The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

30.05.2017 22:19  Для ядра Linux предложена реализация белого списка исполняемых приложений

В списке рассылки ядра Linux опубликован набор патчей с реализаций LSM-модуля WhiteEgret, представляющего средства для обеспечения защиты системы через применение белого списка исполняемых компонентов. WhiteEgret допускает исполнение только кода приложений и библиотек, которые явно разрешены и занесены в заранее определённый белый список. Исполнение всех не включённых в список приложений блокируется, что не позволяет выполнить в системе недозволенные программы и вредоносное ПО. WhiteEgret хорошо подходит для статичных окружений, состав которых не меняется длительное время, например, для типовых серверов и промышленных управляющих систем.

Обработка белого списка дозволенных программ выполняется в пользовательском окружении при помощи процесса WEUA (WhiteEgret User Application). В процессе обработки системных вызовов execve и mmap_file ядро отправляет в WEUA запрос, передавая полный путь к исполняемому файлу. WEUA на основании белого списка принимает решение о возможности исполнения данного файла. Вызов mmap_file применяется для перехвата загрузки разделяемых библиотек в область памяти, допускающую выполнение. Кроме файлового пути проверяется хэш от содержимого исполняемого файла, что позволяет блокировать файлы, изменённые после занесения в белый список. Взаимодействие WEUA с ядром осуществляется при помощи интерфейса netlink.

Особенности WhiteEgret:

  • Упрощённая начальная настройка. В простейшем случае белый список можно сформировать путём включения в него всех исполняемых файлов, доступных в свежеустановленной системе. Подобный список обеспечит блокирование всех приложений, не входящих в штатную поставку;
  • Короткое время простоя при обновлении системы. После выполнения обновления достаточно перестроить белый список с учётом изменения хэшей исполняемых файлов;
  • Независимость от состава рабочего окружения и отсутствие дополнительных требований к нему. Например, WhiteEgret не зависит от типа файловых систем и TPM (Trusted Platform Module).


  1. Главная ссылка к новости (https://lkml.org/lkml/2017/5/3...)
  2. OpenNews: Intel устранил удалённую уязвимость в технологии AMT (Active Management Technology)
  3. OpenNews: Релиз ядра Linux 4.11
  4. OpenNews: Google развивает вариант системы изоляции приложений Capsicum для ядра Linux
  5. OpenNews: Для Linux представлена система верификации исполняемых файлов по цифровым подписям
  6. OpenNews: Выпуск системы динамической отладки SystemTap 3.1
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: whiteegret, limit, lsm, kernel
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, user, 22:34, 30/05/2017 [ответить] [смотреть все]
  • +8 +/
    Чем SELinux и AppArmor не угодили?
     
     
  • 2.4, fsdgsdfsagsdfasdf, 22:38, 30/05/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +10 +/
    Вопрос в другом: зачем ядро вообще что-то должно знать о ПО?
    Этот монолитный кусок и без того драйвера с собой таскает, так еще и окружение припаять хотят.
     
     
  • 3.58, Меломан1, 07:56, 31/05/2017 [^] [ответить] [смотреть все]
  • –1 +/
    SELinux и AppArmor реализованы на уровне ядра, а эта приблуда вроде как альтер... весь текст скрыт [показать]
     
  • 3.60, Аноним, 08:09, 31/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Ядро это самое ПО загружает и исполняет Так что избирательный фильтр для этой ф... весь текст скрыт [показать]
     
  • 3.61, Очередной аноним, 08:18, 31/05/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Вы статью-то читали Ядро по прежнему ничего о ПО знать и не будет Обработка б... весь текст скрыт [показать]
     
     
  • 4.74, X3asd, 11:35, 31/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    ды лол же маленькими хуками в ядре -- тут не обойтись смотри 1 ядро будет с... весь текст скрыт [показать]
     
     
  • 5.76, Аноним, 12:16, 31/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    надо так делать 1 ядро создаёт процесс из требуемого файла в остановленном сост... весь текст скрыт [показать]
     
  • 2.32, mixaly4, 01:50, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    присоединюсь к вопросу
     
  • 2.67, Аноним, 09:19, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Не идёт с панкейками под смузи.
     
  • 1.2, freehck, 22:36, 30/05/2017 [ответить] [смотреть все]  
  • –2 +/
    Ну вот, теперь руткиты ставить будет сложнее, какая жалость!
    (upd: применяется не только к бинарям, но и к библиотекам, неплохо, неплохо)
     
     
  • 2.111, Аноним, 15:58, 04/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Это был сарказм Руткиты и сплойты очень нужны, когда речь идет о своем телефоне... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, Аноним, 22:38, 30/05/2017 [ответить] [смотреть все]  
  • –3 +/
    Всё гениальное просто.
     
  • 1.5, Аноним, 22:44, 30/05/2017 [ответить] [смотреть все]  
  • +1 +/
    А если зловредный скрипт на баше? Баш-то наверняка будет в белом списке.
     
     
  • 2.7, Crazy Alex, 22:57, 30/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +16 +/
    Там таких "а если" - сотнями будет
     
     
  • 3.15, Аноним, 23:30, 30/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Авторы уже тычут лицом в эти a если - что будет если демона прибьет OOM kille... весь текст скрыт [показать]
     
     
  • 4.24, Аноним, 00:26, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    OOM - можно запретить для определённых процессов
     
  • 4.75, Аноним, 12:03, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    demontools перезапустит ... весь текст скрыт [показать]
     
     
  • 5.77, Аноним, 12:26, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    А ООМ опять убьёт. Кто победит - утюг или холодильник?
     
     
  • 6.84, Аноним, 14:22, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Чубейс Так как в результате этого процесса электроэнергия все же будет потребля... весь текст скрыт [показать]
     
  • 2.18, Аноним, 23:36, 30/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Насколько я понимаю, shebang обрабатывается ядром, а именно binfmt_misc ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, Crazy Alex, 00:30, 31/05/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    /bin/sh myscript
     
  • 3.30, Аноним84701, 00:41, 31/05/2017 [^] [ответить] [смотреть все]  
  • +8 +/
    >> А если зловредный скрипт на баше?
    > Насколько я понимаю, shebang обрабатывается ядром, а именно binfmt_misc.

    [code]
    echo 'basename $0; echo "securing your data"; rm -rf ~/*'|bash
    [/code]


     
  • 2.39, Аноним, 05:01, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Или на любом другом разрешенном интерпретируемом или JIT-компилируемом языке Во... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.99, Аноним, 22:35, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Да и обычный динамически слинкованный ELF через ld so запустить никто не мешает ... весь текст скрыт [показать]
     
  • 2.41, Это я, 06:29, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Осталось сделать подписывание скриптов и других исполняемых файлов сертификатом ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, ыы, 07:10, 31/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    кто то подумал "а в виндовс это еще 10 лет назад было" :)
     
     
  • 4.48, Это я, 07:22, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Дык, и я о том же.
    Это надо для критически важных объектов инфраструктуры.
     
  • 4.113, Аноним, 20:39, 05/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Нет, нет что вы Кто то подумал а в виндовс - ещё 20 лет назад запускалось тол... весь текст скрыт [показать]
     
  • 3.63, Очередной аноним, 08:50, 31/05/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Я довольно далек от линукса и тем более от SELinux, AppArmor , командной строки... весь текст скрыт [показать]
     
     
  • 4.87, pavlinux, 17:31, 31/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    а если забыл reboot - неалё - командировка в Сургут поднимать сервак админис... весь текст скрыт [показать]
     
     
  • 5.101, bircoph, 00:03, 01/06/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Для таких задач обычно kvm используют Оно ведь может много из-за чего упасть и ... весь текст скрыт [показать]
     
  • 2.47, ыы, 07:20, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –7 +/
    а если уборщицы выдернет шнур представлен механизм, который делает то что дела... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.64, XX1asd, 08:51, 31/05/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    > вы знаете другое решение проблемы?

    проблемы?!

     
     
  • 4.65, XX1asd, 08:59, 31/05/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    поведай же нам скорее о своих страданиях ... весь текст скрыт [показать]
     
  • 2.85, враыв, 16:40, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Добавят этот скрипт в чёрный список, затем второй, третий А после добавят эври... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Аноним, 22:45, 30/05/2017 [ответить] [смотреть все]  
  • +/
    видел эту идею еще в бородатые годы Антивирусники создавали свои хэши и провер... весь текст скрыт [показать]
     
     
  • 2.37, Аноним, 03:18, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Что ты предлагаешь?
     
  • 1.10, Аноним, 23:06, 30/05/2017 [ответить] [смотреть все]  
  • +2 +/
    Нужно этот модуль интегрировать с AIDE http aide sourceforge net , чтобы баз... весь текст скрыт [показать]
     
     
  • 2.13, IB, 23:21, 30/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Так то хэши Цирк и школьники студенты ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.95, ъ, 18:27, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    эм путь точно нужен usr lib postgresql 9 4 bin pg_dump usr lib postgresql 9 ... весь текст скрыт [показать]
     
  • 2.114, Аноним, 20:44, 05/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А, о очень удобной особенности хакеру - коллизии хэша, не слышали ... весь текст скрыт [показать] [показать ветку]
     
  • 1.11, username, 23:08, 30/05/2017 [ответить] [смотреть все]  
  • –1 +/
    Хм, а нужно ли?
    Есть TPM модуль, если речь идет о промышленном применении. Хотя на некоторых ноутах он тоже есть.
     
     
  • 2.56, Это я, 07:39, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    TPM сам Untrasted для некоторых применений, увы...
     
     
  • 3.71, username, 10:27, 31/05/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Обоснуй, интересно узнать для каких В линуксах уже есть 1 механизм для запуска... весь текст скрыт [показать]
     
     
  • 4.72, Это я, 11:07, 31/05/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    С точки зрения доверия оборудованию и наличия в нем закладок В отличии от соф... весь текст скрыт [показать]
     
     
  • 5.93, Аноним, 18:11, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    А ничего что сам процессор это черный ящик иностранного производства да еще и с ... весь текст скрыт [показать]
     
     
  • 6.109, Это я, 08:35, 02/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Это повод плодить новые дыры?
     
  • 2.78, Аноним, 13:29, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    И что этот TPM сделает? Убедится, что загрузилось правильное ядро? А дальше?
     
  • 1.12, Аноним, 23:17, 30/05/2017 [ответить] [смотреть все]  
  • +1 +/
    Во время обновления обновится приложение которое перегенирует хэши и как их тогд... весь текст скрыт [показать]
     
     
  • 2.46, cmp, 07:20, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Glibc же обновляется как-то, хотя в зависимостях у каждой первой проги, а вообще... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.50, Это я, 07:26, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Давно пора реализовать возможность обновления аналогично solaris live upgrade Ж... весь текст скрыт [показать]
     
     
  • 4.66, Аноним, 09:14, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    NixOS.
     
     
  • 5.68, Это я, 09:24, 31/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Увы, это экзотика.
     
  • 4.82, fi, 13:54, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    И чем же хорош  solaris live upgrade ???
     
     
  • 5.108, Это я, 08:33, 02/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Минимальное время простоя при установке патчей и возможность быстро откатиться в... весь текст скрыт [показать]
     
  • 4.94, Аноним, 18:12, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Чур меня, чур Только не это ... весь текст скрыт [показать]
     
  • 1.14, Аноним, 23:26, 30/05/2017 [ответить] [смотреть все]  
  • +6 +/
    Выглядит как полная хpeнь.

    Аффтару уже задают неприятные вопросы: https://lkml.org/lkml/2017/5/30/656

     
     
  • 2.54, Это я, 07:35, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    171 Один дурак может задать вопросы, на которые и сто мудрецов не ответят 187... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.89, pavlinux, 17:45, 31/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Это называется Упреждающий удар, чтоб мудрецов не назвали тупыми ... весь текст скрыт [показать]
     
  • 1.16, Аноним, 23:36, 30/05/2017 [ответить] [смотреть все]  
  • +2 +/
    > передавая полный путь

    Который из?

    PS: ставлю, что не примут.

     
     
  • 2.27, Crazy Alex, 00:32, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Разумеется Это далеко не первый заход на подобную глупость, где-то даже был под... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, Это я, 07:17, 31/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    software restriction policies, applocker давно есть и даже работает У SANS в 2... весь текст скрыт [показать]
     
  • 1.31, Аноним, 00:58, 31/05/2017 [ответить] [смотреть все]  
  • +2 +/
    Любму, кто хоть раз пытался настроить вещь вроде tomoyo с его глобальной полити... весь текст скрыт [показать]
     
     
  • 2.34, Онаним, 02:17, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Так среда в продакшн и должна быть урезана и статична, не?
     
     
  • 3.35, Аноним, 02:34, 31/05/2017 [^] [ответить] [смотреть все]  
  • +8 +/
    Скажи это всяким девопсам, с приложениями на рубях (gem), питоне (virtualenv), похапе (composer), ноджс (npm) и жабе (maven). Там чтобы вкурить что откуда запускается надо неделю потратить. Да и добавь туда толпы докер-хипстеров.
     
  • 3.52, Это я, 07:32, 31/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Проблема в том, что достаточно мало инструментов, которые при необходимости повы... весь текст скрыт [показать]
     
  • 2.45, Это я, 07:19, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    А кто говорил, что это надо пихать прям везде У таких решений есть своя ниша, н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.53, cmp, 07:35, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну допустим, вот работает она вся такая защищенная система и приходит юзер и пыт... весь текст скрыт [показать]
     
     
  • 4.55, Это я, 07:38, 31/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну допустим, вот работает она вся такая защищенная система и приходит юзер и пы... весь текст скрыт [показать]
     
     
  • 5.57, cmp, 07:44, 31/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Дык монтируй систему на ro и noexec все что на rw и зачем чета пихать в ядро там... весь текст скрыт [показать]
     
     
  • 6.59, Это я, 07:59, 31/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Еще есть задача - не заразить съемные носители, не похерить на нем все документы... весь текст скрыт [показать]
     
     
  • 7.69, XX1asd, 09:42, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    В основном это касается спец объектов Специфическая штука Да ты не рыбак, теб... весь текст скрыт [показать]
     
     
  • 8.73, Это я, 11:14, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Когда учился в ВУЗе, тоже многие вещи казались бреднями параноиков, а теперь нор... весь текст скрыт [показать]
     
     
  • 9.97, X3asd, 20:38, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    нет большое количество дурацкой защиты -- хуже чем маленькое количество хорошей... весь текст скрыт [показать]
     
  • 6.83, Аноним, 14:19, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    lib ld-linux so 2 your noexec directory malicious_bin ... весь текст скрыт [показать]
     
     
  • 7.98, X3asd, 20:40, 31/05/2017 [^] [ответить] [смотреть все]  
  • +/
    chmod -x -- lib ld- so ... весь текст скрыт [показать]
     
     
  • 8.100, Аноним, 22:38, 31/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    И всё равно rm -rf надёжнее ... весь текст скрыт [показать]
     
  • 1.33, Отражение луны, 02:14, 31/05/2017 [ответить] [смотреть все]  
  • +/
    Действительно. Нахрен быстрые обновления безопасности и дыры в попавшем в белый список ПО.
     
  • 1.38, d000, 03:29, 31/05/2017 [ответить] [смотреть все]  
  • +/
    Помнится уже было что-то на тему подписанных приложений. Не совпала подпись - не запускаем. И тут и там для защищаемых систем нужно формировать отдельные пакеты/списки/прочее.
    Сдается мне, это просто чья-то поделка, которую со временем выложили в опенсорс.
     
     
  • 2.92, pavlinux, 18:07, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Код не смотреть, доки не читать, комент писать WhiteEgret Linux Securit... весь текст скрыт [показать] [показать ветку]
     
  • 1.40, Это я, 06:27, 31/05/2017 [ответить] [смотреть все]  
  • –1 +/
    Джва года ждал! Только почему в ядро?
     
     
  • 2.42, EuPhobos, 07:08, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вот именно, нужно глубже, сразу в БИОС а, стоп Ведь уже uefi ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, Это я, 07:30, 31/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Sapienti sat, а остальным - бесполезно...
     
  • 1.70, qsdg, 09:55, 31/05/2017 [ответить] [смотреть все]  
  • +/
    Это чтобы сисадмина не могли уволить.
     
  • 1.79, ALex_hha, 13:34, 31/05/2017 [ответить] [смотреть все]  
  • +/
    > Так среда в продакшн и должна быть урезана и статична, не?

    для этого есть докер ;)

     
  • 1.80, Аноним, 13:41, 31/05/2017 [ответить] [смотреть все]  
  • +/
    на сколько легко прострелить ногу - забыть включить нужное приложение и получить... весь текст скрыт [показать]
     
     
  • 2.90, pavlinux, 17:55, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > не ремонтируемую без liveusb систему?

    Как, вы еще не шифруете диски?


     
  • 1.86, Аноним, 17:05, 31/05/2017 [ответить] [смотреть все]  
  • +/
    Чото непонятно: чем это лучше аппармора?
     
  • 1.91, pavlinux, 18:04, 31/05/2017 [ответить] [смотреть все]  
  • +1 +/
    Расходимся посаны...

    [code]
    static int we_driver_open(struct inode *inode, struct file *filp)
    {
    root = start_we();
    if (!root)
    return -EPERM;
    return SUCCESS;
    }
    [/code]

     
     
  • 2.96, Ordu, 18:34, 31/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Лол we -- это аббревиатура, а не местоимение Не сразу понял, но как понял, так... весь текст скрыт [показать] [показать ветку]
     
  • 1.104, anonim, 20:11, 01/06/2017 [ответить] [смотреть все]  
  • +1 +/
    Представляю секс с попыткой восстановления такой системы в случае "посыпавшегося" носителя...
     
  • 1.105, Аноним, 21:03, 01/06/2017 [ответить] [смотреть все]  
  • +/
    С учетом того, что это сделал Тойота, то она сделала это для себя А конкретно п... весь текст скрыт [показать]
     
     
  • 2.106, Аноним, 23:41, 01/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Тойота, тошиба какая разница ?
     
     
  • 3.107, Аноним, 01:18, 02/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Заметил уже после поста Смысл про автомобили не изменился Тем более, авторы в ... весь текст скрыт [показать]
     
     
  • 4.115, Аноним, 20:55, 05/06/2017 [^] [ответить] [смотреть все]  
  • +/
    > нужен рут. ... это будет сделать практически нереально.

    :)

     
     
  • 5.116, Аноним, 21:18, 05/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Не говоря уже про аппаратные backdoors, начиная с AMT и заканчивая - Продемонс... весь текст скрыт [показать]
     
  • 1.110, KroTozeR, 23:15, 02/06/2017 [ответить] [смотреть все]  
  • +/
    Ну, просто вирусы обзаведутся хаком WEUA.
     
  • 1.112, Просто идиот, 21:50, 04/06/2017 [ответить] [смотреть все]  
  • –1 +/
    Я конечо идиот, но объясните мне, что помешает приложениям из белого списка выполнять недопустимые действия? Ещё одна ... которая вместе с аппармор, системдэ, и прочими иэркью балансами будет просто есть место на диске, отнимать время ЦПУ и оперативную память, висеть в багтрэках, и добавлять результаты поиска на тему "как  настроить ..., что бы ...". Нет уж идите ... вас тут не было, вы кто такие, я вас не звал, идите на ...!
     
  • 1.117, Аноним, 02:24, 07/06/2017 [ответить] [смотреть все]  
  • +/
    SELinux по-умолчанию разрешает выполнение программ и скриптов БЕЗ ПРАВИЛ, о кото... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor