Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Продемонстрировано несколько способов обхода изоляции FreeBSD jail"	+/–
Сообщение от opennews (??), 03-Янв-26, 20:35
На конференции 39C3 (Chaos Communication Congress) представлен доклад с результатами исследования защищённости механизма FreeBSD jail. Авторам исследования удалось выйти за пределы Jail и скомпрометировать хост, при условии, что у атакующего есть root-права внутри Jail. На GitHub опубликован код 5 прототипов эксплоитов, использующих для выхода из Jail уязвимости в ipfilter, dummynet, carp и ipfw, проявляющиеся во FreeBSD 14.3-RELEASE. Всего в ходе исследования выявлено около 50 проблем с безопасностью в ядре FreeBSD, для части из которых подготовлены патчи с исправлениями... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64550
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 03-Янв-26, 20:35	+2 +/–
>Современные >1990 даже не знаю >Rust кот бы сомневался в общем и целом, аналитика от бога
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

8. Сообщение от Аноним (8), 03-Янв-26, 21:00	–5 +/–
Многие российские хостеры FreeBSD VPS предлагают.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #11, #52, #83

9. Сообщение от Кошкажена (?), 03-Янв-26, 21:03	+3 +/–
> Большая часть проанализированного кода написана в 1990-х годах и давно не подвергалась аудиту. PVS еще в 17 году писали про кучу проблем https://pvs-studio.com/en/blog/posts/cpp/0496/ и указывали > FreeBSD code is regularly checked by Coverity Получается он достаточно плохо анализирует.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

10. Сообщение от Кошкажена (?), 03-Янв-26, 21:04	+10 +/–
И в чем проблема? Обновят и дальше будут предлагать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (11), 03-Янв-26, 21:09	–1 +/–
В Sony PlayStation 4 и 5 основываются на FreeBSD переработанной под себя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #45, #60

12. Сообщение от Аноним (12), 03-Янв-26, 21:13	+2 +/–
зачем внутри jail собирать вот это ipfilter, dummynet, carp и ipfw? Зачем у них jail не read-only корень, и не no-exec "пользовательский" каталог (каталог для записи). Где их src.conf?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40, #47, #68

13. Сообщение от Аноним (13), 03-Янв-26, 21:17	+1 +/–
> Большая часть проанализированного кода написана в 1990-х годах и давно не подвергалась аудиту. А использованию она подвергалась? Может быть нет, поэтому и аудит был не нужен.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

15. Сообщение от Аноним (-), 03-Янв-26, 22:28	–7 +/–
Мда... баги выглядят как типична сишная дристня. Сплошные Out-of-bounds read, Integer Underflow, Buffer Overflow, проблемы с NUL-Termination Check (хаха! недостроки недоязыка опять отстрелили ногу))) Missing vm_object_deallocate() when vm_map_fixed() fails in exec_map_stack() Double refcount decrement → UAF after vm_map_find() success and vm_map_wire() failure in nm_os_extmem_create() Out-of-bounds read in parse_notes() due to missing length validation Missing NUL-Termination Check in SIOCAIFGROUP/SIOCDIFGROUP Handler → Out-of-Bounds Reads Unbounded Allocation in nfsrvd_layoutcommit() can lead to Kernel Paniс Out-of-Bounds Read/Write in nfscl_docb() via Unvalidated nfsess_backslots Kernel Panic in nfsrpc_getdeviceinfo() and nfsrv_parseug() via Oversized NFSM_DISSECT() Requests Remote Kernel Memory Disclosure in nfsrpc_writerpc() due to Signedness Issue Out-of-Bounds Read/Write in pfr_clr_tables() via Missing NUL Termination for DIOCRCLRTABLES Pointer Information Leak via DPFPRINTF in PF Debug Paths (VNET-tunable from jails) Information Disclosure in cbq_getqstats(), priq_getqstats(), and fairq_getqstats() via Uninitialized Stack Structures Out-of-Bounds Read and Info Leak in pfsync_state_import() via Unterminated Interface Names Integer Underflow in nvpair_unpack_string_array() Allows Out-of-Bounds Read Information Leak in ipf_htable_stats_get() via Uninitialized Stack Padding (iphs_pad) Information Disclosure in ipf_nat_getent() due to uninitialized heap memory being copied to userland Stack Buffer Overflow in ipf_sync_write() Unbounded malloc() in ip_dummynet_compat() Buffer Overflow and Memory Leak in convert_rule_to_8() Unchecked return value of sooptcopyin() in IP_FW_ADD leads to use of uninitialized kernel data
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от Аноним (16), 03-Янв-26, 22:29	+/–
> Большая часть выявленных уязвимостей связана с ошибками при низкоуровневой работе с памятью, вместо которых можно было бы наделать разных других, применяя языки, позволяющие писать не думая, например, Rust. Можете не благодарить
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #49

17. Сообщение от Анонимусс (-), 03-Янв-26, 22:33	+7 +/–
> кот бы сомневался Кот не сомневается)) А ты посмотри на список бажин github.com/iljavs/FreeBSD-Jail-Security-Research-Mirror/issues Ну или хотя бы прочитай заголовки. Missing vm_object_deallocate() Double refcount decrement Out-of-bounds read Missing NUL-Termination Unbounded Allocation Out-of-Bounds Read/Write Uninitialized Stack Structures Out-of-Bounds Read and Info Leak Integer Underflow Allows Out-of-Bounds Read Uninitialized Stack Padding uninitialized heap memory Stack Buffer Overflow Buffer Overflow and Memory Leak Там же почти все проблемы - типикАл проблемы  ̶д̶ы̶х̶р̶я̶х̶и̶ Божественной Сишечки!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #19, #31, #43

19. Сообщение от Аноним (1), 03-Янв-26, 22:40	+/–
Для этого придумали статистические анализаторы, valgrind, и всё остальное. Да и когда писали этот код, компиляторы не имели и сотой доли нынешних возможностей для отладки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #21, #26, #44, #73

20. Сообщение от Анонимусс (-), 03-Янв-26, 22:41    Скрыто ботом-модератором	+/–
> позволяющие писать не думая А вот писаки сабжа много думали) Поэтому дырень на дырене и дыренью погоняет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

21. Сообщение от Анонимусс (-), 03-Янв-26, 22:48	+4 +/–
> Для этого придумали статистические анализаторы, valgrind, и всё остальное. Ну-ну. "Большая часть проанализированного кода написана в 1990-х годах и давно не подвергалась аудиту" У них было 20+ лет чтобы прогнать valgrind. >  статистические анализаторы Полезная штука. Но только когда ею пользуются. И чтобы ее не пропускали ее можно сделать неотъемлимой частью языка :) > Да и когда писали этот код, компиляторы не имели и > сотой доли нынешних возможностей для отладки. Забавная попытка оправдать бракоделие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

23. Сообщение от Аноним (73), 03-Янв-26, 23:29	+8 +/–
> Современные операционные системы крайне сложны и появление в них ошибок неизбежно. Бред какой. Да любой опеннетный эксперт пишет по две операционки ещё до завтрака, чисто чтобы размяться перед реальной работой — комментированием на опеннет. Анскилльные лалки просто не осилили.
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от Аноним (26), 04-Янв-26, 00:11	+/–
> статистические анализаторы ЛОЛЕД. Эксперта видно издалека.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

27. Сообщение от Аноним (-), 04-Янв-26, 00:11	+/–
> На конференции 39C3 (Chaos Communication Congress) представлен доклад с результатами исследования > защищённости механизма FreeBSD jail. На третий год ковбой набухался и все же спьяну поймал Неуловимого Джо. Но поскольку не придумал что с ним делать - отпустил восвояси.
Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от Аноним (-), 04-Янв-26, 00:14	–2 +/–
> выявлено около 50 проблем с безопасностью в ядре FreeBSD, Качественный код, blah-blah-blah... > для части из которых подготовлены патчи с исправлениями. А остальные можно продолжать гасить эксплойтми? Ну ок. А, блин, гасить нечего. Вот это обидно было.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

29. Сообщение от Аноним (-), 04-Янв-26, 00:14	+/–
> Получается он достаточно плохо анализирует. Или все кладут на его репорты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

31. Сообщение от Аноним (31), 04-Янв-26, 00:49	+/–
https://www.opennet.ru/opennews/art.shtml?num=64551
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #34

33. Сообщение от jack (??), 04-Янв-26, 00:52	+/–
бывает, а что в линуксе меньше багов... не ну серьезно покажите не дырявый софт?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35

34. Сообщение от Аноним (26), 04-Янв-26, 01:03	–3 +/–
https://opennet.ru/60877-backdoor
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

35. Сообщение от Ilnarildarovuch (?), 04-Янв-26, 03:24	+/–
OpenBSD
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #42, #50, #74, #85

39. Сообщение от Аноним324 (ok), 04-Янв-26, 11:02	–2 +/–
> Качественный код, blah-blah-blah. Ну так качественный же. Уязвимостей всего 50. А не как в линуксе, 500 уязвимостей и это до появления пингвинчика на экране, там ещё 5000 уязвимостей в иксах, по паре сотен в кде и гноме, сеть дырявая и тк далее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #41, #61

40. Сообщение от Роман (??), 04-Янв-26, 11:13	–1 +/–
> read-only корень...no-exec "пользовательский" каталог (каталог для записи). что заказчику делать с такой системой, как администрировать? > зачем внутри jail собирать вот это ipfilter, dummynet, carp я не проверял на фряхе и на джейлах - но на вскидку, carp для базового failover хочется
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #46

41. Сообщение от Аноним (-), 04-Янв-26, 12:23	+/–
> Ну так качественный же. Уязвимостей всего 50. Лол, это нашли всего 50. Причем живут они там с 90х. > там ещё 5000 уязвимостей в иксах Если бы в бсде использовался свой икс-сервер, написанный напр. современном с++ или (о боже) на расте, то был бы валидный пример. А там такие же иксы используются с таким же дидовым овнокодом. > по паре сотен в кде и гноме, сеть дырявая и тк далее. Окей, ты слился до уровня "а у нас негров линчуют". Можешь не продолжать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #59

42. Сообщение от xPhoenix (ok), 04-Янв-26, 13:00	+/–
Недостаточно хорошо пентестили просто.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #51

43. Сообщение от Аноним (43), 04-Янв-26, 13:32	+1 +/–
> типикАл проблемы  ̶д̶ы̶х̶р̶я̶х̶и̶ Божественной Сишечки! Типикал проблемы кода, написанного энтузиастами, которым всегда было плевать на проблемы безопафосности корп, вopующих этот код 30 лет. Причем, энтузиастам их поф-игизм только пользу принёс - в борьбе с "тивоизацией". А корпы как кopмили своих платных кастомеров и кастомерок с ло-паты, так и сейчас кормят. Только теперь - под сказки о безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

44. Сообщение от пэпэ (?), 04-Янв-26, 13:36	–1 +/–
Все абсолютно верно - для того, чтобы сишечку хоть как-то можно было использовать - придумали целые классы программ. Деблохаторы, стат. анализаторы и тп - это всё ради того, чтобы недоязычок хоть как-то работал. И когда народу говоришь про языки, где все это просто не нужно благодаря грамотному дизайну и встроенным гарантиям - это вызывает немножко защемление мозжечка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #53

45. Сообщение от пэпэ (?), 04-Янв-26, 13:52	–4 +/–
О да, нетфликс забыл ещё. И ссылку на сайт спонсоров фрибсд. И рассказ про гениальный сетевой стек. Давай сразу все карты на стол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

46. Сообщение от Аноним (46), 04-Янв-26, 14:01	+2 +/–
> что заказчику делать с такой системой, как администрировать? зачем ему вообще изоляция? > но на вскидку, carp для базового failover хочется ну так его в основной системе делают, зачем он в джейле?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

47. Сообщение от нах. (?), 04-Янв-26, 15:10	+/–
ну не собирай, действительно, чего животину мучать - скопируй через sh шелл-скрипт с base64encoded готовыми. Есть, правда, нюанс.... Но местным специалистам будет крайне трудно его понять. Они все еще маются чушью с ридонликорнем (пользователей добавлять ведь не надо) и прочими глупостями уровня детсада. > Где их src.conf? скрипачь уже двадцать лет ненужен, дарагой. И да, в ТАКОМ джейле где вот ето все сработало бы - твои детсадовские способы руту ничем не помешают. Опять не буду уточнять почему- мне выгодно что вы и...ты и умеете только в wsl
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #58

48. Сообщение от нах. (?), 04-Янв-26, 15:13	+1 +/–
не ну теоретически можно представить себе кого-то кто сначала джейл создает а потом дает ему права вот на йетовот всьо - особенно в эпоху ыы подсказок и нулевой квалификации мнящих себя админами. А так да, в 90х, как и в 200х - хрен бы получилось ее использовать где-то в реальном мире.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

49. Сообщение от нах. (?), 04-Янв-26, 15:14	+/–
да ну, чушь какая-то ыы генеренная. Какие такие ошибки ты видишь в README.md? (Особенно - написанном не думая - окей клава, набредь мне ридмишечку как мы щас тут на хрусте все перепишем ?) Там даже синтаксических не будет, ыы грамотноэ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

50. Сообщение от нах. (?), 04-Янв-26, 15:16	+2 +/–
да-да - зеро эксплойтов у выключенной и отключкенной от розетки системы с 93го года! (c)Theo потому что включать в общем и незачем - она ж ничего полезного в современном мире уже не умеет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

51. Сообщение от нах. (?), 04-Янв-26, 15:18	+/–
потому что неуловимый джо нахрен никому не сдался. а так - достаточно вспомнить прекрасное smtpd - причем, написанное как раз под лозунгом ща всем покажем-покажем как надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

52. Сообщение от нах. (?), 04-Янв-26, 15:24	+2 +/–
ну если на основе джейлов - беги оттуда. Лет 25 назад такое где-то наверное и могло бы быть. А если это обычная виртуалка - тебе как-то и похрен должно было быть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

53. Сообщение от Аноним (1), 04-Янв-26, 17:36	+1 +/–
Может, такие замечательные языки и есть, видимо, это c# и у него производительность и ресурсоёмкость питона. Потому что в том же расте у тебя память будет утекать КУДАТО, а треды периодически блокироваться ОТЧЕГОТО -- удачи отладить. А писать на нём просто невозможно. У файрфокса это едва получается, постоянно скроллинг или отрисовка отваливаются, процессы с медиаконтентом зависают, вертикальная синхронизация поломана. Ничего из этого не было до добавления ржавчины.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #55

55. Сообщение от Аноним (-), 04-Янв-26, 19:21	–1 +/–
> Потому что в том же расте у тебя память будет утекать КУДАТО Точно также как в любом языке без GC. Поэтому ищешь утечки аналогничными способами - Valgrind, jemalloc's heap profiler, dhat и прочие инструменты. > а треды периодически блокироваться ОТЧЕГОТО -- удачи отладить Раст не гарантирует отсутствие дедлоков, но с data races борется вполне успешно. В отличие от убогих недоязыков из 70х, которые вообще ничего не гарантируют. > удачи отладить > А писать на нём просто невозможно. Пффф... да таким неосиляторам как вы ни один язык не поможет)) > У файрфокса это едва получается, постоянно скроллинг или отрисовка отваливаются, процессы с медиаконтентом зависают, вертикальная синхронизация поломана. Ничего из этого не было до добавления ржавчины. Угу, у всех работает, а у тебя нет)) До добавлении ржавчины оно отрисовывалось в один поток. Не зря лиса получила прозвище тоpмoзилла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #62, #66, #82

58. Сообщение от Аноним (46), 04-Янв-26, 20:04	+/–
> И да, твои детсадовские способы руту ничем не помешают тебе этот рут еще надо будет получить или опять анекдот про получить рут с помощью рута :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #69

59. Сообщение от Аноним324 (ok), 04-Янв-26, 20:35	+/–
>> Ну так качественный же. Уязвимостей всего 50. > Лол, это нашли всего 50. Причем живут они там с 90х. >> там ещё 5000 уязвимостей в иксах > Если бы в бсде использовался свой икс-сервер, написанный напр. современном с++ или > (о боже) на расте, то был бы валидный пример. А там > такие же иксы используются с таким же дидовым овнокодом. >> по паре сотен в кде и гноме, сеть дырявая и тк далее. > Окей, ты слился до уровня "а у нас негров линчуют". > Можешь не продолжать. Ну так все эти штуки линукс в первую очередь, а значит уязвимости эти лежат на разрабах линуксячих, а не на бсд, у бсд в своей части всё хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #64, #87

60. Сообщение от Аноним (-), 04-Янв-26, 23:23	+/–
> В Sony PlayStation 4 и 5 основываются на FreeBSD переработанной под себя. Только тебе с этого ничего не обломится в сабжа. А так все хорошо, прекрасная маркиза.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

61. Сообщение от Аноним (-), 04-Янв-26, 23:25	–1 +/–
> Ну так качественный же. Уязвимостей всего 50. А не как в линуксе, 500 уязвимостей > и это до появления пингвинчика на экране, У меня на экране пояявился - утенок, а не пингвинчик. Наверное я что-то делаю не так. > там ещё 5000 уязвимостей в иксах, по паре сотен в кде и гноме, сеть дырявая и тк далее. KDE и Gnome внезапно не Liunx. Который вообще - ядро. И кстати в сабже в них что, вулны куда-то магичски пропадают? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

62. Сообщение от мяв (?), 04-Янв-26, 23:28	+/–
эти "все" с Вами там в одной комнате ? у огнелиса просто перманентный крашинг МедиаЧтоТоТам. более того, оно нормально не работало с лсм'ами до Х версии. по крайней мере, с аа и томойо. и крашило уже весь бравзер, емнип. операция запрашивалась, но тут же фейлилась, независимо от того, была ли разрешена в политике. почему - не разбиралась
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

64. Сообщение от Аноним (64), 05-Янв-26, 00:22	–1 +/–
> Ну так все эти штуки линукс в первую очередь, а значит уязвимости эти лежат > на разрабах линуксячих, а не на бсд, у бсд в своей части всё хорошо. Просто бсдшные "разрабы" проморгали эти уязвимости. Что в общем-то неудивительно. Их компетентность мы наблюдаем прям в этой новости))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

65. Сообщение от Аноним (65), 05-Янв-26, 04:44	+/–
А я рад новости, это говорит о том, что о FreeBSD помнят, находят баги, даже на раст переписать угрожают.
Ответить | Правка | Наверх | Cообщить модератору

66. Сообщение от Аноним (66), 05-Янв-26, 10:06	+/–
> но с data races борется вполне успешно. Аххахахах, ну ну) - https://www.opennet.ru/opennews/art.shtml?num=64439 Как, помогло нанятым-по-объявлению из гугла классовое разделение кода осознать, что снятие лока на список, в котором ты берёшь объект на read-write - это data race, и по хорошему объект нужно было удалить из листа перед тем как вернуть лок? Или все продолжили кидаться своими познаниями чекера боровов в "unsafe" часть кода, котора буквально одна строчка делающая то, что в ней написано? Ты же в курсе, что код крашнула та часть, которая "safe" как раз потому что она бросила лок перед тем, как закончить работать с объектом, потому что мегамозги лок использовали для памяти, а не для лайфтайма объектов, лежащих в этой памяти?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

67. Сообщение от Аноним (66), 05-Янв-26, 10:10	–2 +/–
> при условии, что у атакующего есть root-права внутри Jail. Пожалуйста, кто-нибудь, научите одноязычных пограммистов создавать юзернеймы для сервисов и выдавать процессам capabilities чтобы биндиться на 443 порт без рута.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #70

68. Сообщение от free (??), 05-Янв-26, 11:08	–1 +/–
src.conf это вроде как не компилировать все подряд. Как это с jailbreak? Убрать в jail сборку, на хрена такой jail?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #72

69. Сообщение от нах. (?), 05-Янв-26, 11:32	+/–
в общем, насчет твоих умений только в wsl - это была не шутка. ДА, внезапно - jail позволяет ограничивать возможности - рута. И прежде всего для этого и предназначен (остальное в общем спас бы и chroot). И все найденные увизгвимости - это именно будучи рутом внутри джейла. Причем джейла с достаточно необычными параметрами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #71

70. Сообщение от нах. (?), 05-Янв-26, 11:37	+/–
Пожалуйста, научите их так - не делать. Научите их программировать под юникс-системы. С дропом привиллегий (правильным а не как ыы набредила) и сменой uid. И чтоб ночью разбуди - могли правильно ответить на вопрос - почему, собственно, требуются рутовые права для доступа к системным портам. А если программа вместо этого требует л@п4@то-костылей - такое только в докере под докером в wsl запускать. Там пусть антивирус-касперского с ней разбирается если что.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #75, #77, #86

71. Сообщение от Аноним (46), 05-Янв-26, 15:45	–1 +/–
> в общем, насчет твоих умений только в wsl - это была не шутка. рассмешил :) 20 лет юзаю эти джейлы > ДА, внезапно - jail позволяет ограничивать возможности - рута. пропиши securelevel=3, и allow.suser="false" и спи спокойно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #78

72. Сообщение от Аноним (46), 05-Янв-26, 15:49	+/–
> src.conf это вроде как не компилировать все подряд. Прописываем кастомный /etc/src.conf и /etc/make.conf, а потом собираем "мир" # cd /usr/src # make buildworld # make installworld DESTDIR=/home/jail/new_jail # make distribution DESTDIR=/home/jail/new_jail # mount -t devfs devfs /home/jail/new_jail/dev Все по старинке, щас даже не в курсе как их там собирают. //docs-archive.freebsd.org/doc/7.4-RELEASE/usr/share/doc/handbook/jails-build.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #80

73. Сообщение от Аноним (73), 05-Янв-26, 20:00	+/–
> Для этого придумали статистические анализаторы, valgrind, и всё остальное. Да? И почему не пользуются тогда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #76

74. Сообщение от Аноним (73), 05-Янв-26, 20:05	+/–
Это у которого ядро в панику валится от неудачного printf в tty? Ох, насмешил 🤣
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

75. Сообщение от Аноним (73), 05-Янв-26, 20:11	–2 +/–
> почему, собственно, требуются рутовые права для доступа к системным портам Потому что надизайнившие этот бред диды верили в магию чисел и наследили ей по всей системе, от gid/uid до номеров портов. Качественнейшие грабли, до сих пор по ним бегаем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #79

76. Сообщение от Аноним (1), 05-Янв-26, 20:48	+/–
Потому что уже написано. Сейчас ещё LLM добавили к списку. И да, с растом это всё не работает, по сути, раст сейчас в дедовских временах застрял.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

77. Сообщение от Аноним (-), 06-Янв-26, 06:45	–1 +/–
> А если программа вместо этого требует л@п4@то-костылей - такое только в докере > под докером в wsl запускать. Там пусть антивирус-касперского с ней разбирается если что. И как говорится - завтра над вашей перепиской будет плакать все ФСБ. Сразу после АНБ, моссада, и ми6 конечно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

78. Сообщение от нах. (?), 06-Янв-26, 15:40	+/–
уже вижу, двадцать лет полируешь свой локалхост на версии 7.4 Жаль что он никому нахрен не нужен. Как и твоя квалификация. Лучше б ты хотя бы в wsl мог.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #89

79. Сообщение от нах. (?), 06-Янв-26, 15:41	+/–
Если тебе не нравится юникс - зачем вообще ты полез в него? Есть прекрасная венда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #81, #84

80. Сообщение от Анонимный БСДун (?), 06-Янв-26, 18:57	+/–
Ты тормоз что-ли все устройства монтировать в джэйл? Достаточно /dev/null, /dev/zero и /dev/random...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #90, #91

81. Сообщение от Аноним (73), 06-Янв-26, 19:42	+/–
За прекрасную винду платят меньше. Начнут платить больше -- брошу юникс и вспоминать не буду.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

82. Сообщение от Аноним (-), 06-Янв-26, 20:39	+/–
> Угу, у всех работает, а у тебя нет)) > До добавлении ржавчины оно отрисовывалось в один поток. > Не зря лиса получила прозвище тоpмoзилла. А с rust у нее другая проблема - память жрет как не в себя, да еще течет при этом. Поэтому если открыть более чем пяток вкладок - оно навернется. Да и с пятком вкладок навернется. Не сразу - так попозже. На через день - так через неделю. И не, пофиксить это господа так и не смогли. Все что они смогли - переставлять кнопки, ломать UI, отламывать фичи и - вот - свой нафигнужный кому ai пропихивать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

83. Сообщение от Аноним (83), 06-Янв-26, 20:53	–1 +/–
> Многие российские хостеры FreeBSD VPS предлагают. Кто и что предлагает? В свое врмемя firstvds предлагал - это жесть просто. По качеству сервиса и даунтаймам их BSD мог дать мастеркласс даже Win95. Хостинга хуже я не назову. А на виртуалках то можно ставить что угодно но врядли кто долбанулся BSD как гипервизор использовать, и как гуест - смысла столько же. LTS-а нет. Нормального управления системой типа systemd - нет. Бинарные пакеты - на вторых ролях. Так что мучений много а толку мало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

84. Сообщение от Аноним (-), 06-Янв-26, 21:27	–1 +/–
> Если тебе не нравится юникс - зачем вообще ты полез в него? Я вот пингвинов юзаю. Они вместо того чтобы биться лбом об алтарь, возведя ЭТО в ранг ритуала - удачно и практично доразвили идеи. Став гибридом разных парадигм. Которым и принадлежит будущее. Так лучше работает. А вы - ошибка эволюции. Можете биться лбами об алтари парадигм и делать свои бамбуковые самолеты дальше. Ритуалы ради ритуалов в бизнесе никому не надо. > Есть прекрасная венда. Я б посмотрел как ты порассуждаешь о прекрасном заскриптив что-нибудь, в, простите за ругательства, power shell. А лучше выписать тебе годик интерактива в этом, без права переписки^W использования нормальных шеллов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #88

85. Сообщение от Аноним (-), 06-Янв-26, 21:30	+/–
> OpenBSD К ним как-то зашел гражданин из NetBSD в рассылку. Знатно покоментил на тему неумения в атрибуты страниц памяти, когда прям гуест мог себе доступ в кернел мод хоста прорубить. Сэр и откоментил про security circus. А когда господа попробовали запатчить ЭТО - он и еще раз откоментил про это же - потому что патч получился не лучше самой фичи :). Если кто-то неуловимого джо кто-то еще и палочкой потыкает оно как-то так получается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

86. Сообщение от Аноним (-), 06-Янв-26, 21:43	+/–
> А если программа вместо этого требует л@п4@то-костылей - такое только в докере > под докером в wsl запускать. Там пусть антивирус-касперского с ней разбирается > если что. Сабж это ничуть не меньшие ч0рт0-костыли, которые тоже ни с чем кроме сабжа не совместимые. Только еще более кривые. Что-то одупляемое для изоляции сервисов пробовал сделать openbsd но сабж нашли там фатальный недостаток...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

87. Сообщение от Аноним (87), 06-Янв-26, 22:39	+/–
> Ну так все эти штуки линукс в первую очередь, а значит уязвимости > эти лежат на разрабах линуксячих, а не на бсд, у бсд > в своей части всё хорошо. Прикольные отмазки. А когда в результате они начинают дропать какую-нибудь там поддержку xorg и оказывается что уметь drm/kms апю надо и вообще xorg уже того - начинаются совсем доугие песни под гитару. С какими-то франкенштейнами и копипастой дров из линя. Системный уровень который вы заслужили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

88. Сообщение от Аноним (73), 06-Янв-26, 23:51	+/–
> Я б посмотрел как ты порассуждаешь о прекрасном заскриптив что-нибудь, в, простите за ругательства, power shell. У тебя skill issue. Винда божественно скриптуется из Power Shell. Достаточно уметь программировать и читать документацию. Линуксу о такой всепроникающей автоматизации только мечтать. Это так, к слову о вкусе устриц.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

89. Сообщение от Аноним (46), 07-Янв-26, 01:18	+/–
> уже вижу, двадцать лет полируешь свой локалхост на версии 7.4 эт просто ссылка из архивной документации, первая в гугле по запросу "freebsd jail buildworld", так что, не фиг вывод наивный делать. А так в принципе ничего не изменилось //docs.freebsd.org/en/books/handbook/jails/ > Жаль что он никому нахрен не нужен. Как и твоя квалификация. У тебя и твоих нанимателей столько денег нет, чтобы мою квалификацию оплатить, да и с евреями - не работаю! :) > Лучше б ты хотя бы в wsl мог. Лучше бы ты в зеркало посмотрел бы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

90. Сообщение от Аноним (46), 07-Янв-26, 01:42	+/–
> Ты тормоз что-ли все устройства монтировать в джэйл? Ты бы сынок сначала заглянул бы в /etc/devfs.rules Там есть стандартные вот такие строки: """ # Devices usually found in a jail. # [devfsrules_jail=4] add include $devfsrules_hide_all add include $devfsrules_unhide_basic add include $devfsrules_unhide_login add path fuse unhide add path zfs unhide [devfsrules_jail_vnet=5] add include $devfsrules_hide_all add include $devfsrules_unhide_basic add include $devfsrules_unhide_login add include $devfsrules_jail add path pf unhide """ А вот по этой ссылке //man.freebsd.org/cgi/man.cgi?query=jail&sektion=8&apropos=0&manpath=FreeBSD+15.0-RELEASE+and+Ports Есть параметр: """ devfs_ruleset            The number of the devfs ruleset that is enforced     for  mounting            devfs in    this jail.  A value of zero (default) means no ruleset            is  enforced.  Descendant jails inherit the parent jail's devfs            ruleset enforcement.  Mounting devfs inside a jail is  possible            only  if     the allow.mount and allow.mount.devfs permissions are            effective and enforce_statfs is set to a    value  lower  than  2.            Devfs  rules and    rulesets cannot    be viewed or modified from in-            side a jail.            NOTE: It    is important that only appropriate device nodes    in de-            vfs be exposed to a jail; access    to disk    devices     in  the  jail            may  permit processes in    the jail to bypass the jail sandboxing            by modifying files outside of the jail.    See devfs(8)  for  in-            formation  on how to use    devfs rules to limit access to entries            in the per-jail devfs.  A simple    devfs  ruleset    for  jails  is            available as ruleset #4 in /etc/defaults/devfs.rules. """ В приведенный выше пример это из архивной документации, на этапе препарирования базового окружения джейла можно и полностью монтировать, ничего тут страшного нет, а после установки нужного софта в джейле, создается продакшен джейл со всеми настройками в jail.conf и read-only fstab-ом. devfsrules можешь готовить под собственные нужды. Так что тормоз у вас видать в пустую прожался, ибо вы даже тупо хендбук в глаза не видели, потому-что я скопировал команды сборки мира именно из него.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

91. Сообщение от Аноним (46), 07-Янв-26, 01:45	+/–
А если бы ты реально видел бы в глаза хендбук то там черным по белому написано, все по той же ссылке: //docs-archive.freebsd.org/doc/7.4-RELEASE/usr/share/doc/handbook/jails-build.html """ Mounting the devfs(8) file system inside a jail is not required. On the other hand, any, or almost any application requires access to at least one device, depending on the purpose of the given application. It is very important to control access to devices from inside a jail, as improper settings could permit an attacker to do nasty things in the jail. Control over devfs(8) is managed through rulesets which are described in the devfs(8) and devfs.conf(5) manual pages. """
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема