https://opennet.me/openforum/vsluhforumID3/135186.html Компания Edera, развивающая решения для защиты инфраструктуры Kubernetes и AI-систем, представила проект OpenPaX, представляющий собой...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62143<br> https://opennet.me/openforum/vsluhforumID3/135186.html#65 Mon, 18 Nov 2024 15:46:15 GMT &gt; Для обеспечения корректной работы ядра OS с памятью необходимо и достаточно: <br>&gt; 1. запрет изменения на исполняемую области памяти которая исполняемой не создавалась (W^X), <br>&gt; 2. запрет изменения на запись памяти которая выделена как исполняемая (W^X), <br>&gt; 3. запрет создания исполняемой памяти из анонимной памяти (W^X), <br>&gt; 4. запрет изменения на запись памяти выделенной только для чтения (RELRO).<br><br>Как это связано с "корректной работой ядра OS с памятью"?<br><br> https://opennet.me/openforum/vsluhforumID3/135186.html#63 Wed, 06 Nov 2024 14:21:07 GMT Ещё добавлю, что если у пользователя root отнять привилегии, то при рестарте под рутом некого сервиса ему может не хватить привилегий для запуска и работы. Для этого надо или оставить руту много привилегий или предварительно позаботится о возможности рестарта сервисов с нужными им привилегиями при сильно ограниченном пользователе root.<br> https://opennet.me/openforum/vsluhforumID3/135186.html#62 Mon, 04 Nov 2024 06:04:08 GMT &gt; с "full привелегиями" работают только суиды и рутовые процессы.<br><br>С full привилегиями в системе не должен работать ни один процесс! pscap не должен показывать процессов с full привилегиями.<br><br>В GNU/Linux есть возможность раздавать и отбирать привилегии у пользователей и процессов, оставляя им лиш необходимый и достаточный минимум привилегий. Например у меня пользователь root (USERID=0) везде лишён привилегии net_raw и пингануть не может!!! А пользователь admin (USERID=1000) имеет возможность пользоваться привилегией net_raw при запуске утилиты ping...<br> https://opennet.me/openforum/vsluhforumID3/135186.html#61 Sun, 03 Nov 2024 06:11:02 GMT CAP разработан в конце 1970-тых, начала 1980-тых для UNIX как расширение безопасности MULTICS, который определял только DAC и MAC. Назначением CAP есть понижение привилегий рутовых процессов до необходимого и достаточного минимума. Требование наличие CAP в OS юридически закреплено в описании уровня B3 "Оранжевой книги".<br><br>CAP как побочные эффект, в GNU/Linux адаптирован не только для понижения рутовых привилегий, но и для раздачи привилегий пользовательским процессам. Например ping можно дать привилегию net_raw, но при этом надо проверить код ping и проконтролировать сбрасывает ли ping привилегию сразу после открытия сокета! Для контроля раздачи привилегий пользователям есть файл: /etc/security/capability.conf в котором админ прописывает какой пользователь, какие привилегии имеет право унаследовать.<br>https://www.opennet.ru/openforum/vsluhforumID10/5622.html#8<br>При удалении бинаря с атрибутом CAP с системы пользователь не будет иметь возможность повысить привилегию процесса. Потому что для создания процесса с https://opennet.me/openforum/vsluhforumID3/135186.html#60 Sat, 02 Nov 2024 20:43:44 GMT &gt;https://www.opennet.ru/openforum/vsluhforumID10/5622.html<br>&gt;&gt;чтобы root его запускал и процесс имел пониженные привилегии<br><br>сами решили свою неграмотность показать?<br>возможности(caps) нужны что б приложениям, вместо суида, давать огран. к.-во привелегий. не для "понижения привелегий рута".<br><br>&gt;https://www.opennet.ru/openforum/vsluhforumID10/5622.html#8<br>&gt;&gt;Мое мнение:<br><br>Вы, наверно, очень удивитесь, когда узнаете, что "разработчики дистрибутива" заранее не знают, что Вы ставить будете и как юзеров назовете.<br>если посмотрите чуть внимательнее - заметите и отсутствия условной "capabilities.conf.d" .. как предложите при удалении пакета, удалять разрешения? файл post-rm скриптами парсить?<br><br>&gt;включая матовые<br><br>даже спрашивать не буду.<br>тем не менее, Вы адекватное что-то по поводу идеи анонима выше так и не смогли - его подход более, чем рационален.<br>"вместо того, чтобы давать доступ к потенциально небезопасной операции всем, давать его по атрибуту бинарника".<br>lsm, вроде SARA, делают это так же. только там не c https://opennet.me/openforum/vsluhforumID3/135186.html#59 Sat, 02 Nov 2024 17:24:17 GMT https://www.opennet.ru/openforum/vsluhforumID10/5622.html<br><br>CAP не для раздачи привилегий процессам пользователя, а для ограничения привилегий рутовых процессов до необходимого и достаточного минимума.<br><br>Да, ping должен иметь привилегию net_raw для создания сокета, но он ее должен сразу сбросить. И раздача, и контроль за привилегиями должен быть https://www.opennet.ru/openforum/vsluhforumID10/5622.html#8<br><br>У меня в системе pscap не показывает процессов с full приведениями, все процессы, включая матовые, ограниченные до необходимого и достаточного минимума с гарантией невозможности повышения своих привилегий.<br> https://opennet.me/openforum/vsluhforumID3/135186.html#58 Sat, 02 Nov 2024 06:42:52 GMT должно онониму с интернета?<br>&gt;для понижения правилегий рутовых процессов до необходимого и достаточного минимума.<br><br>это именно то, что аноним выше предлагает.<br>лимитировать доступ к потенциально небезопасной операции.<br>&gt;не должен выводить процессов с full привилегиями.<br><br>Вы переводчик неосилили, или слово "полными" уже немодное среди ононимов?<br>с "full привелегиями" работают только суиды и рутовые процессы. Вы вообще о чем?<br>о "не должно быть процессов с доп. возможностями"? ping google.com сделайте - сильно удивитесь. раньше он вовсе был суидным.<br> https://opennet.me/openforum/vsluhforumID3/135186.html#57 Fri, 01 Nov 2024 19:30:17 GMT "Чукча не читатель".<br> https://opennet.me/openforum/vsluhforumID3/135186.html#56 Fri, 01 Nov 2024 19:03:08 GMT Боты ломятся за вполне определенными и легко эксплуатируемыми уязвимостями, как правило в web. exim уж точно не самая популярная цель в этом плане. Останавливаться и целенаправленно ломать его ботоводам не интересно, когда есть много других "вкусных" целей. Да и сама идея взлома VPS для ботнета, так себе - заметно, разве что командный центр разместить или сервер раздачи. По моим наблюдениям, никто даже нестандартные порты не сканирует:<br>1. Проверили web.<br>2. Если нет или быстро забанили, то проверили SSH или RDP.<br>3. Если та же песня с баном, то пошли дальше, может потом когда вернутся.<br>Притом там не то чтобы какие-то изощренные методы атаки, просто проверили уязвим ли web, и попробовали перебрать пароли. Все. Из всего перечисленного только RDP может проблем доставить, т. к. ддосится легко. При большой атаке не пускает владельца VPS. Нут так нечего выставлять наружу. Есть vpn, там пусть хоть обддосятся. Но не будут, много других легких целей.<br>