Выявлена возможность обхода запрета загрузки модулей ядра, реализуемого через SELinux. Блокировка модулей в SELinux основывалась на ограничении доступа к системному вызову finit_module, позволяющему загрузить модуль из файла и применяемому в таких утилитах, как insmod. При этом правила SELinux не рассматривали системный вызов init_module, который также может применяться для загрузки модулей ядра напрямую из буфера в памяти...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59248
не понял, а нахрена это через селинукс запрещать? у ядра давно уже есть blacklist и install $module /bin/false. А также в том же самом ядре есть возможность сделать так, чтобы новые модули нельзя было загружать без перезагрузки.
Предлагаете все возможные имена занести в blacklist?
зачем все возможные имена, если можно держать белый список разрешенных, а при изменении белого списка требовать рестарт?
Зачем тогда нужны модули если всё можно вкомпилировать в ядро?
потому что не у всех есть время/бюджет заниматься конфигурированием до компиляции и сопровождением всего этого при обновлении ядра.
На белые листы время есть, а на сборку нет. Как-то небезопасненько.
ну давай, расскажи мне, как получить ядро, в котором есть только то, что нужно на этом конкретном железе и для таких-то конкретных задач, и как при этом потратить хотя бы (хотя бы!) в сто раз больше (больше!) времени, чем прописывание белого списка. Подсказываю: стартовым конфигом будет tinyconfig.
Рассказываю по опыту генто@бства: полдня-день на систему на первую итерацию, при условии что в конфиге ядра ориентируешься хоть немного. Первая итерация означает как минимум загружается, делается быстро, если знаешь, что надо включить диски и фс под корень. Остальные несколько часов проверяешь нужные программы и ищешь, почему что отвалилось.Совсем без опыта наверное ещё дольше, для меня такое слишком давно было, не помню.
если стартуешь с дефолтного конфига - может быть так и есть, при этом не решается проблема того, что получим ядро с кучей лишнего. Правильный ответ начинается со слов "грузимся в максимально полное ядро и исследуем /sys на предмет того, какие устройства имеются, далее для каждого устройства задаем себе вопрос, нужно ли оно на самом деле, или оно здесь появилось просто потому, что мы загрузились в максимальное ядро, далее каким-то макаром находим, какой драйвер отвечает за устройство, по имени драйвера находим имя модуля, по имени модуля находим имя опции, по опции находим его зависимые опции" и так далее и так далее. По пути нужно изучить, как именно ядро грузит модули: по идентификаторам PCI (обычно частичные), по идентификаторам USB (обычно частичные), по всем остальным шинам аналогично. Также вооружаемся lkddb (обычно дает неполную инфу), вооружаемся $EDITOR и grep исследовать исходники ядра, вооружаемся полными спеками железа и проходим по каждому пункту каждого спека и врубаем специфичные опции. Это я не рассказал и 10% того, что касается железа, а ведь есть еще "софт" - не менее сложная тема, ибо если прога не находит для себя достаточные возможности ядра, она молча выходит или выдает негуглящееся сообщение. Это работа на полгода-год, а не на полдня-день.
выше - краткое содержание чьей-то будущей книги "Как изнасиловать линукс и остаться в живых и на свободе".
После слов "вооружаемся ... grep исследовать исходники ядра" у меня появились сомнения, кто кого насилует.
> После слов "вооружаемся ... grep исследовать исходники ядра" у меня появились сомнения,
> кто кого насилует.года 4 назад я подбирал какой-то инструмент (не на go и не на rust)
для поиска по source tree, искал им в исходниках iMule несовместимости и их происхождение
для пересобрать под новый дебиан. но я забыл название. старость не радость.
но теоретически можно и грепом.
Хороший инструмент сначала прогоняет исходник через препроцессор, что бы развернуть макросы, а потом переводит результат в упрощённый аналог синтаксического дерева, что бы можно было быстро посмотреть граф вызовов (в Eclipce CDT он называется Call Hierarchy) и выполнять контекстный поиск. Исходники Linux по объёму в разы больше iMule, для некоторых строк grep выдаст массу лишнего (например, одноимённые функции для разных архетектур). Гипотетически, наверное, найти что-то можно и grep-ом, но даже простой переход к месту определению функции окажется существенно дольше.
нашел: apt info ackEclipse жироноват и следовательно торомоз (inb4 время г-кодера стоит дороже).
На исходниках Linux пока Eclipse лидирует - остальные, что смотрел, не сохраняют индекс и при повторном запуске заново молотят сорцы. Плюс в Eclipse можно задать макросами нужные архитектуры, он выполнит #ifdef и не будет смотреть лишнее. Source Insight быстрый, но не вполне по теме сайта.
Если у тебя нет времени на безопасность зачем ей заниматься?
Внезапно, принели вам сетевушку. Было бы модулем, udev сам бы необхомый(е) модуль(ли) нашёл и загрузил. Но вам придётся самому копать, какой модуль для данного девайса нужон, и ядро из-за одного модуля пересобирать.
> Внезапно, принели вам сетевушку.Каким олигофреном нужно быть, что бы без раздумий пихать внезапно принесенное железо в доверенный комп обрабатываюший чувствительную конфиденциальную информацию.
> Каким олигофреном нужно быть, что бы...Каким олигофреном нужно быть, чтобы так ответить на фразу "внезапно, принесли вам сетевушку". Вы, похоже, смогли представить только следующую картину: посреди тишины и благодати к Вам с улицы пришел какой-то неизвестный смурной мужик в шпионском плаще и протягивает вам со зловещей усмешкой какую-то непонятную железку непонятного производителя и непонятного назначения?
>> Каким олигофреном нужно быть, что бы...
> Каким олигофреном нужно быть, чтобы так ответить на фразу "внезапно, принесли вам
> сетевушку". Вы, похоже, смогли представить только следующую картину: посреди тишины и
> благодати к Вам с улицы пришел какой-то неизвестный смурной мужик в
> шпионском плаще и протягивает вам со зловещей усмешкой какую-то непонятную железку
> непонятного производителя и непонятного назначения?Представьте нам свою картину мира, в которой будет объяснена внезапность появления сетевушки хотя бы даже рядом с SElinux. Скажем метрах в трёх.
Чего там объяснять - диверсия-)))
> Чего там объяснять - диверсия-)))Главный диверсант - HR принявший на работу техником mentality disabled персону, которое, внезапно завидев сетевушку, начинает впихивать её во все отверстия, серверу.
А буфер памяти куда вписать?
В пространство процесса, взявшего на себя обязанность загружать модули. Потом натравить системый вызов на этот буфер. Процес этот, конечно, должен соответствующими правами обладать.
В адресное пространство каждого процесса, взявшего на себя обязанность загружать модули? А кто будет внедрять данные в пространство произвольного процесса, и что дальше с этими данными делать?
Системный вызов в пространство ядра скопирует, оформит уже как структуры модуля.
Всё это сделает и загрузит драйвер? Так задача прямо противоположная - не пускать какой попало драйвер в ядро.
> В адресное пространство каждого процесса, взявшего на себя обязанность загружать модули?Нуб, ты чего? Это работает так: читаешь файл с диска, грузишь модуль в память, ну и натравливаешь вон тот ядерный сискол на свой буфер -> модуль попадает в ядро, если это получилось. Хотел ли это изначально вообще процесс, или это эксплойт какой, или специальная хакерская прога - да в общем то возможны разные варианты. И то что САБЖ этот механизм пролюбил это полное ололо для wannabe-улучшителя безопасности в системе.
Правда как мне кажется SELINUX делался в основном потому что в таком топике как "информационная безопасность" - бывают, внезапно, характерные регламенты. О чем догадываются все у кого например был предмет "информационная безопасность", ну там в вузе, или по своему интересу. И если там написано "трава должна быть зеленой, а контроль доступа мандатным" - ну, вот вам банка с краской, а вот SELINUX, извольте. У официалов информационная безопасность достаточно бюрократизированный топик. А compliance не пустой звук в т.ч. и у амеров. Ну вот оно кажись больше инструмент комплайнса чем реальной защиты.
>> В адресное пространство каждого процесса, взявшего на себя обязанность загружать модули?
> Нуб, ты чего? Это работает так: читаешь файл с диска, грузишь модуль
> в память, ну и натравливаешь вон тот ядерный сискол на свой
> буфер -> модуль попадает в ядро, если это получилось. Хотел ли
> это изначально вообще процесс, или это эксплойт какой, или специальная хакерская
> прога - да в общем то возможны разные варианты. И то
> что САБЖ этот механизм пролюбил это полное ололо для wannabe-улучшителя безопасности
> в системе.Так а как ещё ему объяснить, что по условию задачи модуль попадать в ядро не должен?
> Правда как мне кажется SELINUX делался в основном потому что в таком
> топике как "информационная безопасность" - бывают, внезапно, характерные регламенты.
> О чем догадываются все у кого например был предмет "информационная безопасность",
> ну там в вузе, или по своему интересу. И если там
> написано "трава должна быть зеленой, а контроль доступа мандатным" - ну,
> вот вам банка с краской, а вот SELINUX, извольте. У официалов
> информационная безопасность достаточно бюрократизированный топик. А compliance не пустой
> звук в т.ч. и у амеров. Ну вот оно кажись больше
> инструмент комплайнса чем реальной защиты.То есть в ТЗ в одном из пунктов указали "запретить загрузку модулей". Исполнитель это прочёл, для одного случая создал правило, а потом пошёл пить кофе и забыл? И за ним никто не проверил? :)
> Так а как ещё ему объяснить, что по условию задачи модуль попадать
> в ядро не должен?В принципе и другие способы запрета этого есть, если оно реально надо. А забавно тут то что SElinux проявил несколько менее паранои в части Systems SEcurity чем от секурити-экспертов ожидается.
Для лично себя - я не запрещаю вгруз модулей, но там FORCE на проверку подписей и вот именно лично мой ключ. У меня то он есть. Хорошо когда система работает на меня. А если у вон тех нету, они и пролетают, соответственно.
Если хочется пожестче, есть /proc/sys/kernel/modules_disabled - если записать туда 1, загрузка новых модулей отвалится до ребута. При этом после старта системы когда все взлетело, можно быренько это дело врубать - обувая атакующих на это дело вообще. В цать раз проще SELinux и более эффективно. Но может потребовать ребут потом если нечто новое все же потребовалось.
А совсем злобный вариант - собрать ядро без поддержки модулей. Но это неудобно. Однако давно известно что чем удобнее тем хуже безопасность.
> То есть в ТЗ в одном из пунктов указали "запретить загрузку модулей".
Видимо да, иначе не понятно в чем прикол отрубить хвост именно наполовину.
> Исполнитель это прочёл, для одного случая создал правило, а потом пошёл
> пить кофе и забыл? И за ним никто не проверил? :)А кто его знает. После юного д@лб@"№а сливающего секретные доки в дискорд я ничему такому не удивлюсь.
p.s. и кстати из-за непоседы Кента и его ФС как-то попало под внимание... то что модули априори нарушают W^X: это by design новые аллокации, выполняющие код. А кроме этого есть еще не менее 3 сценариев когда хотят динамически сгенерить код. И вот кент еще - для перфоманса файлухи.
В результате из-за Кента досталось и mm, и блокировкам (locks) и чему-то еще, например: https://lore.kernel.org/lkml/ZH0EseWI9F1n9yJx@moria.hom.../ - на правах хинта шишкину и ко как оно на самом деле надо было, если в майнлайн хочется. И в результате дискуссий, на самом деле, половина работы было спихана на айбиэмщика, еще кого-то и проч. А Кент приближается к желаемым точкам в своем квесте.
скорее включить lsm=lockdown и установить https://github.com/lkrg-org/lkrg
Особенно, когда с кем-то по сети играешь, далеко-далеко так ;)
> Часть нити удалена модератором
> В шахматах не подсказывают , !*! n00by (ok), 11:58 , 05-Июн-23 (27)
> УДАЛЕНО.Отмодерировано: mc, Время: Mon Jun 5 15:48:11 2023на опеннете запрещено упоминание шахмат? лолшто?
man оффтопик, вероятно... вот вы наглые стали, еще и возмущаетесь что совсем уж офтоп потерли
Это было как раз по теме исходного сообщения. Его автор несколько плавал в вопросе, я начал задавать наводящие, что бы тот подумал. А onanim взял и сразу написал правильный овтет. ;(
Эпичный фейл однако.
> blacklistТак загрузка идет помимо insmod
типичный опеннет, однако. Не пойму одного, почему еще тотальный кабздец инфраструктуры в РФ не наступил окончательно. Правда, каждый день где-то что-то горит, но это пока еще, по-моему, не оно.
> типичный опеннет, однако. Не пойму одного, почему еще тотальный кабздец инфраструктуры(голосом оптимиста из анекдота про хуже уже не будет) coming soon!
> При этом правила SELinux не рассматривали системный вызов init_module,
> который также может применяться для загрузки модулей ядра
> напрямую из буфера в памяти.Ну правильно, драйвер руткита как раз из памяти удобнее стартовать. При сохранении на ФС его чего доброго обнаружит антивирус (который в Линукс вообще не нужен, но не все слушают экспертов).
Настоящий антивирус, а не тот которого нет. Оперативную память тоже сканирует. Но опять же в чьих интересах и что он сканирует это прям очень большой вопрос.
Файл с драйвером перед запуском придётся расшифровать. Плюс сам факт его появления уже звоночек для эвристика. А просканировать память... в какой момент антивирус это сделает?
Если он не отловит момент загрузки модуля то по расписанию. И будет вирус пойманный в конечно счете.
Руткитом называют такую шутку, задача которой скрыть своё присутствие в системе. Для чего драйвер например перехватывает системные вызовы и фильтрует возвращаемые данные. Антивирус при активном рутките видит вместо вируса фигу. Если пропустил запуск модуля, уже поздно сканировать память.
При условии, что руткит покроет 100% потенциальных путей обнаружения. Что не факт.
Собственно, тут та же проблема, что и с защитой системы - все возможные пути обнаружить малореально.
Чукча и геолог собирают камушки на берегу океана. Вдруг видят
направляющегося к ним голодного белого медведя. Ружья нет.
Чукча хватает лыжи и начинает их надевать. Геолог:
- Бесполезно. Все равно ты не сможешь бежать быстрее медведя.
- А мне и не надо бежать быстрее медведя. Мне надо бежать
быстрее тебя!Мораль сей басни такова - автор протестирует своё творение совместно с антивирусами, а у другой стороны такой возможности нет, пока не поймают образец.
ты нам пытаешься объяснить что чукча умнее геолога?
Микрософт решила вопрос с руткитами следующим образом:
Придумали PatchGuard.
Через некоторое время PatchGuard разобрали и обошли.
Вышла следующая версия PatchGuard.
Опять разобрали.
И так далее.В такой схеме Микрософт заведомо оказывается на шаг впереди, следующую версию они могут подготовить заранее и обновиться оперативно. У атакующих этой возможности нет, пока будут разбирать новую версию, боты помрут. Держится всё это на закрытости кода и обфускации PG. Для остальных мы включаем балладу «Я свободен!»
> включаем балладу «Я свободен!»
> В такой схеме Микрософт заведомо оказывается на шаг впереди, следующую версию они
> могут подготовить заранее и обновиться оперативно.Зато они апдейты по вторникам грузят. Как будто хакеры целый месяц ждать будут. Некоторые даже специально релизили сплойты в среду, чтобы почти месяц был :)))
А так - безопасность это процесс, а не результат.
1) Заходим в википедию и смотрим кто изначальный разработчик SELinux
2) Не удивляемся.
Покажи как нужно было сделать. Создай свой аналог и поделись им с нами. Посмотрим как с этим справишься)
apparmor же
Ты задумывайся , когда копипастишь в ответы.
А ну всё конечно пусть всех прослушивают раз они такие молодцы. Любители зондов типа тебя подтянутся ещё.
Для некоторых людей зонд, при условии достаточно глубокого введения, выполняет функцию внутреннего стержня.
+стопиццот
> Покажи как нужно было сделать.Разрабы Астры показали (PARSEC). Неплохо, по-моему.
Вспоминается гениальный разработчик Росы Андрюша Григорьев, доказывающий техдиру Астры, что PARSEC фуфло, ему хватит и SELinux.
Хотя SELinux в Роса Линукс всё равно не работает.
А чем одна контора с названием из трёх букв лучше другой, с другим названием из трёх букв?
ну да пили бы баварское, йа йа натюрлих. Крепитесь, заграница вам поможет. Надеюсь вас автоматом этот СОРМ в соответствующий список заносит после таких вбросов.
Тем, что одна сертифицирована, а другая нет. А в РФ реалиях сертификация дает право жизни одному дистру,а другой останется посредственным
Ну это только в госсекторе и только для попила.
И чо? Я тоже хочу из г-на на курорт!Тем более что в виду явного расцвета экономики - других шансов озолотиться кроме попилов и не предвидится.
> И чо? Я тоже хочу из г-на на курорт!Будьте осторожны в своих желаниях, однако...
означает ли это, что в реалиях тех же сша или ведущих стран ес открыта возможность любому желающему поставить любое не сертифицированное хз что на ключевых объектах как ВПК, так и производства ?
Осталось понять, почему Windows XP сертификация не спасла.
Ид иотии и конспирологии у анонимов не занимать.* SeLinux успешно помог предотвратить взлом системы для тысяч уязвимостей различных программ.
* Разрабы SeLinux - то же люди.
* Это не похоже на back door ни одним местом.Тучу upvotes для этого - показатель уровня интеллекта посетителей opennet. Печальная картина.
Ах, да, на Android ядро собирают без модулей - все built-in.Ужасная уязвимость что сказать.
А сколько помог взломать? Об этом вам не расскажут. Потому что, то взломы, кого надо взломы.
Это глухо они не понимают простых вещей. У них есть только белое и черное. И все, действия белого по дефолту хорошие, а черного по дефолту плохие. Никакой анализ проводится не может это мыслепреступление.
Иди хоть разок почитай что такое SELinux и как работает.
Поэтому они имеют право сами взламывать кого захотят, когда захотят? Из тех кто использует SELinux, а это примерно все.
> * Это не похоже на back door ни одним местом.Пожалуй, поверю я вот этому Анониму, а не собственному опыту!!!111
> 2) Не удивляемся.Я бы пофиксил:
2) Если удивляемся, смотри пункт 1.
Позволю себе обратить Ваше внимание, сэр, на тот факт, что SELinux был опубликован в виде исходных кодов и прошёл все необходимые проверки перед включением в состав ядра Linux.
Прошел. Потом кривые targeted-правила подсунули.
Формально эти правила подпадают под определение "исходный код".
Не соблаговолит ли достопочтенный сэр охарактеризовать действия находящихся в РФ агентов по продажам вышеупомянутых исходных кодов?
В данном случае я предпочёл бы воздержаться от каких-либо оценок.
Новость ты прочитать не смог в силу того что не умеешь читать?
Считаю уместным заметить, что я отвечал на комментарий мистера Анонима #1.3.
Уровень опеннета, как всегда пробил очередное днище.То есть проблема не в конкретном правиле конкретного набора, а якобы в selinux?
Уровень самого "исследователя" судя по его копипастам примерно тот же.
Так это ты не него зашел вот он и пробил. Не заходи сюда больше.
Although the policy wasn't nearly as strict as the standard policy that you might find on a typical Android device, it was strict enough to prevent me from doing a lot of useful things (e.g., mounting filesystems and accessing files in /etc/).
Да не этому бесполезно что-то доказывать. Все всегда будет жить в мире розовых пони.
Поправочка, коричневых пони. Он из failed state.
ну очевидно что речь о стандартной targeted. Которая действительно костыль, и прикрывает только от большинства тривиальных (но от этого не менее реальных) проблем, а не всего что можно придумать.
Т.е. правильный заголовок новости - "недостаточный фильтр системных вызов selinux-targeted" и более ничего существенного.
Это как бы самый очевидный вектор атаки, и оставлен открытым. Похоже, Андроид хотел рутануть, вот и нашёл случайно. А куда смотрел Тысячеглаз?
> Это как бы самый очевидный вектор атаки, и оставлен открытым.как бы не самый очевидный. Во-первых нужен рут. Во вторых, собственно, и приехали.
Можно уже никакие модули никуда не грузить.> А куда смотрел Тысячеглаз?
targeted policy - это _набор_затычек_. Бесконечный. Вот он посмотрел и еще одну добавил - в комплект к предыдущим статыщам. Еще одну странную ситуацию (которая вообще-то вряд ли возникнет в реальности) закрыли.
И что из этого следуют? Пусть оставляют уязвимость? Или может хорошо что они специально сделали такой дизайн программного продукта, чтобы было удобнее подсаживают троянов это типа хорошо? У тебя давно с головой не лады, но твоё состояния явно ухудшается.
> И что из этого следуют? Пусть оставляют уязвимость?ничего не следует кроме того что ты не умеешь ни кодить ни хотя бы правила selinux читать.
Тот кто умел - исправил то что ему показалось важным.
> Или может хорошо что они специально сделали
иди голову лечи.
Состояние поха быстра деградирует.
>> Это как бы самый очевидный вектор атаки, и оставлен открытым.
> как бы не самый очевидный. Во-первых нужен рут. Во вторых, собственно, и
> приехали.Когда рут нужен - его покупают у специально обученных людей. Это уже следующий шаг, закрепление в системе.
> как бы не самый очевидный. Во-первых нужен рут.Рут бывает разный. Скажем lockdown ядра пытаются ограничивать в уроне для системы и его. И возможность грузить ядерный код там может быть и не в тему.
Ничего существенного, ничего существенного, Карл!пох ты неисправим.
>Т.е. правильный заголовок новости - "недостаточный фильтр системных вызов selinux-targeted" и более ничего существенного.Yes, sir Major!
Уже исправлено.Касается всех 1 человек, которые нашли это.
Всех сотрудников, которые использовали по назначению.
То есть закрыв дверь на замок они тупо забыли закрыть окно которое тут же рядом?
Они оставили для себя незакрепленную дощечку, про которую никто не знает, через которую, если что, можно просунуть руку и открыть замок.
> То есть закрыв дверь на замок они тупо забыли закрыть окно которое
> тут же рядом?там нет двери. Там лес с миллионом тропинок. На некоторых стоит шлагбаум. В надежде что т-пые упрутся в него и дальше не пройдут.
В принципе - помогает.
Потому что вы именно такие и есть.Знать о том что targeted policy не единственно возможная вам незачем.
Типа что исполнитель оставил для себя окошко в виде тропинок, это его как-то оправдывает? Зачем ты эту чушь пишешь, объясни?
Госсподи именно такие и оставляют "пароль по умолчанию", или запуск БД без пароля вообще.А виноват в этом да, разработчик.
Пароля по умолчанию быть вообще не может. Посмотри как сделаны нормальные продукт ты или его или сам создаёшь или никакой возможности войти у тебя нет.
> То есть закрыв дверь на замок они тупо забыли закрыть окно которое тут же рядом?Они с церемониями повесили золоченый замок на парадную дверь. Про еще пять дверей в этом же доме они благополучно забыли, увлекшись церемонией и расписыванием свойств шикарного замка. Пришел хаксор, почесал репу глядя на замок, рещил что за болторезом ему бегать и то лениво - просто зашел в боковую дверь. В которой вообще никакого замка не было. Ну вот не предусматривали его при строительстве дома там. Этим хаксор от церемониалов с протоколами из анб и отличался.
>> То есть закрыв дверь на замок они тупо забыли закрыть окно которое тут же рядом?
> Они с церемониями повесили золоченый замок на парадную дверь. Про еще пять
> дверей в этом же доме они благополучно забыли, увлекшись церемонией и
> расписыванием свойств шикарного замка. Пришел хаксор, почесал репу глядя на замок,
> рещил что за болторезом ему бегать и то лениво - просто
> зашел в боковую дверь. В которой вообще никакого замка не было.
> Ну вот не предусматривали его при строительстве дома там. Этим хаксор
> от церемониалов с протоколами из анб и отличался.Напомнило мне забавный момент из Двух сорванных башен (в переводие Гоблина), когда орки атакуют крепость, но дломятся исключительно в укрепленный главный вход. Гимли с Арагорном тихонько выходят в незащищенную никак боковую дверь и Гимли спрашивает Арагорна, "Ара, а поцчему они ломятся в ту двер, а в эту - нед?". Арагорн отвечает, "А потому что там Вход, а здесь Выход".
Мне одному кажется, что SELinux - лютое ненужно.
Ты от начала и до конца полностью прав.
Потому что ты ни чего не знаешь про него, ни чего с ним не можешь настроить?
Возни с его настройкой - во, а потом атакующий вот так парой сисколов грузит код в ядро. Ну и зачем такие соотношения надо?! Сложно должно быть атакующим а не админам, имхо.
Всё нужно. Просто не всегда.
Опять нужен рут, чтобы систему скомпрометировать. Ну что ж ты будешь делать!Комментаторы, не раздупляющие ни что такое targeted набор правил, ни принципы работы SELinux, но в голос верещащие про бэкдоры особенно смешат. Опеннет — мой любимый комедийный ресурс.
Тебе бы самому "раздуплить" отличия finit_module от init_module, а потом попробовать подумать, зачем одно закрыли, а другое нет.
Ну естественно для того, чтобы взломать хосты опеннетных анонимов. А нет, погодите, опеннетные анонимы про SELinux знают только setenforce 0 и echo "SELINUX=disabled" > /etc/sysconfig/selinux. Значит чтобы взломать злобные корпорации. А нет, погодите, злобыне корпорации и сами всё сливают в NSA, потому что они злобные. Стало быть чтобы взломать самих себя. Да. NSA — они такие, сами себе уши отморозят назло всем, чтобы все боялись. Мысль о том, что писавшие targeted полиси проморгали этот и ещё массу других способов нагнуть ядро мы думать не будем. Слишком просто и нет заговора. Нам такое на опеннете не подходит.
Раздупляю за тебя: сискола два, а вектор атаки один. Пиши не мне, а авторам правил, пусть откроют закрытый правилами шлюз - ты так хорошо объясняешь, почему это лишнее.
Ну вот один в strace засветился и был включён в полиси, а про другой писавший не знал. Какая печаль, подай на него в суд.
> подай на него в суд.А, так ты юрист, консультирующий забесплатно по вопросам безопасности. С этого и начинал бы свою проекцию о спосбностях "раздуплять".
это было смешно, пока их таких были десятки процентов на общем сравнительно приличном интеллектуальном фоне.Сейчас, глядя на этот е6анариум истово верующих в происки проклятой NSA - хочется только съ...ся от свихнувшейся страны куда подальше.
А кто уже - вымарать из резюме все упоминания о ней. Потому что потенциальные коллеги именно таким е6анашкой и будут тебя воспринимать, и наймут индуса. Лучше уж пусть думают что ты джун с "трогательным несоответствием набора скиллов прошлому опыту", чем подозревают что ты один из отключателей обновлений винды сразу после установки (а то там проклятая NSA!)
P.S. но обрати внимание - автор исходной статьи тоже ничего не слышал ни про targeted, ни про то как это вообще работает (см. как он "проверяет" что у него selinux вообще есть). Т.е. идиотизм и повсеместная некомпетентность - они, увы, распространяются по планете.
Ты ни программировать не умеешь ни думать. Поэтому ты и находишься там где находишься, а не в нормальном месте. Собственно так тебе и надо.
С твоей нелюбовью к е6анариуму я нахожу весьма странным, что ты не уплыл из него первым же пароходом. И не надо опять заливать про собак, я лично знаком с людьми вывезшими на другой континент весь свой персональный зоопарк — собак, кошек, хомяков и канареек, — вместе с детьми и престарелыми родителями.А то, что тебе кажется, мол, идиотизм и повсеместная некомпетентность распространяются по планете, так это старческое брюзжание. Средний уровень интеллекта на планете растёт с тех самых пор, как его придумали мерять. Неравномерно, нелинейно, не везде, но неуклонно. Поэтому скорее всего проблема как раз в тебе: ты не понимаешь почему так, а не иначе и как результат всё вокруг кажется тупым. И это нормальный ход жизни, мы стареем, слабеем телом, духом и разумом, и в какой-то момент нам пора на покой, растить помидоры в удовольствие и баловать внуков. Долго тебе до пенсии осталось-то?
> И не надо опять заливать про собак, я лично знаком с людьми вывезшими на другой континент весь
> свой персональный зоопарк — собак, кошек, хомяков и канареекя тоже. Обычно эти люди вовремя голосовали за кого надо, неплохо отхватили жирных кусков, своевременно их вывели куда подальше и теперь намерены не скучать и кстати "к сожалению в настоящее время мы не можем принимать оплату от российских пользователей" (и ведь этот был еще из лучших, действительно одна из самых светлых голов в бывшероссийском IT...)
А у меня, увы, престарелых родителей не осталось, самому пенсия не положена, а собак надо кормить и лечить, поэтому я остаюсь там где мне платят зарплату.
> Долго тебе до пенсии осталось-то?
в моей семье до нее ни один мужчина не дожил. По инвалидности не в счет.
> неплохо отхватили жирных кусковИнженер с одной фабрики по производству телевизоров и медсестра. Его родители на стройке познакомились, где оба работали после войны. Её родители из деревни. Отхватил жирный кусок с продажи трёшки в городе-миллионнике и подержаного пассата. Такие дела. Да и сам я когда-то с 900$ в кармане приехал, чего уж там.
> в моей семье до нее ни один мужчина не дожил
Стань первым.
> Отхватил жирный кусок с продажи трёшки в городе-миллионнике и подержаного пассата.тоже неплохо- сейчас бы уже не получилось. К сожалению, у меня никогда не было трешки в миллионнике, а то бы и правда хрен бы меня там больше видели.
А что планирует жрать когда эти кончатся? Фабрик по производству телевизоров кроме как в китае не осталось, медсестре подтверждать диплом или вообще учиться с нуля.> Да и сам я когда-то с 900$ в кармане приехал, чего уж там.
так ты был один и, полагаю, сравнительно молодой. Плюс была дикая недостача грамотных айтишников.
А сейчас... "если в магазине продается специальная бумага для резюме - значит работы в этой стране на самом деле - нет" (с)
Да, пох, ты все правильно понял - с квалификацией как у тебя ты врядли кому нужен. А в чем ты собственно спец? В нытье как все плохо и отмазках? За это имхо денег не платят.
> Да, пох, ты все правильно понял - с квалификацией как у тебя
> ты врядли кому нужен.то ли дело специалисты по ремонту телевизоров? Ветеринары вот, говорят, легко устраиваются. Но есть нюанс - надо подтвердить диплом. На чужом языке и по чужим протоколам, поэтому удается единицам.
Но в принципе, да, столько ITшников в мире не нужно вообще. Ни с какой квалификацией. В 70е был же анекдот - "если по трапу самолета в Тель-Авиве идет человек и у него в руках нет скрипочки - это инженер".
Самые удачливые из них устроились слесарями, сантехниками и тому подобным. Повезло, смогли как-то применять остатки инженерного мышления и образования. Большинство так и прозябало до пенсии товароведами или вовсе подсобными рабочими.
Сейчас почти ничего не изменилось - если по кишке на выход идет не носитель футлярчика для парадно-выходного костюма (эт менеджер, среднего звена, эт не пропадет) то точно ср-ный итшник. Для них все, кстати, еще хуже стало - заводы в 70е были примерно везде одни и те же, а сейчас везде требуется амазон и gcp, а с опытом мэйлру почему-то не берут. А я уже и не помню ничего про их апи.
> А в чем ты собственно спец?
а тебе-то какая разница? Ты ж в этом не разбираешься, куда ни ткни - везде провал.
> то ли дело специалисты по ремонту телевизоров?Disclaimer: я другой анон и встрял в дискуссию недавно. И вот тут я без понятия. Наверное зависит от того что за телевизоры. Для лично меня традиционное аналоговое месиво было почти мистикой, мне сложно сказать как тем кто в это умел сейчас с этим. Я просто не принадлежу той эпохе и технологиям. Умея лишь некий базовый минимум. Но если вопрос в том что это будет нечто цифровое, да еще, чего доброго, с линухом... говоря за себя для меня такой паттерн дизайна систем прост и понятен и я могу там что угодно, в общем то. До кучи и починить, разумеется. Хотя мне больше нравится кастомдев с линухом и околомикроконтроллерное/эмбедовочное.
> Ветеринары вот, говорят, легко устраиваются. Но есть нюанс - надо подтвердить диплом.
Ну наверное, а чего им не. Они перестанут требоваться? Это врядли.
> На чужом языке и по чужим протоколам, поэтому удается единицам.
Пару докторов которые такое провернули я знаю. Хоть они и не ветеринары.
> Но в принципе, да, столько ITшников в мире не нужно вообще. Ни с какой квалификацией.
Ну так сейчас вон тех питоняш которым сложно быть эффективными более 2 часа в день и побустают. Уже бустают во всю.
А чего ты умеешь полезного людям, фирмам, ... - хрен тебя знает! Ты иногда выдаешь дельные мысли но это раз из 10. По сравнению с 95% которые не гроссмейстеры это некий апгрейд, так что твоя тушка заняла 1 слот в danbar number. Это жирновато но я не полностью контролирую аллокацию от и до в этом случае. Судя по спичу ты даже что-то когда-то девелопал, возможно даже для линуха. Но явно выпал из всех актуальных состояний дел и явно не up-to-date. А кернел штука динамичная, знания 2010 года не сильно помогут, половину отрефакторили уже.
> В 70е был же анекдот - "если по трапу самолета в Тель-Авиве идет человек
> и у него в руках нет скрипочки - это инженер". Самые удачливые из них устроились
> слесарями, сантехниками и тому подобным.Ну довольно спорная удача как по мне, там кассамы постоянно над башкой свистят и если уж хотелось сантехникой заниматься, можно наверное и место поспокойней найти. Где охранники не расстреливают забытые в аэропорту ноуты "на всякий случай", и вообще.
> костюма (эт менеджер, среднего звена, эт не пропадет) то точно ср-ный итшник.
Менеджер среднего звена в основном отличается тем что усвоил: никого не е#$%т совковые де@льные отмазки. А хуже от всего этого станет в основном тебе самому, имхо. Просто ты нахватался гнилого климата и "выученной беспомощности" в поганых конторах уже.
> сейчас везде требуется амазон и gcp, а с опытом мэйлру почему-то не берут.
> А я уже и не помню ничего про их апи.На самом деле если кто ценный и интересный кадр его могут и подучить, дать время на ramp up и все такое. Но тут вопрос в том чтобы им это стало надо.
> а тебе-то какая разница? Ты ж в этом не разбираешься, куда ни
> ткни - везде провал.Я сносно разбираюсь в электронике (в основном цифровой, конечно же), энное количество печаток отрисовал, фирмварей накодил, все такое. В линухе и мк, есть всякие забавные выводки одноплатничков уже. И это я только начал начинать, наступает мое время позажигать. Провал? Ох, к счастью на фоне тех хипстеров я не так уж плох. Да и на твоем кажется тоже. Во всяком случае, эксперименты показали что я могу зарулить все системные проблемы с которыми я сталкиваюсь в линухе. А ты не смог даже это, постоянно ноешь о простреленных пятках и как у тебя и чего там не работает. На этом фоне я почему-то выгляжу и ощущаю себя мощнее себя. Сугубо сравнивая с таким вот референсом.
> я без понятия. Наверное зависит от того что за телевизоры. Дляну и вот что в сасунге на стене можно ремонтировать? В богатых странах их просто выносят на мусорку. В бедных нет телевизоров (у бедных. Богатые - зовут лакея вынести на мусорку.)
>> Ветеринары вот, говорят, легко устраиваются. Но есть нюанс - надо подтвердить диплом.
> Ну наверное, а чего им не. Они перестанут требоваться? Это врядли.ну такое себе наверное, когда тебе не 25, диплом подтверждать. Сам-то сможешь? Что ты помнишь из ФТТ? ITшники тоже не перестали совсем уж требоваться, но когда на одну позицию претендует сотня - очевидно что дела в этом бизнесе плохи. А с ветами получше, судя по диким очередям к немногим устроившимся.
>> На чужом языке и по чужим протоколам, поэтому удается единицам.
> Пару докторов которые такое провернули я знаю. Хоть они и не ветеринары.А я вот знаю одну которая вынуждена была стать медсестрой. Да, это операционная медсестра, они там и хирургу ассистируют и много чего делают сами, чтоб ценное время хирурга не тратить, а не горшки за лежачими выносят, но это все же огромное понижение в статусе и, вероятно, уровне жизни тоже даже с поправкой на из Мурома в LA.
> Ну так сейчас вон тех питоняш которым сложно быть эффективными более 2
> часа в день и побустают. Уже бустают во всю.наверное... не очень уверен что не наоборот. Эти дешевые, а экономить надо на дорогих.
> А чего ты умеешь полезного людям, фирмам, ... - хрен тебя знает!
я много чего умею но в отрыве от привычной среды все это крайне малополезные умения.
Не то чтоб совсем нигде не надо, но см выше - по сотне-две кандидатов на одну позицию не считая тех кого линкедин не видит. Возьмут, разумеется, местного а не понаеха.> Ну довольно спорная удача как по мне, там кассамы постоянно над башкой
> свистят и если уж хотелось сантехникой заниматься, можно наверное и место
> поспокойней найти.поспокойней им не предлагали. Не все выигрывают гринкард в лотерею. Многие его никогда не выиграют.
> тебе самому, имхо. Просто ты нахватался гнилого климата и "выученной беспомощности"
> в поганых конторах уже.я в поганых не работаю, я в хороших работаю. Проблема только в том что они не в той стране.
> На самом деле если кто ценный и интересный кадр его могут и
> подучить, дать время на ramp up и все такое. Но тутна пустом рынке - да. А на переполненом - да зачем, там из этих ста десять отберут идеальных и устроят между ними бои в грязи, просто чисто поржать.
> тоже. Во всяком случае, эксперименты показали что я могу зарулить все
> системные проблемы с которыми я сталкиваюсь в линухе. А ты невот в этом и прокол. Ты даже не в курсе с чем ты столкнешься попробовав поработать в чем-то
крупном. Я ж говорю - куда ни ткни, ты везде "это мы не проходили".
> ну и вот что в сасунге на стене можно ремонтировать? В богатых
> странах их просто выносят на мусорку.Питальник какой-нибудь. Ну может подсветка еще иногда, судя по ремонтерским форумам. Или там софт перелить если что слетело/загадилось. Мне честно говоря похрен, но вот именно относительно современный агрегат при случае оседлаю. Что я, не разберусь с одноплатником? Да ладно? Правда сильно фирменное типа гнусмуса наверняка секурбутом обложено от и до.
> В бедных нет телевизоров (у бедных. Богатые - зовут лакея вынести на мусорку.)
Эм... по моим наблюдениям корреляци иная. Те кто поумнее просто не покупают телевизоры, даже если денег у них навалом, тупо потому что не смотрят их. Поглупее, даже бедные, какой-нибудь дешевый хлам все же купят. Лично я когда захотел себя порадовать, купил себе большой шикарный монитор с хорошей цветопередачей. Да, и киношки на нем смотреть классно, он все поле зрения занимает и не выглядит как УГ даже с близкой дистанции. Ну и зачем мне телек? Чего мне с ним делать?
> ну такое себе наверное, когда тебе не 25, диплом подтверждать. Сам-то сможешь?
> Что ты помнишь из ФТТ?Я подтвержу пардон свой скилл. Показав воон те печатки, фирмвары, образа систем, проекты, перечислив что могу, с примерами как оно, etc. Это все же другое. И что, все это перестанет требоваться в обозримом будущем? Не думаю.
> ITшники тоже не перестали совсем уж требоваться, но когда на одну позицию
> претендует сотня - очевидно что дела в этом бизнесе плохи.Так я и не лезу в вебмакакинг. А чтобы зарубиться со мной на равных там где я что-то смыслю надо иметь скилл не хуже в областях в которые я вхож. Удачи. Я учился многим вещам большую часть жизни. И чему-то кажется научился. Потому что реально интересовался тем чем занимаюсь а не протирал штаны, выдавая отмазки шефу.
> но это все же огромное понижение в статусе и,
> вероятно, уровне жизни тоже даже с поправкой на из Мурома в LA.Что-то мне подсказывает что - таки - нефиговое повышение уровня жизни. Статус? Да, пожалуй.
> наверное... не очень уверен что не наоборот.
Ну как, Маск уже проверил, 80% можно уволить и разницы особо не видно.
> Эти дешевые, а экономить надо > на дорогих.
Это отлично работает. До первой серьезной инженерной проблемы. Кто тебе ее решит? Эффективные 2 часа в день питоняши? Они ж только пыль в глаза пускают о супернужности. Приходится резко извиняться и предлагать повышение оклада вооон тем которых по ошибке приняли за хомячка, а оказалось что это гордый суслик был...
> я много чего умею но в отрыве от привычной среды все это
> крайне малополезные умения.Ну вот тут я хз что для тебя привычная среда - кажется, не то что ходовое, попсовое, беспроблемное и имеющее применение в каких-то реальных кейсах. А покупать спецом для тебя какую там еще соляру/aix/etc или трахаться с *bsd - да, предсказуемо мало кто захочет.
> Не то чтоб совсем нигде не надо, но см выше - по
> сотне-две кандидатов на одну позицию не считая тех кого линкедин н видит.Это намекает что род занятий был слишком примитивный и легкодоступный. Надо было себя апгрейдить немного, чтоли, чтобы умеющих так же, на том же уровне, было поменьше...
> Возьмут, разумеется, местного а не понаеха.
Это если местный с нужными скиллами есть, см выше про примитивные занятия.
> поспокойней им не предлагали. Не все выигрывают гринкард в лотерею. Многие его
> никогда не выиграют.Есть еще такая штука как H1B... если тушка нужна, его таки делают. И все упирается в нужность тушки. Но ессно для этого надо уметь что-то выше среднего, чтобы локальных таких же не особо водилось.
> я в поганых не работаю, я в хороших работаю.
Они входят в Fortune 500? Или в чем их хорошесть состоит?
> Проблема только в том что они не в той стране.
Это уже звучит подозрительно. Хорошие, кстати, нередко еще и помогают с релокейшном.
> на пустом рынке - да. А на переполненом - да зачем, там из этих ста десять отберут
Ну так нехрен лезть на переполненые направления, рубаясь с бангалорцами. В твоем возрасте наверное уже можно уметь чуть поболее эникея, не? А, за чес ЧСВ супер-фирменными мега-операционками и правда нихрена не платят нынче. Но к этому, так то, давно шло. То что до тебя за пару десятков лет не доперло наверное твой тупняк.
> идеальных и устроят между ними бои в грязи, просто чисто поржать.
Какой из этого вывод? Неплохо бы качнуть скиллы до уровня когда ты смотришь на эту возню сверху.
> вот в этом и прокол. Ты даже не в курсе с чем
> ты столкнешься попробовав поработать в чем-то крупном.Знаешь в чем твой прокол?
1) С чего ты взял что меня не было в этих крупных?
2) С чего ты взял что работа в этих унылках моя самоцель?Правильно все же петя сказал - есть желание, есть 1000 возможностей. Нет желания, есть 1000 отмазок. Я правда решительно не понимаю смысла отмазываться когда вопрос о своем окороке идет, своему окороку от этого лучше явно не станет и на..ть так можно разве что сам себя, не? Пойнт этого занятия остается для меня загадкой.
У автора RSBAC когда-то была статья, что все механизмы которые используют ядерный механизм хуков LSM - принципиально не могут хоть какую-то консистентность применения правил этой самой безопасности обеспечить.
А механизм этого самого ядерного LSM изначально затачивался именно на SELinux.
Хотя потом его начали использовать и Smack, и Tomoyo, и прочие немногие.Если у кого-то из комментаторов есть ссылка на эту статью, или нечто подобное-подробное - буду признателен такому комментатору, если он эту ссылку здесь приведёт.
тем не менее - частенько оно - работает. Потому что очень маловероятно что проклятая nsa озаботилась персонально тобой, а вот троянец написанный таким же как местные комментаторы - запросто обломится, потому что автор "всегда отключаю этот selinux, там бэкдооооры!" и думает что все кругом такие же. В целом не очень и ошибается, конечно.
Частенько работает. Карл!
Мне пару раз вполне себе помогло. Причем первый раз оно вообще добыло рута в долю секунды (скачав какой-то зеродей прямо с метасплойта) и... сфейлилось, попытавшись спрятаться под видом dhcpcd. Ой, ну надо же так неудачно - а ему запрещен доступ к почти всей фс и сеть тоже жестко порезана - в результате полный лог ошибок, которые естственно заметили сразу же, и облом с попытками перейти к следующему этапу распространения.А не было бы selinux - оно на этом всеми забытом хосте резвилось бы может месяцами.
> тем не менее - частенько оно - работает. Потому что очень маловероятно
> что проклятая nsa озаботилась персонально тобой, а вот троянец написанный таким
> же как местные комментаторы - запросто обломится, потому что автор "всегда
> отключаю этот selinux, там бэкдооооры!" и думает что все кругом такие
> же. В целом не очень и ошибается, конечно.Запасной парашют, который частенько работает - крайне сомнительный по качеству товар.
А внедряемые таким образом бэкдоры никогда не занимаются персонально кем-то.
Это всегда стрельба по площадям.
Спасибо за содержательно неприведённую ссылку на нечто подробное-толковое по данной теме.
А стопроцентную безопасность никто не может гарантировать. ИБ оно всё про менеджмент рисков, а не про какое-то мифическое состояние безопасности, которое можно достичь и там наслаждаться. И запасной парашют именно что «частенько работает», так как имеет большие риски, чем основной хотя бы потому, что используется значительно реже.
> А стопроцентную безопасность никто не может гарантировать. ИБ оно всё про менеджмент
> рисков, а не про какое-то мифическое состояние безопасности, которое можно достичь
> и там наслаждаться. И запасной парашют именно что «частенько работает», так
> как имеет большие риски, чем основной хотя бы потому, что используется
> значительно реже.Никто.
Надо бежать от того кто её гарантирует.Но использовать систему безопасности, которая, якобы, позволяет равноправное автоматическое стекирование нескольких (больше одного) различных механизмов безопасности на одном уровне - разговор в пользу сирых и убогих с самого старта.
Тут будут обсуждать - хорош SELinux, или плох, но вот то, что он использует, в качестве базы, механизм стекирования хуков LSM - никто говорить не будет.А ведь по сути, LSM, и был введён в ядро, как бы с благими намерениями поддержки универсальности.
Но - по инициативе как раз ребят из дворца загадок.
Западный блок никуда не денется - будет SELinux пользовать, потому что без него, например в их нефтянке, сертификации им не видать.
Местные шутники видимо никогда не читали юридически обязывающие соглашения об аттестации комплексов ТЭК того же "Шелл".Но у нас своя песочница, и брать их лопатку нам в неё совершенно не с руки.
У нас МРОСЛ-ДП есть, и от хуков LSM он уходит всё дальше и дальше.SELinux, чисто теоретически можно хорошо настроить.
И даже убедить себя, что сделан он на совесть.
Только что толку, если этот люк с подлодки вставлен в деревянную раму?
Пусть даже и крепкую.
> Запасной парашют, который частенько работает - крайне сомнительный по качеству товар.он еще и погасить основной может, если не успеть его заблокировать, и в его стропы запутаться. Тем не менее, желающих прыгать без запасок почему-то мало.
>> Запасной парашют, который частенько работает - крайне сомнительный по качеству товар.
> он еще и погасить основной может, если не успеть его заблокировать, и
> в его стропы запутаться. Тем не менее, желающих прыгать без запасок
> почему-то мало.Не так.
Желающих прыгать без надёжных запасок - мало.
Но, поскольку большинство не прыгает, а просто подпрыгивает на земле - это не так заметно.SELinux Вас устраивает, и ссылок Вы на что-либо содержательное давать не желаете.
И на то, и на другое - имеете полное право.
Ну, тогда и приподнимем шляпы - ибо содержательная часть разговора, похоже, себя исчерпала.
> Желающих прыгать без надёжных запасок - мало.еще раз - парашутные запаски - ненадежны и могут вообще убить при совершенно нормальном раскрытии основного. Тем не менее - те кто прыгают - прыгают с запасками. Потому что без них еще хуже. (Кроме бейсеров, те все равно одноразовые, зачем еще хорошую вещь портить)
> SELinux Вас устраивает, и ссылок Вы на что-либо содержательное давать не желаете.
Не все устраивает, главный минус - фееричная бесполезность чего-либо отличного от targeted в реальном применении, но лучшего нет. В конспирологические бредни я, разумеется, не верю.
В рукож..пие соотечественников вот верю вполне, поэтому что там у атcpы и насколько оно лучше механизма хуков - мне неинтересно совсем - оно сдохнет вместе со страной и будет всеми забыто, никаких шансов у этого проекта нет ни внутри ни снаружи, незачем тратить время.
> Не все устраивает, главный минус - фееричная бесполезность чего-либо отличного
> от targeted в реальном применении, но лучшего нет.Да вообще-то есть, виртуалки и контейнеры называется. Эффект даже лучше - а долботни с настройкой и менеджментом сильно меньше. Так что если над тобой нет регламента что трава должна быть зеленой а акцесконтроль мандатным - то и хрен с ним с SELinux'ом!
>> Не все устраивает, главный минус - фееричная бесполезность чего-либо отличного
>> от targeted в реальном применении, но лучшего нет.
> Да вообще-то есть, виртуалки и контейнеры называется. Эффект даже лучше - аэто где s in docker stands for "security"? Ага, есть. Жаль что придумано совершенно не для безопасности.
Для той придуман jail, и всю дорогу его главный недостаток был ровно тот же что у selinux targeted - по сути он состоит из миллиона проверок в миллионе мест ядра вида if(а не в джейле ли мы)?
- естественно, они не могут быть консистентны by design. И периодически тропка в обход очередного шлагбаума таки находилась.
> это где s in docker stands for "security"? Ага, есть. Жаль что
> придумано совершенно не для безопасности.Совершенно не обязательно использовать самое хайпожорское решение, есть и другие. И да, т.к. ядро никогда не делалось для контейнеров, в неймспейсах бывают достаточно дурные отвалы. Если надо более серьезно - есть виртуалки или хотя-бы UML, чтоб ядро гасили все же отдельное и не в основном кернелспейсе. Но даже это лучше чем нифига и уж точно не хуже сабжа, стандартно отключаемого каждым первым сплойтом.
> Для той придуман jail, и всю дорогу его главный недостаток был ровно
> тот же что у selinux targeted - по сути он состоит...что он решает хзкакие задачи, абы как, как и вся bsd вообще, поэтому нафиг надо. Они даже просто виртуализацию сети нормальную научились только недавно IIRC.
> из миллиона проверок в миллионе мест ядра вида if(а не в > джейле ли мы)?
> - естественно, они не могут быть консистентны by design. И периодически тропка
> в обход очередного шлагбаума таки находилась.Ну вот и namespaces в линухе как-то так же. При том в них ищут в миллион раз больше чем вон там. А когда мне реально надо... я даже и еще сильно более прочные варианты юзаю.
> ...что он решает хзкакие задачи, абы как, как и вся bsd вообще,
> поэтому нафиг надо. Они даже просто виртуализацию сети нормальную научились только
> недавно IIRC.Встретились два "знатока". У одного - "мильен мест проверок"
grep -Rc prison0 /usr/src/sys/kern|grep -v ":0"
/usr/src/sys/kern/init_main.c:2
/usr/src/sys/kern/kern_descrip.c:4
/usr/src/sys/kern/kern_jail.c:48
/usr/src/sys/kern/kern_linker.c:2
/usr/src/sys/kern/kern_mib.c:2
/usr/src/sys/kern/kern_priv.c:1
/usr/src/sys/kern/kern_racct.c:1
/usr/src/sys/kern/kern_shutdown.c:1
/usr/src/sys/kern/sysv_msg.c:4
/usr/src/sys/kern/sysv_sem.c:4
/usr/src/sys/kern/sysv_shm.c:4
/usr/src/sys/kern/vfs_export.c:3
/usr/src/sys/kern/vfs_mountroot.c:5
(да-да, сам хост уже давненько стал "prison0", (т.е. jail с JID 0), поэтому проверка на джейлность - на самом деле проверка, не в "нулевом" ли джейле мы)У другого - 15 лет "только недавно".
Ну да, ну да, в теории бзды как бы неплохая штука. На практике - гимора кусок и дохреналион "нюансов" всех мастей и направлений, не от мира сего.Пример: себе контейнеры и VM делаю чем-то типа cp --reflink. Это просто, быстро и эффективно. Но у вас такого ж просто нет.
Или bhyve vs kvm... эээ, чочо, "virtio driver is slow, ... known issue" (c) чувак бенчивший сетевой стек относительно более-менее свежего линуха? Ну офигенная операционка, и совсем не факап. Глядя на пачку виртуалок обвешаных virtio от и до, ога...
> Ну да, ну да, в теории бзды как бы неплохая штука. На практике - гимора кусок и дохреналион "нюансов" всех мастей и направлений, не от мира сего.Как же ты любишь пафосную и пустопорожнюю болтовню и спрыги с темы ...
> Пример: себе контейнеры и VM делаю чем-то типа cp --reflink. Это просто, быстро и эффективно. Но у вас такого ж просто нет.
Отличный пример, как с умным и уверенным видом нести чушь.
> Как же ты любишь пафосную и пустопорожнюю болтовню и спрыги с темыРассказы фанов бсд про ОС мне напоминают посты с али про китайские ватты: всегда обещания оказываются лучше чем то что на самом деле будет. Сэр пох, между прочим, в перерывах между злопыханиями на другие темы - виндочку хвалит. Так что его сказки на тему ЗБС недорого стоят.
А мне из чисто практических соображений сильно удобно ворочать 1 набором технологий на десктопе, серваках, одноплатниках и проч. Вот просто для реюза знаний и core технологии. Я так могу добиться большего. Пох и остальные фаны виндочки отлично иллюстрируют почему мне это кажется бенефитом относительно них. Вертикальное масштабирование и универсальность это хорошо, ниипет.
> Отличный пример, как с умным и уверенным видом нести чушь.
Дык у вас файлух умеющих этот трюк чисто технически нету. Это требует CoW семантику + хинт оной что мы хотим "копию" которая изначально 100% дедуп относительно вон того. Но вы конечно можете блеснуть эрудицией и рассказать как вы это делаете. Не, онлайн дедуп это вообще совсем не то уже по жрачу CPU и RAM. Вон то вообще совсем халявная и быстрая операция. Оно не создает проблему вместо того чтобы потом героически ее решать.
>> Как же ты любишь пафосную и пустопорожнюю болтовню и спрыги с темы
> Рассказы фанов бсд про ОС мне напоминают посты с али про китайские
> ватты: всегда обещания оказываются лучше [...] Пох и остальные
> фаны виндочки отлично иллюстрируют почему мне это кажется бенефитом относительно них.
> Вертикальное масштабирование и универсальность это хорошо, ниипет.Сам опять что-то придумал, сам оспорил. Как тетерев на току, ей-ей.
> Дык у вас файлух умеющих этот трюк чисто технически нету. Это требует
> CoW семантику + хинт оной что мы хотим "копию" которая изначально
> 100% дедуп относительно вон того. Но вы конечно можете блеснуть эрудицией
> и рассказать как вы это делаете. Не, онлайн дедуп это вообще совсем не то уже по жрачу CPU и RAM. Вон то вообще совсем халявная и быстрая операция. Оно не создает проблему вместо того чтобы потом героически ее решать.Умный и уверенный вид ...
ZFS: snapshot -> clone делает именно то самое, "совсем халявная и быстрая операция" как раз из-за CoW семантики, о Великий Гуру По Всему294
> Сам опять что-то придумал, сам оспорил. Как тетерев на току, ей-ей.А таки, пох деятельно иллюстрировал фу каким именно быть и почему. Да и бсдюки забавные ребята. Когда было реально актуально (в эпоху тормозных виртуализаторов) - в лине полноценная виртуализация сетевого стека (с своим независимым роутингом, фаером и проч) на годы раньше появилась. А потом виртуалки, видите ли, virtio научились, кому секурити важнее - смогли ими пользоваться с минимумом потерь, потому что это шустро (правда как обычно, не у вас).
С точки зрения сабжа, давать доступ в системный кернел совсем untrusted - так себе идея. Вы настолько уверены в своем ядре что fuzz-тесты прямо на вас - не парят? В этом аспекте виртуализаторы лучше: untrusted не может fuzz'ить сисколы. Мне это больше нравится, если секурити в приоритете.
> ZFS: snapshot -> clone делает именно то самое, "совсем халявная и быстрая
> операция" как раз из-за CoW семантики, о Великий Гуру По Всему294reflink имеет жирный плюс: это все менеджить вообше не надо. Оно не отсвечивает на уровень менеджмента совсем никак. При этом однако делая создание инстансов VM или контейнеров шустрым и эффективным. В этом его пойнт и состоит. И я буду за вот такой менеджмент систем. Туда же и системд кстати. Мне вот он вполне себе упрощает жизнь по дофига системным апспектам. Если у вас это не так, ну, оки-доки, удачи показать как там для вас ваши вэйности работают, желательно не путем ребутов в виндочку и рассказов про "серверные" системы.
> В рукож..пие соотечественников вот верю вполне, поэтому что там у атcpы и
> насколько оно лучше механизма хуков - мне неинтересно совсем - оно
> сдохнет вместе со страной и будет всеми забыто, никаких шансов у
> этого проекта нет ни внутри ни снаружи, незачем тратить время.Вы предпочли не приподнять свою шляпу, а наложить в неё?
Ну, оно, конечно негигиенично - но, дело хозяйское.
На большинстве систем можно сделать проще и эксплоит не нужен:
setenforce 0 && modprobe blabla
Eстественно модуль работает в контексе ядра и может там практически что угодно перезаписать, на то он модуль ядра, эксплоит на 3ку. Таким же макаром можно написать драйвер в Windows, который может там наворотить. Новость на 2ку, сделали сенсацию, будь-то все сервера в интернете будут взломаны.
> На большинстве систем можно сделать проще и эксплоит не нужен:
> setenforce 0вот ты хакер, блин!
(обрати внимание - автор суперэксплойта и про getenforce-то не в курсе ;-)
> Таким же макаром можно написать драйвер в Windows, который может там наворотить.а вот хрен тебе, таким же. Драйвер должен быть подписан, иначе ничегошеньки не получится.
Посмотри на какие мучения пришлось пойти авторам conti, чтобы обойти эту проблему и денег никому не платить.
(Они таскают за собой легальный подписанный драйвер, написанный какими-то м-ками, которые додумались внутри драйвера подгружать внешние бинарники.)> Новость на 2ку, сделали сенсацию, будь-то все сервера в интернете будут взломаны.
а контингент опеннета воспринял на ура. Так что ачивка получена.
> Посмотри на какие мучения пришлось пойти авторам conti, чтобы обойти эту проблему
> и денег никому не платить.
> (Они таскают за собой легальный подписанный драйвер, написанный какими-то м-ками, которые
> додумались внутри драйвера подгружать внешние бинарники.)Этот драйвер точно по дизайну грузит, или же эксплуатируют в нём уязвимость? Просто такой прокси-драйвер уже был сразу после ввода подписей, его достаточно быстро занесли в ЧС. Странно, если Микрософт всё подряд и сейчас подписывает.
> Этот драйвер точно по дизайну грузит, или же эксплуатируют в нём уязвимость?точно. То есть он подписанный и (по крайней мере в каком там... прошлом, видимо, году) - ни разу не был в блэклистах.
Какое-то г-но типа rs432 портов или что-то столь же распространенное - поэтому драйверописателями наняли особо работящую стаю макак прямо с ветки.
> быстро занесли в ЧС. Странно, если Микрософт всё подряд и сейчас
> подписывает.она сама ничего не подписывает, она подписывает серты разработчиков. За деньги. Считается, видимо (и правильно) что большинству это достаточная мера чтобы с сертификатом обращались с осторожностью, потому что забанить его действительно могут влегкую и новый хрен дадут (это по сути EV).
Но всегда находятся особо одаренные (в основном как раз из сферы промышленных процессов и тому подобных) которые сделают вот так потому шта могут.
>> Этот драйвер точно по дизайну грузит, или же эксплуатируют в нём уязвимость?
> точно. То есть он подписанный и (по крайней мере в каком там...
> прошлом, видимо, году) - ни разу не был в блэклистах.
> Какое-то г-но типа rs432 портов или что-то столь же распространенное - поэтому
> драйверописателями наняли особо работящую стаю макак прямо с ветки.Как conti нашли это драйвер? Качали скриптом всё подряд с сайта-файлопомойки с драйверми и анализировали импортируемые драйвером функции в наивной надежде? Там небось и нет этого драйвера.
>> быстро занесли в ЧС. Странно, если Микрософт всё подряд и сейчас
>> подписывает.
> она сама ничего не подписывает, она подписывает серты разработчиков. За деньги. Считается,
> видимо (и правильно) что большинству это достаточная мера чтобы с сертификатом
> обращались с осторожностью, потому что забанить его действительно могут влегкую и
> новый хрен дадут (это по сути EV).Под разработчиком надо понимать не частное лицо, а компанию. К которой выдвигается ряд требований. Насколько помню, надо было показывать, что не просто какие-то левые васяны, у которых есть 500 долларов, а вот имеются вполне конкретные программные продукты. Если какая-то компания из старых клиентов МС такое допустила, не знаю, что и думать. :) Может conti не стали им шифровать архивы и просить "оплатить пентест", а просто вставили в исходники нужное?)
> Как conti нашли это драйвер? Качали скриптом всё подряд с сайта-файлопомойки сможет фича была в определенных кругах (например пользователей того странного оборудования) известна, может сами имели косвенное отношение к производителю, а может случайно наткнулись хакнув заводишко где оно применялось - мильен с тыщами вариантов, совершенно не требующих конспирологии.
> Там небось и нет этого драйвера.
конечно нет, те проходят отдельную сертификацию (проходили, тут я застрял на уровне 95й, да, были когда-то и мы рысаками...давнооо - но вряд ли поменялось в сторону упрощения, скорее наоборот) и вряд ли туда такое допустят.
Это какое-то лютое 3d party причем совсем не для юзеров. Поэтому и сделано тяп-ляп - кто бы мог подумать что его могут использовать не только там, и было ли этим мартышкам, чем?
> Под разработчиком надо понимать не частное лицо, а компанию. К которой выдвигается
можно и частное. dokany подписан. Пользуйся (прикольно ж пошифровать дуалбутчику его линoopsовый раздел). Но да, EV - то есть ни разу не автоматически и не левому васяну с улицы.
> допустила, не знаю, что и думать. :) Может conti не стали
> им шифровать архивы и просить "оплатить пентест", а просто вставили в
> исходники нужное?)заодно и поправили чтоб работал и по прямому назначению, а те и рады - неработающий драйвер сам починился? ;-)Но нет, вряд ли, не те ребята, им не нужны такие лишние сложности, они деньгов зарабатывают.
>> Как conti нашли это драйвер? Качали скриптом всё подряд с сайта-файлопомойки с
> может фича была в определенных кругах (например пользователей того странного оборудования)
> известна, может сами имели косвенное отношение к производителю, а может случайно
> наткнулись хакнув заводишко где оно применялось - мильен с тыщами вариантов,
> совершенно не требующих конспирологии.Заводики точно шифровали, а о мелких информация не расходится.
>> Под разработчиком надо понимать не частное лицо, а компанию. К которой выдвигается
> можно и частное. dokany подписан. Пользуйся (прикольно ж пошифровать дуалбутчику его линoopsовый
> раздел). Но да, EV - то есть ни разу не автоматически
> и не левому васяну с улицы.Не самоподписан? Вот что у них сходу нашёл.
if ($securebootUEFI)
{
write-Host "Secureboot is enabled. This needs to be disabled so that the driver signed with a self signed certificate can be loaded." -ForegroundColor Red
write-host "See https://docs.microsoft.com/en-us/windows-hardware/manufactur... for instructions to disable it" -ForegroundColor Red
return;
}>> допустила, не знаю, что и думать. :) Может conti не стали
>> им шифровать архивы и просить "оплатить пентест", а просто вставили в
>> исходники нужное?)
> заодно и поправили чтоб работал и по прямому назначению, а те и
> рады - неработающий драйвер сам починился? ;-)Но нет, вряд ли, не
> те ребята, им не нужны такие лишние сложности, они деньгов зарабатывают.Ну ключи для подписи драйверов могли оказаться в слитых перед шифрованием дампах. Вот как раз это наверняка целенаправленно ищут, и не одни conti. Я только сейчас начал подозревать о масштабах проблемы... :)
> Я только сейчас начал подозревать о масштабах проблемы... :)на широко известном в узких кругах форуме один криптовымогатель написал, что взломал большинство крупных компаний через забытый аккаунт test:test на пограничном фаерволе.
С паролями и без этих ваших иксэксэсэв понятно, хотя данная формулировка скорее фигура речи. С подписями получается, что Микрософт сидит в луже-океане с лицом игрока в покер, и по факту ограничили они систему от энтузиастов, а не от атак.
> ограничили они систему от энтузиастов, а не от атак.что тут такого удивительного? мировая практика.
>> ограничили они систему от энтузиастов, а не от атак.
> что тут такого удивительного? мировая практика.В первой части - ничего. Вторая ИМХО не входила в их планы, когда они подминали под себя антивирусы и удаляли с рынка слишком перспективных, типа OSSS Спорова.
> на широко известном в узких кругах форуме один криптовымогатель написал, что взломал
> большинство крупных компаний через забытый аккаунт test:test на пограничном фаерволе.ну вот ко мне лет двадцать назад такое запорхнуло. Причем, с-ка, ни разу не test там был пароль, но да, словарное слово с простой пермутацией, на один раз зайти и удалить, и почему-то его там забыли, сервис хирел и умирал, поэтому файрвол тоже пускал ssh уже отовсюду, поскольку штатных работников уже не осталось давно а нештатные вечно оказывались в странных местах.
Через секунду оно было рут. И... позорно обломалось о политику, и дальше не прошло, и в логах так все загадило что ежу было ясно что происходит.
Ко мне тоже что-то недавно залетало, только пароли оно совсем не крякало. Трахнуло сервис, эксплойтом, я даже знаю какой. Вскоре оно не мелочась попыталось эскалироваться от души. И вот тут что-то пошло не так. Ядро упало в панику. Фигня случается, у меня ж не стоковые кернелы. Да еще......еще даже если бы оно в него смогло - ох, круто, только это была ARMовская виртуалка на x86 хосте. И я не в курсе архидемонов способных пересекать скрещенные силовые поля таким манером. Да и данных в сугубо тестовом сетапе - брать нечего. Смысл этого действа остался некоторой загадкой, возможно, законы Мерфи прикалываются и над атакуюшими тоже. Надо ж попытаться разъ...ть самую зубодробильную из всех конфиг да еще и без полезных данных, лол.
>> можно и частное. dokany подписан. Пользуйся (прикольно ж пошифровать дуалбутчику его
> Не самоподписан? Вот что у них сходу нашёл.не. Просто качай бинарник.
> if ($securebootUEFI)
> {
> write-Host "Secureboot is enabled. This needs to be disabled so that
> the driver signed with a self signed certificate can be loaded."это чтоб ты мог из исходников сам собрать. Но релизные бинари - подписаны.
Тебе осталось оформить троянца в виде fuse-модуля. Ну и том не должен быть claimed by windows.
Т.е. передашь привет дуалбутерам.> Вот как раз это наверняка целенаправленно ищут, и не одни conti.
тогда могли бы и просто свой подписать, но нет, не прокатило.
>> Вот как раз это наверняка целенаправленно ищут, и не одни conti.
> тогда могли бы и просто свой подписать, но нет, не прокатило.Подписать могли бы, но зачем раскрывать сразу все карты? Да и если моя версия верна - то подписанное не нашли, либо не афишируют.
> Тебе осталось оформить троянца в виде fuse-модуля.Если там по уму сделано, модуль выполняется в пространстве пользователя без каких-либо прав.
> Драйвер должен быть подписан, иначе ничегошеньки не получится.Ога, и как оказалось на своей мине можно самому же и - того, вот прям так: https://3dnews.ru/1087288/vladeltsi-planshetov-microsoft-sur...
>> Драйвер должен быть подписан, иначе ничегошеньки не получится.
> Ога, и как оказалось на своей мине можно самому же и -
> того, вот прям так: https://3dnews.ru/1087288/vladeltsi-planshetov-microsoft-sur...а то бы ты быстро-быстро попатчил чужой драйвер сам?
Что-то вот сомневаюсь...
> а то бы ты быстро-быстро попатчил чужой драйвер сам?
> Что-то вот сомневаюсь...(поглядывая на абсолютно аморальный патч ath9k, который я тебе не дам) а напрасно, иногда и такое вот случается :-)
>> а то бы ты быстро-быстро попатчил чужой драйвер сам?
>> Что-то вот сомневаюсь...напоминаю - там драйвер виндовый, исходников тебе не дали (были б у тебя исходники - ты бы мог своим ключом подписать). Найти переполняющийся счетчик наверное можно и так, но это ни разу не ath9k.
Ныне в драйверах могут и отладочный вывод оставить, сразу с именами функций.
> напоминаю - там драйвер виндовый, исходников тебе не дали
> (были б у тебя исходники - ты бы мог своим ключом подписать).Ты так хорошо расписал почему я маздаем не пользуюсь, спасибо. Как раз в том числе и потому что там поразвлекаться с системщиной жуткий гимор, и баги мешающие жить - не чинябельны. А сказки про мир розовых пони где дрова и софт без багов ты кому-нибудь другому, имхо, оставь. Потому что виндой я пользовался и как оно там "без багов", "лучше" и "обгоняет линукс" я на своей шкурке прямо и убедился.
> Найти переполняющийся счетчик наверное можно и так, но это ни разу не ath9k.
Ну да, поэтому и линукс, вот. И копание в его внутренностях. Это проще, эффективнее и кайфовее. А винды - как там грится? "Contact your support", во.
Ага, ограничивать root - ловить муху в поле. Удачки!
> Ага, ограничивать root - ловить муху в поле. Удачки!Вообще lockdown что-то такое попытается. И на каждую муху найдется свой дрон^W ласточка, или что там.
Лучше Smack, как на Tizen.