|
|
2.4, fsdgsdfsagsdfasdf (?), 22:38, 30/05/2017 [^] [ответить] [к модератору]
| +10 +/– |
Вопрос в другом: зачем ядро вообще что-то должно знать о ПО?
Этот монолитный кусок и без того драйвера с собой таскает, так еще и окружение припаять хотят.
|  | |
|
|
2.111, Аноним (-), 15:58, 04/06/2017 [^] [ответить] [к модератору]
| –1 +/– |
Это был сарказм? Руткиты и сплойты очень нужны, когда речь идет о своем телефоне или видеокамере, где вроде бы полноценный линукс, а вот софта - нет.
|  | |
|
|
|
|
4.75, Аноним (-), 12:03, 31/05/2017 [^] [ответить] [к модератору]
| +/– |
> Авторы уже тычут лицом в эти "a если":
> - что будет если демона прибьет OOM killer ?
demontools перезапустит.
|  | |
|
|
2.18, Аноним (-), 23:36, 30/05/2017 [^] [ответить] [к модератору]
| +/– |
> А если зловредный скрипт на баше?
Насколько я понимаю, shebang обрабатывается ядром, а именно binfmt_misc.
|  | |
|
3.30, Аноним84701 (ok), 00:41, 31/05/2017 [^] [ответить] [к модератору]
| +8 +/– |
>> А если зловредный скрипт на баше?
> Насколько я понимаю, shebang обрабатывается ядром, а именно binfmt_misc.
[code]
echo 'basename $0; echo "securing your data"; rm -rf ~/*'|bash
[/code]
|  | |
|
2.39, Аноним (-), 05:01, 31/05/2017 [^] [ответить] [к модератору]
| +/– |
Или на любом другом разрешенном интерпретируемом или JIT-компилируемом языке. Вообще, программа != исполняемый файл, поэтому идея очень странная.
|  | |
2.41, Это я (?), 06:29, 31/05/2017 [^] [ответить] [к модератору]
| –1 +/– |
Осталось сделать подписывание скриптов и других исполняемых файлов сертификатом администратора
|  | |
|
|
4.87, pavlinux (ok), 17:31, 31/05/2017 [^] [ответить] [к модератору]
| +1 +/– |
> А при модификации скрипта админ под рутом "переподписывал" бы скрипт
а если забыл? reboot - > неалё -> командировка в Сургут поднимать сервак администрации села Кукуй-боруй?
|  | |
|
|
|
|
2.13, IB (?), 23:21, 30/05/2017 [^] [ответить] [к модератору]
| +/– |
Так то хэши.
> передавая полный путь к исполняемому файлу.
Цирк и школьники (студенты?)
|  | |
|
3.95, ъ (?), 18:27, 31/05/2017 [^] [ответить] [к модератору]
| +/– |
эм.. путь точно нужен
/usr/lib/postgresql/9.4/bin/pg_dump
/usr/lib/postgresql/9.6/bin/pg_dump
/usr/lib/postgres-xl/bin/pg_dump
|  | |
|
|
|
|
3.71, username (??), 10:27, 31/05/2017 [^] [ответить] [к модератору]
| –2 +/– |
Обоснуй, интересно узнать для каких.
В линуксах уже есть 1 механизм для запуска подписанных локальным ключем бинарников с помощью tpm, к тому же в tpm есть хардварный геренератор случайных чисел.
|  | |
|
|
5.93, Аноним (-), 18:11, 31/05/2017 [^] [ответить] [к модератору]
| +/– |
А ничего что сам процессор это черный ящик иностранного производства да еще и с обновляемым микрокодом.
|  | |
|
|
|
|
|
|
3.50, Это я (?), 07:26, 31/05/2017 [^] [ответить] [к модератору]
| +/– |
Давно пора реализовать возможность обновления аналогично solaris live upgrade. Жаль, что ни в одном массовом дистрибутиве linux нет такого штатного механизма обновления.
|  | |
|
|
5.108, Это я (?), 08:33, 02/06/2017 [^] [ответить] [к модератору]
| –1 +/– |
Минимальное время простоя при установке патчей и возможность быстро откатиться в случае неудачного обновления.
|  | |
|
|
|
|
|
2.54, Это я (?), 07:35, 31/05/2017 [^] [ответить] [к модератору]
| –3 +/– |
«Один дурак может задать вопросы, на которые и сто мудрецов не ответят» (с) 1000 и 1 ночь
|  | |
|
3.89, pavlinux (ok), 17:45, 31/05/2017 [^] [ответить] [к модератору]
| +1 +/– |
> «Один дурак может задать вопросы, на которые и сто мудрецов не ответят»
> (с) 1000 и 1 ночь
Это называется Упреждающий удар, чтоб мудрецов не назвали тупыми.
|  | |
|
|
|
2.27, Crazy Alex (ok), 00:32, 31/05/2017 [^] [ответить] [к модератору]
| +2 +/– |
Разумеется. Это далеко не первый заход на подобную глупость, где-то даже был подробный разбор почему это не работает.
|  | |
|
3.44, Это я (?), 07:17, 31/05/2017 [^] [ответить] [к модератору]
| –1 +/– |
software restriction policies, applocker давно есть и даже работает.
У SANS в "20 Critical security controls" это тоже есть, причем с достаточно высоким приоритетом.
|  | |
|
|
|
|
3.35, Аноним (-), 02:34, 31/05/2017 [^] [ответить] [к модератору]
| +8 +/– |
Скажи это всяким девопсам, с приложениями на рубях (gem), питоне (virtualenv), похапе (composer), ноджс (npm) и жабе (maven). Там чтобы вкурить что откуда запускается надо неделю потратить. Да и добавь туда толпы докер-хипстеров.
|  | |
3.52, Это я (?), 07:32, 31/05/2017 [^] [ответить] [к модератору]
| +1 +/– |
Проблема в том, что достаточно мало инструментов, которые при необходимости повышения требований к ИБ не превращают эксплуатацию в закат Солнца вручную.
|  | |
|
2.45, Это я (?), 07:19, 31/05/2017 [^] [ответить] [к модератору]
| –2 +/– |
А кто говорил, что это надо пихать прям везде? У таких решений есть своя ниша, например - автономные ПК, на которых обрабатывают информацию достаточной степени конфиденциальности.
|  | |
|
|
|
|
6.83, Аноним (-), 14:19, 31/05/2017 [^] [ответить] [к модератору]
| +/– |
> Дык монтируй систему на ro и noexec все что на rw
/lib/ld-linux.so.2 /your/noexec/directory/malicious_bin
|  | |
|
7.98, X3asd (ok), 20:40, 31/05/2017 [^] [ответить] [к модератору]
| +/– |
>> Дык монтируй систему на ro и noexec все что на rw
> /lib/ld-linux.so.2 /your/noexec/directory/malicious_bin
chmod -x -- /lib/ld-*.so*
|  | |
|
8.100, Аноним (-), 22:38, 31/05/2017 [^] [ответить] [к модератору]
| –1 +/– |
>>> Дык монтируй систему на ro и noexec все что на rw
>> /lib/ld-linux.so.2 /your/noexec/directory/malicious_bin
> chmod -x -- /lib/ld-*.so*
И всё равно rm -rf /* надёжнее.
|  | |
|
|
|
|
|
|
|
1.38, d000 (?), 03:29, 31/05/2017 [ответить] [показать ветку] [···] [к модератору]
| +/– |
Помнится уже было что-то на тему подписанных приложений. Не совпала подпись - не запускаем. И тут и там для защищаемых систем нужно формировать отдельные пакеты/списки/прочее.
Сдается мне, это просто чья-то поделка, которую со временем выложили в опенсорс.
|  | |
|
2.42, EuPhobos (ok), 07:08, 31/05/2017 [^] [ответить] [к модератору]
| +/– |
> Джва года ждал! Только почему в ядро?
Вот именно, нужно глубже, сразу в БИОС!
..а, стоп. Ведь уже.. uefi
|  | |
|
1.91, pavlinux (ok), 18:04, 31/05/2017 [ответить] [показать ветку] [···] [к модератору]
| +1 +/– |
Расходимся посаны...
[code]
static int we_driver_open(struct inode *inode, struct file *filp)
{
root = start_we();
if (!root)
return -EPERM;
return SUCCESS;
}
[/code]
|  | |
|
2.96, Ordu (ok), 18:34, 31/05/2017 [^] [ответить] [к модератору]
| +/– |
Лол. we -- это аббревиатура, а не местоимение. Не сразу понял, но как понял, так сразу стало не смешно и скучно.
Действительно: расходимся посоны.
|  | |
|
1.112, Просто идиот (?), 21:50, 04/06/2017 [ответить] [показать ветку] [···] [к модератору]
| –1 +/– |
Я конечо идиот, но объясните мне, что помешает приложениям из белого списка выполнять недопустимые действия? Ещё одна ... которая вместе с аппармор, системдэ, и прочими иэркью балансами будет просто есть место на диске, отнимать время ЦПУ и оперативную память, висеть в багтрэках, и добавлять результаты поиска на тему "как настроить ..., что бы ...". Нет уж идите ... вас тут не было, вы кто такие, я вас не звал, идите на ...!
|  | |
|
|