forum.opennet.ru

Составление сообщения

Исходное сообщение

"Опубликован эксплоит для вызова краха ядра из состава RHEL 6"
Отправлено Stax, 14-Июл-13 16:50

Он в основном от другого защищает. Например, если в каком-то сервисе из-за уязвимости была получена возможность выполнения произвольного кода, в том числе с правами рута, толком ничего с этим сделать нельзя - конфиги сервиса прочие управляющие им вещи открываются только для чтения, обратиться к другим файлам/сокетам/прочим ресурсам сверх тех, что положены данному сервису невозможно.
Т.е. он в применении больше подобен разграничению прав, при этом позволяя ограничивать даже вещи, которые обычной системой не ограничиваются и даже коду, который выполняется с правами рута.
А от жестких багов в ядре в тех службах, которые все-таки необходимы данной программе для штатной работы, он защитить обычно не может.
(ну а то, что ручное выполнения эксплоита из пользовательского шелла вообще не попадает под защиту selinux в конфигурацию по умолчанию, когда защищаются только конкретные сервисы, все наверное и так должны понимать..)

Исходное сообщение
"Опубликован эксплоит для вызова краха ядра из состава RHEL 6" Отправлено Stax, 14-Июл-13 16:50
Он в основном от другого защищает. Например, если в каком-то сервисе из-за уязвимости была получена возможность выполнения произвольного кода, в том числе с правами рута, толком ничего с этим сделать нельзя - конфиги сервиса прочие управляющие им вещи открываются только для чтения, обратиться к другим файлам/сокетам/прочим ресурсам сверх тех, что положены данному сервису невозможно. Т.е. он в применении больше подобен разграничению прав, при этом позволяя ограничивать даже вещи, которые обычной системой не ограничиваются и даже коду, который выполняется с правами рута. А от жестких багов в ядре в тех службах, которые все-таки необходимы данной программе для штатной работы, он защитить обычно не может. (ну а то, что ручное выполнения эксплоита из пользовательского шелла вообще не попадает под защиту selinux в конфигурацию по умолчанию, когда защищаются только конкретные сервисы, все наверное и так должны понимать..)

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Он в основном от другого защищает. Например, если в каком-то сервисе из-за > уязвимости была получена возможность выполнения произвольного кода, в том числе с > правами рута, толком ничего с этим сделать нельзя - конфиги сервиса > прочие управляющие им вещи открываются только для чтения, обратиться к другим > файлам/сокетам/прочим ресурсам сверх тех, что положены данному сервису невозможно. > Т.е. он в применении больше подобен разграничению прав, при этом позволяя ограничивать > даже вещи, которые обычной системой не ограничиваются и даже коду, который > выполняется с правами рута. > А от жестких багов в ядре в тех службах, которые все-таки необходимы > данной программе для штатной работы, он защитить обычно не может. > (ну а то, что ручное выполнения эксплоита из пользовательского шелла вообще не > попадает под защиту selinux в конфигурацию по умолчанию, когда защищаются только > конкретные сервисы, все наверное и так должны понимать..)
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру