Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в ядре Linux, позволяющая обойти ограничения user..., opennews (??), 22-Ноя-18, (0) [смотреть все] Но виноваты всё равно контейнеры , Qwerty (??), 21:04 , 22-Ноя-18, (1) +1 // Но виноваты все равно корпорации и автор npm leftpad лично , Аноним (2), 21:14 , 22-Ноя-18, (2) +12 // Поттеринга забыл же , .. (?), 21:24 , 22-Ноя-18, (4) +2 // Что, передумали фиксить и вместо этого объявили нот-а-багом Хотя то, что фанаты , Анонн (?), 21:45 , 22-Ноя-18, (9) +9 А не так что ли Классических, понятных ugo rwx с нашлёпкой в виде chroot хватае, Аноним (13), 22:33 , 22-Ноя-18, (13) –5   // Очевидно же, что это все происки Заклятых Врагов code man jailHISTORY The j, Анонн (?), 22:41 , 22-Ноя-18, (14)   джейлы бсдешные тоже не торт, там тоже маппить нужно юиды гиды, чтобы в топе в с, Sw00p aka Jerom (?), 23:25 , 22-Ноя-18, (19) –5   uid gid возьми из LDAP и будет тебе счастье где только угодно , bOOster (ok), 15:24 , 24-Ноя-18, (58) –1   ради одного узера в джейле мне лдап наворачивать легче в самой системе такого ж, Sw00p aka Jerom (?), 16:03 , 24-Ноя-18, (59)   одна проблема - jail тоже требует рутовых прав - и не просто так это делает А и, нах (?), 13:52 , 23-Ноя-18, (47) +2   бесит за столько лет нормальный процесс монтирования и отмонтирования не придума, Sw00p aka Jerom (?), 22:51 , 04-Дек-18, (69)   Корпораций лишь в том смысле, что это попытка пресловутой экономии на персонале,, КГБ СССР (?), 23:04 , 22-Ноя-18, (17) +9   Да, пожалуй, это пострашней будет , Аноним (13), 23:50 , 22-Ноя-18, (21)   Проблема только в том что безопасность это если и улучшает то очень маргинально , Аноним (-), 09:32 , 03-Дек-18, (64)   До чего же дырявы линукс-контейнеры , псевдонимус (?), 23:57 , 22-Ноя-18, (22) –3 // До чего же дырявы контейнеры Fixed , Онаним (?), 00:57 , 23-Ноя-18, (27) Так чтоб оно дырявым не было - ядро изнавально должно было писаться с учетом так, Аноним (-), 09:19 , 03-Дек-18, (61) Да, эти все спейсыс - для контейнеров , Аноним (3), 21:18 , 22-Ноя-18, (3) +3 Но виновато всеравно сообщество, которое написало GNU Linux , Anon9999 (?), 22:12 , 22-Ноя-18, (12) Прочитал мейнтейнеры , в принципе, разницы нет , Аноним (16), 23:02 , 22-Ноя-18, (16) Естественно В линуксе они тот ещё шлак с точки зрения безопасности , псевдонимус (?), 00:00 , 23-Ноя-18, (23) –1 // Контейнеры-то Ну сломайте мне ovz , Michael Shigorin (ok), 00:54 , 23-Ноя-18, (26) // fixed, Led (ok), 01:49 , 23-Ноя-18, (28) –1 Мишень - OpenVZ это такое дикое глюкало его ломать не надо - оно просто падае, Аноним (33), 05:52 , 23-Ноя-18, (33) –1 OVZ это единственные лiнупс контейнеры, которые работают, несмотря на ряд недост, agent_007 (ok), 10:27 , 23-Ноя-18, (39) +2 но поскольку совместимость с современным софтом у ядра 2 6 примерно никакая - бо, нах (?), 13:42 , 23-Ноя-18, (43) В контейнере оно покажется 3 2, помнится , Michael Shigorin (ok), 13:55 , 23-Ноя-18, (48) что установишь в текстовой строчке - так и будет хоть 99 01, Аноним (49), 14:46 , 23-Ноя-18, (49) Я вам на любом ядре покажу любую цифирь И чего Как максимум это позволит прогр, Аноним (-), 09:33 , 03-Дек-18, (65) И с каким современным софтом несовместим 2 6 32 из RHEL6 , agent_007 (ok), 16:22 , 23-Ноя-18, (53) +1 Софт не обращается к ядру напрямую и не видит ядра, софт работает с libc, Аноним (57), 18:23 , 23-Ноя-18, (57) Так опенвз постоянно критикуют поклонники продукции рэдхэт, говорят что они не р, псевдонимус (?), 07:47 , 23-Ноя-18, (36) просто у той корпорации это получается, а виртуозы застряли в ядре 2 6, нах (?), 13:42 , 23-Ноя-18, (44) у vz когда-то тоже получалось, но привычка к закрытию кода, и тот факт что разбе, Аноним (49), 14:51 , 23-Ноя-18, (50) +1 А это болотников благодарить надо -- Монахову мозги проэксплойтили, в итоге по, Michael Shigorin (ok), 15:28 , 23-Ноя-18, (52) –1 Да кто им мозги эксплойтил с их менеджментом Такая уверенность фирмы в том что , Аноним (-), 09:30 , 03-Дек-18, (63) Погуглите openvz exploit , чего уж там Другое дело что бесплатно вам это никто, Аноним (-), 09:24 , 03-Дек-18, (62) Ну вот опять, Синяя птица (?), 21:28 , 22-Ноя-18, (5) +5 // Никогда такого не было , Онвонин Николаевич (?), 23:49 , 22-Ноя-18, (20) +4 А посему общими должны быть только файло-помойки Да Вот почему в proxmox обновл, ананим.orig (?), 21:30 , 22-Ноя-18, (6) –1 вот эти ребята Signed-off-by Christian Brauner christian brauner ubuntu com CC, Аноним (7), 21:33 , 22-Ноя-18, (7) +1 // Примечательно, что LTS ветка ядра -- 4 14, а в Ubuntu используют 4 15, Акакжев (?), 06:39 , 23-Ноя-18, (34) +2 Так-то Выбирай сердцем, голосуй кошельком Ещё у кого-то есть вопросы про бли, КГБ СССР (?), 21:39 , 22-Ноя-18, (8) +1 // А ничего что в дистрах с отрубленными user namespaces, те же вещи делаются тольк, Аноним (-), 21:57 , 22-Ноя-18, (11) // Какие конкретно вещи В нормальных юниксах ничего не должно делаться от рута юзер, КГБ СССР (?), 22:54 , 22-Ноя-18, (15) // Это всё влажные мечты Да было бы круто, если бы к каждому пользователю убунты п, Ordu (ok), 04:11 , 23-Ноя-18, (32) +2 То есть, то что кибервасяны-сантехники, переодически ходят и починяют пользовате, OS2 (?), 13:21 , 23-Ноя-18, (41) да мы и линуксы ТАК починить могем - reboot install next next format - yes ok и, нах (?), 13:44 , 23-Ноя-18, (45) Да нет там никакого next и формата как такового Придет автоматическая система д, Аноним (66), 09:36 , 03-Дек-18, (66) в Arch и Fedora уже доступно ядро 4 19 2 с исправлением , annual slayer (?), 03:49 , 23-Ноя-18, (31) // а что именно в нем нового поломали - владельцы узнают немного позже , нах (?), 13:45 , 23-Ноя-18, (46) +1 Если ваши контейнеры которые имеют доступ в сеть имеют флаг cap_sys_admin это уж, Аноним (10), 21:49 , 22-Ноя-18, (10) –2 // Весь смысл контейнеров, чтобы иметь изолированный root, mimocrocodile (?), 00:07 , 23-Ноя-18, (24) // cap_sys_admin это уже деизоляция , Аноним (10), 00:37 , 23-Ноя-18, (25) // Это по задумке фэйковый рут Карманный Имеющий полномочия только в своем загонч, Аноним (66), 09:37 , 03-Дек-18, (67) Следующий , Michael Shigorin (ok), 23:11 , 22-Ноя-18, (18) –1 // а пока ты просто даешь рута основной системы всем, кому нужно банально запустить, нах (?), 13:39 , 23-Ноя-18, (42) +1 // sudo с привязкой к паре юзер - прикладуха , Аноним (49), 14:52 , 23-Ноя-18, (51) // Это типа лечения подорожником Применять можно только по причине невежества При, angra (ok), 05:31 , 26-Ноя-18, (60) +1 И в результате этот юзер потом сможет сисколами по всей системе шариться, в осно, Аноним (66), 09:38 , 03-Дек-18, (68) Глупый живящий в собственном коде , Аноним (56), 17:19 , 23-Ноя-18, (56) –2 Только разработчики ядра добавляют бэкдор и тут же их планы раскрывают , Пользователь (?), 06:41 , 23-Ноя-18, (35) +3 Ну тут одно из двух, либо ошибка в ядре, либо манифест приличного поведения инст, Аноним (40), 10:35 , 23-Ноя-18, (40) +2 1,5,6,7,8,10,18,35,40

Сообщения

[Сортировка по времени | RSS]

	13. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."	–5 +/–
	Сообщение от Аноним (13), 22-Ноя-18, 22:33
	>Но виноваты все равно корпорации А не так что ли? Классических, понятных ugo rwx с нашлёпкой в виде chroot хватает всем смертным, современные фортеля с правами, контейнерами, изоляциями - это всё поветрия со стороны копрораций.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	14. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."	+/–
	Сообщение от Анонн (?), 22-Ноя-18, 22:41
	> А не так что ли? Классических, понятных ugo rwx с нашлёпкой в > виде chroot хватает всем смертным, современные фортеля с правами, контейнерами, изоляциями - это всё поветрия со стороны копрораций. Очевидно же, что это все происки Заклятых Врагов: man jail HISTORY      The jail utility appeared in FreeBSD 4.0. (март 2000г)
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."	–5 +/–
	Сообщение от Sw00p aka Jerom (?), 22-Ноя-18, 23:25
	джейлы бсдешные тоже не торт, там тоже маппить нужно юиды/гиды, чтобы в топе(в системе) норм видеть а не неизвестные.
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."	–1 +/–
	Сообщение от bOOster (ok), 24-Ноя-18, 15:24
	uid/gid возьми из LDAP и будет тебе счастье где только угодно.
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."	+/–
	Сообщение от Sw00p aka Jerom (?), 24-Ноя-18, 16:03
	> uid/gid возьми из LDAP и будет тебе счастье где только угодно. ради одного узера в джейле мне лдап наворачивать? легче в самой системе такого же юзера создать
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."	+2 +/–
	Сообщение от нах (?), 23-Ноя-18, 13:52
	одна проблема - jail тоже требует рутовых прав - и не просто так это делает. А иначе будет: jail: jail_set: Operation not permitted никакого тебе userns... Потому что jail - он как раз об изоляции и безопасности, а не о том как уйти от dependency hell путем наворачивания слоев поверх слоев поверх слоев.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	69. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."	+/–
	Сообщение от Sw00p aka Jerom (?), 04-Дек-18, 22:51
	> одна проблема - jail тоже требует рутовых прав - и не просто > так это делает. А иначе будет: > jail: jail_set: Operation not permitted > никакого тебе userns... > Потому что jail - он как раз об изоляции и безопасности, а > не о том как уйти от dependency hell путем наворачивания слоев > поверх слоев поверх слоев. бесит за столько лет нормальный процесс монтирования и отмонтирования не придумали, крешится джейл процесс, а маунты висят, и хрен запустишь если не отмонтируешь.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."	+9 +/–
	Сообщение от КГБ СССР (?), 22-Ноя-18, 23:04
	Корпораций лишь в том смысле, что это попытка пресловутой экономии на персонале, то есть использовании копченных принесиподаев заместо квалифицированных админов и юзеров. Защита от дурака для дурака, если кратко. Но из этого ничего заведомо не может получиться хорошего, потому что это нарушение принципов юникса (та самая избирательность в выборе друзей, ага). А все такие нарушения ломают его целостность и приводят к предсказуемым последствиям. Не может любая домохозяйка управлять сложной системой, требующей реальных знаний и глубокого понимания. Не получается чуда. Но корпорации корпорациями, а эти поветрия находят большой энтузиазм в рядах кибервасянов, только что слезших с пальмы. Происходит повсеместно внедрение в защиту того элемента, от которого, собственно, она должна защищать. Единственное, что можно сказать в качестве резюме по таким случаям — что скупой платит дважды. Нельзя экономить на мозгах. Нельзя нанимать дураков на сложные задачи.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	21. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."	+/–
	Сообщение от Аноним (13), 22-Ноя-18, 23:50
	>Но корпорации корпорациями, а эти поветрия находят большой энтузиазм в рядах кибервасянов Да, пожалуй, это пострашней будет.
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."	+/–
	Сообщение от Аноним (-), 03-Дек-18, 09:32
	> виде chroot хватает всем смертным, Проблема только в том что безопасность это если и улучшает то очень маргинально. А если сервис, даже работающий под юзером, ломанут - у него как-то многовато доступа получается в типовой системе.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема