forum.opennet.ru

Составление сообщения

Исходное сообщение

"Критическая уязвимость в гипервизоре Xen"
Отправлено Аноним, 07-Окт-14 09:07

> про это концептуалы почему-то тактично молчат в тряпочку, делая вид что они святоши и их баги не касаются, что попахивает лицемерием
Баги делают все люди, это наша сущность, кто меньше кто больше... Но хотел сделать акцент на другом, XEN сложен, ибо Линукс изначально для виртуализации не был спроэктирован, следовательно из-за сложности ошибок будет больше! Кроме того он не спроэктирован с учётом безопасности, в угоду быстроте и упрощению.
> И если сравнивать например безопасность машины где форум, почтарь, DNS и все остальное висело на 1 машине, сломали форум...
Для изоляции сервисов в Юникс применяют технологию chroot. Сегодня есть укреплённые её варианты https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity... помещающие процес в изоляционную тюрму. И для безопасной изоляции процесов рекомендуется использовать их.
>> Использовать виртуалки можно НО НЕ КАК СРЕДСТВО БЕЗОПАСНОСТИ.
> В том числе и как средство безопасности.
Нет! Только как удобное средство хостинга. Критичные данные с помощью виртуалок охранять не стоит.
> И у Тео вообще нет никаких решений. Он просто сидит в своем деревянном сортире и рассказывает нам про то что наш унитаз неправильный.
Ты считаешь что твой Линукс правильный в плане безопасности? :)
установи и запусти paxtest(http://pax.grsecurity.net/), checksec(http://tk-blog.blogspot.ru/search/label/checksec.sh), hardening-check(https://wiki.debian.org/Hardening), scanelf(http://hardened.gentoo.org/pax-utils.xml)
Могу поспорить что твой "правильный унитаз" даже элементарное выделение памяти не контролирует по ГЛАВНОМУ правилу безопасности: ВСЁ ЧТО ИСПОЛНЯЕТСЯ НЕ ДОЛЖНО ИЗМЕНЯТСЯ, А ВСЁ ЧТО ИЗМЕНЯЕТСЯ НЕ ДОЛЖНО ИСПОЛНЯТСЯ! По этому любой баг при проверки длины -> переполнение буфера -> взлом... пример: https://www.linux.org.ru/news/security/9162177?cid=9170049
Так вот в Линукс ядре возможности:
CONFIG_PAX_KERNEXEC=y
PAX_MEMORY_UDEREF=y
PAX_USERCOPY=y
CONFIG_GRKERNSEC_KERN_LOCKOUT=y
были реализованы в значительной мере благодаря Тео.
Также все ssl, ssh и почти все правильные вещи по безопасности в Линукс тоже работа Тео!
Вот так вот, не лицемерь больше ;)

Исходное сообщение
"Критическая уязвимость в гипервизоре Xen" Отправлено Аноним, 07-Окт-14 09:07
> про это концептуалы почему-то тактично молчат в тряпочку, делая вид что они святоши и их баги не касаются, что попахивает лицемерием Баги делают все люди, это наша сущность, кто меньше кто больше... Но хотел сделать акцент на другом, XEN сложен, ибо Линукс изначально для виртуализации не был спроэктирован, следовательно из-за сложности ошибок будет больше! Кроме того он не спроэктирован с учётом безопасности, в угоду быстроте и упрощению. > И если сравнивать например безопасность машины где форум, почтарь, DNS и все остальное висело на 1 машине, сломали форум... Для изоляции сервисов в Юникс применяют технологию chroot. Сегодня есть укреплённые её варианты https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity... помещающие процес в изоляционную тюрму. И для безопасной изоляции процесов рекомендуется использовать их. >> Использовать виртуалки можно НО НЕ КАК СРЕДСТВО БЕЗОПАСНОСТИ. > В том числе и как средство безопасности. Нет! Только как удобное средство хостинга. Критичные данные с помощью виртуалок охранять не стоит. > И у Тео вообще нет никаких решений. Он просто сидит в своем деревянном сортире и рассказывает нам про то что наш унитаз неправильный. Ты считаешь что твой Линукс правильный в плане безопасности? :) установи и запусти paxtest(http://pax.grsecurity.net/), checksec(http://tk-blog.blogspot.ru/search/label/checksec.sh), hardening-check(https://wiki.debian.org/Hardening), scanelf(http://hardened.gentoo.org/pax-utils.xml) Могу поспорить что твой "правильный унитаз" даже элементарное выделение памяти не контролирует по ГЛАВНОМУ правилу безопасности: ВСЁ ЧТО ИСПОЛНЯЕТСЯ НЕ ДОЛЖНО ИЗМЕНЯТСЯ, А ВСЁ ЧТО ИЗМЕНЯЕТСЯ НЕ ДОЛЖНО ИСПОЛНЯТСЯ! По этому любой баг при проверки длины -> переполнение буфера -> взлом... пример: https://www.linux.org.ru/news/security/9162177?cid=9170049 Так вот в Линукс ядре возможности: CONFIG_PAX_KERNEXEC=y PAX_MEMORY_UDEREF=y PAX_USERCOPY=y CONFIG_GRKERNSEC_KERN_LOCKOUT=y были реализованы в значительной мере благодаря Тео. Также все ssl, ssh и почти все правильные вещи по безопасности в Линукс тоже работа Тео! Вот так вот, не лицемерь больше ;)

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> про это концептуалы почему-то тактично молчат в тряпочку, делая вид что они святоши и их баги не касаются, что попахивает лицемерием > Баги делают все люди, это наша сущность, кто меньше кто больше... Но > хотел сделать акцент на другом, XEN сложен, ибо Линукс изначально для > виртуализации не был спроэктирован, следовательно из-за сложности ошибок будет больше! > Кроме того он не спроэктирован с учётом безопасности, в угоду быстроте > и упрощению. >> И если сравнивать например безопасность машины где форум, почтарь, DNS и все остальное висело на 1 машине, сломали форум... > Для изоляции сервисов в Юникс применяют технологию chroot. Сегодня есть укреплённые её > варианты https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options#Chroot_jail_restrictions > помещающие процес в изоляционную тюрму. И для безопасной изоляции процесов рекомендуется > использовать их. >>> Использовать виртуалки можно НО НЕ КАК СРЕДСТВО БЕЗОПАСНОСТИ. >> В том числе и как средство безопасности. > Нет! Только как удобное средство хостинга. Критичные данные с помощью виртуалок охранять > не стоит. >> И у Тео вообще нет никаких решений. Он просто сидит в своем деревянном сортире и рассказывает нам про то что наш унитаз неправильный. > Ты считаешь что твой Линукс правильный в плане безопасности? :) > установи и запусти paxtest(http://pax.grsecurity.net/), checksec(http://tk-blog.blogspot.ru/search/label/checksec.sh), > hardening-check(https://wiki.debian.org/Hardening), scanelf(http://hardened.gentoo.org/pax-utils.xml) > Могу поспорить что твой "правильный унитаз" даже элементарное выделение памяти не контролирует > по ГЛАВНОМУ правилу безопасности: ВСЁ ЧТО ИСПОЛНЯЕТСЯ НЕ ДОЛЖНО ИЗМЕНЯТСЯ, А > ВСЁ ЧТО ИЗМЕНЯЕТСЯ НЕ ДОЛЖНО ИСПОЛНЯТСЯ! По этому любой баг при > проверки длины -> переполнение буфера -> взлом... пример: https://www.linux.org.ru/news/security/9162177?cid=9170049 > Так вот в Линукс ядре возможности: > CONFIG_PAX_KERNEXEC=y > PAX_MEMORY_UDEREF=y > PAX_USERCOPY=y > CONFIG_GRKERNSEC_KERN_LOCKOUT=y > были реализованы в значительной мере благодаря Тео. > Также все ssl, ssh и почти все правильные вещи по безопасности в > Линукс тоже работа Тео! > Вот так вот, не лицемерь больше ;)
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру