплохо работает. Поставь любой дырявый linux/vpn/firewall/mongodb/ПО на java использующее Log4j в небольшую компанию и вопрос взлома откладывается на годы. Я редко патчу exim, у меня нет и десятка пользователей и спам-фильтра. Всю некондицию я банально отправляю в /dev/null. И работает. Уже лет 8-9 как. За это время в спам-репорт не пришло, ни уведомлений о том что ваш сервер в блэк-листах, ни одного abuse со стороны хостера. Один раз пришло письмо что хостер мной "недоволен". Но это быстро удалось опровергнуть - просто поискать свой адрес в "черных" списках и указать, что в списках подсеть /16, а не конкретно я. При этом большая часть подсети хостеру не принадлежит. Благо опыт исключения из блэклистов у меня богатый, я раньше администрировал корпоративный почтовик. Потому поиск причин много времени не занял.
Вишенка на торте. На том хостере, что пожаловался и почтовика-то не было, иначе последствия я бы раньше заметил в виде недоходящих писем или писем отправляемых в спам.
С другой стороны, вот пример атаки на относительно крупную компанию 1000-2000 рабочих мест разбросанных по сотням филиалов от 1-2 до 10 машин + 100 в центральном офисе + 10-30 в региональных + 40 серверов. Шифровальщик присланный в отдел кадров смог вывести из строя три компа у HR. Вот Win32.Kido был гораздо большей проблемой в нулевые. Но к моменту атаки домены и файловые серверы на samba +POS-терминалы на java+linux + мобильные терминалы на winCE, а будь там вся инфраструктура основана на современном MS?
| | |
| |
| 3.48, AlexYeCu (ok), 13:24, 01/11/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
 >Принцип неуловимого Джо пока неплохо работает.
У меня ещё лет 20 назад логи тестовых веб-серверов были забиты запросами, направленными на попытку замены прошивки роутеров популярных моделей через уязвимости в вебморде и телнете. Это всё давно автоматизировано, никакого особого внимания привлекать не надо. Что до нужности: для добавления в ботнет годится — значит нужно.
Знакомый в одной мелкой конторе работал, как-то ради смеха визуализировали запросы к его серверам (была какая-то софтина, что из логов сервера делала анимацию на манер Арканоида, где шарики запросы изображали),было забавно видеть, как несколько раз в сутки боты долбятся по несуществующим адресам этакой струёй запросов.
Ещё помню, эта активность резко сошла на нет, когда египетское правительство из-за беспорядков в стране рубануло доступ населению.
Ещё лет 5 назад попытка выставить ненастроенный прокси в инет в течение 5 минут приманивала туда легион китайцев.
Так что принцип Джо давно уже не работает. Прмерно со времён изобретения ботов.
| | |
| |
| 4.56, Megacock (ok), 22:03, 01/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
Боты ломятся за вполне определенными и легко эксплуатируемыми уязвимостями, как правило в web. exim уж точно не самая популярная цель в этом плане. Останавливаться и целенаправленно ломать его ботоводам не интересно, когда есть много других "вкусных" целей. Да и сама идея взлома VPS для ботнета, так себе - заметно, разве что командный центр разместить или сервер раздачи. По моим наблюдениям, никто даже нестандартные порты не сканирует:
1. Проверили web.
2. Если нет или быстро забанили, то проверили SSH или RDP.
3. Если та же песня с баном, то пошли дальше, может потом когда вернутся.
Притом там не то чтобы какие-то изощренные методы атаки, просто проверили уязвим ли web, и попробовали перебрать пароли. Все. Из всего перечисленного только RDP может проблем доставить, т. к. ддосится легко. При большой атаке не пускает владельца VPS. Нут так нечего выставлять наружу. Есть vpn, там пусть хоть обддосятся. Но не будут, много других легких целей.
| | |
|
|
|
| 1.4, Аноним (5), 10:02, 31/10/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Похоже что авторы программы огорчились почему их бекдоров нет в ядре и решили сами их внедрить под предлогом борьбы с другими бекдорами.
| | |
| |
| |
| 3.25, Аноним (5), 13:34, 31/10/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
Окно овертона, "тогда и поговорим", "а когда пришли за мной" и прочием мемы про то что сначала вроде прикол, а потом у тебя ютуб не грузится и ты ничего не можешь сделать.
| | |
| |
| 4.27, Аноним (-), 13:47, 31/10/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Окно овертона, "тогда и поговорим", "а когда пришли за мной" и прочием мемы про то что сначала вроде прикол,
Всегда прикол) Не вижу никакой причины не отпустить шутку черного юмора.
> а потом у тебя ютуб не грузится и ты ничего не можешь сделать.
Так он и не грузится потому что ты "ничего не делал")
От такие пироги с котятами.
| | |
| |
| 5.30, Аноним (5), 14:49, 31/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Так то товарищ и говорит что не надо ничего делать потому что любо. Дальше давай думай сам. Разворачивай аналогию.
| | |
|
|
|
|
| |
| 2.37, Аноним (37), 20:45, 31/10/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> А DRM будет?
Его и без этого можно сделать. Видишь ли, польза пушки очень сильно зависит от того с какой стороны от нее ты находишься и куда она повернута.
| | |
|
| 1.12, Аноним (-), 11:37, 31/10/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> механизм W^X
> механизм эмуляции с функциями-трамплинами
> методы защиты могут нарушить нормальную работу JIT-компиляторов
На что только готовы погромисты, лишь бы дырявый код продолжать писать)))
А защиту где-то там размажем.
| | |
| |
| 2.15, Жироватт (ok), 12:11, 31/10/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
 128ядерный кластер с жидкостным охлаждением / 640 гигабайт рамы в домашнем ПК-балдёжнике точно хватит, чтобы запустить БЕЗОПАСНЫЙ стек от низкоуровнего БЕЗОПАСНОГО ассемблера до БЕЗОПАСНЫХ js-скриптов внутри интерпретатора внутри песочницы браузерного движка внутри контейнера внутри прозрачной виртуалки над интерпретируемым сервисом поверх БЕЗОПАСТНОСТНОГО и ВЕРИФИЦИРОВАННОГО микроядра, крутящегося поверх ещё более безопасного наноядра?
| | |
| |
| 3.18, n00by (ok), 12:27, 31/10/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Тут даже пожизненная кАмпЕляция в BHC-релизенгах не поможет.
| | |
| 3.19, Аноним (-), 12:29, 31/10/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Ого ты выдал! Прямо буллщит бинго.
Правильно я понимаю, что ты из тех, кто готов голым задом светить?
Ну типа если комп - проходной двор, то "ничего страшного, дело житейское"?
| | |
| |
| 4.26, Аноним (5), 13:38, 31/10/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Вин 98 светили в локальную сеть годами. При том что была возможность с ними делать через локальную сеть скажем так очень многое.
| | |
| |
| 5.32, Pahanivo (ok), 15:14, 31/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
 ГыГы, а ты смешной. Тогда локальные сети были только в организациях - и чем там искать, когда файло и базы лежали на каком-нибудь новел-нетваре?
| | |
|
|
| 3.39, Аноним (39), 20:48, 31/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
> 128ядерный кластер с жидкостным охлаждением / 640 гигабайт рамы в домашнем ПК-балдёжнике
> точно хватит, чтобы запустить БЕЗОПАСНЫЙ стек от низкоуровнего БЕЗОПАСНОГО ассемблера
> до БЕЗОПАСНЫХ js-скриптов
А чего такое хилое то? Уже вон Ampere 192 и даже 256 ядер выкатили. Впрочем AMD тоже смогли столько в EPYC, хоть и "dense" огрызки урезаные. А у тебя 128 всего - фу, прошлый век.
| | |
|
|
| |
| 2.40, Аноним (40), 21:05, 31/10/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Возможно, это их полное право.
Но
1 даже столлман говорил что GPL это не обязательно бесплатно
2 все десять лет потреблятели будут получать код нахаляву
3 весь код до смены лицензии останется открытым и пользователи смогли бы сами его развивать и дальше, если бы не были такими бесполезными
| | |
| |
| 3.43, Аноним (43), 21:48, 31/10/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> пользователи смогли бы сами его развивать и дальше, если бы не были такими бесполезными
Они могли бы и "во время" развивать, а смена лицензии стала бы вообще невозможна, если бы держатели лицензии не требовали передавать им права на каждый пулл-реквест.
| | |
|
|
| 1.38, pavlinux (ok), 20:47, 31/10/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Oй oтcтoй ....
1. добавим свой член в tasc_struct->mm_stuct: current->mm->pax_flags
2. устанoвим фляг:
if (snapshot_randomize_va_space) {
set_bit(PAXF_RANDMMAP, ¤t->mm->pax_flags);
}
3. Проверим фляг:
#ifdef CONFIG_OPENPAX
&& test_bit(PAXF_RANDMMAP, ¤t->mm->pax_flags)
#endif
Проверка флага в бинарнике ... parse_flag('r', 'R', PAXF_RANDMMAP);
Фляг в файл пишется естественно "своей новой" утилью (ниасилили objcopy)
Так работают все детские системки защиты. :D
| | |
| |
| 2.51, Тролололо (?), 14:45, 01/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ты просто не понимаешь о чём говоришь. Исключить выполнение для страниц доступных для записи и наоборот это must have.
| | |
| |
| 3.55, n00by (ok), 19:19, 01/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
Он не про это говорит, а про детали реализации того "must have".
| | |
|
|
| |
| 2.52, Тролололо (?), 14:51, 01/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>3. запрет создания исполняемой памяти из анонимной памяти (W^X),
Сразу видно человека далёкого от разработки ядра. Это много где востребованно и должно быть, но для этого нужно ввести новую привелегию типа CAP_ANON_MAP_EXEC.
| | |
| |
| 3.53, Аноним (50), 16:49, 01/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> 3. запрет создания исполняемой памяти из анонимной памяти (W^X),
> Это много где востребованно и должно быть
У меня в системе запрещено и нигде не используется. Писать правильно надо, чтоб дыр не было.
> Сразу видно человека далёкого от разработки ядра
Забросил лет 15 назад.
| | |
| 3.54, Аноним (50), 16:54, 01/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> нужно ввести новую привелегию типа CAP_ANON_MAP_EXEC.
Все ПО обычного пользователя должно работать без привилегий.
Привилегии нужны не для раздачи их пользователям, а для понижения правилегий рутовых процессов до необходимого и достаточного минимума.
# pscap
не должен выводить процессов с full привилегиями.
| | |
| |
| 4.58, мяв (?), 09:42, 02/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
 должно онониму с интернета?
>для понижения правилегий рутовых процессов до необходимого и достаточного минимума.
это именно то, что аноним выше предлагает.
лимитировать доступ к потенциально небезопасной операции.
>не должен выводить процессов с full привилегиями.
Вы переводчик неосилили, или слово "полными" уже немодное среди ононимов?
с "full привелегиями" работают только суиды и рутовые процессы. Вы вообще о чем?
о "не должно быть процессов с доп. возможностями"? ping google.com сделайте - сильно удивитесь. раньше он вовсе был суидным.
| | |
| |
| 5.59, Аноним (59), 20:24, 02/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
https://www.opennet.ru/openforum/vsluhforumID10/5622.html
CAP не для раздачи привилегий процессам пользователя, а для ограничения привилегий рутовых процессов до необходимого и достаточного минимума.
Да, ping должен иметь привилегию net_raw для создания сокета, но он ее должен сразу сбросить. И раздача, и контроль за привилегиями должен быть https://www.opennet.ru/openforum/vsluhforumID10/5622.html#8
У меня в системе pscap не показывает процессов с full приведениями, все процессы, включая матовые, ограниченные до необходимого и достаточного минимума с гарантией невозможности повышения своих привилегий.
| | |
| |
| 6.60, мяв (?), 23:43, 02/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
>https://www.opennet.ru/openforum/vsluhforumID10/5622.html
>>чтобы root его запускал и процесс имел пониженные привилегии
сами решили свою неграмотность показать?
возможности(caps) нужны что б приложениям, вместо суида, давать огран. к.-во привелегий. не для "понижения привелегий рута".
>https://www.opennet.ru/openforum/vsluhforumID10/5622.html#8
>>Мое мнение:
Вы, наверно, очень удивитесь, когда узнаете, что "разработчики дистрибутива" заранее не знают, что Вы ставить будете и как юзеров назовете.
если посмотрите чуть внимательнее - заметите и отсутствия условной "capabilities.conf.d" .. как предложите при удалении пакета, удалять разрешения? файл post-rm скриптами парсить?
>включая матовые
даже спрашивать не буду.
тем не менее, Вы адекватное что-то по поводу идеи анонима выше так и не смогли - его подход более, чем рационален.
"вместо того, чтобы давать доступ к потенциально небезопасной операции всем, давать его по атрибуту бинарника".
lsm, вроде SARA, делают это так же. только там не cap, а обычный атрибут.
| | |
| |
| 7.61, Аноним (61), 09:11, 03/11/2024 [^] [^^] [^^^] [ответить] | +/– | CAP разработан в конце 1970-тых, начала 1980-тых для UNIX как расширение безопас... большой текст свёрнут, показать | | |
|
|
| 5.62, Аноним (62), 09:04, 04/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> с "full привелегиями" работают только суиды и рутовые процессы.
С full привилегиями в системе не должен работать ни один процесс! pscap не должен показывать процессов с full привилегиями.
В GNU/Linux есть возможность раздавать и отбирать привилегии у пользователей и процессов, оставляя им лиш необходимый и достаточный минимум привилегий. Например у меня пользователь root (USERID=0) везде лишён привилегии net_raw и пингануть не может!!! А пользователь admin (USERID=1000) имеет возможность пользоваться привилегией net_raw при запуске утилиты ping...
| | |
| |
| 6.63, Аноним (63), 17:21, 06/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ещё добавлю, что если у пользователя root отнять привилегии, то при рестарте под рутом некого сервиса ему может не хватить привилегий для запуска и работы. Для этого надо или оставить руту много привилегий или предварительно позаботится о возможности рестарта сервисов с нужными им привилегиями при сильно ограниченном пользователе root.
| | |
|
|
|
|
| 2.65, pavlinux (ok), 18:46, 18/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Для обеспечения корректной работы ядра OS с памятью необходимо и достаточно:
> 1. запрет изменения на исполняемую области памяти которая исполняемой не создавалась (W^X),
> 2. запрет изменения на запись памяти которая выделена как исполняемая (W^X),
> 3. запрет создания исполняемой памяти из анонимной памяти (W^X),
> 4. запрет изменения на запись памяти выделенной только для чтения (RELRO).
Как это связано с "корректной работой ядра OS с памятью"?
| | |
|
|
