Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..., opennews (??), 22-Авг-18, (0) [смотреть все] sudo grep -Hir mirror etc aptэто поможет вроде пусто, Аноняшка (?), 21:11 , 22-Авг-18, (2) –1 А как этим пользоваться В первый раз о нём слышу , Аноним (3), 21:44 , 22-Авг-18, (3) // вот-вот, я тоже ни разу этим функционалом не пользовался , Аноним (4), 21:49 , 22-Авг-18, (4) // На ваше счастье дефолтную конфигурацию не пробирает, только тех немногих кто поч, Аноним (7), 22:06 , 22-Авг-18, (7) // Читать доки - вредно , Sunch (?), 09:17 , 25-Авг-18, (62) Главный вопрос а каким скриптиком батником экзэшником проверить теперь свои , Аноняшка (?), 21:59 , 22-Авг-18, (5)   // Debsums Не совсем подписи, но все же Однако проверять что либо на системе кото, Аноним (7), 22:05 , 22-Авг-18, (6) +3   // Нет смысла Debsums сверяет с локальным хранилищем хэшей, DESCRIPTION Ve, Аноняшка (?), 22:14 , 22-Авг-18, (12)   // Потому что в свете тотального применения цифровых подписей и хэш-сумм в репозито, Аноним (4), 00:21 , 23-Авг-18, (20)   это пока к вам не придут с распечаткой что вы с того сервера качали nmap и прочи, JL2001 (ok), 09:22 , 23-Авг-18, (25) +2   Ну тогда вообще apt-transport-tor поставить - атакующие даже не поймут что это д, Аноним (-), 17:01 , 23-Авг-18, (33)   В Fedora тоже можно настроить связку dnf с tor , ЕкарныйБабай (?), 16:23 , 24-Авг-18, (51)   У дебиана есть официальный onion с пакетами, если что Установив apt-transport-t, Аноним (-), 21:14 , 24-Авг-18, (58) –1   Если они уголовно наказуемые, то почему владельцев серверов не посадили на пожиз, Вопрошающий (?), 19:56 , 23-Авг-18, (41)   сервера не обязаны находиться в той же стране даже если эта страна за великим ф, JL2001 (ok), 02:26 , 24-Авг-18, (44)   Вы и подписи будете на локальном компьютере проверять, относительно локального х, Аноним (-), 16:59 , 23-Авг-18, (32)   debootstrap rsync md5sumА вообще rkhunter надо ставить, и убирать автообновление, EuPhobos (ok), 22:07 , 22-Авг-18, (8) –20   // Обалденный совет, как раз заслуживает дислайка , Парам (?), 22:08 , 22-Авг-18, (10) +11   Совет многолетнего мамкиного распидяя , Аноним (18), 23:57 , 22-Авг-18, (18)   Можно и иные варианты придумать, достаточно неожиданные и неудобные для хакеров , Аноним (-), 17:12 , 23-Авг-18, (37) –1   Буква S в слове Linux означает Security , Кат (?), 22:07 , 22-Авг-18, (9) –5 // Нет, она означает Rei 223 schiene , A.Stahl (ok), 22:12 , 22-Авг-18, (11) // Просто мимо проходил - что это за слово Сколько учу, пока не встречал, по соста, Фуррь (ok), 22:18 , 22-Авг-18, (13) // Гуглить не пробовал https ru m wikipedia org wiki Рейсшина, Лёшка (?), 22:24 , 22-Авг-18, (14) Это не по-спортивному Благодарю 3, Фуррь (ok), 22:29 , 22-Авг-18, (15) Не, ну по составным разбить можно Rei 223 - составное срывать, вырывать, выде, тот самый Аноним (?), 23:51 , 22-Авг-18, (17) +2 Из того, что есть на рынке - самое секьюрное Абсолютная безопасность - миф, вер, Отражение луны (ok), 04:01 , 23-Авг-18, (21) Если нужна секурность используют флатпаки В apt разработчики дистрибутива или к, Скат (?), 05:34 , 23-Авг-18, (22) –4 // Ну засунь во flatpak postgresql, exim postfix, docker kvm После этого нам об ус, ЕкарныйБабай (?), 06:22 , 23-Авг-18, (23) +1 // может кому ещё интересно будет https flatpak org faq Is Flatpak a container te, linvinus (?), 09:53 , 23-Авг-18, (26) +1 Я об этом и говорю, что flatpak не панацея от вирусов, так как есть вероятность , ЕкарныйБабай (?), 10:02 , 23-Авг-18, (27) Более того она вредна, поскольку заменяет майнтайнеров с конкретными политиками , Аноним (-), 17:07 , 23-Авг-18, (35) +4 В твоей логике есть проблема Все дело в том, что мейнтеры понятия не имеют, как, Отражение луны (ok), 03:55 , 24-Авг-18, (46) Связанных с процессором уязвимости решаются патчами ядра и обновлением микрокода, ЕкарныйБабай (?), 05:16 , 24-Авг-18, (49) Есть как минимум ряд уязвимостей, который решается обновлением компилятора, вклю, Отражение луны (ok), 16:21 , 24-Авг-18, (50) –1 Однако если резко пересобрать всю систему от и до - есть вероятность, что в комп, Аноним (55), 20:30 , 24-Авг-18, (55) +1 Мне без разницы на твои детские максималистичные выпады 10ка работает хреново , Отражение луны (ok), 23:14 , 24-Авг-18, (59) вы в зеркало-то пробовали смотреться Или так, отражаетесь Вам - аргументы Вы в, пох (?), 17:00 , 25-Авг-18, (63) –1 Нет, дружок, я еще и ченджлоги к пакетам читаю И поэтому получше тебя представл, Аноним (-), 20:18 , 24-Авг-18, (54) –1 прям ко всем Ну прочитайте их ченджлог к ядру и к glibc, потом возвращайтесь, по, пох (?), 17:05 , 25-Авг-18, (64) Не, не так Кто хочет засрать линух до состояния винды, с сотнями не поддерживае, Аноним (-), 17:05 , 23-Авг-18, (34) +2 // Это скорее похоже на Android чем на винду Винда просит много зависимостей и про, дядя Аноним (?), 00:44 , 24-Авг-18, (43) +1 Да один фиг по большому счету Где это сказано А то вон там в цитате сказано что, Аноним (-), 03:14 , 24-Авг-18, (45) –1 Не один фиг Андроид секьюрен настолько, насколько это в принципе возможно Анал, Отражение луны (ok), 04:02 , 24-Авг-18, (47) +1 Однако как работает дебиан нравится мне гораздо больше В дебиане я ощущаю себя , Аноним (56), 20:49 , 24-Авг-18, (56) В отличие от Вас я куда более спокоен на тему записей моих экранов и прочей слеж, Отражение луны (ok), 23:20 , 24-Авг-18, (60) Да кому-то и кандалы на ногах не очень мешают, но тогда разглагольствованиям про, Аноним (-), 01:17 , 25-Авг-18, (61) +1 Какое незамутненное самодовольство 8230 , Аноним (65), 15:21 , 27-Авг-18, (65) И почему некомпетентные бывают столь уверены или они потому и некомпетентными, Michael Shigorin (ok), 18:27 , 23-Авг-18, (38) –2 // Ты то у нас светило Ой, кажись, все-таки нет , Отражение луны (ok), 04:04 , 24-Авг-18, (48) –1 Это buster aka testing и experimental-даже-не-sid в Debian-е Спим дальше , Andrey Mitrofanov (?), 10:12 , 23-Авг-18, (28) +2 // Ну что-ж Пользователям Убунты можно сказать спасибо Приняли на себя первый уда, Гентушник (ok), 14:11 , 23-Авг-18, (31) +3 // Нам тут вообще мягко и шелковисто https linux pictures projects debian-stable-, Аноним (42), 20:26 , 23-Авг-18, (42) +1 2,3,5,9,28

Сообщения

[Сортировка по времени | RSS]

5. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."	+/–
Сообщение от Аноняшка (?), 22-Авг-18, 21:59
Главный вопрос; а каким скриптиком / батником /экзэшником проверить теперь свои /usr/bin/*, на соответствие цифровым подписям в репозитории? Так, на всякий случай...
Ответить | Правка | Наверх | Cообщить модератору

	6. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."	+3 +/–
	Сообщение от Аноним (7), 22-Авг-18, 22:05
	Debsums? Не совсем подписи, но все же. Однако проверять что либо на системе которую могли расхакать - занятие кривое. Что-то такое надо делать из доверяемой системы. Тем не менее, конфигурация с mirror:// - достаточно экзотичная штука, по умолчанию оно не используется.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."	+/–
	Сообщение от Аноняшка (?), 22-Авг-18, 22:14
	Нет смысла: Debsums сверяет с *локальным* хранилищем хэшей, DESCRIPTION        Verify  installed  Debian package files against MD5 checksum lists from        /var/lib/dpkg/info/*.md5sums. А мне бы сравнить с репозиторием... Кстати, почему http://, почему не https:// у apt-get?
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."	+/–
	Сообщение от Аноним (4), 23-Авг-18, 00:21
	Потому что в свете тотального применения цифровых подписей и хэш-сумм в репозиториях APT, использовать SSL/TLS - дикий перегиб.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."	+2 +/–
	Сообщение от JL2001 (ok), 23-Авг-18, 09:22
	> Потому что в свете тотального применения цифровых подписей и хэш-сумм в репозиториях > APT, использовать SSL/TLS - дикий перегиб. это пока к вам не придут с распечаткой что вы с того сервера качали nmap и прочие уголовно наказуемые хакерские штучки
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."	+/–
	Сообщение от Аноним (-), 23-Авг-18, 17:01
	Ну тогда вообще apt-transport-tor поставить - атакующие даже не поймут что это дебиан был, а не федора какая-нибудь например. Пусть ломают наобум как нечто неизвестное.
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."	+/–
	Сообщение от ЕкарныйБабай (?), 24-Авг-18, 16:23
	В Fedora тоже можно настроить связку dnf с tor.
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."	–1 +/–
	Сообщение от Аноним (-), 24-Авг-18, 21:14
	У дебиана есть официальный onion с пакетами, если что. Установив apt-transport-tor и заменив в sources.list адреса и протокол репов на tor, можно оставить атакующих изучающих что и как с носом. Врядли федора настолько же продвинута и дружелюбна к пользователям, это всего лишь тестовый полигон редхата. Чем-то таким сообщество и корпорасы и отличаются. Сообщество печется не только о корпоративных интересах.
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."	+/–
	Сообщение от Вопрошающий (?), 23-Авг-18, 19:56
	Если они уголовно наказуемые, то почему владельцев серверов не посадили на пожизненное?
	Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

	44. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."	+/–
	Сообщение от JL2001 (ok), 24-Авг-18, 02:26
	> Если они уголовно наказуемые, то почему владельцев серверов не посадили на пожизненное? сервера не обязаны находиться в той же стране (даже если эта страна за великим фаерволом) а ещё степень вины определяет суд, как известно - самый справедливый суд в мире (пиратбей не даст соврать)
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."	+/–
	Сообщение от Аноним (-), 23-Авг-18, 16:59
	> Нет смысла: Debsums сверяет с *локальным* хранилищем хэшей, Вы и подписи будете на локальном компьютере проверять, относительно локального хранилища ключей небось? И в чем разница? Если хочется не того - в любом случае придется как-то хитро повозиться, сформировав потребное окружение в чистой неуязвимой оси, в которой перегрузить все данные с перепроверкой. > Кстати, почему http://, почему не https:// у apt-get? Есть apt-transport-https - можно поставить его и пользуйтесь https'ом. А так - проверка подписей и без https работает, то что https и его либы менее дырявы - не факт. Так что оно имеет смысл лишь при каких-то специальных соображениях. Есть даже apt-transport-tor - так атакующие вообще не будут знать что и куда. Это усложнит им идентификацию типа системы, атаковать хост будет сложнее.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	8. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."	–20 +/–
	Сообщение от EuPhobos (ok), 22-Авг-18, 22:07
	debootstrap+rsync/md5sum А вообще rkhunter надо ставить, и убирать автообновление базы после apt, что бы быть в курсе что поменялось.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	10. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."	+11 +/–
	Сообщение от Парам (?), 22-Авг-18, 22:08
	>А вообще rkhunter надо ставить, и убирать автообновление базы после apt, что бы быть в курсе что поменялось. Обалденный совет, как раз заслуживает дислайка.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."	+/–
	Сообщение от Аноним (18), 22-Авг-18, 23:57
	Совет многолетнего мамкиного распидяя.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	37. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."	–1 +/–
	Сообщение от Аноним (-), 23-Авг-18, 17:12
	> А вообще rkhunter надо ставить, и убирать автообновление базы после apt, что > бы быть в курсе что поменялось. Можно и иные варианты придумать, достаточно неожиданные и неудобные для хакеров. Например слать дельту btrfs send'ом на отдельную машину и там изучать себе файлуху. Можно налепить снапшотиков с версиями и сравнивать их между собой чем там кому удобно. При том на ремотной машине, на которой софт крутится заведомо не хакерский. А креативно запатчить именно данные в именно файлухе, чтобы лабеан вышел даже с btrfs send и ремотной ФС, зеркалящей местную но не использующую систему оттуда - теоретически так наверное можно а практически хакер загнется такого монстра кодить и почти наверняка срежется на corner cases.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема