forum.opennet.ru

"Уязвимость в LXC, позволяющая получить доступ к файлам вне к..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..."	+1 +/–
Сообщение от KonstantinB (ok), 27-Ноя-16, 21:55
Это был ответ на "расскажи хостерам". В целом же, openvz изначально сделан грамотно. Openvz - это прежде всего патчи на ядро, достичь безопасности на дырявом ядре за счет проверок в userspace там никому в голову не приходило. lxc же это просто юзерспейсный набор инструментов, упрощающих использование linux containers/namespaces/cgroups. Говорить о его безопасности вообще не имеет смысла, его безопасность равна безопасности ядра. И патчи, подобные вот этой ерунде, на которую ссылка - это лечение симптомов, костыль, затыкающий один из бесконечного числа возможных векторов атаки. Реально уязвимость в ядре, в реализации ptrace(). В ядре уязвимости всегда были и еще много найдут, их там исправят, это нормально. Ненормально пихать userspace-затычки на один частный случай и называть это security fix.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в LXC, позволяющая получить доступ к файлам вне к..., opennews, 27-Ноя-16, 12:10 [смотреть все]

Давать кому попало рута в контейнере - это уже заведомо хождение по минному полю, KonstantinB, 27-Ноя-16, 12:35 (2) //
- LXC просто изначально не хотели делать рута внутри контейнеров, ну а потом по-бы, Аноним, 27-Ноя-16, 12:57 (4) //
  - Да фиг с ним, с lxc, тут основная проблема в ptrace , KonstantinB, 27-Ноя-16, 13:14 (6)
  - Ну, то есть как Не хотели, потому что ядро не обеспечивало достаточной изоляции, KonstantinB, 27-Ноя-16, 13:18 (7) //
    - Вообще подобные уязвимости нормальны, пока технологию не начинают активно примен, Аноним, 27-Ноя-16, 16:11 (17)
- Смысл тогда в контейнере, если рута не давать , Anonymous_1, 27-Ноя-16, 14:46 (11) //
  - Хм, ну поясни зачем тебе там рут, просто интересно , username, 27-Ноя-16, 15:23 (12) //
    - Как запустить nginx без root , хомяк, 27-Ноя-16, 15:33 (13)
      - Так же как и с рутом Единственная привилегия, которая может понадобиться вебсерв, username, 27-Ноя-16, 16:53 (18)
        
        И опять наступаешь на те же грабли, только в профиль Либо режешь права группе и, Аноним, 28-Ноя-16, 08:20 (45)
        
        Непривилегированные контейнеры с разрешенным CAP_NET_BIND_SERVICE, Аноним, 29-Ноя-16, 00:45 (59)
        
        Порт за-DNAT-ить Обычно приемлемо, если в conntrack не упирается Но где это п, PnDx, 28-Ноя-16, 15:06 (48)
      - Уже дюжину лет как CODE sysctl security mac portacl rules uid 80 tcp 80 CODE , Аноним, 27-Ноя-16, 18:42 (21)
        
        sysctl -a 124 grep security 124 wc -l0У Вас таки фрюха , PnDx, 28-Ноя-16, 15:08 (49)
        
        Ну да Я думал, раньше кто догадается А что, в пингвины такие вещи еще не завез, Аноним, 28-Ноя-16, 17:31 (52)
        
        Кто как Держите седьмой для ровного счёта , Michael Shigorin, 28-Ноя-16, 18:19 (53)
        
        sysctl security mac portacl rules uid 80 tcp 80sysctl Permission deniedОттака, pavlinux, 29-Ноя-16, 00:00 (58)
    - Начни с рассказа, зачем тебе вообще рут где-либо Может в процессе и сам поймешь, angra, 27-Ноя-16, 15:33 (14)
      - что бы запускать свои сервисы - а не те которые хостер за меня решил запустить к, Аноним, 27-Ноя-16, 22:42 (37)
        
        Тебе надо помочь сделать следующий шаг Если рут тебе обычно нужен для запуска с, angra, 27-Ноя-16, 22:52 (39)
- Расскажи это хостерам с openvz, они посмеются А тем, кто заикнется про XEN и пр, angra, 27-Ноя-16, 15:34 (15) //
  - В openvz похожие уязвимости были , KonstantinB, 27-Ноя-16, 19:11 (22) //
    - Уязвимости находили практически везде Объявишь весь софт минным полем и откажеш, angra, 27-Ноя-16, 20:28 (29)
      - Это был ответ на расскажи хостерам В целом же, openvz изначально сделан грамот , KonstantinB, 27-Ноя-16, 21:55 (33)
        
        еще бы долгое время тестировали на бесплатных юзерах, прежде чем закрыть его Вс, Аноним, 27-Ноя-16, 22:40 (36)
        Ты уже отказался от дырявого линуксового ядра или еще ходишь по этому минному по, angra, 27-Ноя-16, 22:45 (38)
        
        Я имел ввиду linux containers в их текущем состоянии, а не какие-нибудь там абст, KonstantinB, 27-Ноя-16, 22:55 (40)
        
        Теперь стало понятней и я даже частично согласен По-крайней мере давать чистого, angra, 28-Ноя-16, 00:02 (42)
        
        в целом же, ты чушь морозишь несусветную ибо некомпетентен совершенно openvz 10 , Валик228, 28-Ноя-16, 04:57 (43)
        
        Целиком Сам то пробовал, компетентный ты наш Кое-какую функциональность с vzct, angra, 28-Ноя-16, 07:32 (44)
        
        не тупи - openvz потихоньку сливается - все наработки переливая в ванилу скоро , Аноним, 28-Ноя-16, 16:10 (50)
        
        Ничего себе степень альтернативной одаренности Да если весь патч openvz перейде, angra, 28-Ноя-16, 22:12 (54)
        
        нет сил свое тянуть, cgroups linux-vserver наступают на пятки, клиенты уже нос, Аноним, 28-Ноя-16, 22:53 (55)
        
        Ты еще и из альтернативной вселенной пишешь , angra, 28-Ноя-16, 23:10 (57)
        
        а тебе Parallels сколько отстегнул , Аноним, 29-Ноя-16, 13:01 (60)
      - Компьютеры - минное поле Срочно отказываемся от них и возвращаемся в пещеры Ма, Аноним, 28-Ноя-16, 14:48 (47)
- Выделяя пользователю контейнер по сути на откуп отдают отдельную виртуальную сис, Аноним, 27-Ноя-16, 20:09 (28)
- Смотря в каком Но особо воодушевлённые давно уж не верили, что LXC не для безо, Michael Shigorin, 27-Ноя-16, 21:21 (30) //
  - там просто уже некому делать вменяемый код , Аноним, 27-Ноя-16, 21:48 (32)
  - В linux containers, разумеется - в контексте новости Solaris zones я не имел вв, KonstantinB, 27-Ноя-16, 22:00 (35) //
    - Так опенвз вроде слился с виртуоззо , Ванга, 28-Ноя-16, 16:54 (51)
      - openvz это подачка в виде Open Core от виртуозы , Аноним, 28-Ноя-16, 22:53 (56)
Какой host-провайдере предоставляет возможность использовать свой OS-template дл, seyko, 30-Ноя-16, 03:53 (61)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру