Линус Торвальдс принял в состав будущего выпуска ядра Linux 5.4 набор патчей "lockdown", предложенный Дэвидом Хоуэллсом (David Howells) и Мэтью Гарретом (Matthew Garrett) для ограничения доступа пользователя root к ядру. Связанная с "lockdown" функциональность вынесена в опционально загружаемый LSM-модуль (Linux Security Module), устанавливающий барьер между UID 0 и ядром, ограничивая определённую низкоуровневую функциональность...Подробнее: https://www.opennet.me/opennews/art.shtml?num=51591
Коренная дискриминация...
Прямо как во FreeBSD (см. securelevels).
> Прямо как во FreeBSD (см. securelevels).security.bsd.suser_enabled: processes with uid 0 have privilege
Бздуны, как всегда, оперативно тащат идеи, новшества и инновации из Линуха к себе )))
наоборот же. Марк Грегер пытался притащить это из BSD ещё 7 лет назад, но тогда оно слишком сильно зависило от UEFI
Мэтью Гаррет*
> наоборот же. Марк Грегер пытался притащить это из BSD ещё 7 лет назад, но тогда оно слишком сильно зависило от UEFIНе вводите людей в заблуждение. securelevels — это штатный механизм защиты во фре, которому 20 лет в обед и который никак не связан с UEFI.
7 лет назад Гаррет пытался пропихнуть патчи, упрощающие вендорам тивоизацию устройств (практика установки кастрированного линукса без возможности заменить его на нормальный). Был послан Линусом в пешее эротическое.
Принятые сейчас патчи предоставляют универсальный механизм безопасности, аналогичный securelevels. Упрощение тивоизации — побочное следствие, "налог на добавленную функциональность". Гаррет, надо полагать, стремился именно к этому — чтобы вместе с бочкой мёда приняли и ложку экскрементов.
> который никак не связан с UEFI.я не про фрю говорил, а про реализацию для линя, которая предлагалась 7 лет назад
Вы написали
> притащить это из BSD ещё 7 лет назадхотя предложенные 7 лет назад патчи были посвящены тивоизации загрузчика и не имели ничего общего с механизмами безопасности BSD.
что за конфиденциальные данные, хранящиеся на уровне ядра?PS "ограничения root развались в контексте"
Чтобы всякие антикапиталистические юзвери секурбуты и дрм не ковыряли.
явки и пароли от банковских счетов конфиденциальные данные пользователя, а секурбут - нет. дрм может и конф. данные, но не пользователя.
ну так не юзера это нововведение и защищает
secureboot и drm хрен поковыряешь, они теперь аппаратные
> secureboot и drm теперь хрен поковыряешь, они аппаратныеFixed.
> secureboot и drm теперь хрен поковыряешь, они аппаратныеsecureboot и drm поковырять можно, но они аппаратные.
На вскидку ключи шифрования, содержимое дискового кэша, остатки данных из использованых буферов ввода (например, могут оседать введённые пароли).
Характерно, что эта новость появилась вскоре за новостью о портированиие Edge на Linux. Что дальше - GUI от винды?!
> Характерно, что эта новость появилась вскоре за новостью о портированиие Edge на
> Linux. Что дальше - GUI от винды?!Почему бы и нет
Вендорам позарез нужно прибить рутинг телефонов.
А сами они патчи накладывать не умеют? Что им мешало делать это раньше?
вой на болотах. А так - "штатная возможность ядра linux - вот и используем!"
Хуавею вой на болотах не мешал. Хотели и делали.
Причем тут рутинг телефонов...
действительно, мы ж просто заботимся о вас и вашей безопастносте
Они и так его уже давно прибили. Вы давно занимались разблокировкой загрузчика на телефонах Huawei или Nokia?
>Huawei
>NokiaКитайскими зондами не пользуюсь. Американские зонды как-то лучше.
Мсье знает толк в зондах. Расскажите нам, пожалуйста, чем они лучше — возможностью присесть при выезде в АМЛАГ? (Притом, что подавляющее большинство народу регулярно катается в Европу и никогда — в Китай.)
>Притом, что подавляющее большинство народу регулярно катается в Европу и никогда — в Китай.)Вы там совсем зажрались
Американские зонды гладкие блестящие в виде самоцветов, девушкам с ними удобно в любое время. А китайские грубые и пластмассовые.
Можно подумать, американские не из пластмассы. Нынче даже Apple made in China.
Там главное слово было зонды, а ты все испортил свои эплом.
А разве эпл — не зонды?
Можно подумать, вендоры ядро патчить не умеют.Для меня один из критериев при выборе телефона - простота получения рута. Я причем даже не рутал, но знаю, что могу :-)
> Я причем даже не рутал, но знаю, что могу :-)Два телефона этому Анониму!
два айфона ему
неумеют. Моя за миска риса уметь патчить краденая драйвер от похозая моделя. Переделать вся ядро стобы рута не была могла доступ ко всему - моя не умеет.
> Для меня один из критериев при выборе телефона - простота получения рута.Не поделитесь, кстати, сакральными знаниями о том, где это сейчас делается просто? Я уже задолбался перелопачивать противоречивую информацию на xda/4pda и инструкции про заполнение анкет для отправки на деревню китайским дедам.
OnePlus же
> OnePlusЕдинственная относительно нелопатная модель осталась только б/у.
Чтобы прямо совсем для домохозяйки, не умеющей в adb, это нигде.А так, берете список понравившихся моделей и гуглите how to root $modelName.
> А так, берете список понравившихся моделей и гуглите how to root $modelName.Это, к сожалению, ненадёжный и трудоёмкий алгоритм. Информация о нерабочем «Allow OEM unlock» (ну, пока не просидишь месяц в ожидании кода после всех SMS и регистраций на сайте производителя, ага) обычно прячется за тремя слоями дорвеев с шаблонными страницами вида: «у девайса вооот такие спеки… ах, да, рут! просто залей воды^W twrp» (ага, которого под девайс ещё никто не собрал). Даже если ограничиться 4pda и популярными моделями, всё равно приходится делать кучу кликов, чтобы не пропустить потенциальные грабли с каким-нибудь «RMM State: Prenormal».
Хоть как-то существенно и качественно сузить круг претендентов пока позволяет только совет сразу выкинуть Huawei и Nokia и подвинуть Xiaomi без Android One глубоко в конец списка. На чтение остального нужно столько времени потратить, что пока выберешь, всё уже напрочь успеет устареть (особенно покупатель).
Сделай каку - купи на MTK.Да, зато с рутом проще...
Google Nexux, не? Хотя лучше что-нибудь на Broadcom, у них драйвера менее дырявые.
У меня нормально все гуглится, по первой странице выдачи вполне составляется впечатление.Возможно, потому, что у меня hl=en?
> У меня нормально все гуглитсяДля каких девайсов?
> по первой странице выдачи вполне составляется впечатление.
…обманчивое. По первому же запросу бесполезные дорвеи (и xda с полудохлыми подфорумами): https://i.imgur.com/Fv9Qwzv.png
> Возможно, потому, что у меня hl=en?
Всю дорогу только так и пользуюсь.
Чтобы прям даже не было TWRP, надо иметь либо всратое китайское дерьмо (в этом случае, ССЗБ), либо очень старый смартфон (ССЗБ), либо не уметь пользоваться гуглом (снова ССЗБ)
> Чтобы прям даже не было TWRP, надо иметьНу вот давайте на примере всё того же Nokia 5.1 Plus:
> всратое китайское дерьмо
Всратое — потому что «нокия уже не та!111!1»? Китайское — потому что собрано на foxconn?
> либо очень старый смартфон
«Released 2018, July» — фууууууу, устарело, не модно!
> либо не уметь пользоваться гуглом
Ну давайте, покажите мне что-то отличное от тухлых тредов на xda о том, как все ждут подачки в виде разблокированного рагрузчика.
>Для меня один из критериев при выборе телефона - простота получения рута.Принципиально не рутаю телефоны, пользуюсь яблоками, доволен как слон.
Соболезную. Держи в курсе, конечно
Свободу Руту! Угнетатели!
> , запрещается переход в спящий и жрущий режимыто есть, sudo pm-suspend/hibernate отменили? Только через GUI, завязанное на systemd?
>> , запрещается переход в спящий и жрущий режимы
> то есть, sudo pm-suspend/hibernate отменили? Только через GUI, завязанное на systemd?у нас упcpaт!
и вообще - зачем вам гибернейт на *нашем* телефоне - он же не сможет получить нотифай что вам поставили ла-а-а-айк!
Ты вообще в курсе, что ядро линуха в первую очередь НЕ для телефонов делается?
А зачем серверам хибернейт?
Зря что-ли существует функция - просыпаться по запросу сети (или включаться)?
Чтобы электрику зря не расходовали же. А то только стоят и крутят счётчик.
Может быть, просто выбросить, чтобы ещё и места не занимали?
> Может быть, просто выбросить, чтобы ещё и места не занимали?Очень даже вариант. По фень-шую.
Hybernate серверам (точнее виртуальным машинам на них) нужен для миграции.
ну да, гугл явно не о телефонах печется выкатывая подобные патчи
а о чем? Для гуглобуков оно, по очевидным (тот же гибернейт) причинам бесполезное, для серверов в общем-то тоже непонятно куда прикрутить и какой от этой "защиты" толк (что и от кого оно защищает-ась?)вот для чего-то закрытого где рут не доверенное лицо а наоборот кто-то явно левый - ага. Ну так и что бы это у нас такое могло быть, а?
вы не можете в сарказм сер. рекомендую вам пройти Fallout4 пару раз
> зачем вам гибернейт на *нашем* телефоне - он же не сможет получить нотифай что вам поставили ла-а-а-айк!Так ведь в момент выключения экрана телефон как раз и переходит в спящий или ждущий режим, не?
Нет. Отключается экран. С задержкой WiFi. Все железо понижает частоты. Останавливаются активные процессы.
Линукс так не умеет из коробки.
> Нет. Отключается экран. С задержкой WiFi. Все железо понижает частоты.
> Останавливаются активные процессы.
> Линукс так не умеет из коробки.Точно-точно не умеет? :)
// мне есть ещё чего сказать, хотя тут бы User294 выпустить
Только в спящий, не в жрущий. Запретили ядру спящий режим.Потому что не гарантии что во время сна образ памяти не похакали.
Вообще конечно надо ещё один флаг или параметр чтобы разрешалось засыпать если свап зашифрован.
> Потому что не гарантии что во время сна образ памяти не похакали.Нет гарантии, что при работе память не похакали.
Предполагается что поехать память при работе это слишком сложно, да и защититься от этого никак нельзя в принципе
> Предполагается чтопротивник обладает всеми возможными техническими средствами.
> поехать память при работе это слишком сложно, да и защититься
> от этого никак нельзя в принципеВ принципе невозможно создать не взламываемый алгоритм шифрования. Однако, на практике их реализуют.
> В принципе невозможно создать не взламываемый алгоритм шифрования. Однако, на практике их реализуют.Кто опять палате №6 интернет подключил?
>> В принципе невозможно создать не взламываемый алгоритм шифрования. Однако, на практике их реализуют.
> Кто опять палате №6 интернет подключил?уроки кончились, очередной вундеркинд пришёл рассказывать за крипто.
> Кто опять палате №6 интернет подключил?Резвитесь пока. Может про NP-полные проблемы заодно почитаете.
> В принципе не возможно, создать не взламываемый алгоритм, шиф рования.
> Одна ко, на практике, их реализуют.Всё же вряд ли это был герой https://www.youtube.com/watch?v=yIIO7gxOAiY :]
Это был Шнайер.
Сложение по модулю 2
> Сложение по модулю 2Надеюсь, с одноразовым блокнотом.
У AMD для этого SME есть. Если сервер выключился, то даже дампы памяти тебе ничего не выдадут, особенно ключи для дисков.
Напоминает старый комикс: "тот, кто не знает пароля root... может получить доступ к истории браузера, кукис, сохраненным паролям, моим файлам, может даже удалить что угодно... НО НЕ МОЖЕТ УСТАНОВИТЬ МОЙ ПРИНТЕР"
На некоторых принтерах он даже не сможет продолжить печать из софта, если кончится бумага.
Вот, нашёл: https://xkcd.com/1200/
Это был анекдот про Линуса, когда его дочка в OpenSUSE не могла без рутового пароля напечатать документ.
Я юзер opensuse и подтверждаю, все так. Если принтер умеет прикидываться виртуальным дисководом и эта сомнительная фича не была отключена, система может потребовать ввода рутового пароля.
> виртуальным дисководомUSB-накопителем же. или есть и те, что дисководом представляются?
короче не видать нам рут-доступа к андроид быдлодевайсам
Ага, а до этого вендоры прям никак не могли этого сделать.
Ну теперь еще больше невидать
Надо-бы ещё систему автоматических обновлений сделать, которую нельзя будет отключить.
"Надо-бы ещё систему автоматических обновлений сделать, которую нельзя будет отключить"
В убунте и дебиане есть что-то подобное, правда отключается.
unattended-upgrades называется.
не парься, вот обновят ядро и нельзя будет отключить
> "Надо-бы ещё систему автоматических обновлений сделать, которую нельзя будет отключить"
> В убунте и дебиане есть что-то подобное, правда отключается.
> unattended-upgrades называется.прошлый-то раз один местный хсперт показательно лоханулся, когда его попросили показать, КАК он его будет отключать (не то чтобы уже совсем нельзя, но если включилось - а на "десктопах" включено - нужно некоторое количество ненужного сакрального знания, и, разумеется, не почерпнутого в документации. А кажущийся наиболее очевидным метод - диверсия.)
sudo apt-get purge whoopsie apport tumbler unattended-upgrades apt-listchanges apticron
Почему этот набор патчей не назван как-то вроде "vendor-lockdown", "tivo-lockdown" или "drm-lockdown"? Прекрасно же понятно, где ограничение СУПЕРпользователя будет использовано.
> ограничение СУПЕРпользователяу тебя опечатка, чувак. Правильно: СУПЕРограничение пользователя, во!
Ничего, потом введут учётную запись "Администратор".
>Если злоумышленник в результате атаки добился выполнения кода с правами root, то он может выполнить свой код и на уровне ядра,поэтому сделали lockdown, но при этом
>важно отметить, что lockdown лишь ограничивает штатные возможности доступа к ядру, но не защищает от модификаций в результате эксплуатации уязвимостей.
?! Подвох? Постеснялись писать "было сложно остановить получение root-доступа, поэтому сделаем так, чтобы root стал не root".
Да не, просто кто угодно с эксплойтом теперь будет более root, чем root.
Теперь из под root удалить попавшую в результате действия эксплойта заразу будет крайне затруднительно)
То есть вы ее удаляете прямо из-под заражённой системы, а загрузить с лайва, вытянуть полезные данные и накатить новую систему с нуля — это для слабаков?
> То есть вы ее удаляете прямо из-под заражённой системы, а загрузить с
> лайва, вытянуть полезные данные и накатить новую систему с нуля — это для слабаков?Нууу, у виндузятников, помню, "чистить на живую" всегда считалось признаком крутости и скиллов - а все, кто указывал на ошибочность такой практики потому-что "хрен знает что там еще понакручено" получали умилительно гордое "не пиши глупостей, ламер! Я проверил в виртуалке и регспайем, там ничего нет!" (кроме стандартной копипастной проверки на пяток самых распространенных виртуалок и заворачивания действия - но для этого же нужно еще и загрузить в дебаггере и знать что искать).
А современные линухоиды сейчас большей частью пошли "хотим как в винде, только нахаляву!" ;)
> А современные линухоиды сейчас большей частью пошли "хотим как в винде, только
> нахаляву!" ;)Да и не только современные. Ещё тогдашние сопливые хипсторы, как их там — Мигель де Проказа и Федерико Измена — затеяли делать ДОС (mc) и Винду (GNOME). ИЧСХ, оба клоуна работали в Шапке. Все совпадения, разумеется, случайны.
Кто не опоздали родиться, ржут над пресловутой свободой в линуксе ещё со второй половины девяностых. :)
ЗЫАх да, я забыл про Mono — тоже ведь их руконог дело.
Буквально вчера было модно смеяться с пользователей винды, переустанавливающих винду вместо того, чтобы починить, а сейчас погляди ж ты - оказывается, круто переустанавливать винду вместо того, чтобы чинить. Линуксоиды такие последовательные.
нет, это просто ты очень глупый и не понимаешь, о чём говорят. но не переживай: время лечит.
Ну, умник, расскажи, много ты знаешь малварей, которые настолько хитро инжектится в систему, что её не отыскать на загруженной системе и надо лезть дебаггером или выявлять на тестовом стенде.
лекции для альтернативно развитых — только за деньги. персонально для тебя — за ОЧЕНЬ большие деньги.
Слив засчитан.
> Слив засчитан.ты ещё и унитаз. не то чтобы я сомневался, конечно…
> Буквально вчера было модно смеяться с пользователей винды, переустанавливающих винду вместо того, чтобы починить,Где модно и причем тут я? Но да, переустанавливать, особенно винду - "глупая и смешная" (если в терминологии опеннета) трата времени и полностью логичное следствие "я очень ловко сэкономил свое время на бэкапе!".
> а сейчас погляди ж ты - оказывается, круто переустанавливать винду вместо того, чтобы чинить.
Если виндузятники не различают между "чинить систему" и "чистить систему от малвари", то это исключительно проблемы виндузятников.
> Линуксоиды такие последовательные.
С чего бы мне быть линуксоидом? oO
Малварь малвари рознь. Тебя послушать, так каждая первая малварь переписывает загрузочную запись, инжектится в ядро, модифицирует драйвера и полностью скрывает следы присутствия на запущенной системе.
> Малварь малвари рознь. Тебя послушать, так каждая первая малварь переписывает загрузочную запись, инжектится в ядро, модифицирует драйвера и полностью скрывает следы присутствия на запущенной системе.Мне вот интересно, где ты такое от меня наслушал и чем?
И зачем тебе, умеющему отличать малварь от малвари по звуку работы харда, слушать глупого меня, видевшего не один раз "слоеный пирог" из какого нибудь Зевса, крутого почти полиморфного "криптора" и скрипткиддивского filedropper-хрень-crypt0r, на который и лает антивирь, при этом в упор не замечая процесс-клон чего-нибудь, с подгруженным туда после распаковки "громовержцем"?
Как ты определяешь, что прямо сейчас на твоем компе нет малвари? Нон-стопом мониторишь системные вызовы, грепаешь логи tcpdump'а, анализируешь raw-поток с диска, и всё это из-под гипервизора? Потому что в противном случае ты точно так же отличаешь малварь "на глазок".
> Как ты определяешь, что прямо сейчас на твоем компе нет малвари? Нон-стопом
> мониторишь системные вызовы, грепаешь логи tcpdump'а, анализируешь raw-поток с диска, и всё это из-под гипервизора?
> Потому что в противном случае ты точно так же отличаешь малварь "на глазок".Посматриваю в logwatch, daily/weekly security run output и все такое.
И ты очень ловко подменил понятия, проведя знак равенства между "лечить малварь" и "быть в любой момент на 100% уверенным в отсутствии малвари".Объясняю еще раз, кратко и четко: малварь или подозрение на малварь надежно и быстро лечится только чистой переустановкой. С бэкапа, если умный или с 0, если "сэкономивший время". Потому что задетектеный антивирем или "на глаз" "DownloaderX.FileDropperY" мог накачать черт знает что с "lifetime FUD guarantee 10$ only", которое ты, даже будучи неплохим знатоком ядра, дебагера, подсистемы ОС и прочего, будешь разгребать заведомо дольше (причем, будучи знатоком дебагера & Co, как раз будешь сомневаться, не пропустил ли ты что-то особо хитрожопое).
Если есть сохраненная разновидность system integrity check - можно в принципе использовать ее, загрузившись со заведомо чистого носителя, удаляя все "неправильное", но вряд ли тут получится сэкономить время.
А вот все эти высмеивания предпочтения именно такого подхода как единственно более-менее гарантирующего хоть что-то - как раз очень неплохая характеристика и детектор "профисианалов", да.
>а загрузить с лайва, вытянуть полезные данныетеперь то и будет проблематично.
к /dev/mem запретили доступ..а к содержимому активно-подключённого swap-файла?
А если я захочу залочить и integrity и confidentiality? Такой вариант возможен?
Тогда у Вас вообще ничего работать не будет ;)
Судя по новости в confidentiality входят все ограничения integrity уже
Понятно, спасибо. Надо будет почитать более внимательно оригинал.
А что, selinux внезапно оказался бессилен?
В дебиане и убунте эти lockdown патчи уже много лет применяются, про другие дистры не знаю.От того что теперь, наконец, их приняли в мейнлайн ничего не поменялось по сути
Вы об https://packages.debian.org/unstable/main/lockdown или о чём? Ссылку можно?
Пруфы будут?
А для внесения изменений в защищённые области будет создан новый пользователь sroot, под которым официально нельзя будет войти в систему. Таким образом они переизобретут существующий с Висты в виндах SYSTEM, мвахахахаха, в смысле мяу :)
Для внесения изменений будет проверка цифровой подписи у модулей.
Нет, требование TEE. А если нет TEE - то такие пользователи вендорам неинтересны - их теперь не продашь, клиент привиредливый стал, требует, чтобы товар носил ошейник.
SYSTEM и есть root.
а Administrator тогда кто? UAC когда запрашивает повышение привилегий - дает именно права Administrator.
Если на виндах включен UAC, то программы по-дефолту запускаются с привилегиями группы Users (от которой унаследована группа Administrators). Чтобы этого не происходило, надо где-то в политиках что-то переключить, но это сложно, про такое знают только вендоодмены с сертификатами.
> а Administrator тогда кто?Пользователь.
> UAC когда запрашивает повышение привилегий - дает именно
> права Administrator.С правами системы работает ядро и services.exe, они вне ACL.
Спасибо. Приятно послушать настоящего veteran unix admin-а, столько нового узнаёшь)
Ну а про отличия Zw* Nt* Ps* вы и сами нагуглите.
> они вне ACLЭто не полностью справедливо, они в ACL, но ACL могут менять.
Плюс там у служб есть свои какие-то ограничения и то что они работают от SYSTEM не значит что имеют всего его права.
> Плюс там у служб есть свои какие-то ограничения и то что они
> работают от SYSTEM не значит что имеют всего его права.Слыжбы, это которые запускаются в svchost.exe?
Да, насколько я помню они не имеют токена рабочего стола, то есть не могут показывать интерактивные окна и взаимодействовать с ними.
Кроме этого часть служб запускается от NT AUTHORITY\LOCAL SERVICE
У винды помимо ACL есть ещё привилегии пользователя и на SYSTEM они тоже распространяются. Есть ещё другие механизмы безопасности которые я уже не помню.
Короче говоря надо windows internal читать, ковыряться в process hacker, subinacl...
Так я ничего не писал по поводу тредов, запускаемых на выполнение в адресных пространствах процессов svchost.exe штатными средствами. Только services.exe, где по дизайну посторонний код выполняться не должен, но почему-то такое случается.Прошу заметить, в Винде "сервис" это не только то, что запускается в юзерленде в АП svchost.exe, но и модули ядра. Они имеют возможность запускать потоки, которые выполняются ядре, попросту не вызывая проверки ACL. Могут запускать треды в пространстве пользователя, в том же services.exe.
Напрямую, как в *nix, там нельзя запустить в консоли процесс под пользователем root. Сначала надо почитать то что раньше называлось DDK, в частности про UserMode APC. Потому моё заявление произвело фурор среди здешних админов. :)
>> они вне ACL
> Это не полностью справедливо, они в ACL, но ACL могут менять.Треды ядра?)
> SYSTEM и есть root.Не всё так просто. В форточках ещё есть TrustedInstaller, который иногда тоже типа за root-а.
>> SYSTEM и есть root.
> Не всё так просто. В форточках ещё есть TrustedInstaller, который иногда тоже типа за
> root-а.Открою тебе секрет. Там в ядре есть треды.
Нет, он только для msiexec, и системы обновлений. Попробуйте убрать его с c:/windows/temp.
…но потом окажется, что sroot имеет слишком большие полномочия, поэтому напишут модуль для ограничения этих полномочий, и добавят пользователя megaroot. и так ad infinitum.
>Таким образом они переизобретут существующий с Висты в виндах SYSTEMДык Лёня Поттеринг уже как бы накалякал...
Сразу как только только ему стало скучно заниматься изнасилованиями аудио подсистемы...
Или Вы где-то пропадали последние 10 лет?
Поттеринг изобрел пользователя root? Вот это успех!
Ждём, когда он изобретёт TCP/IP, а то без сети хреново жить, голуби медленно летают.
накличешь, блин! тебе networkd и немонтирующихся при старте сетевых шар мало? (мы ж такие быстрые, такие быстрые, ой...файловые юниты уже перебрали, а сеть что-то там закопалась... да плевать на _netdev, устаревшее ненужно для баш-портянок, поехали быстре-быстрее, обгонять противные окаменелые иниты!)
Неужели он не висит на монтировании NFS при старте? Да я джвадцать лет ждал эту фичу! Задолбался с autofs костылять. Это уже аргумент, пожалуй, пора с sysV переползать.
> Неужели он не висит на монтировании NFS при старте?нет, он висит еще и на отмонтировании - при шатдауне. Вечно. Там вообще НЕТ таймера.
У меня вместо nfs - dav, который действительно не всегда может отмонтироваться нормально. Если забыл собственную инструкцию - "сперва вручную отмонтируй, потом убей процесс, если не сложилось, потом только перезагружайся" - звиздюхай искать себе консоль.Лотерею с "то ли смонтирует, то ли плюнет и так запустит (и хорошо еще если запускаемое аварийно завершается, а не начинает писать в пустую точку монтирования)" еще можно обойти, отказавшись от немодной не новостандартной "портянки" в три строки под именем fstab и написав модную-новостандартную-непортянку на два экрана ручного mount-unit, вручную там указав зависимости (от запуска сервиса ДО монтирования не поможет, разумеется), а вот сделать forced umount при разумном таймауте при шатдауне - невозможно вообще никак.
Пожалуй, пора тебе с sysV переползать, сколько всего полезного и интересного проходит мимо тебя!
Свершилось давно ожидаемое!Хоть и потайная каморка, но законная,а там и весь дом можно занять уже явно.До взлома ядра линокса осталось немного времени.Будет весело:)
> Наиболее очевидным следствием подобной активности может стать обход UEFI Secure Boot или извлечение конфиденциальных данных, хранящихся на уровне ядра.UEFI сделает вашу жизнь лучше говорили они.
напомните мне пожалуйста еще раз о преимуществах UEFI а то я размагнитился
Установка нескольких ОС мультибутом без расстрела одного загрузчика другим.
Возможность обеспечения цепи загрузки, взломать которую могут только Штеуд и АНБ, а не любой мимо крокодил с локальным доступом.
> Установка нескольких ОС мультибутом без расстрела одного загрузчика другим.основные страдания происходят из за винды, а так ничто не мешает установить свой любимый загрузчик на отдельно выделенный раздел и грузить столько ОС сколько нужно
> Возможность обеспечения цепи загрузки, взломать которую могут только Штеуд и АНБ, а не любой мимо крокодил с локальным доступом.так что получается, `набор патчей "lockdown"` которые Линус принял на грудь это в назидание АНБ ?
> так что получается, `набор патчей "lockdown"` которые Линус принял на грудь это в назидание АНБ ?Вы точно распарсили предложение, на которое отвечали?
Для АНБ ничего не поменялось, у них бэкдоры в Intel ME/AMD PSP, которые клали на все программные защиты.
> Установка нескольких ОС мультибутом без расстрела одного загрузчика другим.это проблемы конкретных ОС и их инсталлеров (и тех локалхостоадминов, кто эти ОС инсталлирует - тоже).
http://freebsd.org/cgi/man.cgi?apropos=0&query=boot0cfg придумали очень, очень давно, и если устанавливаемая ОС пишет свой загрузчик в СВОЙ раздел, а не в чужие области диска - всё работает автоматически. Иначе - пишите баг-репорты, требуйте. А EFI не нужен от слова совсем.
Если на пека есть ефи фат32 раздел, в него будут копировать ефи файлы загрузчика инсталляторы, по крайней мере бубунты так делают. А кто так не умеет в 2019 то дистр. этого васяна и нафиг не нужен. По видимому ваша Фрибзд так не умеет, ну вот собственно никому она и не нужна.
Вы не поняли.Во-первых FreeBSD поддерживает как EFI, так и EFIFAT и прочее сопутствующее [censored].
Во-вторых, сам EFI не нужен - аналогичная (по результату) функциональность в контексте этого разговора была доступна за много-много лет до EFI, на машинах с BIOS, при чём с меньшими затратами.
В третьих, по теме новости - аналогичная функциональность была доступна в FreeBSD за много лет до версии LINUX 5.4, и это факты.
"Установка нескольких ОС мультибутом без расстрела одного загрузчика другим"
У меня только один загрузчик в убунте. А при установке осей в дуалбут, я установку grub в них отключаю. Но позволяет это только Debian и openSUSE. Еще есть хак - подсунуть под grub ненужную флешку.
И тоже не все дистры позволяют выбрать куда ставить grub. Например, Fedora не позволяет.
> А при установке осей в дуалбут, я установку grub в них отключаю.
> Но позволяет это только Debian и openSUSE.Да ладно, alterator-grub тоже позволяет :-)
А мне, пожалуйста, напомните, от какого вектора атаки защищает Secure Boot?
> А мне, пожалуйста, напомните, от какого вектора атаки защищает Secure Boot?ну как же: от пользователя, который желает поставить Неправильную ОС.
Это вывод, который невольно напрашивается сам собой. На вики дебиана пишут:
>SB is a security measure to protect against malware during early system bootа есть вообще какие-нибудь примеры руткитов, которые так делают?
> Это вывод, который невольно напрашивается сам собой. На вики дебиана пишут:
>>SB is a security measure to protect against malware during early system boot
> а есть вообще какие-нибудь примеры руткитов, которые так делают?Ключевое слово тут "bootkit":
Stoned Bootkit -> Whistler
https://habr.com/ru/post/96850/Правда, если просто исключить возможность менять очередность бута "всем кому не лень", то тот же самый эффект "сикурбута" эмулируется и в старом добром BIOS с помощью загрузки с флешки или CD (да хоть перфокарт) и проверки хеша незашифрованного блока загрузчика на диске – но это если бы действительно была такая цель, а не просто "отмазка" ;-)
О, большое спасибо за наводку и ссылку.
Whistler - это самое близкое к оправданию существования секьюрбута, что я видел. Жаль, не известен инфектор буткита.
> О, большое спасибо за наводку и ссылку.
> Whistler - это самое близкое к оправданию существования секьюрбута, что я видел.
> Жаль, не известен инфектор буткита.Stoned, хоть и был больше PoC, но ЕМНИП, PoC красивый - прописывался в MBR c помощью сплойта в PDF :)
Ну и нашумело оно немного в СМИ как "расшифровщик" ТруЪКрипта (хотя по факту перехватывался вводиммый пользователем пароль).
А так подмена загрузчика малварщикам (тогда) особо никуда не уперлось.Но таки что-то было:
https://www.ghacks.net/2010/09/01/how-to-detect-a-64-bit-alu.../
> new variant of Alureon that infects the Master Boot Record (MBR) instead of an infected driver.
> While this new variant did not affect 64-bit machines, it had an inert file called ldr64 as part of its virtual file system.
> More recently, we discovered an updated variant that successfully infected 64-bit machines running Windows Vista or
> higher, while rendering 64-bit Windows XP and Server 2003 machines unbootable.
>то тот же самый эффект "сикурбута" эмулируется и в старом добром BIOS с помощью загрузки с флешки или CD (да хоть перфокарт) и проверки хеша незашифрованного блока загрузчика на дискеВсё гораздо проще. Есть SMM-модуль для биоса, запрещающий запись в загрузочный сектор вообще. Но граб в с ним активированным не обновите.
> ну как же: от пользователя, который желает поставить Неправильную ОС.В первую очередь -- именно от этой. Причём то, как нагорбатили 32-битный UEFI, меня в этом наблюдении только утвердило.
>> ну как же: от пользователя, который желает поставить Неправильную ОС.
> В первую очередь -- именно от этой. Причём то, как нагорбатили
> 32-битный UEFI, меня в этом наблюдении только утвердило.а мы тут причем? У нас 32битная система стоит ровно столько же, сколько 64 - $0 если в составе oem сборки компьютера.
Мы на этом ничего не приобрели. А загружать 64битную систему uefi32 - извините, вы тоже не очень-то умеете, те смешные костыли и подпорки у вас и работают-то только при отключенном secboot.
Так что зачем и по чьей просьбе интел такое наколбасил - мы тоже не в курсе. Подозреваем что ни по чьей - просто их разработчики справились с задачей "поддерживать еще и 32битную версию" - ну вот так, как шмагли.
Нас, в принципе, устроило - для китайских планшетов и так сойдет, нам три копейки за наклейку всяко отчисляют. А ваш линoops им как корове седло.
К примеру, от атаки Evil Maid https://en.wikipedia.org/wiki/Evil_maid_attack
А еще осложняет cold boot (в особенности при запаянной памяти)
Мне кажется, что угроза cold boot из разряда страшилок, имеющих небольшую практическую угрозу в реальных условиях. Для нее практически надо, чтобы в руки атакующего попал невыключенный компьютер, и даже при этом без гарантий успеха. Для защиты тут проще сделать задержку с подачей напряжений на память при reset. Впрочем она и так есть, вероятность, что в памяти что-то сохранилось после включения невелика.
Чтобы от этой атаки появилась хотя бы что-то чуть более, чем иллюзия защищенности, надо из UEFI удалить ВСЕ ключи, кроме собственноручно сгенерированных. Вопрос, многие ли системы позволяют это сделать?При этом еще надеяться, что у атакующего нет бекдоров для SB и он не сможет, например, просто всю материнскую плату подменить или некоторые микросхемки с uefi перепаять на ней.
> Чтобы от этой атаки появилась хотя бы что-то чуть более, чем иллюзия
> защищенности, надо из UEFI удалить ВСЕ ключи, кроме собственноручно сгенерированных.
> Вопрос, многие ли системы позволяют это сделать?Погодите, а это почему?
Наличие ключа MS при условии, что приватным ключом MS кого попало не подписывает - не нарушает безопасность.А своим ключом MS вроде как кого попало и не подписывает. Свои загрузчики, ну и еще некоторые конкретные сборки shim (которые попросили у них подписать) и еще некоторые вполне конкретные *бинарные* загрузчики. Собрать свой загрузчик-зловред и подписать его сборку у MS - хоть возможно в теории, но на практике из разряда фантазий, не настолько же они идиоты, что попало подписывать.
> При этом еще надеяться, что у атакующего нет бекдоров для SB и
> он не сможет, например, просто всю материнскую плату подменить или некоторые
> микросхемки с uefi перепаять на ней.Строго говоря, правильное взаимодействие ядра и TPM решило бы эту проблему. Но его нет.
Кстати, сама винда тут весьма правильно делает: она проверяет всю цепочку загрузчиков (*всю* цепочку тех, кто ее загружал - т.е. например конкретный UEFI + конкретный bootmgfw.efi, или же цепочку UEFI + shim + grub + bootmgfw). И если что-то серьезное изменилось в настройках UEFI (к примеру, выключили Secure Boot) или загрузили по другой цепочке (например раньше грузили без grub, а теперь его вставили в цепочку) или же изменился конкретный бинарник shim, она тут же навостряет уши и требует ввести длинный ключ Bitlocker, который сообщался при шифровании диска. При этом это не имеет отношения собственно к пассфразе или отпечатку пальца или другому методу аутентификации, который потом будет использоваться для расшифровки. И это работает в т.ч. при выключенном Secure Boot.
Это очень правильная идея, на самом деле, и обидно что линуксу глубоко безразлично, что там происходило до его загрузки - вот какое-то ядро загрузилось, теперь вводи пассфразу от luks и пожалуйста, открыт полный доступ к системе.
> Наличие ключа MS при условии, что приватным ключом MS кого попало не подписывает - не нарушает безопасность.Что знают двое - то знает и свинья (c) "17 мгновений весны".
Нет уж, если действительно безопасность, то дайте мне возможность всё (включая винду, если ее использую) подписать своим и только своим ключом, который кроме меня вообще никто не знает. А кому там MS дает, кому не дает в таком случае не волнует совершенно.
Ну, возможность у вас есть.
>Наличие ключа MS при условии, что приватным ключом MS кого попало не подписывает - не нарушает безопасность.Собственно, это условие и не соблюдается. И, кстати говоря, не может быть соблюдено.
> Это очень правильная идея, на самом деле, и обидно что линуксу глубоко
> безразлично, что там происходило до его загрузки - вот какое-то ядро
> загрузилось, теперь вводи пассфразу от luks и пожалуйста, открыт полный доступ
> к системе.А чем это хуже этого вашего "ключа Bitlocker"? И не полный доступ.
Есть разница между короткой пассфразой, выбранной пользователем и вводимой каждую загрузку и длинной специализированной, которая требуется только если произошло что-то подозрительное и изменилась цепочка загрузчика.
Что-то эта ваша "длинная специализированная" смахивает на очередное плацебо, потому что не требуется...
> Что-то эта ваша "длинная специализированная" смахивает на очередное плацебо, потому что
> не требуется...В каком смысле не требуется?
Нет, оно будет требоваться даже если вернуть все назад. Обнаружив, что были изменения в цепочке загрузки, с этого момента система будет отказываться грузится (этот ключ требуется на самом раннем этапе), пока он не введен.
Этот же ключ требуется если загружаться в режиме восстановления или пытаться подключить диск к другой системе, и подобное.
> А своим ключом MS вроде как кого попало и не подписывает. Свои
> загрузчики, ну и еще некоторые конкретные сборки shim (которые попросили уна минуточку - у нас не один ключ!
И ваши шимы мы подписываем _другим_ ключом. Что и позволило огрызку их не загружать. В отличие от б-жественной десяточки.> них подписать) и еще некоторые вполне конкретные *бинарные* загрузчики. Собрать свой
> загрузчик-зловред и подписать его сборку у MS - хоть возможно внапоминаем что для подписи даже тем, вторым ключом - надо предоставить нам исходники, и бинарник мы собираем из них - сами, после ручного анализа, что это такое подсунуто.
И да, у нас очень много денег, и мы можем еще себе позволить пару вменяемых специалистов для этой цели.
> Это очень правильная идея, на самом деле, и обидно что линуксу глубоко
> безразлично, что там происходило до его загрузки - вот какое-то ядропотому что вашего Линуса - мак!
> он не сможет, например, просто всю материнскую плату подменить или некоторые
> микросхемки с uefi перепаять на ней.Ага. Не сможет. В ряде случаев.
В других случаях проще будет изъять так сказать диск. А там своя защита работающая в паре с UEFI... Правда сейчас в том что в широкой так сказать продаже не очень работающая, но...
Короче придётся атаккеру паять свою плату к своему компу... >:-)
Спасибо за ссылку.
>An evil maid attack is an attack on an unattended deviceИ чтобы защититься от такой атаки, мы делаем SB с Microsoft в качестве Certification Authority. Что бы могло пойти не так?
> Спасибо за ссылку.
>>An evil maid attack is an attack on an unattended device
> И чтобы защититься от такой атаки, мы делаем SB с Microsoft в
> качестве Certification Authority. Что бы могло пойти не так?https://www.opennet.me/opennews/art.shtml?num=44950
> Утечка мастер-ключа Microsoft скомпрометировала защиту Secure Boot
> 11.08.2016 19:22
> [...] ключ был найден в составе отладочного инструментария, который был забыт на одном из устройств.[...]
> По сути, все устройства с верифицированной загрузкой Windows скомпрометированы и решить проблему выпуском обычного обновления не получается[...]
> Устранить проблему просто не получится, так как загрузчик уже поставляется в установочных носителях, а отзыв связанного с ним ключа повлечёт за собой неработоспособность установочных образов, разделов для восстановления и резервных копий.И правда, что? :)
>> Спасибо за ссылку.
>>>An evil maid attack is an attack on an unattended device
>> И чтобы защититься от такой атаки, мы делаем SB с Microsoft в
>> качестве Certification Authority. Что бы могло пойти не так?
> https://www.opennet.me/opennews/art.shtml?num=44950
>> Утечка мастер-ключа Microsoft скомпрометировала защиту Secure Boot
>> 11.08.2016 19:22
>> [...] ключ был найден в составе отладочного инструментария, который был забыт на одном из устройств.
> [...]
>> По сути, все устройства с верифицированной загрузкой Windows скомпрометированы и решить проблему выпуском обычного обновления не получаетсяА почитать внимательнее не судьба, да?
> Важно подчеркнуть, что это не PKI-ключ, применяемый для формирования цифровых подписей к исполняемым файлам, а ключ для отключения проверки в загрузчике, не влияющий на надёжность работы прошивок UEFI
Тем, что утекло - свой зловредный загрузчик вы не подпишете.
> А почитать внимательнее не судьба, да?
>> Важно подчеркнуть, что это не PKI-ключ, применяемый для формирования цифровых подписей к исполняемым файлам, а ключ для отключения проверки в загрузчике, не влияющий на надёжность работы прошивок UEFI
> Тем, что утекло - свой зловредный загрузчик вы не подпишете.Читать внимательно желательно оригинал:
https://gist.github.com/anonymous/c94cadade3a8b87dcdc52c639f...> The "supplemental" policy does NOT contain a DeviceID. And, because they were meant to be merged into a base policy, they don't contain any BCD rules either,
> which means that if they are loaded, you can enable testsigning. Not just for windows (to load unsigned driver, ie rootkit), but for the {bootmgr} element as well, which allows bootmgr to run what is effectively an unsigned .efi (ie bootkit)!!! (In practise, the .efi file must be signed, but it can be self-signed) You can see how this is very bad!! A backdoor, which MS put in to secure boot because they decided to not let the user turn it off in certain devices, allows for secure boot to be disabled everywhere!
> You can see the irony. Also the irony in that MS themselves provided us several
> nice "golden keys" (as the FBI would say ;) for us to use for that purpose :)
>
Если сделают один флаг в menuconfig, который это все разом отключает, то почему нет?
Да они код скоро закроют, флаг,ага
> Если сделают один флаг в menuconfig, который это все разом отключает, то почему нет?Потому что ядро будет прошито прямо в UEFI и поменять ты его не сможешь. Точнее не ядро, а его подпись. И те, кто подпись дают, отключать опцию в menuconfig не позволят.
Зато исходники открыты смотри сколько угодно, а потом уже ешь то что дают.
Толку от открытости, если не сможешь свои изменения прошить в систему.
Потому GPLv3 лучше чем GPLv2. И именно поэтому линукс никогда не перейдёт на новый GPL.
В этом есть смысл. Не для этих ваших десктопов, но для серверов и (как ни странно) смартфончиков. Которые настраиваются раз, а потом работают в режиме только накатывания обновлений с / в режиме RO.
может тогда проще будет переписать на микро ядерную архитектуру где по идее такой ситуации не должно возникнуть в принципе
Немного лучше? Да. Но не проще.
Но ведь с вейландом именно путем переписывания с нуля и пошли. Вы явно недооцениваете масштабы NIH-синдрома в опенсорсе.
> Но ведь с вейландом именно путем переписывания с нуля и пошли.получилось, что характерно, полное гуано.
Что бы ни получилось, всяко лучше, чем иксы.
Потому что хуже сделать невозможно...
> Что бы ни получилось, всяко лучше, чем иксы.
> Потому что хуже сделать невозможно...это не ты там про невозможность создания неломаемого крипто рассказывал? если нет — беги туда, там твой собрат по отсутствию разума, будете чудесной парой.
> это не ты там про невозможность создания неломаемого крипто рассказывал?Нет, я второй анонимус, который над этим рассказчикам стeбaлся, с чего у вас подгорело. Такие дела.
>> это не ты там про невозможность создания неломаемого крипто рассказывал?
> Нет, я второй анонимус, который над этим рассказчикам стeбaлся, с чего у
> вас подгорело. Такие дела.а, тот который не понял ответа. странно, ведь интеллект у тебя такой же, как и у того, над которым ты «стебался» — а подрались. загадочные нюансы поведения полуразумных существ.
Это хорошо, что вы объективно оцениваете интеллектуальный уровень своего круга общения :)
И таким людям кто-то дает root доступ. Я бы таким людям root давал только после обучения и сертификации. Хорошо что новость как раз об этом.
Некоторым лучше не давать чтобы не размножались :-)
Нынче даже в коровниках серверы появились. А от админа сервера в коровнике много и не требуется. Им может быть даже arisu)
> В этом есть смысл. Не для этих ваших десктопов, но для серверов
> и (как ни странно) смартфончиков. Которые настраиваются раз, а потом работают
> в режиме только накатывания обновлений с / в режиме RO.Конечно есть (у некоторых "замшелых и отсталых" уже лет 20 как есть )) )
Author: rwatson <rwatson@FreeBSD.org>
Date: Wed Dec 5 18:49:20 2001 +0000o Make kern.security.bsd.suser_enabled TUNABLE.
Requested by: green$ sysctl -d security.bsd.suser_enabled
security.bsd.suser_enabled: processes with uid 0 have privilege
в связке с kern.securelevel:
The security
levels are:-1 Permanently insecure mode - always run the system in insecure mode.
This is the default initial value.0 Insecure mode - immutable and append-only flags may be turned off.
All devices may be read or written subject to their permissions.1 Secure mode - the system immutable and system append-only flags may
not be turned off; disks for mounted file systems, /dev/mem and
/dev/kmem may not be opened for writing
<snip>
2 Highly secure mode - same as secure mode, plus disks may not be
opened for writing (except by mount(2)) whether mounted or not.
<snip>In addition, kernel time changes are restricted to less than or
equal to one second. Attempts to change the time by more than this
will log the message “Time adjustment clamped to +1 second”.3 Network secure mode - same as highly secure mode, plus IP packet
filter rules (see ipfw(8), ipfirewall(4) and pfctl(8)) cannot be
changed and dummynet(4) or pf(4) configuration cannot be adjusted.
осталось добавить в систему уровень гада(god) и будет зашибись
Он уже там, intel me, amd psp, на них очевидно предложенная в новости "защита" не распространяется.
и все это выполняется на мельтдаунах и спектре процессорах. Б - безопастность
Представь что теперь без решения вендора никто не сможет использовать ядро с патчем от уязвимости. Представь что мельтдаун есть, а Интел такая решит нефиг вам патчи в ядро сувать мы их не одобряем, никакой уязвимости нет, используйте то что даем или дохлый амд. Это не баг, а фича.
Линус посмотрел на Столлмана и решил не выёживаться. Второй отпуск ему уже вряд ли дадут.
Подготовка инфраструктуры для drm и прочих зондов.
Закончится как на Mac OS
https://en.wikipedia.org/wiki/System_Integrity_Protection
Ограничат досту root для разных "важных" каталогов вроде /bin, /sbin
Linux 1991-2019
Linuk$ 2019..
А там и окончательно "доработают" ядро для запуска window$
С такими патчами кончится тем, что.. Торвальдс внезапно покинул...
да щас, внезапно кинул... Кинешь тут, когда ипотека, дочка-идиотка, каждый потенциальный работодатель вспоминает трансмету. Так и буду до впадения в полный маразм ишачить на редгад.Скорее уж самого кинут, но им пока незачем - я и так нормально реализую их хотелки. Точнее, комичу неглядя все что не понаприсылают с правильных From:
> да щас, внезапно кинул... Кинешь тут, когда ипотека, дочка-идиотка, каждый потенциальный
> работодатель вспоминает трансмету. Так и буду до впадения в полный маразм
> ишачить на редгад.Обидные слова пишешь про Линуса, обидные. Особенно про дочку-идиотку. Но правдивы твои слова, правдивы.
> Линус Торвальдс принял бла-бла, предложенный %USERNAME% (работает в Red Hat) и %USERNAME% (работает в Google).А ты, %USERNAME%, пробовал послать Линусу свой гениальный патч, исправляющий баги двадцатилетней давности? Даже пробовать не будешь? Ты заранее знаешь, что не примут? Какой же ты молодец, %USERNAME%, всё правильно понял о «свободе».
Я пробовал. Рекомендую прекратить говорить о себе "ты".
> Я пробовал. Рекомендую прекратить говорить о себе "ты".Кто «я» — аноним с опеннета? Тебе самому не смешно от своего неуместного пафоса, аноним?
Мне смешно от твоего неуместного пафоса, аноним.
Ссылка на альтернативу: https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecuri...
Ну вот вы себя поставьте на место вендора, у него бигдата на пользователя собирается-обрабатывается-продается, а вы берете и все сносите и блочите, да так что сам google выпиливается, а еще там разные фаерволы adblock в hosts, ну кому это интересно. Правда таких 1/1000000 процентов, поэтому сомнительно все выше перечисленное для этих целей. А если спецОС, то там наверное умеют компилировать, правда там компилятор тоже "пропатчен" особым образом, но на то только узкий круг имеет доступ, наверное. Но помните если до вас вдруг "домагаются" значит Вас "любят", может сзади, а может спереди, по крайней мере в чьих-то фантазиях, может и в собственных. Короче не пускайте жизнь по ветру из-за всякой х..ни, если это не "гостайна", или если вы не "хакер" и не знающий своих Хозяев.
root может modprobe чего угодно, что все эти ограничения может снять.// b.
Что-то у меня на телефончике нет никакого modprobe
> root может modprobe чего угодно, что все эти ограничения может снять.Левые модули грузить не получится, так как в режиме верифицированной загрузки можно грузить только модули, заверенные той же цифровой подписью, что и само ядро.
В новости нет ни слова про secure (boot) UEFI.// b.
Э… Эти патчи, в основном, только для работы с Secure Boot, и в новости об этом написано.
Откуда эти люди в комментах взяли вендоров, телефоны и ведро, я не понимаю
Тараканы в голове нашептали.
Они там что, с машиной Тьюринга вся жизнь борьба?
Дайте угадаю - root "порезали", потому что Systemd имеет уязвимость?
Да, угадал! У всего есть уязвимость, это все можно выпилить и выбросить. Но видать кто-то очень не хочет.
Это ядро само выпустило патч для себя? Восстание машин не за горами )
https://www.opennet.me/docs/RUS/lids/lids1.html - давно все уже придумано, зачем опять велосипед?
