forum.opennet.ru

"Для ядра Linux предложена реализация белого списка исполняем..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Для ядра Linux предложена реализация белого списка исполняем..."	+1 +/–
Сообщение от X3asd (ok), 31-Май-17, 11:35
> О ПО будет знать процесс WEUA, который ядру и будет подсказывать "пускать/не пускать". А в ядре всего лишь несколько хуков на системных вызовах и обращение к пользовательскому процессу WEUA. Т.е. в ядре никаких списков и хэшей для данной подсистемы храниться и обрабатываться не будет. ды лол же!! маленькими хуками в ядре -- тут не обойтись! смотри: 1. ядро будет спрашивать у демона -- "тукую-то программ можно запустить?" 2. демон поглядел свои настройки, проверил программу, затем говорит "да! можно я всё проверил" 3. затем ядро хочет запустить то что ей разрешили -- НО УЖЕ ПОНЯТИЯ НЕ ИМЕЕТ -- действительно ли это тот же самый файловый объект который как раз проходил проверки, и про который мы спрашивали изначально! ведь уже прошло некоторое количество времени и файлы могли поменяться.. вопрос -- "что именно ядру разрешили запускать?" ответ -- "не понятно"
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Для ядра Linux предложена реализация белого списка исполняем..., opennews, 30-Май-17, 22:34 [смотреть все]

Чем SELinux и AppArmor не угодили , user, 30-Май-17, 22:34 (1) //
- Вопрос в другом зачем ядро вообще что-то должно знать о ПО Этот монолитный кусо, fsdgsdfsagsdfasdf, 30-Май-17, 22:38 (4) //
  - SELinux и AppArmor реализованы на уровне ядра, а эта приблуда вроде как альтер, Меломан1, 31-Май-17, 07:56 (58)
  - Ядро это самое ПО загружает и исполняет Так что избирательный фильтр для этой ф, Аноним, 31-Май-17, 08:09 (60)
  - Вы статью-то читали Ядро по прежнему ничего о ПО знать и не будет Обработка бе, Очередной аноним, 31-Май-17, 08:18 (61) //
    - ды лол же маленькими хуками в ядре -- тут не обойтись смотри 1 ядро будет спра , X3asd, 31-Май-17, 11:35 (74)
      - надо так делать1 ядро создаёт процесс из требуемого файла в остановленном состо, Аноним, 31-Май-17, 12:16 (76)
- присоединюсь к вопросу, mixaly4, 31-Май-17, 01:50 (32)
- Не идёт с панкейками под смузи , Аноним, 31-Май-17, 09:19 (67)
Ну вот, теперь руткиты ставить будет сложнее, какая жалость upd применяется не, freehck, 30-Май-17, 22:36 (2) //
- Это был сарказм Руткиты и сплойты очень нужны, когда речь идет о своем телефоне, Аноним, 04-Июн-17, 15:58 (111)
Всё гениальное просто , Аноним, 30-Май-17, 22:38 (3)
А если зловредный скрипт на баше Баш-то наверняка будет в белом списке , Аноним, 30-Май-17, 22:44 (5) //
- Там таких а если - сотнями будет, Crazy Alex, 30-Май-17, 22:57 (7) //
  - Авторы уже тычут лицом в эти a если - что будет если демона прибьет OOM killer, Аноним, 30-Май-17, 23:30 (15) //
    - OOM - можно запретить для определённых процессов, Аноним, 31-Май-17, 00:26 (24)
    - demontools перезапустит , Аноним, 31-Май-17, 12:03 (75)
      - А ООМ опять убьёт Кто победит - утюг или холодильник , Аноним, 31-Май-17, 12:26 (77)
        
        Чубейс Так как в результате этого процесса электроэнергия все же будет потребля, Аноним, 31-Май-17, 14:22 (84)
- Насколько я понимаю, shebang обрабатывается ядром, а именно binfmt_misc , Аноним, 30-Май-17, 23:36 (18) //
  - bin sh myscript, Crazy Alex, 31-Май-17, 00:30 (25)
  - code echo basename 0 echo securing your data rm -rf 124 bash code , Аноним84701, 31-Май-17, 00:41 (30)
- Или на любом другом разрешенном интерпретируемом или JIT-компилируемом языке Во, Аноним, 31-Май-17, 05:01 (39) //
  - Да и обычный динамически слинкованный ELF через ld so запустить никто не мешает , Аноним, 31-Май-17, 22:35 (99)
- Осталось сделать подписывание скриптов и других исполняемых файлов сертификатом , Это я, 31-Май-17, 06:29 (41) //
  - кто то подумал а в виндовс это еще 10 лет назад было , ыы, 31-Май-17, 07:10 (43) //
    - Дык, и я о том же Это надо для критически важных объектов инфраструктуры , Это я, 31-Май-17, 07:22 (48)
    - Нет, нет что вы Кто то подумал а в виндовс - ещё 20 лет назад запускалось толь, Аноним, 05-Июн-17, 20:39 (113)
  - Я довольно далек от линукса и тем более от SELinux, AppArmor , командной строки, Очередной аноним, 31-Май-17, 08:50 (63) //
    - а если забыл reboot - неалё - командировка в Сургут поднимать сервак админис, pavlinux, 31-Май-17, 17:31 (87)
      - Для таких задач обычно kvm используют Оно ведь может много из-за чего упасть и , bircoph, 01-Июн-17, 00:03 (101)
- а если уборщицы выдернет шнур представлен механизм, который делает то что делае, ыы, 31-Май-17, 07:20 (47) //
  - проблемы , XX1asd, 31-Май-17, 08:51 (64) //
    - поведай же нам скорее о своих страданиях , XX1asd, 31-Май-17, 08:59 (65)
- Добавят этот скрипт в чёрный список, затем второй, третий А после добавят эври, враыв, 31-Май-17, 16:40 (85)
видел эту идею еще в бородатые годы Антивирусники создавали свои хэши и провер, Аноним, 30-Май-17, 22:45 (6) //
- Что ты предлагаешь , Аноним, 31-Май-17, 03:18 (37)
Нужно этот модуль интегрировать с AIDE http aide sourceforge net , чтобы баз, Аноним, 30-Май-17, 23:06 (10) //
- Так то хэши Цирк и школьники студенты , IB, 30-Май-17, 23:21 (13) //
  - эм путь точно нужен usr lib postgresql 9 4 bin pg_dump usr lib postgresql 9 6 , ъ, 31-Май-17, 18:27 (95)
- А, о очень удобной особенности хакеру - коллизии хэша, не слышали , Аноним, 05-Июн-17, 20:44 (114)
Хм, а нужно ли Есть TPM модуль, если речь идет о промышленном применении Хотя н, username, 30-Май-17, 23:08 (11) //
- TPM сам Untrasted для некоторых применений, увы , Это я, 31-Май-17, 07:39 (56) //
  - Обоснуй, интересно узнать для каких В линуксах уже есть 1 механизм для запуска , username, 31-Май-17, 10:27 (71) //
    - С точки зрения доверия оборудованию и наличия в нем закладок В отличии от софт, Это я, 31-Май-17, 11:07 (72)
      - А ничего что сам процессор это черный ящик иностранного производства да еще и с , Аноним, 31-Май-17, 18:11 (93)
        
        Это повод плодить новые дыры , Это я, 02-Июн-17, 08:35 (109)
- И что этот TPM сделает Убедится, что загрузилось правильное ядро А дальше , Аноним, 31-Май-17, 13:29 (78)
Во время обновления обновится приложение которое перегенирует хэши и как их тогд, Аноним, 30-Май-17, 23:17 (12) //
- Glibc же обновляется как-то, хотя в зависимостях у каждой первой проги, а вообще, cmp, 31-Май-17, 07:20 (46) //
  - Давно пора реализовать возможность обновления аналогично solaris live upgrade Ж, Это я, 31-Май-17, 07:26 (50) //
    - NixOS , Аноним, 31-Май-17, 09:14 (66)
      - Увы, это экзотика , Это я, 31-Май-17, 09:24 (68)
    - И чем же хорош solaris live upgrade , fi, 31-Май-17, 13:54 (82)
      - Минимальное время простоя при установке патчей и возможность быстро откатиться в, Это я, 02-Июн-17, 08:33 (108)
    - Чур меня, чур Только не это , Аноним, 31-Май-17, 18:12 (94)
Выглядит как полная хpeнь Аффтару уже задают неприятные вопросы https lkml or, Аноним, 30-Май-17, 23:26 (14) //
- 171 Один дурак может задать вопросы, на которые и сто мудрецов не ответят 187, Это я, 31-Май-17, 07:35 (54) //
  - Это называется Упреждающий удар, чтоб мудрецов не назвали тупыми , pavlinux, 31-Май-17, 17:45 (89)
Который из PS ставлю, что не примут , Аноним, 30-Май-17, 23:36 (16) //
- Разумеется Это далеко не первый заход на подобную глупость, где-то даже был под, Crazy Alex, 31-Май-17, 00:32 (27) //
  - software restriction policies, applocker давно есть и даже работает У SANS в 20, Это я, 31-Май-17, 07:17 (44)
Любму, кто хоть раз пытался настроить вещь вроде tomoyo с его глобальной полити, Аноним, 31-Май-17, 00:58 (31) //
- Так среда в продакшн и должна быть урезана и статична, не , Онаним, 31-Май-17, 02:17 (34) //
  - Скажи это всяким девопсам, с приложениями на рубях gem , питоне virtualenv , п, Аноним, 31-Май-17, 02:34 (35)
  - Проблема в том, что достаточно мало инструментов, которые при необходимости повы, Это я, 31-Май-17, 07:32 (52)
- А кто говорил, что это надо пихать прям везде У таких решений есть своя ниша, н, Это я, 31-Май-17, 07:19 (45) //
  - Ну допустим, вот работает она вся такая защищенная система и приходит юзер и пыт, cmp, 31-Май-17, 07:35 (53) //
    - Ну допустим, вот работает она вся такая защищенная система и приходит юзер и пы, Это я, 31-Май-17, 07:38 (55)
      - Дык монтируй систему на ro и noexec все что на rw и зачем чета пихать в ядро там, cmp, 31-Май-17, 07:44 (57)
        
        Еще есть задача - не заразить съемные носители, не похерить на нем все документы, Это я, 31-Май-17, 07:59 (59)
        
        В основном это касается спец объектов Специфическая штука Да ты не рыбак, теб, XX1asd, 31-Май-17, 09:42 (69)
        
        Когда учился в ВУЗе, тоже многие вещи казались бреднями параноиков, а теперь нор, Это я, 31-Май-17, 11:14 (73)
        
        нет большое количество дурацкой защиты -- хуже чем маленькое количество хорошей, X3asd, 31-Май-17, 20:38 (97)
        
        lib ld-linux so 2 your noexec directory malicious_bin, Аноним, 31-Май-17, 14:19 (83)
        
        chmod -x -- lib ld- so , X3asd, 31-Май-17, 20:40 (98)
        
        И всё равно rm -rf надёжнее , Аноним, 31-Май-17, 22:38 (100)
Действительно Нахрен быстрые обновления безопасности и дыры в попавшем в белый , Отражение луны, 31-Май-17, 02:14 (33)
Помнится уже было что-то на тему подписанных приложений Не совпала подпись - не, d000, 31-Май-17, 03:29 (38) //
- Код не смотреть, доки не читать, комент писать WhiteEgret Linux Security, pavlinux, 31-Май-17, 18:07 (92)
Джва года ждал Только почему в ядро , Это я, 31-Май-17, 06:27 (40) //
- Вот именно, нужно глубже, сразу в БИОС а, стоп Ведь уже uefi, EuPhobos, 31-Май-17, 07:08 (42) //
  - Sapienti sat, а остальным - бесполезно , Это я, 31-Май-17, 07:30 (51)
Это чтобы сисадмина не могли уволить , qsdg, 31-Май-17, 09:55 (70)
для этого есть докер , ALex_hha, 31-Май-17, 13:34 (79)
на сколько легко прострелить ногу - забыть включить нужное приложение и получить, Аноним, 31-Май-17, 13:41 (80) //
- Как, вы еще не шифруете диски , pavlinux, 31-Май-17, 17:55 (90)
Чото непонятно чем это лучше аппармора , Аноним, 31-Май-17, 17:05 (86)
Расходимся посаны code static int we_driver_open struct inode inode, struct, pavlinux, 31-Май-17, 18:04 (91) //
- Лол we -- это аббревиатура, а не местоимение Не сразу понял, но как понял, так, Ordu, 31-Май-17, 18:34 (96)
Представляю секс с попыткой восстановления такой системы в случае посыпавшегося, anonim, 01-Июн-17, 20:11 (104)
С учетом того, что это сделал Тойота, то она сделала это для себя А конкретно п, Аноним, 01-Июн-17, 21:03 (105) //
- Тойота, тошиба какая разница , Аноним, 01-Июн-17, 23:41 (106) //
  - Заметил уже после поста Смысл про автомобили не изменился Тем более, авторы в , Аноним, 02-Июн-17, 01:18 (107) //
    - , Аноним, 05-Июн-17, 20:55 (115)
      - Не говоря уже про аппаратные backdoors, начиная с AMT и заканчивая - Продемонст, Аноним, 05-Июн-17, 21:18 (116)
Ну, просто вирусы обзаведутся хаком WEUA , KroTozeR, 02-Июн-17, 23:15 (110)
Я конечо идиот, но объясните мне, что помешает приложениям из белого списка вып, Просто идиот, 04-Июн-17, 21:50 (112)
SELinux по-умолчанию разрешает выполнение программ и скриптов БЕЗ ПРАВИЛ, о кото, Аноним, 07-Июн-17, 02:24 (117)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру