Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Проект по портированию механизма изоляции pledge для Linux, opennews (??), 15-Июл-22, (0) [смотреть все] FreeBSD обгадили pledge , хотя работа там уже большая проделана, думаю этот про, Аноним (4), 14:39 , 15-Июл-22, (4) –13 // Сабжу похрен будет его кто ревьюить или нет У них там своя либа и свой враппер,, Аноним (-), 10:56 , 18-Июл-22, (78) Оно не будет адски тормозить со всеми этими проверками , Аноним (6), 14:42 , 15-Июл-22, (6) +1 // Будет но что ты называешь адски Это зависит от твоего самоощущения , Аноним (8), 14:43 , 15-Июл-22, (8) +4 // Юзера пускают с BPF в ядро, чтобы фильтровать этого самого юзера , Аноним (54), 12:32 , 16-Июл-22, (54) +4 // P S И вообще, что значит модифицированного приложения Огораживаемое приложен, Аноним (54), 12:39 , 16-Июл-22, (56) +1 Это может иметь смысл для компонентов системы Хэккер обнаружил технологическое , n00by (ok), 13:04 , 16-Июл-22, (58) –2 Значит, псевдо-защита уже не сработала, если прошла удалённая атака , Аноним (54), 13:37 , 16-Июл-22, (60) Подменять ошибка в программе на защита - так себе приём риторики Складывает, n00by (ok), 14:31 , 16-Июл-22, (62) Хорошо Хэккер ошибочно попал на твой комп Он не хотел, но попал , Аноним (54), 17:02 , 16-Июл-22, (66) Ну вот, попал он и пишет привычно perl exe --skompilirovat-sploetа тот ему в отв, n00by (ok), 19:39 , 16-Июл-22, (67) +1 По такой же технологии некто тигар на freebsd вырусы на хостинге тролил, мол, п, Аноним (-), 11:13 , 18-Июл-22, (81) Так то да Но в условном банке есть СБ, камеры, сигнализация, сейф с ключами А , n00by (ok), 11:34 , 18-Июл-22, (86) Да, необычное окружение - может поломать вредителю планы, демаскировать его и пр, Аноним (91), 01:14 , 19-Июл-22, (91) Ну конечно, многоступенчатые системы защиты, несколько линий обороны и прочие не, Аноним (-), 11:01 , 18-Июл-22, (79) Если твой Хэккер уже в системе, сдались ему системные компоненты, он будет сво, Аноним (54), 13:40 , 16-Июл-22, (61) Боюсь, это слишком сложный сценарий атаки, что бы я мог его понять , n00by (ok), 14:37 , 16-Июл-22, (63) Учись, студент с , Аноним (54), 17:00 , 16-Июл-22, (65) Я и так могу с ещё более меньшим содержанием смысла произвольные слова скомбинир, n00by (ok), 19:49 , 16-Июл-22, (68) На mirai позырь Делает такой себе libc-типа минимальный прямо из сисколов ядр, Аноним (-), 11:12 , 18-Июл-22, (80) Так тут вызовы в ядре фильтруются, какая разница, если ли связывание с libc Как, n00by (ok), 11:25 , 18-Июл-22, (85) Если вот именно в ядре, и мы в его контексте - тогда по идее упс Mirai линуксный, Аноним (89), 13:54 , 18-Июл-22, (89) 1 предлагаю вам уточнить - что значит проник в систему иначе разговор ни о ч, john_erohin (?), 19:31 , 17-Июл-22, (73) Предлагаю оставлять при цитировании контекст Это может иметь смысл для компоне, n00by (ok), 08:44 , 18-Июл-22, (76) ок вот что значит проник в систему пусть так будет а далее произвольный код, john_erohin (?), 20:10 , 24-Июл-22, (104) Код никуда на ходит, а располагается в памяти Исполняет его процессор При этом, n00by (ok), 07:03 , 26-Июл-22, (106) это были данные они сперва оказались в памяти ядра,а потом почему-то выполнилис, john_erohin (?), 13:17 , 26-Июл-22, (107) Это сценарий с отличной от нуля вероятностью Полная вероятность события 171 п, n00by (ok), 14:43 , 27-Июл-22, (108) Всего лишь до уровня первопня на i9-11xxx, Жироватт (ok), 15:04 , 15-Июл-22, (12) +1 Это как бы от программы сильно зависит Скажем чтобы активно считать вообще не н, Аноним (-), 00:42 , 16-Июл-22, (36) +2 Если программа которую Вы используете лезет туда, куда не следует, то ИМХО нео, Аноним (42), 07:47 , 16-Июл-22, (42) +2 // Уже дырища в системе, поздно лечить , Аноним (54), 16:58 , 16-Июл-22, (64) чой-та не понял можно ли этой штуковиной скрыть для приложения системный файл, кофейник (?), 16:37 , 15-Июл-22, (16) // firejail --blacklist etc --noprofile --net none bash, Аноним (25), 19:51 , 15-Июл-22, (25) +2 // Чем это лучше unshare -n Он же про другое спрашивает Вот как в венде, пока про, Аноним (26), 20:45 , 15-Июл-22, (26) +1 // Тем, что firejail точно имеет SUID флаг в любом дистрибутиве Человек спросил пр, Аноним (25), 20:52 , 15-Июл-22, (27) Но ведь в винде только входящие порты запрещены, Аноним (32), 22:18 , 15-Июл-22, (32) Если галочку поставить , Аноним (35), 23:42 , 15-Июл-22, (35) Умеет в довольно продвинутые профайлы Которые для популярных штук написаны не в, Аноним (-), 00:45 , 16-Июл-22, (37) +1 и даже сервер DNS не сможет запросить и получить ответ ps стандартный бикон , john_erohin (?), 19:37 , 17-Июл-22, (74) +1 Еще половина малвари просто просит браузер сходить на урлу Предполагая что брау, Аноним (-), 02:40 , 19-Июл-22, (94) кстати если от имени текущий юзер , и этот юзер - я, то uMatrix, настроенный , john_erohin (?), 20:34 , 24-Июл-22, (105) он SUIDный и проблемный по безопасности https www opennet ru opennews art s, кофейник (?), 09:36 , 16-Июл-22, (44) // Прекратите сами себя накручивать - использование firejail вполне безопасно Даже, Аноним (25), 11:22 , 16-Июл-22, (47) +3 Так приведённое выше --net none не запретит программе никуда не идти , Аноним (48), 11:29 , 16-Июл-22, (48) // Всё запущенное внутри изоляции, тупо не увидит сетевой интерфейс , Аноним (25), 12:24 , 16-Июл-22, (53) Куда ж ты пойдешь на машине без сети В новом namespace сети - тупо интерфейсов , Аноним (82), 11:17 , 18-Июл-22, (82) +1 локалхост там есть, но он не связан с интерфейсом реальной системы, Аноним (25), 11:41 , 18-Июл-22, (87) По-моему, lo создавать надо самому, если это на уровне именно создания namespace, Аноним (92), 01:29 , 19-Июл-22, (92) Да, в описании написано, что можно указать списки директорий для чтения, записи , freehck (ok), 11:04 , 16-Июл-22, (46) Т е ещё нужно активировать BPF в котором будет работать вирусня имеющая привиле, Аноним (17), 16:41 , 15-Июл-22, (17) +6   // Привилегии - в процессоре Привилегированный режим процессора, или режим ядра, о, n00by (ok), 12:57 , 16-Июл-22, (57)   // Уже давно придумали, называется SELinux Логинишься рутом, а тебе даже в tmp пи, Аноним (72), 18:34 , 17-Июл-22, (72)   Кхе Отсталые и вечнодогоняющие бзды и тут утянули инновации себе code security, Аноним (-), 20:31 , 17-Июл-22, (75) +1   Они даже CAPs-ы вроде не смогли , Аноним (82), 11:18 , 18-Июл-22, (83)   Еще и машину времени угнали, чтобы точно никто не догадался , Аноним (-), 20:04 , 27-Июл-22, (109)   Надо отметить, что утилита-обёртка не может полностью заменить явный вызов pledg, Аноним (-), 17:43 , 15-Июл-22, (20) +1 // Сразу видно человека не разбирающегося в теме, Аноним (24), 19:40 , 15-Июл-22, (24) +1 // Буду рад развёрнутому ответу , Аноним (-), 21:32 , 15-Июл-22, (29) +5 По-моему, проблема в том, что тому же браузеру, самой уязвимой программе на моём, Аноним (21), 18:07 , 15-Июл-22, (21) +8 // Но вы же можете скачивать страницы через wget, а просматривать через less Немно, Аноним (32), 19:23 , 15-Июл-22, (23) +1 // в которых ничего нет, кроме адресов скриптов , Аноним (28), 21:03 , 15-Июл-22, (28) +4 // Такие страницы не индексируются Скачать скрипты, скачать json ответы Смотреть и, Аноним (32), 22:12 , 15-Июл-22, (30) +1 Нормальный такой unix-way уровня tar gz где для получения списка файлов нужно ве, Аноним (32), 22:15 , 15-Июл-22, (31) Ты в опаснасте Тебя злая дядя такать пистолет и заставлять использовать тара-гз, gogo (?), 01:35 , 16-Июл-22, (39) +3 Начала 80х годов прошлого века , _kp (ok), 10:49 , 18-Июл-22, (77) Проиграл с клоуна , Аноним (95), 08:53 , 19-Июл-22, (95) Ну оно их и получает Вопрос только где и почему Так что вот тут оно видит D, Аноним (-), 00:48 , 16-Июл-22, (38) +1 Отнюдь не все Вот пример использования pledge и unveil для разных процессов огн, Аноним (-), 11:31 , 16-Июл-22, (49) –1 https justine lolВот что скажу это прекрасный хакер в лучшем смысле этого сло, freehck (ok), 23:03 , 15-Июл-22, (34) +3 Модератор freehck опять мое сообщение удалил, про добавление этого механизма изо, Аноним (69), 20:00 , 16-Июл-22, (69) –1 // Дело в том, что интегрировать в systemd -- это здесь такая дежурная шутка Пот, n00by (ok), 20:09 , 16-Июл-22, (70) // disclaimer я другой анон но разделяю взгляды того анона, поэтому При том 9, Аноним (-), 12:11 , 18-Июл-22, (88) –1 // В том случае Михаил Шигорин кого-то озадачил вопросом предложите что-то конкрет, n00by (ok), 15:24 , 18-Июл-22, (90) Тут что угодно может быть Он периодически пытается допустим дебианщиков подъ , Аноним (-), 02:24 , 19-Июл-22, (93) Пакетник тоже может дать отлуп - он знает, что вот эти файлы именно такой верс, n00by (ok), 09:33 , 19-Июл-22, (96) Это что, на каждый сискол мнение пакетника спрашивать И сколько MIOPS core полу, Аноним (-), 10:40 , 19-Июл-22, (97) Нет Самый очевидный вариант - нотификации ФС Касаемо pledge эти вопросы ведь ни, n00by (ok), 11:22 , 19-Июл-22, (98) Нотификации приходят постфактум, в этот момент уже поздно отлуп возвращать К то, Аноним (99), 14:14 , 19-Июл-22, (99) ИМХО позорно другое Для Виндоса, где как бы нет исходников ОС, одних только ант, n00by (ok), 16:12 , 19-Июл-22, (100) Ну-ну https github com freebsd pkg blob master mk static-lib mk code ldd -f, Аноним (-), 23:06 , 19-Июл-22, (101) +1 Как я успел понять из недавней темы про руткит с LD_PRELOAD, в GNU Linux сформир, n00by (ok), 06:14 , 20-Июл-22, (102) хорошим дополнением именно за счет простоты настройки, Аноним (69), 21:16 , 16-Июл-22, (71) Космополитан, лол 3, Аноним (-), 11:21 , 18-Июл-22, (84) +3 Угадайте, кто в первую очередь будет использовать этот pledge Гугля , Аноним (-), 15:13 , 22-Июл-22, (103) 4,6,16,17,20,21,34,69,84,103

Сообщения

[Сортировка по времени | RSS]

17. "Проект по портированию механизма изоляции pledge для Linux"	+6 +/–
Сообщение от Аноним (17), 15-Июл-22, 16:41
Т.е. ещё нужно активировать BPF в котором будет работать вирусня имеющая привилегии выше root? Спасиб.
Ответить | Правка | Наверх | Cообщить модератору

Часть нити удалена модератором

	57. "Проект по портированию механизма изоляции pledge для Linux"	+/–
	Сообщение от n00by (ok), 16-Июл-22, 12:57
	Привилегии - в процессоре. Привилегированный режим процессора, или режим ядра, он же 0-е кольцо защиты. У пользователей - права. Они ортогональны. Можно придумать код для ядра, который будет давать пользователю root отлуп. Можно придумать драйверок, который позволит делать гостю что угодно.
	Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

	72. "Проект по портированию механизма изоляции pledge для Linux"	+/–
	Сообщение от Аноним (72), 17-Июл-22, 18:34
	> Можно придумать код для ядра, который будет давать пользователю root отлуп. Уже давно придумали, называется SELinux. Логинишься рутом, а тебе даже в /tmp писать нельзя. Был когда-то даже публичный сервер для демонстрации возможностей. Вроде так и не сломали.
	Ответить | Правка | Наверх | Cообщить модератору

	75. "Проект по портированию механизма изоляции pledge для Linux"	+1 +/–
	Сообщение от Аноним (-), 17-Июл-22, 20:31
	>> Можно придумать код для ядра, который будет давать пользователю root отлуп. > Уже давно придумали, называется SELinux. Кхе. Отсталые и вечнодогоняющие бзды и тут утянули инновации себе: security.bsd.suser_enabled: processes with uid 0 have privilege commit 68239103ca69ad700547a0a80b8af367f735e0d1 Author: rwatson <rwatson@FreeBSD.org> Date:   Mon Jun 5 14:53:55 2000 +0000     o Introduce kern.suser_permitted, a sysctl that disables the suser_xxx()       returning anything but EPERM.     o suser is enabled by default; once disabled, cannot be reenabled     o To be used in alternative security models where uid0 does not connote       additional privileges
	Ответить | Правка | Наверх | Cообщить модератору

	83. "Проект по портированию механизма изоляции pledge для Linux"	+/–
	Сообщение от Аноним (82), 18-Июл-22, 11:18
	Они даже CAPs-ы вроде не смогли...
	Ответить | Правка | Наверх | Cообщить модератору

	109. "Проект по портированию механизма изоляции pledge для Linux"	+/–
	Сообщение от Аноним (-), 27-Июл-22, 20:04
	>>> Можно придумать код для ядра, который будет давать пользователю root отлуп. >> Уже давно придумали, называется SELinux. > Кхе. Отсталые и вечнодогоняющие бзды и тут утянули инновации себе > Date:   Mon Jun 5 14:53:55 2000 +0000 > Еще и машину времени угнали, чтобы точно никто не догадался ...
	Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема