https://opennet.me/openforum/vsluhforumID3/132988.html Компания выставила на обсуждение в списке рассылки разработчиков ядра Linux код LSM-модуля с реализацией механизма IPE (Integrity Policy Enforcemen), расширяющего существующие системы мандатного управления доступом. Вместо привязки к меткам и путям в IPE решение о разрешении или запрете операции принимается на основе постоянных свойств системного компонента с которым выполняется операция. Модуль позволяет определить общую политику обеспечения целостности для всей системы, указывающую какие операции допустимы и каким способом следует верифицировать подлинность компонентов...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60695<br> https://opennet.me/openforum/vsluhforumID3/132988.html#236 Thu, 07 Mar 2024 03:12:25 GMT &gt; Кстати, MS поддерживает только нотацию user@domain<br><br>Нотация определяет UID пользователя для его идентификации.<br><br>&gt; SID формируются по стандарту, который описан и не менялся: <br><br>По твоей ссылке же написано для разных ОС применяются разные хэш генераторы.<br><br>&gt; Нет, маппинг нужен всегда, где есть PAM, потому что операционная система, работающая с реализациями UNIX/Linux PAM понимает только локальную нумерацию и не принимает нумерацию из другого Authority без маппинга.<br><br>Еще раз. Маппинг есть и в Windows. В том числе в Kerberos. Где нотация маппится в UID, потому,что RFC на Krb появилось задолго до Windows. В том числе в лесу. Том числе в доверии. Только там SID мапится в SID.<br><br>&gt; Winlogon при этом четко видит эту разницу и принимает SID из других доменов AD как есть,<br><br>Да ни фига. Маппинг SID-а происходит на КД. Примером этого является старый баг, когда после перетаскивания пользователя из одного домена в другой в лесу, пользователь теряет права на файлы за пределами каталога с профилем и SMB-шар. <br><br>&gt; Он https://opennet.me/openforum/vsluhforumID3/132988.html#235 Thu, 07 Mar 2024 00:48:33 GMT Твой предыдущий пост скушал бот-модератор поэтому отвечу тебе тут:<br><br>Вот тебе RFC4120: https://www.ietf.org/rfc/rfc4120.txt<br>Ткни меня носом, где там UID-ы пользователей о говоришь. Kerberos Principal - бывает разный и типы у него бывают разные. Кстати, MS поддерживает только нотацию user@domain о чем написано даже на заборе^W в документации IBM: https://www.ibm.com/docs/en/db2/11.5?topic=authentication-naming-mapping-kerberos<br>Покажи, в каком пакете у тебя KDC принимает UID особенно интересен пример с Windows.<br><br>SID формируются по стандарту, который описан и не менялся: https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-azod/ecc7dfba-77e1-4e03-ab99-114b349c7164<br>SID всегда включает в себя идентификатор Authority к котором относится субъект. Из-за этого v.pupkin@contoso.com и v.pupkin@fabrikam.com будут иметь разные SID, даже если у них случайно совпадёт RID. Это архитектурный дизайн такой. Оно специально делает так, чтобы не было случайных пересечений и не даёт тебе повесить никакие дополните https://opennet.me/openforum/vsluhforumID3/132988.html#233 Wed, 06 Mar 2024 15:38:38 GMT &gt;DPDK<br>&gt;Потому что ядро Linux и его адепты прибывают в состоянии вечного отрицания.<br>&gt;DPDK is a set of libraries and drivers for fast packet processing.<br><br>It supports many processor architectures and both FreeBSD and Linux.<br><br>А шо случилось, что тут FreeBSD тогда забыла?<br><br>А почему же через божественный некривой сетевой стек FreeBSD или Windows не реализовали виртуальную память GPU через RDMA? Подозреваю ты же не встречал такое даже.<br><br>Вот у Линукса убогий стек, а системы с распределенной виртуальной памятью захвачены Линуксом на 100%. Даже в Microsoft. Странно да?<br><br>&gt;для работы с сетью тебе нужно взять драйверы сетевки разной степени проприетарности<br><br>firmware никакого отношения к драйверам не имеет. У мелланоксов например из проприентарных компонентов только они.<br><br>Визг User был по поводу ACL в файловой системе. Первый же пост был именно про файловую систему, а не поддержку внутри ядра ОС. ВСЁ.<br><br>ACL в кривых руках, использующих в 2024 году шары - зло. ВСЁ.<br><br>Я ему писал, что методы работы с ФС, как https://opennet.me/openforum/vsluhforumID3/132988.html#232 Wed, 06 Mar 2024 04:53:37 GMT Вопрос не про неуникальные, а про неизвестные для ОС.<br> https://opennet.me/openforum/vsluhforumID3/132988.html#231 Wed, 06 Mar 2024 03:01:35 GMT Ты точно дурак, раз уперся в цифры, а не в смысл.<br>При чем тут нумерология, когда тебе говорят, что системные процессы в Windows не запускаются с правами администратора, для которого не существует ограничений. В Windows я могу запретить SYSTEM доступ к *.dat в профиле пользователя, и никакие групповые политики для пользователя применяться не будут, так как у системных процессов не будет доступа туда. В Unix можно запретить только самому пользователю доступ для профиля, но не системе.<br>Для совсем тупых повторяю, аналог SID S-1-5-18 - ID 1-99.<br><br>&gt; У меня просто нет слов от твоего вероломного лицемерия.<br><br>Если ты не понимаешь, разницу между работающим цифровым идентификатором пользователя и разницу между неработающим идентификатором пользователя, то это только твоя проблема. <br>Для тупых повторю. На несуществующий в системе SID нельзя повесить ACL, чтобы они были доступны для внешнего пользователя. На несуществующий UID можно. Файл с несуществующим UID можно изменять, а файл с несуществующим SID-ом нельзя, чтоб https://opennet.me/openforum/vsluhforumID3/132988.html#229 Tue, 05 Mar 2024 19:18:37 GMT &gt; Файловой системе, ядру и окружению глубоко пофиг есть ли объект пользователь для которого задан ID.<br><br>Разработчикам же специально выдали S-1-4-... для неуникальных идентификаторов в ACL, мало кто этим пользуется, потому что в венде это не надо.<br> https://opennet.me/openforum/vsluhforumID3/132988.html#228 Tue, 05 Mar 2024 19:11:14 GMT Понятно, это не молодой дурак, а старый, что делает ситуацию еще печальнее:<br>1. Я вполне понимаю, что SID S-1-5-18 != 0. Но меня не интересует нумерология.<br>И да, у него пониженные привилегии. То за что в Linux борются последние лет так 10. То X от него не запускать, то в Gnome не входить, то в SSH запретить. Ничего плохого в этом нет. Опять же, пользователь LocalSystem имеет бесконечные и неотъемлемые права на ФС. А вот 2 его виртуальных учетных записи BUILTIN\Administrators и NT AUTHORITY\SYSTEM могут быть ограничены в правах. Даже если вы зачем-то забрали права у обеих учетных записей их всегда можно восстановить.<br><br>2. У меня просто нет слов от твоего вероломного лицемерия. Когда на ФС в атрибутах торчит UID 300185 удаленного объекта - это нормально, а когда SID S-1-5-21-1004336348-1177238915-682003330-1234 - то ФС сломана. Ой прости, не от удаленного, а от "несуществующего".<br><br>3. SID всегда жестко привязывается к объекту. В этом его суть. Это сделано специально, чтобы не нужно было делать маппинг по ци https://opennet.me/openforum/vsluhforumID3/132988.html#227 Tue, 05 Mar 2024 16:08:50 GMT &gt; не совсем <br>&gt; хинт - если вы не cможете прочитать, то не сможете это и <br>&gt; запустить <br>&gt; ну и записать :D <br><br>Тебе заняться не чем вместо троллинга?<br><br>Статья про "IPE решение о разрешении или запрете операций" и твое предложение поучить мелкосовт пользоваться chmod вместо ... есть просто тролинг т.к. имея права на чтение, этого достаточно чтоб запустить файл на выполнение, к чему в итоге ты и пришел<br> https://opennet.me/openforum/vsluhforumID3/132988.html#226 Tue, 05 Mar 2024 12:14:44 GMT &gt; Ну скопируй бинарник, /usr/bin/dash && chmod 644 <br>&gt; А в чем фокус то?<br><br> Да, тут погорячился (показалось что копировали ссылку, но на самом-то деле &#8212; цель ссылки).<br>Исполнителю, да, пофиг на атрибуты. Запуск "в лоб" обломается только на ФС с noexec.<br>Но если уж задаться такой целью, можно наверное придумать и "по лбу.<br>