forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Выпуск пакетного фильтра iptables 1.8.9, opennews (??), 12-Янв-23, (0) [смотреть все]

Динамические правила на уровне приложения с привязкой к иноде экзешника на диск, Аноним (1), 15:27 , 12-Янв-23, (1) –1 //

ты понимаешь, что это бред есть миллион способов обойти эти правила, например ч, Аноним (2), 15:30 , 12-Янв-23, (2) +6 //

Именно Нужна проверка, что файл именно тот, который был в момент установки прав, Аноним (1), 15:35 , 12-Янв-23, (3) //

Кстати, с неймспейсами можно без проблем запихнуть всех потомков в те же рамки , Аноним (1), 15:37 , 12-Янв-23, (5)
Тебе нужен явно другой инструмент Например, апармор может наследовать права п, Аноним (6), 15:38 , 12-Янв-23, (6) +1

В момент установки правила, а не в момент запуска , Аноним (1), 15:40 , 12-Янв-23, (7) –2

т е правило должно создаваться после запуска программы , InuYasha (??), 19:31 , 13-Янв-23, (68)

Собственно, да, при запуске проверять что это тот самый файл, потом разрешающее , Аноним (1), 20:08 , 13-Янв-23, (71) –1

Запускай нехорошие приложения в network namespaces с зарезанным доступом в сеть , Аноним (8), 15:57 , 12-Янв-23, (8) //

Угу, очень многие приложения хотят локалхост для работы и чтобы выполнить ip lin, Аноним (1), 16:22 , 12-Янв-23, (12) //

SELinux в помощь , Аноним (33), 21:48 , 12-Янв-23, (33) +1
cap net admin не хватит , Full Master (?), 23:07 , 12-Янв-23, (36)

А это не хуже Потому что unshare не получает реальных админских прав, только в , Аноним (1), 23:45 , 12-Янв-23, (39) –1

Но кстати этого рута в неймспейсе емнип достаточно чтобы выставить cap_sys_admin, Аноним (1), 23:48 , 12-Янв-23, (40) –1

Ты неправ, аноним, нужно запускать в cgroup net_cls Неймспейс тот же, но по cls, Аноним (62), 12:34 , 13-Янв-23, (62)

opensnitch не так работает , Дуров (?), 17:36 , 12-Янв-23, (16)
Сейчас из того что развивается есть только opensnitch , An0nim0us (?), 23:20 , 12-Янв-23, (37)
все эти грабли проходили на винде, когда пытались сделать непробиваемые групповы, ivan_erohin (?), 14:01 , 13-Янв-23, (65) //

и что - оно там разве не работает , InuYasha (??), 19:33 , 13-Янв-23, (69) –1 //

предполагаю, что достаточно убить или пропатчить сервис AppIdSvc или как его там, ivan_erohin (?), 22:06 , 13-Янв-23, (72)

А почему тогда пытались Вроде, на винде полно сервисов работает Даже в зверб, InuYasha (??), 23:51 , 13-Янв-23, (73) –1

потому что это должно не отключаться так просто т е находиться в ядре по рандо, ivan_erohin (?), 06:59 , 14-Янв-23, (74)
я забыл сформулировать в чем именно грабли 1 прежде чем что-то запрещать или ра, ivan_erohin (?), 07:18 , 14-Янв-23, (75)

У всех хардлинков на один файл одинаковый inode , Аноним (77), 01:03 , 16-Янв-23, (77)

значит симлинки все время путаю их , ivan_erohin (?), 22:06 , 20-Янв-23, (83)

У каждого процесса есть родитель Эту цепочку можно отследить , Аноним (82), 21:44 , 20-Янв-23, (82)

родитель init или systemd что дальше , ivan_erohin (?), 22:07 , 20-Янв-23, (84)

Это уже не относится к теме Мы говорили о том,, Аноним (82), 20:06 , 24-Янв-23, (85)

Но как, Холмс Кто пояснит, почему от простых и понятных правил, которыми и был, Аноним (4), 15:36 , 12-Янв-23, (4) +17 //

А чтобы деды не разобрались, Аноним (9), 15:59 , 12-Янв-23, (9) +3
Можно каждое правило отдельной строкой команде nft передавать , Аноним (-), 16:03 , 12-Янв-23, (10) +1
Так никто не отказался, вон все твои простые правила сохранили и продолжают пи, пууук (?), 16:26 , 12-Янв-23, (13) +1
В современном мире надо эмитировать развитие даже если продукт завершён, иначе с, Аноним (18), 17:53 , 12-Янв-23, (18) +2 //

Эмитируют облигации и электроны Развитие имитируют , Аноним (25), 18:47 , 12-Янв-23, (25)
Скромное напоминание обещанного рыжым аналога ipchains -C как только так сразу, пох. (?), 20:16 , 12-Янв-23, (29) –1

Потому, что 171 мешанина из фигурных скобок 187 удобно парсится и генерирует, Аноним (33), 21:51 , 12-Янв-23, (34) +1 //

Интересно посмотреть на исследование сколько в современном мире хостов администр, Аноним (77), 01:11 , 16-Янв-23, (78)

Лучше бы json в iptables завезли, чтобы парсить выхлоп было удобно , Аноним (11), 16:07 , 12-Янв-23, (11) –2 //

лучше бы лекарство от жысон головного мозга придумали , Аноним (6), 16:51 , 12-Янв-23, (14) +9 //

Жсон очень удобен для шелл-скриптов Лучше и безопасней xml опять же , Аноним (1), 16:58 , 12-Янв-23, (15) +1 //

а sed придумали трусы ага вот так и живем , анонна (?), 18:58 , 12-Янв-23, (26) +3

Нет, sed придумали умные люди, которые в отличие от тебя понимают, что такое обл, Аноним (41), 00:02 , 13-Янв-23, (41)

черт а оператор 124 тебе просто так дали , анонна (?), 00:55 , 13-Янв-23, (53) –2
я поражаюсь новым поколениям программистов, которые не видели линукса во времена, анонна (?), 01:01 , 13-Янв-23, (54) –1
sed не для парсинга если что, это потоковый редактор всего навсего , Анончик (?), 04:27 , 13-Янв-23, (58) –1

кстати да браузер тоже ток читалка html разметки, а погляди че натворили , анонна (?), 05:11 , 27-Янв-23, (86)

вас услышали и написали nftablesnft --json list ruleset, An0nim0us (?), 23:27 , 12-Янв-23, (38) +1
Для json ификации вывода команд есть https kellyjonbrazil github io jc , Аноним (44), 00:16 , 13-Янв-23, (44)

Это надо быть сверхчеловеком чтобы помнить все эти правила Как-то надо было нас, Аноним (20), 18:26 , 12-Янв-23, (20) +6 //

Я тебе секрет професии открою, только не рассказывай никому Вместо того, чтобы , Аноним (33), 00:08 , 13-Янв-23, (42) +1 //

К счастью я выпилился из ойти и вкатился в сварщики на севера вахтовым методом , Аноним (46), 00:31 , 13-Янв-23, (46) +2 //

Теперь ты настоящий сварщик , Аноним (57), 04:07 , 13-Янв-23, (57)

Работаю админом Тоже ничерта не помню эти таблицы, правила, ipсеты, каждый раз , Аноним (55), 03:03 , 13-Янв-23, (55) –1 //

Учи firewalld - он как раз для тебя, попроще Синтаксис немного уе нский, но ра, пох. (?), 14:34 , 13-Янв-23, (66) –1

В nftables можно писать комментарии к правилам, считать по счётчикам, и вообще к, Аноним (62), 12:36 , 13-Янв-23, (63) //

В iptables тоже можно писать комментарии и считать по счётчикам, если уж на то п, я (?), 13:55 , 13-Янв-23, (64)

Я наверно тоже ИДИОТ, ufw мне всегда хватало А iptables кроме как платной подде, Аноним (28), 19:20 , 12-Янв-23, (28) +1 //

ты не наверное, ты точно Впрочем, определение из викивракии - человек, страдающи, пох. (?), 20:20 , 12-Янв-23, (30) –4 //

Сожгут вас на костре, за ваши знания пс убил, Sw00p aka Jerom (?), 21:19 , 12-Янв-23, (32)
А код будет Что бы предметно , Anonim (??), 22:20 , 12-Янв-23, (35)

Так то ufw сам iptables юзает и надо заметить довольно мусорно после него станов, Аноним (55), 03:09 , 13-Янв-23, (56)
как там сделать NAT - хотя бы простой с маскарадом, без вписывания параметров дл, Роман (??), 21:00 , 14-Янв-23, (76)

А э за 4 года уже даже я переписал все свои хотелки на nft И синтаксис та, InuYasha (??), 19:39 , 13-Янв-23, (70) –1 //

И не жалко вам было 4 года потратить на переписывание одного и того же , Аноним (77), 01:22 , 16-Янв-23, (79) //

4 года делали ОНИ, а не я А я ща эти годы потратил 3-4 дня, наверное , InuYasha (??), 14:22 , 16-Янв-23, (80) –1

OpenWRT на nftables, начиная с последнего мажорного релиза , Аноним (33), 18:59 , 16-Янв-23, (81)

Сообщения [Сортировка по времени | RSS]

69. "Выпуск пакетного фильтра iptables 1.8.9" –1 +/–

Сообщение от InuYasha (??), 13-Янв-23, 19:33

и что - оно там разве не работает?

Ответить | Правка | Наверх | Cообщить модератору

72. "Выпуск пакетного фильтра iptables 1.8.9" +/–

Сообщение от ivan_erohin (?), 13-Янв-23, 22:06

предполагаю, что достаточно убить или пропатчить сервис AppIdSvc или как его там.
это как SElinux отключить.

Ответить | Правка | Наверх | Cообщить модератору

73. "Выпуск пакетного фильтра iptables 1.8.9" –1 +/–

Сообщение от InuYasha (??), 13-Янв-23, 23:51

А почему тогда "пытались"? Вроде, на винде полно сервисов работает. Даже в звербанке.

Ответить | Правка | Наверх | Cообщить модератору

74. "Выпуск пакетного фильтра iptables 1.8.9" +/–

Сообщение от ivan_erohin (?), 14-Янв-23, 06:59

> А почему тогда "пытались"?
потому что это должно не отключаться так просто.
т.е. находиться в ядре (по рандомным адресам хехе).
и не модулем.

Ответить | Правка | Наверх | Cообщить модератору

75. "Выпуск пакетного фильтра iptables 1.8.9" +/–

Сообщение от ivan_erohin (?), 14-Янв-23, 07:18

я забыл сформулировать в чем именно грабли.
1) прежде чем что-то запрещать или разрешать,
необходимо точно идентифицировать "приложение",
чтобы хитрый киберпреступник не смог идентификацию подделать.
вопрос: как ?
по имени и пути (такие попытки были) ? это смешно.
по иноду и чему-то там еще, как предложил первый анон в треде ? анон не в курсе про хардлинки.
по хэш-сумме бинарника ? тормоза на старте, до первого обновления.
2) что делать если "приложение" способно и будет создавать от себя другие "приложения" ?
возможна эвристика против обычных юзеров: либо +r+x, либо +w. если +w+x - не запускать вообще.
предлагаю рассмотреть самостоятельно.

Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

77. "Выпуск пакетного фильтра iptables 1.8.9" +/–

Сообщение от Аноним (77), 16-Янв-23, 01:03

> анон не в курсе про хардлинки.
У всех хардлинков на один файл одинаковый inode.

Ответить | Правка | Наверх | Cообщить модератору

83. "Выпуск пакетного фильтра iptables 1.8.9" +/–

Сообщение от ivan_erohin (?), 20-Янв-23, 22:06

> У всех хардлинков на один файл одинаковый inode.
значит симлинки. все время путаю их.

Ответить | Правка | Наверх | Cообщить модератору

82. "Выпуск пакетного фильтра iptables 1.8.9" +/–

Сообщение от Аноним (82), 20-Янв-23, 21:44

> что делать если "приложение" способно и будет создавать от себя другие "приложения" ?
У каждого процесса есть родитель. Эту цепочку можно отследить.

Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

84. "Выпуск пакетного фильтра iptables 1.8.9" +/–

Сообщение от ivan_erohin (?), 20-Янв-23, 22:07

> У каждого процесса есть родитель. Эту цепочку можно отследить.
родитель init или systemd. что дальше ?

Ответить | Правка | Наверх | Cообщить модератору

85. "Выпуск пакетного фильтра iptables 1.8.9" +/–

Сообщение от Аноним (82), 24-Янв-23, 20:06

>> У каждого процесса есть родитель. Эту цепочку можно отследить.
> родитель init или systemd. что дальше ?
Это уже не относится к теме. Мы говорили о том,
> "что делать если "приложение" способно и будет создавать от себя другие "приложения" ?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	69. "Выпуск пакетного фильтра iptables 1.8.9"	–1 +/–
	Сообщение от InuYasha (??), 13-Янв-23, 19:33
	и что - оно там разве не работает?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	72. "Выпуск пакетного фильтра iptables 1.8.9"	+/–
	Сообщение от ivan_erohin (?), 13-Янв-23, 22:06
	предполагаю, что достаточно убить или пропатчить сервис AppIdSvc или как его там. это как SElinux отключить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	73. "Выпуск пакетного фильтра iptables 1.8.9"	–1 +/–
	Сообщение от InuYasha (??), 13-Янв-23, 23:51
	А почему тогда "пытались"? Вроде, на винде полно сервисов работает. Даже в звербанке.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	74. "Выпуск пакетного фильтра iptables 1.8.9"	+/–
	Сообщение от ivan_erohin (?), 14-Янв-23, 06:59
	> А почему тогда "пытались"? потому что это должно не отключаться так просто. т.е. находиться в ядре (по рандомным адресам хехе). и не модулем.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	75. "Выпуск пакетного фильтра iptables 1.8.9"	+/–
	Сообщение от ivan_erohin (?), 14-Янв-23, 07:18
	я забыл сформулировать в чем именно грабли. 1) прежде чем что-то запрещать или разрешать, необходимо точно идентифицировать "приложение", чтобы хитрый киберпреступник не смог идентификацию подделать. вопрос: как ? по имени и пути (такие попытки были) ? это смешно. по иноду и чему-то там еще, как предложил первый анон в треде ? анон не в курсе про хардлинки. по хэш-сумме бинарника ? тормоза на старте, до первого обновления. 2) что делать если "приложение" способно и будет создавать от себя другие "приложения" ? возможна эвристика против обычных юзеров: либо +r+x, либо +w. если +w+x - не запускать вообще. предлагаю рассмотреть самостоятельно.
	Ответить \| Правка \| К родителю #73 \| Наверх \| Cообщить модератору


	77. "Выпуск пакетного фильтра iptables 1.8.9"	+/–
	Сообщение от Аноним (77), 16-Янв-23, 01:03
	> анон не в курсе про хардлинки. У всех хардлинков на один файл одинаковый inode.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	83. "Выпуск пакетного фильтра iptables 1.8.9"	+/–
	Сообщение от ivan_erohin (?), 20-Янв-23, 22:06
	> У всех хардлинков на один файл одинаковый inode. значит симлинки. все время путаю их.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	82. "Выпуск пакетного фильтра iptables 1.8.9"	+/–
	Сообщение от Аноним (82), 20-Янв-23, 21:44
	> что делать если "приложение" способно и будет создавать от себя другие "приложения" ? У каждого процесса есть родитель. Эту цепочку можно отследить.
	Ответить \| Правка \| К родителю #75 \| Наверх \| Cообщить модератору


	84. "Выпуск пакетного фильтра iptables 1.8.9"	+/–
	Сообщение от ivan_erohin (?), 20-Янв-23, 22:07
	> У каждого процесса есть родитель. Эту цепочку можно отследить. родитель init или systemd. что дальше ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	85. "Выпуск пакетного фильтра iptables 1.8.9"	+/–
	Сообщение от Аноним (82), 24-Янв-23, 20:06
	>> У каждого процесса есть родитель. Эту цепочку можно отследить. > родитель init или systemd. что дальше ? Это уже не относится к теме. Мы говорили о том, > "что делать если "приложение" способно и будет создавать от себя другие "приложения" ?
	Ответить \| Правка \| Наверх \| Cообщить модератору