https://www.opennet.me/openforum/vsluhforumID3/134408.html Янн Хорн (Jann Horn) из команды Google Project Zero, в своё время выявивший уязвимости Spectre и Meltdown, нашёл логическую ошибку в реализации модуля безопасности Linux (LSM) Landlock, позволяющую программе получить обратно уже сброшенные привилегии, в случае наличии у программы доступа к системным вызовам fork() и keyctl()...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61619<br> https://www.opennet.me/openforum/vsluhforumID3/134408.html#55 Fri, 02 Aug 2024 09:30:47 GMT &gt;&gt; Ошибка не в модуле, а в самом подходе. Вместо белого списка применяется <br>&gt;&gt; чёрный, да ещё и с самостоятельным занесением. Но кого это волнует, <br>&gt;&gt; когда настала эпоха замены блэк на блок.<br>&gt; Дык выкатите свои модули - покажите как надо было. Заодно посмотрим найдется <br>&gt; ли хоть 1 мазохист который это еще и использовать в таком <br>&gt; виде будет.<br><br>Кому выкатить и зачем это надо мне? Да, нашлись те, кто сам нашёл и развивал мои "модули".<br><br>&gt; Те кто поумнее уже это поняли - и сделали вещи типа Qube <br>&gt; OS. Куда как лучше соотношения в этом плане.<br><br>Для меня показательно, что создатель "пилюль" не захотел принимать участие в этой деятельности.<br> https://www.opennet.me/openforum/vsluhforumID3/134408.html#54 Fri, 02 Aug 2024 01:14:09 GMT а ты когда сразу в продакшен хреначешь? :) <br> https://www.opennet.me/openforum/vsluhforumID3/134408.html#53 Wed, 31 Jul 2024 23:00:41 GMT &gt;Так она сама под aa-профилем запущена, смена профиля будет после, как она установит атрибут и породит дочь.<br><br>Ну допустим да, и что? Запуск программы и назначение ей её прифиля из apparmor.d - это абсолютно обыденное событие.<br><br>&gt;Под профилем обычно понимают отдельный файл, управляющий поведением программы для каждого особого случая. Например, команда `bwrap --args 33 -- bash` профилем (для bash) не является, а /dev/fd/33 - да.<br><br>Ну профили firejail эквивалентны аргументам командной строки напр. Я под профилем подразумеваю любой набор данных, который указывает средствам разграничения доступа как ограничить программу.<br> https://www.opennet.me/openforum/vsluhforumID3/134408.html#52 Wed, 31 Jul 2024 18:28:10 GMT &gt; Познания в винде начала 2000-х годов.<br>&gt; Ни разу за десятки лет, ни в одной из версий винды <br>&gt; не ловил бсод от драйвера ФС. Как вы это делаете?<br><br>Попробуйте зацепить рушеный том - после например битой RAM. У хомячков очень интересные морды когда на ДРУГОМ компе с виндой, даже другой версии - тоже не цепляется, и тоже улетает в бсод. Такая паника сразу прикольная. Ну а вот под линухом это обычно таки - читается. Во всяком случае, большая часть. Без откровенного out of bounds доступа в память в отличие от того кода махровой индусни.<br><br>А если еще попробовать ворочать иерархией размером с Linux Kernel - можно заметить что NTFS вместе с виндой так то довольно тормозные штуки в файловых операциях. Технологии ФС прямо из середины девяностых прошлого века, топчик и инновации, аж два раза.<br> https://www.opennet.me/openforum/vsluhforumID3/134408.html#51 Wed, 31 Jul 2024 17:31:37 GMT &gt; Selinux использует метки в файловой системе, а не в бинарниках.<br><br>Ну, ок. Мой дистр не поддерживает, почему-то был уверен, что программы пересборку требуют для работы с SELinux.<br>Тогда, в AppArmor можно похожий метод использовать на раcширенных атрибутах (man 7 apparmor_xattrs). Только очень острожно. Там труднопредсказуемый механизм разрешения глобов в метках, особенно в связке с разрешением путей. И пространство меток (xattr namespace) нужно выбирать так, чтобы их не смог сбросить кто попало.<br><br>&gt; Программа изоляции может блокировать смену привилегий для детей. Но уже после того, как на них навешен нужный apparmor-профиль.<br><br>Так она сама под aa-профилем запущена, смена профиля будет после, как она установит атрибут и породит дочь.<br><br>&gt; Что значит нет? Он просто обычно не в файле на диске хранится, а в виде структуры данных в памяти, вот и всё.<br><br>Под профилем обычно понимают отдельный файл, управляющий поведением программы для каждого особого случая. Например, команда `bwrap --args 33 -- bash` профилем (дл https://www.opennet.me/openforum/vsluhforumID3/134408.html#50 Wed, 31 Jul 2024 04:20:08 GMT &gt;ntfs.sys как летал в бсод так и летает. Начиная с nt4 минимум.<br>&gt;msblast<br><br>Познания в винде начала 2000-х годов.<br> Ни разу за десятки лет, ни в одной из версий винды не ловил бсод от драйвера ФС. Как вы это делаете?<br> https://www.opennet.me/openforum/vsluhforumID3/134408.html#49 Tue, 30 Jul 2024 22:40:07 GMT &gt; Ошибка не в модуле, а в самом подходе. Вместо белого списка применяется <br>&gt; чёрный, да ещё и с самостоятельным занесением. Но кого это волнует, <br>&gt; когда настала эпоха замены блэк на блок.<br><br>Дык выкатите свои модули - покажите как надо было. Заодно посмотрим найдется ли хоть 1 мазохист который это еще и использовать в таком виде будет.<br><br>Простите, но если для когфигурации для пары программ надо тр@хаться неделю - на такую секурити все просто забьют. Ибо можно например виртуалку скроить - и ломайте ее наздоровье хоть целиком со всеми ее сисколами, у нее доступа в вон ту систему - мизер. А зачем тогда ваша секурити нужна, если можно - вот так?<br><br>Те кто поумнее уже это поняли - и сделали вещи типа Qube OS. Куда как лучше соотношения в этом плане.<br> https://www.opennet.me/openforum/vsluhforumID3/134408.html#48 Tue, 30 Jul 2024 22:35:55 GMT &gt; Ну раз все делают, то и место для закладки удобное, популярное ...Хе-хе <br><br>Landlock относительно нишевая штука, топовые дистры им по дефолту не пользуются. Хотя я так смотрю, у вас удобная позиция - какой вариант не выбери, а всегда только ваша точка зрения правильная. Так бэкдор - потому что попса. А так - потому что не попса. Вау.<br><br>Манипулятивные паттерны - это как-то так. И кстати как вы уже заметили, в эту игру могут играть и двое. Treason uncloaked :)<br> https://www.opennet.me/openforum/vsluhforumID3/134408.html#47 Tue, 30 Jul 2024 10:28:31 GMT Как только касперский свой "большой полосатый мух" выпустит - вот так сразу и. <br>Ну или не касперский, а "любая-другая-альтернатива-не-на-вашем-линуксе". Ну, примерно как с VK и блокировкой тытрупа, ага. <br>