The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

X-сервер скоро будет избавлен от кода, работающего с правами суперпользователя

02.07.2009 12:21

Включение в состав Linux ядра DRM (Direct Rendering Manager) модулей для видеокарт Intel и ATI (для NVIDIA разработка проекта Nouveau пока не принята в ядро) и реализация на уровне ядра механизма переключения видеорежимов (KMS) и управления памятью GPU (GEM или TTM), открывает возможность полного избавления X-сервера от необходимости выполнения частей кода в режиме суперпользователя. Избавление от требующего root-привилегий кода позволит существенно повысить безопасность системы.

Jesse Barnes, один из разрабочиков компании Intel, выставил на обсуждение в списке рассылки x.org, несколько небольших патчей для кода X-сервера и одно тривиальное исправление для кода DRM модуля ядра, предназначенных для полного избавления X-сервера от привилегированного кода. Дополнительно сообщается, что X-сервер, используемый в проекте Moblin, будет запускаться с правами обычного непривилегированного пользователя.

  1. Главная ссылка к новости (http://www.phoronix.com/scan.p...)
  2. OpenNews: X-сервер научили работать без root-привилегий
  3. OpenNews: Семь серьезных уязвимостей в X.Org
  4. OpenNews: Представлен новый легковесный X-сервер - Wayland
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: x.org, x11, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (32) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Andrew Kolchoogin (?), 12:38, 02/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Не прошло и двадцати лет, как люди научились программировать?-)
     
     
  • 2.2, Frank (??), 12:44, 02/07/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Лучше поздно, чем никогда! :)
     
  • 2.6, XoRe (ok), 13:03, 02/07/2009 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >Не прошло и двадцати лет, как люди научились программировать?-)

    Ну, Кнут тоже не сразу свои книжки написал)

     

  • 1.4, MinimumLaw (?), 12:59, 02/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Даешь с седьмом офтопике GDI.EXE работающий от пользователя!
    Не радуйтесь, еще далеко не все за двадцать лет научились грамотно программировать =)
     
     
  • 2.34, User294 (??), 04:11, 03/07/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Даешь с седьмом офтопике GDI.EXE работающий от пользователя!

    Не бойтесь, вас оно не спасет.Благо еще есть такая штука как win32k.sys - "всего" пара метров кернельного кода, выносок от GDI прямо в ядре... ;).Кто не помнит кульные анимированные курсорчики которые заодно выполняли ядрены код? :)

     

  • 1.7, pin (??), 13:20, 02/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как обычно через пару дней выйдет новость:
    Canonical объявила, что в Ubuntu 10.04 X-сервер будет запускаться с правами непривилегированного пользователя.
     
     
  • 2.11, koblin (ok), 13:56, 02/07/2009 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Как обычно через пару дней выйдет новость: Canonical объявила, что в Ubuntu 10.04 X-сервер будет запускаться с правами непривилегированного пользователя.

    Так это хорошо!
    Вообще об этой новости говорили уже давно, и каноникал заявляли что собираются использовать некоторые фичи ака "гладкое" переключение графического режима иксов (без миганий) при старте системы и т.п.

     
     
  • 3.28, RedChrom (?), 19:57, 02/07/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В федоре на правильном железе ужу работает.
     
     
  • 4.31, koblin (ok), 23:08, 02/07/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    честно, рад за федору и вообще за опенсорц :)
     
  • 4.32, Hettikus (??), 23:23, 02/07/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хорошо. Одни осилили - остальные подтянутся.
     
  • 3.42, cobain (??), 16:00, 03/07/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    чего хорошего то в том что каноникал только говорить может, а код ваяют разрабы интела
     

  • 1.9, Аноним (-), 13:40, 02/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Насколько я понимаю, KMS касается только линукса? А что делать прочим юниксам, для которых X.Org тоже по дефолту? С переносимостью что, а?
     
     
  • 2.10, PereresusNeVlezaetBuggy (ok), 13:41, 02/07/2009 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Насколько я понимаю, KMS касается только линукса? А что делать прочим юниксам,
    >для которых X.Org тоже по дефолту? С переносимостью что, а?

    AFAIK, NetBSD и OpenBSD тоже практически готовы.

     

  • 1.16, ksof (?), 15:41, 02/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А мне кажется, что  в системе либо вообще не должно быть процессов от имени рута, либо их должно быть по минимуму.
    Так будет ещё безопаснее))) на каждого демона своего юзера, ну или на всех один,тогда навредить системе будет вообще сложно.
     
     
  • 2.35, User294 (??), 04:18, 03/07/2009 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Так будет ещё безопаснее)))

    Если уж паранойя долбит - можно например распихать все демоны по своим контейнерам (например, OpenVZ).Параноидально, эффективно по обкусыванию возможностей атацкеров (ни модуль в ядро не загрузить, ни соседям не поднасрать, ни даже их ресурсы толком не выжрать) и до кучи так можно легко мониторить левую активность (понавешав ловушек, часть из которых может быть невидимыми для хаксора на хост-системе) и даже можно например тушить поломаное окружение автоматом, etc :).А если на скорость похрен - можно в порядке глума пнуть армовский бинарь под qemu.Готов поспорить - хакер сломает мозг пытаясь хотя-бы понять - а куда же он собственно попал?!

     

  • 1.18, pentarh (ok), 16:34, 02/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Еще бы сделали нормальный терминал...
     
  • 1.19, vadiml (?), 16:38, 02/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Главное что бы он после этого не стал медленнее, чем сейчас
     
     
  • 2.20, Аноним (-), 16:56, 02/07/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Главное что бы он после этого не стал медленнее, чем сейчас

    он становится только лучше, например, перестал течь, заделали кучу багов, стал быстрее начиная с 1.5.x

     
     
  • 3.22, PereresusNeVlezaetBuggy (ok), 17:03, 02/07/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>Главное что бы он после этого не стал медленнее, чем сейчас
    >
    >он становится только лучше, например, перестал течь, заделали кучу багов, стал быстрее
    >начиная с 1.5.x

    ... поломали multihead, изобретают и всё не могут внедрить уже который libpciaccess, разработчики ОС ломают головы над сопряжением раздробленных модулей (этот уже переехал на новый XInput, а этот нет, но при этом второй без первого не нужен), уже который релиз откладывают MPX...

     
     
  • 4.24, vadiml (?), 17:51, 02/07/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ага, из-на нерабочих  -novtswitch -sharevts я до сих пор сижу на 7й федоре
     
     
  • 5.40, ddwag (?), 10:26, 03/07/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А какая последняя версия X в которой -novtswitch -sharevts нормально работают?
     
  • 4.25, Аноним (-), 19:08, 02/07/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >... поломали multihead, изобретают и всё не могут внедрить уже который libpciaccess

    что за libpciaccess, а то ничего толкового не нагуглилось... да и монитор у меня один.

     
     
  • 5.37, Name (?), 05:21, 03/07/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>... поломали multihead, изобретают и всё не могут внедрить уже который libpciaccess
    >
    >что за libpciaccess, а то ничего толкового не нагуглилось... да и монитор
    >у меня один.

    Плохо гуглил. :)

    http://www.x.org/wiki/PciReworkHowto

     
  • 2.21, Crazy Alex (?), 17:01, 02/07/2009 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Именно. А рута переживали раньше, и дальше можно пережить... Вообще, чем бальше, тем больше я поглядываю на модильные плтформы для установки на десктоп - там поменьше уровней абстракции, и вообще не так прожорливы они...
     

  • 1.26, Аноним (-), 19:48, 02/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Сначала SELinux, потом AppArmor и PoliciKit, теперь иксы ещё. Мде, скоро будем чувсвовать себя как в тан..опенбзд =)
     
     
  • 2.38, oops (?), 07:30, 03/07/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не беспокойтесь. Линуксу это не грозит.
     

  • 1.27, Аноним (-), 19:50, 02/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну а что root сильно вредит? Поставьте нужные права на /dev/sda и попробуйте записать туда какой-нибудь мусор от имени простого пользователя. Чем не rm -rf / ?
     
     
  • 2.30, XoRe (ok), 21:04, 02/07/2009 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Ну а что root сильно вредит? Поставьте нужные права на /dev/sda и
    >попробуйте записать туда какой-нибудь мусор от имени простого пользователя. Чем не
    >rm -rf / ?

    Так это нужно быть рутом, чтобы поставить права.
    А рут может послать мусор в любой файл с любыми правами)

     
     
  • 3.33, polkan (ok), 03:07, 03/07/2009 [^] [^^] [^^^] [ответить]  
  • –2 +/
    неправда ваша, дяденька Биденко! (с) Сын полка
    при правах 0100 даже руту будет "пермишн отбой" .... другой вопрос, что рут может ПОМЕНЯТЬ права любому файлу :)
     
     
  • 4.39, Wizard (??), 09:56, 03/07/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А ты проверь, а потом говори!
     
  • 4.43, XoRe (ok), 15:30, 04/07/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >неправда ваша, дяденька Биденко! (с) Сын полка
    >при правах 0100 даже руту будет "пермишн отбой" .... другой вопрос, что
    >рут может ПОМЕНЯТЬ права любому файлу :)

    # id
    uid=0(root) gid=0(root) groups=0(root)
    # touch test.txt
    # ls -la test.txt
    -rw-r--r-- 1 root root 0 2009-07-04 07:20 test.txt
    # chmod 0100 test.txt
    # ls -la test.txt
    ---x------ 1 root root 0 2009-07-04 07:20 test.txt
    # echo "write test" >> test.txt
    # ls -la test.txt
    ---x------ 1 root root 11 2009-07-04 07:21 test.txt
    # cat test.txt
    write test

    Насколько я знаю, пользователь с id 0 игнорирует ограничения для файлов на читать/писать, указанные с помощью chmod.
    Работает только ограничение на выполнение.
    Для папок ограничений нет, хоть 000 ставить.
    Поправьте, если не так.

     
  • 2.36, User294 (??), 04:24, 03/07/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну а что root сильно вредит?

    В случае эксплойта то?Очень даже...

    >Поставьте нужные права на /dev/sda

    Простите, для этого рут должен заранее об этом позаботиться.Да, админ может стрелять себе в пятки - на то и админ.

    >попробуйте записать туда какой-нибудь мусор от имени простого пользователя. Чем не
    >rm -rf / ?

    А если раздать на все файлы нужные права - то и не-админ сможет rm -rf /
    Вот только для этого надо всего-то ничего, чтобы руту приспичило раздать либеральные права... ;)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру