forum.opennet.ru

"Выпуск механизма управления теневыми паролями tcb 1.2"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Выпуск механизма управления теневыми паролями tcb 1.2"	+/–
Сообщение от solardiz (ok), 16-Янв-21, 17:17
> А как с пингами решили? Добавили поддержку ограниченных ICMP сокетов в ядро. В upstream, как я помню, начиная с Linux 3.0: https://lwn.net/Articles/420799/ Теперь живет там своей жизнью: https://cregit.linuxsources.org/code/5.10/net/ipv4/ping.c.html К сожалению, с этим вышло нехорошо. Исходно у нас для ping заменялся SUID root на SGID _icmp, что делало новый код в ядре доступным только этой группе, то есть мы добавляли дополнительный уровень безопасности. Нам удалось отстоять сохранение ограничения наших ICMP сокетов по диапазону групп (настраивается через sysctl) и их недоступность не-root'у по умолчанию при включении в upstream (исходно нас просили эту защиту выкинуть). Но (как минимум) в Android этот sysctl выставили так, что новая функциональность стала доступна всем. (Наверное, у них были на то свои основания.) А при переносе кода с интерфейсов ядра 2.4.32 (под который эти сокеты исходно реализовал участник нашей команды) на 2.6+ (другим участником нашей команды, то есть наша ответственность), к сожалению, были привнесены ошибки. Конечно, теперь известные ошибки исправлены. Вот конец треда на эту тему, с целью учиться на ошибках: https://www.openwall.com/lists/oss-security/2017/03/25/1 Теперь кроме нашего патченного ping'а, насколько я знаю эти сокеты также использует QEMU (чтобы можно было ping'ать из VM не запуская сам QEMU под root) и, видимо, приложения под Android. Кстати, traceroute (его классический "протокол") реализуем без root'а уже начиная с Linux 2.4, и с тех же времен есть реализация от Olaf Kirch, это умеющая, которой мы и пользуемся. А другие дистрибутивы что-то не спешат.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Выпуск механизма управления теневыми паролями tcb 1.2, opennews, 12-Янв-21, 12:35 [смотреть все]

Самый лучший механизм , Аноним, 12-Янв-21, 12:35 (1) //
- оно и видно 2 человека скачало , кек, 12-Янв-21, 13:13 (15) //
  - Поколение лайков Вы вообще пытались головой подумать -- кому именно надо скач, Michael Shigorin, 13-Янв-21, 14:45 (95) //
    - ХАХАХА, вы расскажите тогда что они в дистрибутивах по умолчанию делают тогда И, VITAlya, 29-Янв-21, 22:23 (112)
- Самый глупый аноним , КО, 12-Янв-21, 14:40 (25) //
  - Самый глупый это Fractal Хотя он не аноним , Аноним, 12-Янв-21, 17:24 (43)
а tcb не имеет такой возможности совсем Как он будет проверять хэши тогда при л, dimcha, 12-Янв-21, 12:41 (3) //
- В случае tcb можно запускать обработчик под тем пользователем, чей пароль мы хот, kmeaw, 12-Янв-21, 12:49 (7) //
- PAM и NSS модули , x3who, 12-Янв-21, 12:52 (9)
- Написано же для системные пользователи в отдельной группе с нужными правами, Аноним, 12-Янв-21, 14:01 (21)
- У группы auth есть доступ только на чтение , Аноним, 12-Янв-21, 14:43 (27)
для этого понадобилось 10 лет новых 2010-2021 , Гимли, 12-Янв-21, 12:41 (4) //
- Очень скоро, уже в этом столетии, разработчики откроют для себя возможность хран, x3who, 12-Янв-21, 12:53 (10) //
  - Использовать клиент-серверную СУБД для хранения паролей локалхоста нерационально, Аноним, 12-Янв-21, 14:28 (23) //
    - А что, в макоси так и сделано И, в принципе, это рационально в плане масштабиру, Аноним, 12-Янв-21, 14:45 (28)
  - Представьте себе, файл etc shadow - тоже база этих самых данных Сюрприз, да , Анонимный Аноним, 12-Янв-21, 18:08 (52) //
    - Ненене База данных - это чтобы обязательно в файлах на диске хранилась каша, в , YetAnotherOnanym, 12-Янв-21, 19:51 (55)
      - Твой etc shadow станет полной тыквой при одном бэд секторе под ним И ничем теб, Аноним, 13-Янв-21, 01:48 (70)
        
        Много что станет, и что Вам поименно перечислить файлы, бэд сектор в которых н, Анонимленьлогиниться, 13-Янв-21, 11:14 (84)
        Отличная причина сменить пароли , охохо, 13-Янв-21, 12:36 (88)
      - текстовый редактор, hex редактор - тоже специальные программы , охохо, 13-Янв-21, 12:35 (87)
    - Ну ты прям глаза мне раскрыл Кроме поддержки SQL некоторые СУБД предоставляют г, x3who, 17-Янв-21, 14:41 (110)
  - MS еще в прошлом веке вроде открыл AD это называется И говорят что их недавно , Аноним, 13-Янв-21, 01:46 (69) //
    - AD всего лишь проприетарный LDAP с расширениями Зато пд юниксами этих ваших dir, Аноним, 13-Янв-21, 10:04 (82)
- Нет, это было в первой же версии в 2001 году Именно потому что всё главное уже , solardiz, 12-Янв-21, 16:58 (38) //
  - Был не прав, прошу прощения, и благодарю за развёрнутый и внятный ответ , Гимли, 12-Янв-21, 19:03 (54)
Сомнительно, у пользователя не должно быть прав на запись в системные каталоги , Аноним, 12-Янв-21, 12:48 (5) //
- Хотя по поводу blowfish я в курсе что там только недавно от md5 md4 отошли, лу, Аноним, 12-Янв-21, 12:50 (8) //
  - Что тут еще за эксперты в крипто А какие собственно атаки известны на blowfish , Аноним, 13-Янв-21, 01:39 (66) //
    - Кто-то и 3des до последнего использовал И md4 хватит всем для паролей Зависимо, Аноним, 13-Янв-21, 02:20 (71)
- Их и нету Из текста новости каталог etc tcb принадлежит root shadow и имеет п, solardiz, 12-Янв-21, 17:50 (49) //
  - А разве blowfish не использует массивы для пермутации И если да - у этого на пр, Аноним, 13-Янв-21, 01:42 (67) //
    - Насчет cache timing, да, есть такое Вот только в bcrypt эта же особенность суще, solardiz, 13-Янв-21, 02:20 (72)
Сомнительное нововведение Если в случае etc shadow юзер не имеет доступа к св, x3who, 12-Янв-21, 12:48 (6) //
- Иерархия etc tcb доступна на чтение только группе shadow Что бы поменять или п, Аноним, 12-Янв-21, 12:56 (11) //
  - etc tcb user и etc tcb user shadow - -rw-r----- user auth, x3who, 12-Янв-21, 13:00 (13) //
    - Внутрь etc tcb вас не пустит без группы shadow , Аноним, 12-Янв-21, 13:16 (16)
      - Да, пропустил этот момент, x3who, 12-Янв-21, 13:56 (20)
        
        Да это бред Чтобы запустить процесс от имени user shadow все равно нужны манипул, gogo, 12-Янв-21, 16:55 (36)
        
        бинарь с sgid shadow, не рут, анон, 12-Янв-21, 21:19 (58)
      - В etc tcb не пустит, а в etc tcb USERNAME пустит , Катафалкер, 12-Янв-21, 16:55 (37)
        
        Нет, и в etc tcb USERNAME тоже не пустит , solardiz, 12-Янв-21, 17:17 (40)
Как без NIS-то Я пользовался , lockywolf, 12-Янв-21, 12:56 (12) //
- именно НИС yp ну теперь не будет и хорошо , mos87, 12-Янв-21, 13:27 (18)
Файл shadow от обычного пользователя прочитать невозможно То есть теперь любая , Корец, 12-Янв-21, 13:13 (14) //
- Нет Нужен ещё баг или плохая настройка, которая даст пользователю права группы , pda, 12-Янв-21, 14:11 (22)
То есть теперь любая программа получает доступ к файлу пароля текущего пользоват, Аноним, 12-Янв-21, 13:19 (17) //
- Нет Из текста новости каталог etc tcb принадлежит root shadow и имеет права , solardiz, 12-Янв-21, 17:34 (48)
Что-то список на https repology org project tcb versions напоминает мне список, flkghdfgklh, 12-Янв-21, 13:30 (19) //
- По ссылкам не ходим принципиально , Аноним, 12-Янв-21, 14:51 (29) //
  - Ты прочитало, что я написал Дело не в Альте Оно и в Магеи, и в PCLinuxOS, и в , flkghdfgklh, 12-Янв-21, 16:21 (34) //
    - Это логичная теория, но она ошибочна tcb в Owl и ALT с 2001, а в Mandriva с 200, solardiz, 12-Янв-21, 16:35 (35)
      - Забавно Но реально выглядит так, словно из Мандрейка пришлоПросто большинство ме, flkghdfgklh, 12-Янв-21, 18:04 (51)
    - Наличие в репозитории ROSA не означает, что он используется по умолчанию, по умо, mikhailnov, 13-Янв-21, 02:25 (74)
Походу угнали tcb, давайте доверяйте пароли, КО, 12-Янв-21, 14:40 (26)
получается файл с паролем можно будет переписать незаметно для пользователя и за, parad, 12-Янв-21, 14:59 (30) //
- Для этого всё и делается То в системде появятся носимые пароли на флэшке, то во, Аноним, 12-Янв-21, 15:37 (32)
- Нет Из текста новости каталог etc tcb принадлежит root shadow и имеет права , solardiz, 12-Янв-21, 17:33 (47)
Г-н не подумайте плохого Ши - мои поздравления Альт откинул конкурентов, таких, Аноним, 12-Янв-21, 15:05 (31) //
- BSDшники уже в курсе, чем пользуются Или очередная инсайдерская опеннетная инфа, Аноним, 12-Янв-21, 16:17 (33)
- Эээ а я-то тут при чём, разве что как юзер Глянул авторов коммитов в альтов, Michael Shigorin, 13-Янв-21, 07:27 (78) //
  - Важным свойством control является то, что установленные настройки сохраняются пр, Аноним, 20-Янв-21, 18:00 (111)
Выходит с tcb любой процесс пользователя может сменить его пароль, даже JS скрип, Аноним, 12-Янв-21, 17:16 (39) //
- Пользователь Вася не зайдет в свою систему, зато крекер Вова, сменивший пароль п, Аноним, 12-Янв-21, 17:22 (42) //
  - Нет Из текста новости каталог etc tcb принадлежит root shadow и имеет права , solardiz, 12-Янв-21, 17:29 (45) //
    - Не занимайся ерундой Человек не способный прочитать текст новости твой коммента, winorun, 12-Янв-21, 18:02 (50)
    - Не совсем верно, были баги когда таки имел А там еще модное апи какое-то для до, Аноним, 13-Янв-21, 01:35 (65)
      - Эта фича сохраняется и при использовании etc tcb , solardiz, 13-Янв-21, 02:37 (76)
        
        Надо смотреть реализацию, действительноли у пользователей нет по умолчанию групп, Аноним, 13-Янв-21, 12:36 (89)
        
        Можно, конечно, и её давать при заведении -- но это уж расстараться надо CODE , Michael Shigorin, 13-Янв-21, 14:52 (96)
        
        Не очевидно, откуда мне было знать вашу реализацию повышения привилегий до групп, Аноним, 14-Янв-21, 08:29 (103)
Тень от пароля это как рисунок ключа , Аноним, 12-Янв-21, 17:18 (41)
Лучше не доверять, компания, которая срослась госвластью и заказами, Aytishnik.com, 12-Янв-21, 21:10 (57) //
- Всегда оценивайте труд по личности, а не результату И судите о безопасности мех, Аноним, 12-Янв-21, 21:53 (60) //
  - https www opennet ru Led - наслаждайтесь Это он Оказывается, можно быть тра, Аноним, 13-Янв-21, 01:26 (63) //
    - Led точно ldv , mikhailnov, 13-Янв-21, 02:32 (75)
      - led -- ядерщик, который за болтунов языком, которым от него нередко прилетает е, Michael Shigorin, 13-Янв-21, 07:40 (80)
        
        Ага, спасибо , mikhailnov, 13-Янв-21, 12:45 (90)
  - Это важно - а вдруг какой баг, или фичи не хватает, или еще чего Довольно некст, Аноним, 13-Янв-21, 01:29 (64) //
    - Вы вряд ли когда-либо являлись майнтейнером glibc, не смешите , Michael Shigorin, 13-Янв-21, 07:33 (79)
Сколько не копался в исходниках и пакетах, так и не нашёл , Ne01eX, 13-Янв-21, 00:12 (61) //
- Не нашел чего в чем , solardiz, 13-Янв-21, 02:21 (73)
Охренеть, лич-король собственной персоной Мешок костей , Аноним, 13-Янв-21, 01:24 (62) //
- Кстати, в ALT tcb уже давно в git https packages altlinux org en sisyphus srpm, solardiz, 14-Янв-21, 03:47 (102)
Граждане Храните аккаунты в сберегательном лдапе Если, конечно, он у вас есть , InuYasha, 13-Янв-21, 11:16 (85) //
- Пора выйти из shadow - время хранить пароли тм , InuYasha, 13-Янв-21, 11:18 (86)
В HP-UX 11 31 11 23 у нас оно использовалось, всегда думал, что это чисто особен, Mr. Sneer, 13-Янв-21, 13:54 (93) //
- HP-UX действительно умеет размещать хеши по файлам в tcb и имеет схожие утилиты, solardiz, 13-Янв-21, 15:14 (97) //
  - Спасибо, наконец-то уяснил для себя добавил на страничку http altlinux org tc, Michael Shigorin, 14-Янв-21, 00:04 (101)
Зачем , Аноним, 15-Янв-21, 11:23 (105) //
- Для снижения опасности возможных уязвимостей в passwd 1 , chage 1 и программах , solardiz, 16-Янв-21, 17:26 (108) //
  - Слишком много сказочных фраз, а по сути будет пердёж на месте с новыми дырами , Аноним, 16-Янв-21, 23:09 (109)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру