The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз OpenSSH 5.9"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз OpenSSH 5.9"  +/
Сообщение от opennews (??) on 06-Сен-11, 16:28 
Доступен (http://lists.mindrot.org/pipermail/openssh-unix-announce/201...) релиз OpenSSH 5.9 (http://www.openssh.org/), открытой реализации клиента и сервера для работы по протоколам SSH (1.3, 1.5 и 2.0) и SFTP.


Из наиболее заметных улучшений можно отметить:


-  Поддержка нового sandbox-режима "UsePrivilegeSeparation=sandbox", использующего rlimit и systrace для более жесткой изоляции кода, работающего на стадии до начала аутентификации (pre-auth privsep child). Если ранее, до начала аутентификации практиковался сброс прав до непривилегированного пользователя и помещение процесса в chroot-окружение /var/empty, то теперь появились механизмы, позволяющие воспрепятствовать выполнению системных вызовов к ядру и использованию сокетов. В случае проникновения через уязвимость в OpenSSH при использовании новой защиты злоумышленник не сможет эксплуатировать локальную уязвимость в ядре для повышения прав или провести атаку на другие хосты (создать сокет, запустить ...

URL: http://lists.mindrot.org/pipermail/openssh-unix-announce/201...
Новость: https://www.opennet.ru/opennews/art.shtml?num=31686

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз OpenSSH 5.9"  +5 +/
Сообщение от Аноним (??) on 06-Сен-11, 16:28 
Жаль, что не добавили шифр Вернама. При современных дешёвых флешках и огромных дисках на сервере пора бы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Релиз OpenSSH 5.9"  +2 +/
Сообщение от Aquarius (ok) on 06-Сен-11, 17:48 
это тот, что еще называют одноразовым блокнотом?
а как обеспечить передачу ключа?
только при физическом доступе к серверу не годится - повторно использовать нельзя, необходимо дополнительно хранить на обеих сторонах информацию о том, какая часть ключа использована, передавать через то же защищенное соединение бессмысленно, даже со сжатием
IMHO, в чистом виде он практически неприменим вне зависимости от объемов носителей
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

39. "Релиз OpenSSH 5.9"  –2 +/
Сообщение от Аноним (??) on 07-Сен-11, 08:41 
>а как обеспечить передачу ключа?
>только при физическом доступе к серверу не годится

Без доступа ни какой ключ не передать. Или нужен другой, заведомо надёжный канал.
И ещё, если у вас нет физического доступа, или ещё хуже - вам досталась собранная кем-то машина с уже установленной ОС, то и о надёжном шифровании можно не особо беспокоиться.

>повторно использовать нельзя

Но большого объёма хватит надолго.

>необходимо дополнительно хранить на обеих сторонах информацию о том, какая часть ключа использована

Не просто хранить, а уничтожать. Зато видно, пользовались ли копией ключа в ваше отсутствие. И нельзя восстановить историю действий, даже имея запись трафика и вынудив вас выдать ключ.

>передавать через то же защищенное соединение бессмысленно, даже со сжатием

Сжатие вообще бессмысленно. А передача через старое защищённое (любым способом) соединение нового ключа - это плохо. Новый ключ будет скомпрометирован не позднее старого.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

67. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 09-Сен-11, 00:21 
> Без доступа ни какой ключ не передать.

Диффи-хеллман нервно покуривает в сторонке.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

40. "Релиз OpenSSH 5.9"  +/
Сообщение от user (??) on 07-Сен-11, 08:47 
>в чистом виде он практически неприменим вне зависимости от объемов носителей

А мужики то и не знают...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

49. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 07-Сен-11, 12:39 
Какие мужики? Им кто-то всерьез пользуется?
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

2. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 06-Сен-11, 16:35 
Что-то все монструознее и монструознее. Эх, забыли они выкладки Берштейна, что безопасная программа должна быть маленькой и простой :(.

В результате - в треде о взломе кернелорга была ссыль на форум где перец утверждал что ему вломили через 0day в openssh. С тех пор 0day в openssh никто вроде как не чинил. Все это как-то не внушает особого оптимизма.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Релиз OpenSSH 5.9"  +1 +/
Сообщение от Аноним (??) on 06-Сен-11, 16:41 
Имхо, продукции OpenBSD вообще пока лучше не доверять. Они еще по итогам аудита IPSec не отчитались (когда непосредственные участники событий заявили о внедрении туда бэкдора по заказу американских спецслужб). Тогда все ограничилось отмазками "да мы этих ребят вообще в первый раз видим". А результаты аудита так и не огласили. То ли его так и не провели (потому что некому), то ли все-таки нашли что-то и теперь отмалчиваются.

Я уж не говорю о том, что в их оси, которая позиционируется как супер-защищенная, нет даже элементарного мандатного контроля доступа.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Релиз OpenSSH 5.9"  +1 +/
Сообщение от Аноним (??) on 06-Сен-11, 17:20 
Не о чем отчитываться, вот и не отчитались. "OpenBSD code audit uncovered bugs, but no evidece of backdoor." Отмазок "в первый раз видим", кстати, никогда не было. Сам придумал?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

55. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 07-Сен-11, 15:41 
> Имхо, продукции OpenBSD вообще пока лучше не доверять.

Пф-ф-ф, делов то... напиши свою реализацию SSH и пользуйся на здоровье.. а OpenBSD`шной ни-ни.. низя

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Релиз OpenSSH 5.9"  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 06-Сен-11, 17:02 
а что такое 0day в openssh? Если гондурас тебя беспокоит, то нужно его просто почесать
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Релиз OpenSSH 5.9"  +5 +/
Сообщение от Аноним (??) on 06-Сен-11, 18:12 
> а что такое 0day в openssh?

По мнению того перца - некая дырка про которую публично не известно но которая предположительно есть и позволяет взлом. Чисто теоретически это ничему не противоречит: сперва дыру находят, а только потом она становится общеизвестна. И тут все на усмотрение нашедшего и его моральных устоев. А они как известно бывают разными.

С учетом наворачивания г0вен и превращения шелла в какой-то странный швейцарский нож с 120 лезвиями - вероятность дыр все больше и больше растет в каждой версии.

>Если гондурас тебя беспокоит, то нужно его просто почесать

Боюсь я не очень понимаю данный сленг, но предположительно он не технический, а поэтому неинтересен в данном контексте. Могу лишь заметить что судя по новостям хакеры нынче регулярно норовят что-нибудь "почесать" и вообще, беспокоят.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

21. "Релиз OpenSSH 5.9"  +2 +/
Сообщение от Аноним (??) on 06-Сен-11, 21:34 
>С учетом наворачивания г0вен и превращения шелла в какой-то странный швейцарский нож с 120 лезвиями - вероятность дыр все больше и больше растет в каждой версии.

Ну, чисто теоретически... взрывное разрастание функциональности и превращение простой, но безопасной программы в развесистую блоатварь, крайне тяжелую для аудита - может вполне целенаправленно прикрывать внедрение бэкдоров. Тем более, что репутация у проекта подмочена.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

50. "Релиз OpenSSH 5.9"  +1 +/
Сообщение от Харитон email on 07-Сен-11, 13:13 
Вывод: Идеальная по безопасности программа - размером в 1 бит! Да и то многовато...

Как говорил когда-то С.Лем.
Для малых процессоров(имеется в виду с малым набором операций например RISC) нужно писать большую программу для выполнения одного и той же задачи, что и для больших процессоров (у которых есть расширения и куча операций на все случаи жизни:видеакселератор, аудиоакселератор...).
Отсюда вывод: чем больше мы делаем процессор, тем меньше программу надо писать. В идеале бесконечно большой процессор сможет выполнять задачи без программы и наоборот. Если написать бесконечно большую программу, то процессор не понадобится (эдакий вариант алгоритмического языка в конце 80-х в школах СССР ))) )...


Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

59. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 07-Сен-11, 18:57 
В бесконечно большом процессоре, даже если забыть что он никуда не умещается, будет бесконечное количество багов :P. Хакеру не принципиально, будет ли проблема в программе или в самом процессоре. К тому же заменить программу - проще чем процессор. А у бесконечно большой программы есть одна проблема: она будет загружаться бесконечное время :P.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

61. "Релиз OpenSSH 5.9"  +3 +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 07-Сен-11, 21:44 
>>С учетом наворачивания г0вен и превращения шелла в какой-то странный швейцарский нож с 120 лезвиями - вероятность дыр все больше и больше растет в каждой версии.
> Ну, чисто теоретически... взрывное разрастание функциональности и превращение простой,
> но безопасной программы в развесистую блоатварь, крайне тяжелую для аудита -
> может вполне целенаправленно прикрывать внедрение бэкдоров. Тем более, что репутация у
> проекта подмочена.

Аноним на Опеннете вещает великую правду об OpenSSH, выясненную безымянным "перцем" на не пойми каком форуме - правда, безо всякой конкретики, ну да это же мелочи.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

60. "Релиз OpenSSH 5.9"  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 07-Сен-11, 21:43 
> Что-то все монструознее и монструознее. Эх, забыли они выкладки Берштейна, что безопасная
> программа должна быть маленькой и простой :(.

Вы исходники OpenSSH сначала посмотрите (а ещё лучше, сравните с чем-то аналогичным), а потом говорить об монструозности. Разработчики шагают в ногу со временем, только и всего. Описываемые изменения уложились в сравнительно небольшой объём кода.

> В результате - в треде о взломе кернелорга была ссыль на форум
> где перец утверждал что ему вломили через 0day в openssh.

Угу. Конечно, проще предположить, что виноваты авторы программы, а не тот, кто за своими ключами не уследил.

> С тех пор 0day в openssh никто вроде как не чинил. Все
> это как-то не внушает особого оптимизма.

Чтобы что-то починить, надо сначала это что-то сломать.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

65. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 08-Сен-11, 01:00 
>Разработчики шагают в ногу со временем, только и всего.

Ах вот как это называется. Значит, и разработчики всяких Nero Burning Rom тоже просто шагают в ногу со временем, превращая простую писалку дисков в ОС.

>Конечно, проще предположить, что виноваты авторы программы

Если авторы программы "идут в ногу со временем" - такое предположение напрашивается сразу.

>Чтобы что-то починить, надо сначала это что-то сломать.

"Все уже украдено до вас"(с)

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

66. "Релиз OpenSSH 5.9"  +1 +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 08-Сен-11, 02:54 
>>Разработчики шагают в ногу со временем, только и всего.
> Ах вот как это называется. Значит, и разработчики всяких Nero Burning Rom
> тоже просто шагают в ногу со временем, превращая простую писалку дисков
> в ОС.

А вы ничего не путаете? OpenSSH не проигрывает музыку, не записывает диски (в Ahead могут спать спокойно), не содержит браузер на Webkit и даже (о, ужас!) не умеет рисовать граффити ВКонтакте. Он выполняет свои функции - безопасное подключение к другим компьютерам и сетям. Какие конкретно части OpenSSH вы считаете неуместными?

>>Конечно, проще предположить, что виноваты авторы программы
> Если авторы программы "идут в ногу со временем" - такое предположение напрашивается
> сразу.

Опять-таки, факты в студию. То, что само напрашивается, далеко не всегда соответствует истине.

>>Чтобы что-то починить, надо сначала это что-то сломать.
> "Все уже украдено до вас"(с)

"Факты, сестра, факты"

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

68. "Релиз OpenSSH 5.9"  –1 +/
Сообщение от Аноним (??) on 09-Сен-11, 00:24 
> А вы ничего не путаете? OpenSSH не проигрывает музыку, не записывает диски
> (в Ahead могут спать спокойно), не содержит браузер на Webkit и
> даже (о, ужас!) не умеет рисовать граффити ВКонтакте.

Вместо этого оно изображает впн (довольно паршиво), редиректит порты (почему это должен делать шелл?), выступает файлсервером (блин, это правда все еще шелл?) и что там я еще забыл?! А потом со всей этой фигней  мы попытаемся взлететь...

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

69. "Релиз OpenSSH 5.9"  +1 +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 09-Сен-11, 01:43 
>> А вы ничего не путаете? OpenSSH не проигрывает музыку, не записывает диски
>> (в Ahead могут спать спокойно), не содержит браузер на Webkit и
>> даже (о, ужас!) не умеет рисовать граффити ВКонтакте.
> Вместо этого оно изображает впн (довольно паршиво),

Для решения на скорую руку (когда некогда поднимать IPSec/OpenVPN/etc.) вполне хватает. Впрочем, не суть.

> редиректит порты (почему это должен
> делать шелл?), выступает файлсервером (блин, это правда все еще шелл?) и
> что там я еще забыл?! А потом со всей этой фигней
>  мы попытаемся взлететь...

Во-первых, вы уж тогда придирайтесь не к OpenSSH, а к IETF. Которые под названием Secure Shell понимают как раз вышеперечисленное. ;)

Во-вторых, будьте внимательны: я специально написал, что обеспечивает безопасный доступ к другим компьютерам и сетям. С этим набором функций SSH-реализации (в первую очередь нынче это как раз OpenSSH) справляются, на большее не претендуют. Суть претензий слабо понятна, так как все приведённые аналогии, мягко говоря, притянуты за уши.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

4. "Релиз OpenSSH 5.9"  +/
Сообщение от iZEN (ok) on 06-Сен-11, 16:43 
Кстати, никто не в курсе, почему из CUPS 1.4.8 выпилили поддержку GnuTLS и перешли на OpenSSL?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Релиз OpenSSH 5.9"  +1 +/
Сообщение от Andrey Mitrofanov on 06-Сен-11, 16:45 
Ну, уж ты-то должен понимать: Эппле, GPLv3... Ага? ;->
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 06-Сен-11, 16:46 
Apple не любит GPL.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Релиз OpenSSH 5.9"  +/
Сообщение от Anonymouse on 06-Сен-11, 17:41 
Предположим что ты прав. Но! :
CUPSTM is provided under the GNU General Public License ("GPL") and GNU Library General Public License ("LGPL"), Version 2, with exceptions for Apple operating systems and the OpenSSL toolkit. A copy of the exceptions and licenses follow this introduction.

И .... ?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Релиз OpenSSH 5.9"  +1 +/
Сообщение от Andrey Mitrofanov on 06-Сен-11, 17:54 
> И .... ?

Эппле не разрабатывала и не выбирала лицензию для. Очень удачно купили фирму вместе продуктом и разработчиком, а _потом_ внизапна узнали о "неудобной" лицензии --- вот теперь елозят на гребешке. И очень, ооооочень "пужаются" LGPLv3. То есть GPLv2 они, конечно, тоже пужаются -- только деться никуда не могут.

Слабаки же.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Релиз OpenSSH 5.9"  +/
Сообщение от Andrey Mitrofanov on 06-Сен-11, 18:02 
> Эппле не разрабатывала
>елозят на гребешке. И очень, ооооочень "пужаются" LGPLv3.

Хотя, возможно дело в несовместимости GPLv2(&LGPLv2) _ровно_ со стороны CUPS c LGPLv3+ со стороны GnuTLS

100 * Version 3.0.0 (released 2011-07-29)
124 ** libgnutls: license upgraded to LGPLv3

> Слабаки же.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

26. "Релиз OpenSSH 5.9"  –1 +/
Сообщение от ананим on 06-Сен-11, 23:37 
Женна - дизайнер.
Хп к88650дн - мак не рвбртвет, линух - отлияно.
вставить дрова из линуха в мак не удалась.
Купс.
бодяге уже год. Поддкржка в курсе.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

28. "Релиз OpenSSH 5.9"  +2 +/
Сообщение от Аноним (??) on 07-Сен-11, 00:10 
У кого-то пятница начинается уже во вторник...
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

71. "Релиз OpenSSH 5.9"  +/
Сообщение от ананим on 11-Сен-11, 18:29 
и к чему ты это написал?
или как обычно - если нечего сказать, то к орфографии прицепишься?
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Релиз OpenSSH 5.9"  +1 +/
Сообщение от Аноним (??) on 07-Сен-11, 00:33 
> бодяге уже год. Поддкржка в курсе.

Да никто и не сомневался что у проприетарщиков техподдержка замечательная.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

17. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 06-Сен-11, 19:33 
>И .... ?

Ваш вопрос имел бы смысл, если бы Apple сама разрабатывала CUPS. Но она его купила уже готовым, так что изменить лицензию было уже нереально.

Наверняка, если бы существовали достойные аналоги под проприетарно-дружественными лицензиями (BSD-like, etc), купили бы их. Но таких, увы, не было и нет.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

41. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 07-Сен-11, 08:49 
>если бы существовали аналоги под лицензиями BSD, купили бы их.

Как? И зачем?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

44. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 07-Сен-11, 11:38 
>Как?

Точно так же, как купили CUPS.

>И зачем?

И ровно с теми же целями.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

16. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 06-Сен-11, 18:12 
> Кстати, никто не в курсе, почему из CUPS 1.4.8 выпилили поддержку GnuTLS
> и перешли на OpenSSL?

Казалось бы при чем здесь Луж^W SSL? :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Релиз OpenSSH 5.9"  +1 +/
Сообщение от Аноним (??) on 06-Сен-11, 16:43 
mindrot (домен по ссылке) - это что за министерство? :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 06-Сен-11, 16:45 
>В будущем планируется обеспечить поддержку таких механизмов, как Capsicum

Не понял, это альтернативная реализация TrustedBSD или просто экстенсивное расширение POSIX capabilities?

> и изолированных пространств имен в Linux (pid/net namespaces).

LXC, конечно, хорошо, но оно ограничивает не перечень системных вызовов, а лишь область их действия. Имхо, все же не стоит забывать про SELinux, который может добавить как минимум еще один уровень защиты.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 06-Сен-11, 20:08 
> LXC, конечно, хорошо, но оно ограничивает не перечень системных вызовов, а лишь
> область их действия.

Лишь? Вот например rm -rf /* на моем сервере от рута - хреново. Для меня. А на чьем-то еще - пофигу. Для меня. А ведь это всего-то ограничение области действия системных вызовов :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

19. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 06-Сен-11, 20:13 
Проблема ограничения области действия в том, что теоретически возможен путь косвенного воздействия на объекты, находящиеся за пределами зоны ограничения. Особенно при отсутствии ограничений на syscalls.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 06-Сен-11, 21:07 
> Проблема ограничения области действия в том, что теоретически возможен путь косвенного
> воздействия на объекты, находящиеся за пределами зоны ограничения. Особенно при отсутствии
> ограничений на syscalls.

Практически однако я не слышал о, допустим, взломе  хоть тех же openvz-контейнеров. Хотя это на каждом первом хостинге понатыкано уже немало лет.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 06-Сен-11, 21:38 
> Практически однако я не слышал о, допустим, взломе  хоть тех же
> openvz-контейнеров. Хотя это на каждом первом хостинге понатыкано уже немало лет.

Многие ядерные (не юзерспейсные, это важно) дыры на local root позволяют обойти контейнерную изоляцию. Прецеденты были (например, кое-кого повскрывали в честь модуля tun). Видимо, те, на чей опыт вы опираетесь, являются неуловимыми Джо.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Релиз OpenSSH 5.9"  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 06-Сен-11, 22:03 
перехват системных вызовов от этого тоже не спасёт
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Релиз OpenSSH 5.9"  +1 +/
Сообщение от Аноним (??) on 06-Сен-11, 22:11 
> перехват системных вызовов от этого тоже не спасёт

Зависит от, имхо. Если проблемный сискол до ядра вообще не долетит - то почему бы и нет? :)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

29. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 07-Сен-11, 00:13 
> Зависит от, имхо. Если проблемный сискол до ядра вообще не долетит -

Долететь-то он, может, и долетит, но не туда, куда хотелось. Не в уязвимую мякотку, а в бессердечный код предварительной фильтрации. А дальше уже все, печалька.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

42. "Релиз OpenSSH 5.9"  –1 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 07-Сен-11, 10:17 
потому что сисколов всего несколько десятков, большая часть всего функционала реализуется вообще через примерно десяток, нельзя практически ничего запретить без потери работоспособности. Нет такого сискола как 'поднять_себе_привелегии_до_рута_и_на.._админа'.

Чтобы такой подход был действенным нужно анализировать протоколы следующего уровня (над сисколами) и заранее иметь базу возможных атак. Это может помочь только для совсем никак не поддерживаемых закрытых продуктов.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

46. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 07-Сен-11, 11:43 
> потому что сисколов всего несколько десятков, большая часть всего функционала реализуется
> вообще через примерно десяток, нельзя практически ничего запретить без потери работоспособности.

С вашей логикой, и POSIX capabilties должны быть абсолютно бесполезны. Однако они почему-то благополучно используются.

> нельзя практически ничего запретить без потери работоспособности.

Это особо порадовало.
Надо вообще всем программам рута дать, а то они наверняка из-за всяких ограничений работоспособность теряют.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

63. "Релиз OpenSSH 5.9"  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 07-Сен-11, 23:09 
posix caps'ы не решают проблем качества кода, а именно по этой причине в большинстве случаев удаётся поиметь локалхост, а не из-за проблем архитектуры. Это всего лишь ещё один механизм более гранулированной раздачи прав. И...

> Однако они почему-то благополучно используются.

они просто благополучно существуют примерно как и SElinux и множество прочих решений. Есть то они есть, все такие замечательные, но никто особо не спешит ими пользоваться в широких масштабах. Почему так получается уже другой вопрос.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

51. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 07-Сен-11, 13:29 
> вообще через примерно десяток, нельзя практически ничего запретить без потери работоспособности.

Расскажите это парням с codepad.org. Они это не знают и поэтому у них работает запуск сишного кода напечатанного в браузере. И да, эти стремные типы зачем-то порезали сисколы. Наверное чтобы их виртуалку не хакали еще на подходах, так сказать :)))

> Нет такого сискола как 'поднять_себе_привелегии_до_рута_и_на.._админа'.

Это вообще к чему? Лавры Капитана не дают покоя?

> Чтобы такой подход был действенным нужно анализировать протоколы следующего уровня (над
> сисколами)

А что такое "протоколы следующего уровня"? Ну вот например форкнул я процесс. Что является "протоколом следующего уровня"?

> и заранее иметь базу возможных атак. Это может помочь только
> для совсем никак не поддерживаемых закрытых продуктов.

А про эти можно только сказать что горбатого могила исправит.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

64. "Релиз OpenSSH 5.9"  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 07-Сен-11, 23:18 
> Они это не знают и поэтому у них работает запуск сишного кода напечатанного в браузере. И да, эти стремные типы зачем-то порезали сисколы.

И как, много пользы получил выполнения кода в такой поеразнной виртуалке?  Когда сделаешь на этом функционально богатое полезное приложение, тогда пиходи дальше писать ерунду.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

62. "Релиз OpenSSH 5.9"  +1 +/
Сообщение от brother anon on 07-Сен-11, 22:41 
> Нет такого сискола как 'поднять_себе_привелегии_до_рута_и_на.._админа'.

setuid(0);

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

27. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 07-Сен-11, 00:09 
>перехват системных вызовов от этого тоже не спасёт

Да неужели? А как тогда, по-вашему, обычно эксплуатируются подобные дыры? Воздушно-капельным путем?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

43. "Релиз OpenSSH 5.9"  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 07-Сен-11, 10:18 
смотри комент выше
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 07-Сен-11, 00:46 
> Многие ядерные (не юзерспейсные, это важно) дыры на local root позволяют обойти
> контейнерную изоляцию. Прецеденты были (например, кое-кого повскрывали в честь модуля
> tun). Видимо, те, на чей опыт вы опираетесь, являются неуловимыми Джо.

В принципе - да, это возможно. Если совсем ссыкотно - можно и более тяжеловесный виртуализатор использовать. Там даже проломленное ядро виртуалки - как бы не страшно. Правда скорость в отместку местами просядет, увы.


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

35. "Релиз OpenSSH 5.9"  +/
Сообщение от Michael Shigorin email(ok) on 07-Сен-11, 01:51 
> Многие ядерные (не юзерспейсные, это важно) дыры на local root

В смысле local kernel?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

45. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 07-Сен-11, 11:40 
> В смысле local kernel?

Нет, именно выполнение кода с повышенными привилегиями. У локальных досов своя специфика, которая требует отдельного обсуждения.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

53. "Релиз OpenSSH 5.9"  +/
Сообщение от Michael Shigorin email(ok) on 07-Сен-11, 13:52 
>> В смысле local kernel?
> Нет, именно выполнение кода с повышенными привилегиями. У локальных досов своя специфика,
> которая требует отдельного обсуждения.

Не, ну dos всяко != kernel... была пара раз (припоминается коркомёт и будто ksplice), когда из тех же контейнеров вылазили прям в ядро.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

54. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 07-Сен-11, 15:19 
local dos может быть и через ядро, примеров куча (почти каждую недели в линуксе такое находят).

Это просто два разных критерия классификации уязвимости - тип уязвимости (дос, исполнение кода с повышенными привилегиями, etc) и классу уязвимого кода (ядро или юзерспейс).

Я говорил конкретно про исполнение кода с повышенными привилегиями за счет уязвимостей ядра.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

33. "Релиз OpenSSH 5.9"  +/
Сообщение от xxx (??) on 07-Сен-11, 01:22 
>Не понял, это альтернативная реализация TrustedBSD или просто экстенсивное расширение POSIX capabilities?

Хз, я не фанат безопасности, погляди: http://www.cl.cam.ac.uk/research/security/capsicum/

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

47. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 07-Сен-11, 11:47 
Судя по тамошнему куцему описанию, это такое недоLXC.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

25. "Релиз OpenSSH 5.9"  +/
Сообщение от фыг on 06-Сен-11, 22:38 
Когда очепятки пальцев можно будет как ключ юзать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Релиз OpenSSH 5.9"  +1 +/
Сообщение от Аноним (??) on 07-Сен-11, 00:43 
> Когда очепятки пальцев можно будет как ключ юзать?

Думаю что никогда - надежность этого метода применительно к доступу к удаленным серверам получается крайне хилая. К тому же не понятно что делать если хаксор угнал снимки пальцев и подсовывает их внаглую как якобы картинку со сканера.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

38. "Релиз OpenSSH 5.9"  +/
Сообщение от asu on 07-Сен-11, 08:07 
Отпечатки как картинки хранят только труодлфагименты.
В системах биометриии они пересчитываются в хэш.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

48. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 07-Сен-11, 12:35 
>В системах биометриии они пересчитываются в хэш.

Перед этим необходимо довольно трудоемкое преобразование. Потому что хэшировать обычный снимок - заведомый идиотизм. Простая аналогия: если сфоткать одного и того же человека два раза подряд с перерывом в полсекунды, даже если и он, и фотограф постараются не двигаться - все равно с вероятностью 99% даст различные хеши фоток. Для использования в биометрии, снимки нужно обработать и выделить некий каркас, нечувствительный к случайным помехам.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

52. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 07-Сен-11, 13:30 
> В системах биометриии они пересчитываются в хэш.

И что помешает хаксору высылать этот же хеш "как будто бы только что со сканера"? Кроме того, учитывая дубовое разрешение сканера и огрубления из-за допусков на неточности (иначе сам владелец хрен проавторизуется из-за несовпадений) - есть опасения что сие могут попросту сбрутфорсить.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

58. "Релиз OpenSSH 5.9"  +/
Сообщение от Аноним (??) on 07-Сен-11, 18:52 
> В системах биометриии они пересчитываются в хэш.

Да похрен. Пароль в случае кражи хотя-бы сменить можно. А что делать если сопрут хэш?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

70. "Релиз OpenSSH 5.9"  +/
Сообщение от stimpack on 10-Сен-11, 08:41 
>> Когда очепятки пальцев можно будет как ключ юзать?
> Думаю что никогда - надежность этого метода применительно к доступу к удаленным
> серверам получается крайне хилая. К тому же не понятно что делать
> если хаксор угнал снимки пальцев и подсовывает их внаглую как якобы
> картинку со сканера.

Угнать можно и закрытый ключ, если получится. Здесь разница лишь в распространенности. Руками вы касаетесь за множество вещей. Отпечатки можно снять, просто забрав после ваш стакан в кафе. Закрытый же ключ лежит в одном месте и менее легкодоступен, чем отпечатки.

А генерировать закрытый ключ с отпечатков или с /dev/random - разницы нет, все равно серверы получат только открытый, поэтому уровень защиты В СЕТИ одинаковый.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру