The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

15.07.2016 23:53  В OpenBSD прекращена поддержка монтирования непривилегированным пользователем

Под впечатлением от серии уязвимостей, о которых сообщалось утром, разработчики OpenBSD приняли решение об удалении функции монтирования файловых систем непривилегированным пользователем (sysctl kern.usermount=1). Из соображений безопасности начиная со следующего выпуска OpenBSD 6.0 монтировать разделы можно будет только с правами root, а sysctl-параметр kern.usermount будет игнорироваться.

В общем виде озвученные в вышеупомянутых уязвимостях проблемы в системном вызове mount названы вершиной айсберга, так как слишком много кода вовлечено в его работу, поэтому пользователям рекомендуется отключить поддержку режима монтирования обычными пользователями в своих системах (sysctl kern.usermount=0).

Дополнение: Речь об удалении специфической особенности OpenBSD, отсутствующей в других системах, которая позволяла, в теории, без увеличения рисков безопасности избавиться от необходимости использовать привилегии root когда нужно что-то смонтировать в произвольную часть дерева vfs. К сожалению, реализация оказалась слишком сложна для небольшого коллектива разработчиков, поэтому сейчас вернулись к единственному варианту с setuid root mount и ключевым словом "user" в fstab.

  1. Главная ссылка к новости (http://undeadly.org/cgi?action...)
  2. OpenNews: Серия уязвимостей в ядре OpenBSD
  3. OpenNews: При портировании во FreeBSD утилиты doas, аналога sudo от OpenBSD, возникла опасная уязвимость
  4. OpenNews: Досрочно выпущен OpenBSD 5.9
  5. OpenNews: Проект OpenBSD перешёл на обязательное использование механизма защиты W^X
  6. OpenNews: Разработчики OpenBSD подготовили для libc механизм защиты anti-ROP
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: openbsd, mount
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 00:04, 16/07/2016 [ответить] [смотреть все]
  • +24 +/
    Предлагаю в следующей версии отключить возможность входа в систему... и вообще запуска каких-либо процессов... из соображений безопасности...
     
     
  • 2.2, ssh, 00:11, 16/07/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +5 +/
    Зачем вы тут предлагаете Тео же не читает опеннет, напишите ему на deraadt open... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, Teo de Raadt, 09:02, 16/07/2016 [^] [ответить] [смотреть все]  
  • +32 +/
    Vse ya chitayu. Nat predlozheniem podumayu.
     
     
  • 4.20, анонимоус7657, 13:17, 16/07/2016 [^] [ответить] [смотреть все]  
  • +6 +/
    Господин Тео, может вообще снести систему, перекрасить компьютер в зеленой цвет и выбросить в поле чтобы никто не нашел? Думаю таким образом проблема уязвимостей будет окончательно решена.
     
     
  • 5.42, Аноним, 18:29, 16/07/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    Лучше еще заменить компьютер на железобетонный блок, для надежности.
     
     
  • 6.61, Аноним, 19:47, 18/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Еще питание отключить Мало ли что там в блок встроено А с батарейками у всего ... весь текст скрыт [показать]
     
  • 5.47, kuku, 21:04, 16/07/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    а можно говорить по теме, по существу ?
     
  • 3.14, ы, 11:26, 16/07/2016 [^] [ответить] [смотреть все]  
  • –4 +/
    Тео скажет что молодые программисты нынче не те Часть лезет на IT форум ничего ... весь текст скрыт [показать]
     
     
  • 4.19, наноним, 12:48, 16/07/2016 [^] [ответить] [смотреть все]  
  • +7 +/
    >знаний и навыков нет, хватает только тяфкунуть. Вот как я сейчас.

    Тяф-кун?

     
  • 4.30, nuclight, 15:33, 16/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Легко Например, хоть те же средства доверенной загрузки, работающие до старта ... весь текст скрыт [показать]
     
     
  • 5.31, жабабыдлокодер, 15:41, 16/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    А системным программистом еще проще стать, чем разработчиком операционных систем... весь текст скрыт [показать]
     
     
  • 6.40, Аноним, 17:54, 16/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Систематический.
     
     
  • 7.48, Andrey Mitrofanov, 21:49, 16/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Осистемленный Осистемлённый Восистемлённый Водинэстемлённый ... весь текст скрыт [показать]
     
  • 6.58, 1, 10:24, 18/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    http www raidix ru vacancy c-developer Разработка файловой системы под Linux ... весь текст скрыт [показать]
     
  • 4.49, Аноним, 23:40, 16/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Все просто Это не моложые программисты Программистов вообще немного в сравнени... весь текст скрыт [показать]
     
  • 1.3, iZEN, 01:40, 16/07/2016 [ответить] [смотреть все]  
  • +2 +/
    Ещё запретите писать в /tmp - для верности. А то ещё переполнят невзначай системный раздел. И ещё на Си нужно запретить писать - в нём часто случаются меморилики, выходы за пределы массивов и разрушения куч и стэков, что может сыграть на руку хакерам-террористам. :))
     
     
  • 2.8, Аноним, 04:52, 16/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    все на rust!
     
     
  • 3.21, Потёртый, 13:46, 16/07/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    Какой раст?! Для Изи существует только один язык программирования.
     
     
  • 4.22, Аноним, 14:21, 16/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Причём он тот язык в глаза не видал дальше хелловорлда.
     
  • 3.53, Аноним, 16:11, 17/07/2016 [^] [ответить] [смотреть все]  
  • +/
    тогда уж на Оберон-2 обьектные форки вот уж где файловер допилен из коробки ... весь текст скрыт [показать]
     
  • 1.4, Аноним, 02:03, 16/07/2016 [ответить] [смотреть все]  
  • +3 +/
    Да что там мелочится - возможность загрузки ОС пусть отключают сразу, от неё все... весь текст скрыт [показать]
     
     
  • 2.44, РОСКОМУЗОР, 18:36, 16/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Отключить возможность загрузки ОС непривилегированными пользователями Это повыс... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, Потёртый, 20:19, 16/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Предлагаю все полномочия передать Скайнету Это радикально повысит безопасность,... весь текст скрыт [показать]
     
  • 1.5, Аноним, 02:58, 16/07/2016 [ответить] [смотреть все]  
  • +/
    Предлагаю удалить возможность загрузки системы.
     
  • 1.9, бедный буратино, 04:53, 16/07/2016 [ответить] [смотреть все]  
  • +1 +/
    из этой новости я узнал, что такая опция там была
     
     
  • 2.10, ssh, 07:10, 16/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Под рутом сидишь!111 :D
     
     
  • 3.23, Аноним, 14:21, 16/07/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    > Под рутом сидишь!111 :D

    А зачем на роутере под кем-то ещё сидеть?

     
  • 1.12, Аноним, 09:59, 16/07/2016 [ответить] [смотреть все]  
  • +1 +/
    Такой ход открывает путь всем тем уязвимостям , для которых нужен привилегирова... весь текст скрыт [показать]
     
     
  • 2.15, ssh, 11:30, 16/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    doas sudo позволяют предоставить пользователю возможность монтирования устройств... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Аноним, 12:19, 16/07/2016 [^] [ответить] [смотреть все]  
  • +/
    проблема не в админе, а в самостоятельных скриптах, которые теперь может потребо... весь текст скрыт [показать]
     
     
  • 4.18, Аноним, 12:28, 16/07/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    костыль можно в скрипте команду заменить на echo USERPWD 124 sudo -S --pro... весь текст скрыт [показать]
     
     
  • 5.24, Аноним, 14:22, 16/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    man sudo 124 grep NOPASSWD ... весь текст скрыт [показать]
     
     
  • 6.33, Аноним, 16:29, 16/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Убрать пароль - это очень меткое решение Продвинутые Windows уже 20 лет как поз... весь текст скрыт [показать]
     
     
  • 7.35, бедный буратино, 16:42, 16/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    в OpenBSD это уже больше 20 лет, как есть http www openbsd org faq faq8 htm... весь текст скрыт [показать]
     
  • 7.39, Аноним, 17:21, 16/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Не пойму - ты из секты забанненых в гугле или это ускользающе тонкий юмор?
     
  • 7.52, Аноним, 12:10, 17/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Зачем убирать пароль для одной команды Я свободный от зад ротство человек Лучш... весь текст скрыт [показать]
     
  • 3.45, Comdiv, 19:37, 16/07/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    При использовании sudo есть проблема, если её запускать не по абсолютному пути ... весь текст скрыт [показать]
     
     
  • 4.54, angra, 18:22, 17/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Чудак, об этом все нормальные админы знают и только ты открыл для себя Америку ... весь текст скрыт [показать]
     
     
  • 5.56, Comdiv, 00:04, 18/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Очень рад за нормальных админов, у которых есть время покрасноглазить, но есть и... весь текст скрыт [показать]
     
     
  • 6.57, angra, 03:08, 18/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Да причем здесь красноглазие Или вы думаете, что это какая-то особо тайная инфо... весь текст скрыт [показать]
     
     
  • 7.59, Comdiv, 12:04, 18/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Об этом догадается любой, кто об этом задумается, но не все задумываются, потому... весь текст скрыт [показать]
     
     
  • 8.60, angra, 14:54, 18/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Ой, как всё запущено Я думал ты пытаешься придумать как из под пользователя адм... весь текст скрыт [показать]
     
     
  • 9.62, iZEN, 22:48, 18/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Похоже на то, что наступил кризис жанра Почему-то под Windows никто не задумы... весь текст скрыт [показать]
     
  • 9.63, Comdiv, 23:32, 18/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    То есть, Вы 2-а раза не поняли о чём заметка, и выставляете это как доблесть Я ... весь текст скрыт [показать]
     
     
  • 10.64, angra, 02:25, 19/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Последнее объяснение с помощью аналогии, так как нормально ты похоже не понял ... весь текст скрыт [показать]
     
     
  • 11.65, Comdiv, 03:21, 19/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Последнее объяснение с помощью аналогии, так как нормально Вы так и непоняли и у... весь текст скрыт [показать]
     
     
  • 12.66, angra, 05:28, 19/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Во-первых, не надо искажать мою аналогию, а то возникает впечатление, что ты хоч... весь текст скрыт [показать]
     
     
  • 13.67, Comdiv, 13:40, 19/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Дело в том, что созданные известными архитекторами эскизы, по которым был постро... весь текст скрыт [показать]
     
  • 1.13, Аноним, 11:08, 16/07/2016 [ответить] [смотреть все]  
  • +1 +/
    Нет чтоб починить, решили запретить. Никого не напоминает?
     
     
  • 2.16, Аноним, 11:39, 16/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    doas sudo позволяют предоставить пользователю возможность монтирования устройств... весь текст скрыт [показать] [показать ветку]
     
  • 1.25, Daemon, 14:32, 16/07/2016 [ответить] [смотреть все]  
  • +/
    Тео походу пивка обпился :) :) :) Может послабее варить будешь? :) :) :)
     
  • 1.26, Аноним, 14:35, 16/07/2016 [ответить] [смотреть все]  
  • –1 +/
    В линуксе уже давно так. Решается Халом и прочими udisk-ами
     
     
  • 2.28, Аноним, 15:17, 16/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > В линуксе уже давно так. Решается Халом и прочими udisk-ами

    нет.

     
     
  • 3.29, Аноним, 15:28, 16/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    А как?
     
     
  • 4.32, Аноним, 16:27, 16/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Опциями user и users в /etc/fstab
     
     
  • 5.69, Anonymo, 09:09, 22/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    И в OpenBSD так
     
  • 1.27, АнониМ, 15:06, 16/07/2016 [ответить] [смотреть все]  
  • –1 +/
    прям как в нащем гос-ве - всё запретить!
    других методов неприемлем.
     
     
  • 2.34, Аноним, 16:32, 16/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Переезжайте в Россию - тут всё свободно Даже борцунов с кровавым режимом не саж... весь текст скрыт [показать] [показать ветку]
     
  • 1.36, Аноним, 17:15, 16/07/2016 [ответить] [смотреть все]  
  • +/
    > Из соображений безопасности

    теперь все будут root-ами сидеть.

     
     
  • 2.38, Аноним, 17:20, 16/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И ничего не поменятся.
     
  • 1.41, IMHO, 18:20, 16/07/2016 [ответить] [смотреть все]  
  • +/
    скоро в новостях:
    - прекращена поддержка настройки сети
    - прекращена поддержка настройки ОС
    - прекращена поддржка установки программ
    ...
    - прекращена ...
     
  • 1.50, Аноним, 23:42, 16/07/2016 [ответить] [смотреть все]  
  • +/
    У них там fuse есть Вообще, если у системы вообще есть непривилегированные по... весь текст скрыт [показать]
     
     
  • 2.68, Аноним, 00:35, 20/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Есть Работает doas mount ... весь текст скрыт [показать] [показать ветку]
     
  • 1.51, Нанобот, 07:45, 17/07/2016 [ответить] [смотреть все]  
  • +/
    Это полумеры! Из соображений безопасности нужно запретить непривелигерованых пользователей!
     
     
  • 2.55, Sfinx, 21:31, 17/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Точно, нет юзера - нет и проблемы ;) Хороший юзер - deleted user !
     
  • 1.70, Анатолий, 20:49, 23/07/2016 [ответить] [смотреть все]  
  • +/
    Джо Неуловимый давно решил все свои проблемы...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor