OpenForum RSS: Обход ограничений SELinux, связанных с загрузкой модулей ядра https://m.opennet.dev/openforum/vsluhforumID3/130682.html Выявлена возможность обхода запрета загрузки модулей ядра, реализуемого через SELinux. Блокировка модулей в SELinux основывалась на ограничении доступа к системному вызову finit_module, позволяющему загрузить модуль из файла и применяемому в таких утилитах, как insmod. При этом правила SELinux не рассматривали системный вызов init_module, который также может применяться для загрузки модулей ядра напрямую из буфера в памяти...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59248<br> Обход ограничений SELinux, связанных с загрузкой модулей ядр... (Аноним) https://m.opennet.dev/openforum/vsluhforumID3/130682.html#193 Tue, 19 Mar 2024 20:50:17 GMT Лучше Smack, как на Tizen.<br> Обход ограничений SELinux, связанных с загрузкой модулей ядр... (Аноним) https://m.opennet.dev/openforum/vsluhforumID3/130682.html#192 Tue, 19 Mar 2024 20:44:02 GMT Хотя SELinux в Роса Линукс всё равно не работает. <br> Обход ограничений SELinux, связанных с загрузкой модулей ядр... (Tester) https://m.opennet.dev/openforum/vsluhforumID3/130682.html#191 Thu, 15 Jun 2023 10:35:16 GMT ты нам пытаешься объяснить что чукча умнее геолога?<br> Обход ограничений SELinux, связанных с загрузкой модулей ядр... (Аноним) https://m.opennet.dev/openforum/vsluhforumID3/130682.html#190 Sat, 10 Jun 2023 15:24:44 GMT &gt; Ага, ограничивать root - ловить муху в поле. Удачки!<br><br>Вообще lockdown что-то такое попытается. И на каждую муху найдется свой дрон^W ласточка, или что там.<br> Обход ограничений SELinux, связанных с загрузкой модулей ядр... (Пряник) https://m.opennet.dev/openforum/vsluhforumID3/130682.html#189 Fri, 09 Jun 2023 13:15:27 GMT Всё нужно. Просто не всегда.<br> Обход ограничений SELinux, связанных с загрузкой модулей ядр... (Пряник) https://m.opennet.dev/openforum/vsluhforumID3/130682.html#188 Fri, 09 Jun 2023 13:14:36 GMT Ага, ограничивать root - ловить муху в поле. Удачки!<br> Обход ограничений SELinux, связанных с загрузкой модулей ядр... (Аноним) https://m.opennet.dev/openforum/vsluhforumID3/130682.html#187 Fri, 09 Jun 2023 12:40:25 GMT Ко мне тоже что-то недавно залетало, только пароли оно совсем не крякало. Трахнуло сервис, эксплойтом, я даже знаю какой. Вскоре оно не мелочась попыталось эскалироваться от души. И вот тут что-то пошло не так. Ядро упало в панику. Фигня случается, у меня ж не стоковые кернелы. Да еще...<br><br>...еще даже если бы оно в него смогло - ох, круто, только это была ARMовская виртуалка на x86 хосте. И я не в курсе архидемонов способных пересекать скрещенные силовые поля таким манером. Да и данных в сугубо тестовом сетапе - брать нечего. Смысл этого действа остался некоторой загадкой, возможно, законы Мерфи прикалываются и над атакуюшими тоже. Надо ж попытаться разъ...ть самую зубодробильную из всех конфиг да еще и без полезных данных, лол.<br> Обход ограничений SELinux, связанных с загрузкой модулей ядр... (Аноним) https://m.opennet.dev/openforum/vsluhforumID3/130682.html#186 Fri, 09 Jun 2023 10:05:31 GMT &gt; Сам опять что-то придумал, сам оспорил. Как тетерев на току, ей-ей.<br><br>А таки, пох деятельно иллюстрировал фу каким именно быть и почему. Да и бсдюки забавные ребята. Когда было реально актуально (в эпоху тормозных виртуализаторов) - в лине полноценная виртуализация сетевого стека (с своим независимым роутингом, фаером и проч) на годы раньше появилась. А потом виртуалки, видите ли, virtio научились, кому секурити важнее - смогли ими пользоваться с минимумом потерь, потому что это шустро (правда как обычно, не у вас).<br><br>С точки зрения сабжа, давать доступ в системный кернел совсем untrusted - так себе идея. Вы настолько уверены в своем ядре что fuzz-тесты прямо на вас - не парят? В этом аспекте виртуализаторы лучше: untrusted не может fuzz'ить сисколы. Мне это больше нравится, если секурити в приоритете.<br><br>&gt; ZFS: snapshot -&gt; clone делает именно то самое, "совсем халявная и быстрая<br>&gt; операция" как раз из-за CoW семантики, о Великий Гуру По Всему294<br><br>reflink имеет жирный плюс: это все менеджить вообше не на Обход ограничений SELinux, связанных с загрузкой модулей ядр... (Аноним) https://m.opennet.dev/openforum/vsluhforumID3/130682.html#185 Fri, 09 Jun 2023 07:56:40 GMT &gt;&gt; Как же ты любишь пафосную и пустопорожнюю болтовню и спрыги с темы <br>&gt; Рассказы фанов бсд про ОС мне напоминают посты с али про китайские <br>&gt; ватты: всегда обещания оказываются лучше [...] Пох и остальные <br>&gt; фаны виндочки отлично иллюстрируют почему мне это кажется бенефитом относительно них. <br>&gt; Вертикальное масштабирование и универсальность это хорошо, ниипет.<br><br>Сам опять что-то придумал, сам оспорил. Как тетерев на току, ей-ей. <br><br><br>&gt; Дык у вас файлух умеющих этот трюк чисто технически нету. Это требует <br>&gt; CoW семантику + хинт оной что мы хотим "копию" которая изначально <br>&gt; 100% дедуп относительно вон того. Но вы конечно можете блеснуть эрудицией <br>&gt; и рассказать как вы это делаете. Не, онлайн дедуп это вообще совсем не то уже по жрачу CPU и RAM. Вон то вообще совсем халявная и быстрая операция. Оно не создает проблему вместо того чтобы потом героически ее решать.<br><br>Умный и уверенный вид ...<br>ZFS: snapshot -&gt; clone делает именно то самое, "совсем халявная и быстрая операция" как раз из-за CoW семант