forum.opennet.ru

"Microsoft предложил систему управления доступом IPE для ядра Linux"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Microsoft предложил систему управления доступом IPE для ядра..."	+1 +/–
Сообщение от EULA (?), 04-Мрт-24, 09:54
ACL такая классная вещь, которую можно сломать такой простой операцией, как удаление объекта в системе авторизации, которому присвоен определенный SID для файла, каталога или процесса, а потом удивляться, почему для удаления данного SID-а нужно перезапускать всю службу. И не дай Бламер SID не будет известен ресурсу, на котором сервис развернут, тогда доступа к объекту не будет даже у службы, которая его создала. Пример, когда все падает: NFS, WebDAV, NextCloud. Да, Балмер побери, даже шара в доверенном домене Windows падалет, если ты хочешь прочитать атрибуты для объекта, созданного удаленным SID-ом. Конфликтные ACL никак не фиксятся. Если у для объекта определены доступы по группам A разрешено, и B - запрещено, то пользователь, который входит в обе эти группы в одно время будет иметь доступ к объекту, а в другом не будет иметь. Двадцать лет назад для той же винды 2000, 2003, XP неизвестный SID означал, что доступ для него доступен всем. Третья дыра с ACL - это наличие "broadcast SID", которые всегда валидны для любого объекта. Поэтому помимо SID для доступа к службе всегда нужно подключаться через третью службу, которая всегда будет проверять, а не подменил ли ты себе SID.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Microsoft предложил систему управления доступом IPE для ядра Linux, opennews, 29-Фев-24, 14:02 [смотреть все]

Это в обмен на sudo а по факту это альтернатива SELinux и AppArmor , Аноним, 29-Фев-24, 14:06 (2) //
- MS ещё chmod и chown не осилило, не говоря о расширенных аттрибутах А необходим, Аноним, 29-Фев-24, 14:13 (4) //
  - Хост на винде Зачем , Минона, 29-Фев-24, 14:22 (7)
  - Мне кажется или ты сам себе сделал проблемы, потом героически их решал, но получ, Аноним, 29-Фев-24, 14:26 (11)
  - NTFS ntoskrnl ACL на порядок круче, чем то, что есть в Linux , Аноним, 29-Фев-24, 14:31 (16) //
    - А чего вы дизлайкаете Он ведь правду говорит В винде можно создать, например н, GaB4taa6, 29-Фев-24, 14:50 (23)
      - предлагаю вам настроить для группы Users политику W X для файлов хотя бы внутри, glad_valakas, 29-Фев-24, 18:07 (87)
      - Товарисч, тебя когда в криокамеру-то поместили Ты застрял во временах классичес, Аноним, 01-Мрт-24, 00:24 (137)
      - В Linux можно создать 2 32 групп и для каждой группы свои права , Аноним, 01-Мрт-24, 00:37 (138)
        
        А еще из буханки хлеба - троллейбус сделать можно Да , User, 01-Мрт-24, 09:43 (161)
        
        Т е Линукс, aname, 01-Мрт-24, 21:31 (183)
    - Вопрос Считать ли что nfsv4acl есть в linux е или не считать С одной сторо, User, 29-Фев-24, 15:01 (30)
      - вы ведь в курсе, что nfs вообще и nfsv4 в частности - не ноухау линуха зыжлично , ананим.orig, 29-Фев-24, 19:51 (104)
        
        Оттож Линуксовая реализация как раз таки изрядно криваяНу, разве что отлично о, User, 29-Фев-24, 21:00 (111)
        
        кушать вы можете что угодноу меня же и nfs и самба на одних шарах с win linux ma, ананим.orig, 29-Фев-24, 22:37 (125)
        
        Ну вот про отлично работают - рассказывайте пожалуйста тем, кто эту связку на , User, 01-Мрт-24, 09:37 (158)
    - сто лет в обед уже как и один в один как в винденазывается NFS4_ACLну матчасть т, ананим.orig, 29-Фев-24, 19:42 (102)
    - Заканчивайте уже таскать эти сказки про несравненную NTFS Там, например, метаин, yet another anonymous, 29-Фев-24, 22:39 (126)
      - Ну, она работает и решает пользовательские задачи, связанные с управлением досту, User, 01-Мрт-24, 09:38 (159)
    - Ну так покажи как им вообще вооон то сделать , Аноним, 01-Мрт-24, 02:46 (145)
    - Так то забавная штука если хочется обломать легитимного админа, зарубив ему дост, Аноним, 01-Мрт-24, 05:20 (153)
      - Да-да, разумеется, если постараться выстрелить себе в ногу аналогичным образом, , User, 01-Мрт-24, 09:42 (160)
        
        Внезапно - да Во первых, на рута это все не действует и обломать рута в линухе , Аноним, 02-Мрт-24, 11:06 (195)
        
        Воу Считать эту ДЫРЕНЬ такой фичей - прям так замечательно что просто замечател, User, 02-Мрт-24, 20:41 (200)
  - Спецы опен нет а mkdir supertest cd supertest cp usr bin sh , OpenEcho, 29-Фев-24, 16:54 (60) //
    - ух ты, ld-linux-x86-64 so 2 может запускать программы а шел может запускать скри, ананим.orig, 29-Фев-24, 22:23 (124)
      - аха, даже те, у которых нет executable bitи так будешь охотится с -х за каждым ю, OpenEcho, 01-Мрт-24, 14:39 (171)
        
        Для этого существуют user namespaces mount namespace и MAC AppArmor, SELinux,, Аноним, 01-Мрт-24, 21:45 (184)
        
        Вы это не мне, а тому анониму которому чмод-а достаточно обьясните, OpenEcho, 02-Мрт-24, 00:49 (189)
        для начала для этого есть umaskно обсуждать пример гражданина выше, в котором по, ананим.orig, 02-Мрт-24, 22:09 (202)
        
        именно и в этом то весь смысла баш может запускать скрипты, и перл, и питон, и , ананим.orig, 03-Мрт-24, 02:44 (204)
        
        Да, ну Сильная заява А как же мелкософт который не одолел chmod Им тоже со, OpenEcho, 05-Мрт-24, 15:10 (225)
    - Следите за руками file usr bin sh usr bin sh symbolic link to bashФокусник, , PnD, 01-Мрт-24, 16:21 (174)
      - У кого как, у тех кто понимает опастность баша, то у них симлинк на dash Ну скоп, OpenEcho, 01-Мрт-24, 17:37 (178)
        
        Да, тут погорячился показалось что копировали ссылку, но на самом-то деле 8, PnD, 05-Мрт-24, 15:14 (226)
    - Он прежде всего для read write Для exec mmap нужны более комплексные средства , Аноним, 01-Мрт-24, 21:59 (185)
      - Именно , OpenEcho, 02-Мрт-24, 00:52 (190)
      - не совсемхинт - если вы не cможете прочитать, то не сможете это и запуститьну и , ананим.orig, 03-Мрт-24, 02:50 (205)
        
        Тебе заняться не чем вместо троллинга Статья про IPE решение о разрешении или , OpenEcho, 05-Мрт-24, 19:08 (227)
  - s MS ты , aname, 01-Мрт-24, 21:28 (182)
- Скорее IMA EVM от IBM , Аноним, 29-Фев-24, 18:50 (95)
- Нет, это новый раунд тивоизации , L29Ah, 29-Фев-24, 21:22 (117) //
  - Или подготовка к тому чтобы ядро NT таки бортануть - и уволить зиллион индусов, , Аноним, 02-Мрт-24, 11:10 (197)
- Есть ещё PARSEC от астры, Андрей04091977, 04-Мрт-24, 08:09 (219)
Угадаю в коопе с кем это будет проталкиваться с семи нот , Аноним, 29-Фев-24, 14:08 (3) //
- линукс это виндовс , жорик, 01-Мрт-24, 11:01 (162) //
  - Не, просто майкрософт кажется шутку про MS Linux воспринял довольно серьезно Ес, Аноним, 02-Мрт-24, 11:09 (196)
А потом окажется, что всё это должно быть подписано ключом M , Аноним, 29-Фев-24, 14:19 (5) //
- потому что другие биос не пропустит , LinAlex, 29-Фев-24, 14:45 (22)
ну все - это киста следующий шаг - лицензирование ms kernel home, pro, datacen, Cyber100, 29-Фев-24, 14:20 (6) //
- Странное сравнение То что su sudo это просто дыярвое шерето и так понятно, доста, Аноним, 29-Фев-24, 14:25 (10) //
  - Чтобы понять, что в sudo уязвимости ищут и исправляют Тот Неуловимый Джо, о кото, Аноним, 01-Мрт-24, 22:03 (186)
- MS Linux , Минона, 29-Фев-24, 14:27 (12)
- А вы друг друга предупреждали, товыарищи , Аноним, 29-Фев-24, 14:32 (17)
- не просто лицензирование, а отдельно покупаются лицензии на1 ядра2 сервера3 ю, xxx000111, 29-Фев-24, 14:59 (28) //
  - 7 Code of Conduckt, Аноним, 29-Фев-24, 19:31 (101)
- Не это сыр, халявный , зачем Данные для ИИ - то к чему это все двигается, OpenEcho, 29-Фев-24, 17:00 (64)
А что удивительного Если платиновому спонсору Linux Foundation понадобилась кака, Аноним, 29-Фев-24, 14:25 (9) //
- Пора переименовать в Linux Corporation , Минона, 29-Фев-24, 14:29 (15) //
  - Я не против Все равно 80 кода пишут корпы, а васяны только пользуются плодами и, Аноним, 29-Фев-24, 14:41 (21) //
    - Вы уверены что остальные 20 - коммунисты, работающих за идею и за корочку хлеба, OpenEcho, 29-Фев-24, 17:02 (66)
    - Ваши 80 , это показатель на сколько глубоко Linux вошел корпам Не правда ли , Аноним, 29-Фев-24, 17:29 (77)
      - Скорее насколько рука корпов прочно засела в Linux Foundation Ну как у перчаточ, Аноним, 29-Фев-24, 17:39 (79)
        
        С Вами интересно Но на сегодня хватит Спасибо , Аноним, 29-Фев-24, 19:20 (98)
        корпы тут пока им выгодно, факт, но ведь выгодно от этого всем выгодно корпамвыг, Вася, 01-Мрт-24, 05:07 (149)
        
        Так почему столько нытья Что в новости про ХОрг азаза корпы навязывают вейланд, Аноним, 01-Мрт-24, 13:25 (165)
        
        линуксоиды, сэрвейланд все ещё не готов, я б не против был, если б его nvidia но, Вася, 01-Мрт-24, 13:39 (167)
  - Лучше сразу в Linux Submission Inc, Аноним, 29-Фев-24, 15:32 (45)
  - Linux Consortium же , anonymous, 29-Фев-24, 17:19 (72)
- прям для серваков что-то мне подсказывает, что для сурфейса это все в котором W, penetrator, 29-Фев-24, 21:50 (119)
- Уже сделали Корпоративные рабы из M LF не принимает технических решений, в том, Аноним, 01-Мрт-24, 22:11 (187)
Ух какие шустрые Сами придумали, сами предложили А почему ядерный модель для и, Аноним, 29-Фев-24, 14:28 (13) //
- Потому что они уже сами не знают, как их ФС работает, SharkKey follower, 29-Фев-24, 14:34 (19)
- Пишут код только для того, чем сами пользуются Н 822 у 822 822 н 822 е 8, oficsu, 29-Фев-24, 14:54 (25)
- Если найти немамонта который тебе бесплатно напишет код, а ты его можешь просто , Аноним, 29-Фев-24, 15:01 (31)
- А нафига он им нужен в Azure , Аноним, 29-Фев-24, 21:42 (118)
Поясните, в чем подвох , Аноним, 29-Фев-24, 14:33 (18) //
- Наезд на IMA EVM от IBM Точнее сабж аналог IMA, а dm-veriti, fs-verity аналог E, Аноним, 29-Фев-24, 19:44 (103) //
  - Не понятно, на кого делать ставку Вдруг выиграет Трамп, а тут помимо Микрософт , n00by, 01-Мрт-24, 15:19 (173)
От Microsoft нам ничего не нужно , Аноним, 29-Фев-24, 15:07 (36)
А кукушка не поедет всё это сопровождать , Аноним, 29-Фев-24, 15:23 (41) //
- Возможно в будущем сделают опцию запускать только файл с этим хешем, тогда не пр, Аноним, 29-Фев-24, 15:29 (42) //
  - Каноничный вендорлок, не , Аноним, 29-Фев-24, 16:57 (62) //
    - Ну зачем вы так Здесь много-ходовка, OpenEcho, 29-Фев-24, 17:08 (69)
    - Значение знаешь , Аноним, 29-Фев-24, 17:21 (73)
Вот поэтому и нужен хурд - чтобы кто попало коммитил гадость в свой форк сервера, Аноним, 29-Фев-24, 15:36 (47) //
- Хурд, это вообще что Какая-то кривая подделка 1,5 калек которую пилят лет 30 Ну, Аноним, 29-Фев-24, 15:47 (51) //
  - Ожил Хурд в последнее время 64 бита пилят , Аноним, 29-Фев-24, 19:26 (100) //
    - Отлично, ещё пару десятилетий и сделают , Онанимб, 01-Мрт-24, 12:23 (164)
Данайцы с дарами подъехали , Котофалк, 29-Фев-24, 15:40 (50) //
- Да они уже давно не данайцы, а руководяйцы, OpenEcho, 29-Фев-24, 17:10 (70) //
  - Не смогли победить, возглавили , Аноним, 29-Фев-24, 19:17 (97) //
    - возглавить тоже не смогли, но пытаются всё ещё, Аноним, 03-Мрт-24, 15:53 (210)
- Да у этих нанайцев просто линуха уже используется больше чем винды, они и чешут , Аноним, 01-Мрт-24, 05:15 (152)
Ну вот хомяков и загоняют окончательно в клетку Добавить ещё ту хреновину по пр, Бывалый Смузихлёб, 29-Фев-24, 15:51 (52) //
- Неправда, никто никого в клетку не загонялХомячки сами туда зашли С радостью и , Аноним, 29-Фев-24, 16:14 (58) //
  - да даже на опеннете недавно публиковались новости по тому проектуэто настолько а, Бывалый Смузихлёб, 29-Фев-24, 17:39 (80) //
    - Спасибо за упоминание, со второго раза нашел www opennet ru opennews art shtml n, Аноним, 29-Фев-24, 18:55 (96)
Как они задрали пытаться верифицировать мою систему Кстати, перед тем, как го, Аноним, 29-Фев-24, 15:52 (53) //
- А вообще, кто тебе сказал, что это твоя система Ядро открытое, всегда можно на, Аноним, 29-Фев-24, 16:05 (56) //
  - Установленную на его хосте систему GNU Linux он точно может считать своей и дела, Аноним, 01-Мрт-24, 00:02 (133) //
    - Хороший анекдот, надо таки рассказать Сарочке С -D, _, 01-Мрт-24, 04:45 (147)
      - Анекдот, не анекдот - а я по совету того анона 137 и действую Если я сам отстро, Аноним, 01-Мрт-24, 05:12 (151)
  - LibreKernel, как бы, уже довольно давно существует Новости о нём на OpenNet рег, Аноним, 01-Мрт-24, 00:05 (134) //
    - И кто из вас его пользует А чесно , _, 01-Мрт-24, 04:46 (148)
      - Из замеченного мной Видеокарта работает только в текстовых режимах Если график, Аноним, 01-Мрт-24, 17:00 (175)
- Ты всего лишь безымянный юзер, пользующийся их ядром и их системой потому что , Аноним, 29-Фев-24, 16:18 (59)
- setenforce 0, penetrator, 29-Фев-24, 21:52 (120)
- Ну вот у меня в моем линухе - никакого SELinux вообще совсем нету А в чем собст, Аноним, 01-Мрт-24, 05:08 (150)
Даже не вчитываясь видно что это очередной голый DRM Вот такая вот свобода , Kuromi, 29-Фев-24, 17:03 (68) //
- Да нет, - это покруче будет Задумка она конечно не плохая, но и давно и не нова, OpenEcho, 29-Фев-24, 17:22 (74) //
  - Не, я понимаю что применение там не одно единственное, но в консумерском сегмен, Kuromi, 29-Фев-24, 17:47 (82) //
    - Я не думаю что это грозит в ближайшем будующем, т к на их же уровне есть им рав, OpenEcho, 01-Мрт-24, 14:49 (172)
- Тивоизатор, Аноним, 01-Мрт-24, 00:09 (136)
Пора дистростроителям переходить на какое-то другое ядро, тянуть дальше чревато , Аноним, 29-Фев-24, 17:25 (75) //
- В теории можно воставить ядро собранное без всего вот этого Кастомные ядра тоже, Kuromi, 29-Фев-24, 17:49 (84)
- А код писать кто будет Дистростроители в большинстве своем, просто собирают из у, Аноним, 29-Фев-24, 17:53 (85) //
  - Астра PARSEC написали, Андрей04091977, 04-Мрт-24, 08:12 (220)
В очередной раз Майкрософт делает за день для опенсорс больше, чем все комментат, Аноним, 29-Фев-24, 17:28 (76) //
- О, тебе еще не попадались упорыши обычно в темах про Раст рассказывющие, что у, Аноним, 29-Фев-24, 17:48 (83) //
  - Попадались, куда ж без них Скоро очередной виток будет, CloudFlare отрыла исход, Аноним, 01-Мрт-24, 01:18 (141)
- потому что selinux совсем не простой и малопригоден для практического применения, Аноним, 01-Мрт-24, 09:18 (155) //
  - SELinux простой настолько, что для тех, кто не умеет читать текст выпустили руко, Аноним, 01-Мрт-24, 19:07 (181) //
    - тыкающие в интернете ни к чему не пригодныпрактикой доказано, Аноним, 03-Мрт-24, 15:50 (208)
- Ну вот всё запускать от админа или назначить своего юзера админом, это к 90 вин, Аноним, 01-Мрт-24, 17:11 (176) //
  - Вторая проблема линуксоидов заключается а том, что они склонны путать прод и лок, Аноним, 01-Мрт-24, 19:00 (180)
О, у нас такая система на работе стоит и работает Определяет, какие программы м, anonymous, 29-Фев-24, 18:16 (89) //
- И как впечатления Предположу, что для работы нормально, особенно админы будут д, Аноним, 29-Фев-24, 18:39 (91) //
  - Ну как во-первых, git видит все файлы как двоичные, из-за чего пользоваться и, Аноним, 01-Мрт-24, 04:23 (146) //
    - С гитом звчит неудобно Думаю если у кого-то есть физический доступ в помещение с, Аноним, 01-Мрт-24, 13:30 (166)
      - Если бы эта система администрировалась компетентным администратором, работать бы, anonymous, 02-Мрт-24, 07:51 (193)
- товарищ маеор внедрил , Аноним, 03-Мрт-24, 15:52 (209)
Как это поможет исправить рваный скроллинг в линпусе Когда уже запилят нормальн, Анонист, 29-Фев-24, 19:22 (99) //
- С этим вопросом лучше в соседнюю тему про КДЕ6 Там тебе сразу расскажут что лину, Аноним, 29-Фев-24, 19:53 (105) //
  - Думаю посыл анона выше был к тому что вся эта мышиная возня не имеет значения ес, Аноним, 29-Фев-24, 20:44 (108)
  - KDE вполне себе лучше и мака и винды, есть конечно огрехи, но даже не замечаешь , penetrator, 29-Фев-24, 21:55 (121) //
    - Если решил набрасывать, пиши про федору, гном и гтк , Аноним, 29-Фев-24, 21:58 (122)
поправил, 12yoexpert, 29-Фев-24, 20:52 (110)
Это настолько круто, что даже представить сложно не админам и не ИБ спецам какая, Леонид, 29-Фев-24, 23:08 (127) //
- Но только не припомню, чтоб какое-либо начинание мелкомягких хорошо кончилось од, Аноним, 01-Мрт-24, 01:10 (140) //
  - Ну это от того, что у тебя память избирательная и больше последнего ТикТока не п, Аноним, 01-Мрт-24, 01:24 (142)
  - Lsp dap, anonymous, 01-Мрт-24, 18:07 (179)
- Да, занятная карусель Что бы вот это вот всё имело смысл в Windows, потребовалс, n00by, 01-Мрт-24, 08:23 (154)
- а кто мешает сделать свой загрузчик , Аноним, 01-Мрт-24, 14:07 (169)
Хана Linux-у Насуёт ему майфкософт анальных зондов и развалит Они так Borl, Аноним, 04-Мрт-24, 07:37 (217)
Ждём сертификат от ФСТЭК , Diozan, 04-Мрт-24, 07:55 (218)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру