https://www.opennet.ru/openforum/vsluhforumID3/122914.html После 10 лет разработки состоялся релиз механизма управления теневыми паролями...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54391<br> https://www.opennet.ru/openforum/vsluhforumID3/122914.html#112 Fri, 29 Jan 2021 19:23:06 GMT ХАХАХА, вы расскажите тогда что они в дистрибутивах по умолчанию делают тогда? ИЛИ У МЕНЯ ДИСТРИБУТИВ ЗАВЕДОМО ПОДМЕНЕН? <br> https://www.opennet.ru/openforum/vsluhforumID3/122914.html#111 Wed, 20 Jan 2021 15:00:57 GMT Важным свойством control является то, что установленные настройки сохраняются при обновлении пакетов.<br> https://www.opennet.ru/openforum/vsluhforumID3/122914.html#110 Sun, 17 Jan 2021 11:41:44 GMT &gt; Представьте себе, файл /etc/shadow - тоже "база этих самых данных". Сюрприз, да?<br><br>Ну ты прям глаза мне раскрыл. <br><br>&gt; Или Вы считаете базами данных только реляционные с поддержкой SQL? Спешу Вас разочаровать, мир баз данных огромен и разнообразен и уж никак не ограничивается реляционными. <br><br>Кроме поддержки SQL некоторые СУБД предоставляют гарантии консистентности данных, транзакционный доступ, бэкапы, представления (view), управление доступом к данным и т.д.<br><br>&gt; И не всегда структура обрабатываемых данных хорошо "ложится" на реляционную модель. <br><br>На реляционную модель ложится всё.<br> https://www.opennet.ru/openforum/vsluhforumID3/122914.html#109 Sat, 16 Jan 2021 20:09:38 GMT Слишком много сказочных фраз, а по сути будет пердёж на месте с новыми дырами.<br> https://www.opennet.ru/openforum/vsluhforumID3/122914.html#108 Sat, 16 Jan 2021 14:26:32 GMT Для снижения опасности возможных уязвимостей в passwd(1), chage(1) и программах (раз)блокировки текущего сеанса по паролю, а также используемом ими специфичном системном коде (PAM). Также, если в дистрибутиве удалось избавиться и от остальных общедоступных SUID root программ (как удалось нам), для снижения опасности возможных уявзимостей в низкоуровневом системном коде, используемом при запуске программ (некоторые части динамического линкера, libc, ядра - во всех из которых исторически бывали уязвимости).<br> https://www.opennet.ru/openforum/vsluhforumID3/122914.html#107 Sat, 16 Jan 2021 14:17:24 GMT &gt; А как с пингами решили?<br><br>Добавили поддержку ограниченных ICMP сокетов в ядро. В upstream, как я помню, начиная с Linux 3.0: https://lwn.net/Articles/420799/ Теперь живет там своей жизнью: https://cregit.linuxsources.org/code/5.10/net/ipv4/ping.c.html<br><br>К сожалению, с этим вышло нехорошо. Исходно у нас для ping заменялся SUID root на SGID _icmp, что делало новый код в ядре доступным только этой группе, то есть мы добавляли дополнительный уровень безопасности. Нам удалось отстоять сохранение ограничения наших ICMP сокетов по диапазону групп (настраивается через sysctl) и их недоступность не-root'у по умолчанию при включении в upstream (исходно нас просили эту защиту выкинуть). Но (как минимум) в Android этот sysctl выставили так, что новая функциональность стала доступна всем. (Наверное, у них были на то свои основания.) А при переносе кода с интерфейсов ядра 2.4.32 (под который эти сокеты исходно реализовал участник нашей команды) на 2.6+ (другим участником нашей команды, то есть наша ответственность), к с https://www.opennet.ru/openforum/vsluhforumID3/122914.html#106 Sat, 16 Jan 2021 09:03:27 GMT &gt; Owl, благодаря в том числе tcb нам удалось полностью избавиться от <br>&gt; SUID root программ в системе.<br><br>А как с пингами решили? От обычного пользователя не попинговать?<br> https://www.opennet.ru/openforum/vsluhforumID3/122914.html#105 Fri, 15 Jan 2021 08:23:52 GMT Зачем?<br> https://www.opennet.ru/openforum/vsluhforumID3/122914.html#104 Thu, 14 Jan 2021 12:30:06 GMT &gt; Для понимания "какие пользователи существуют" достаточно грепнуть /etc/passwd, который <br>&gt; всегда world readable.<br><br>Речь про получение этого удаленно, не имея аккаунта.<br>