OpenForum RSS: В Fedora 40 планируют включить изоляцию системных сервисов https://www.opennet.ru/openforum/vsluhforumID3/132104.html В выпуске Fedora 40 предложено включить настройки изоляции для включаемых по умолчанию системных сервисов systemd, а также сервисов с важными приложениями, такими как PostgreSQL, Apache httpd, Nginx и MariaDB. Предполагается, что изменение позволит значительно повысить защищённость дистрибутива в конфигурации по умолчанию и даст возможность блокировать неизвестные уязвимости в системных сервисах. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. Предложение также может быть отклонено в процессе рецензирования сообществом...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60152<br> В Fedora 40 планируют включить изоляцию системных сервисов (X86) https://www.opennet.ru/openforum/vsluhforumID3/132104.html#166 Sat, 25 Nov 2023 06:43:06 GMT &gt;&gt; Иными словами, вирусне достаточно прав пользователя, под которым она запущена, чтобы украсть <br>&gt;&gt; его крипту и т.д) <br>&gt; В принципе - да. Но если я софт ставил в линухе как <br>&gt; рут, пакетником, а системные сервисы под совсем иными пользователями и с <br>&gt; изоляцией от системы - переключить пользователя на вот этого и обойти <br>&gt; изоляцию... если вы так можете, у вас вероятно правов - на <br>&gt; двух рутов хватит. Или как вы без правов это организуете, интересно? <br>&gt; Особенно в вон той конфиге?<br><br>А зачем зловреду права системных сервисов, если достаточно прав текущего пользователя, чтобы распоряжаться его файлами и мощностями его ПК?<br> В Fedora 40 планируют включить изоляцию системных сервисов (User) https://www.opennet.ru/openforum/vsluhforumID3/132104.html#165 Fri, 24 Nov 2023 06:39:31 GMT &gt;&gt; И все это - не привлекая внимания санитаров. Неуловимого Джо - опять <br>&gt;&gt; не поймали - шах-и-мат, скептики!<br>&gt; Я так то еще до кучи умею Enterprise Admin быть. Поэтому имел <br>&gt; возможность сравнить как мне оно.<br>&gt; ...и пришел к выводу что можно сделать мои системы намного секурнее с <br>&gt; в 20 раз меньше трахом. Что и заимплементил. И ощущения вот <br>&gt; реально - как будто я из прогнившего фордфокусв в звездолет пересел. <br><br>Да не интересен твой локалхост примерно никому, узбагойся. Сделаешь ну если не ERP или там SCADA\MES какой - так хотя бы файлопомойку с правами доступа, корпоративный портал в 20% возможностей шарика или там почтовый сервер, умеющий в календари, интеграцию с сервером каталогов и отображение статусов - будешь интересен, но ты ж не сделаешь, тыр-дыр-прайс-админ. Предполагаю - что и стандартную охапку грабель-и-костылей на бубернетовской изоленте не соберешь, на этапе выбора дистрибутива и конпеляния ведра застрянешь.<br> В Fedora 40 планируют включить изоляцию системных сервисов (Второй из Кукуева) https://www.opennet.ru/openforum/vsluhforumID3/132104.html#164 Fri, 24 Nov 2023 06:35:30 GMT Пани Рутковска полька, а потому во-первых "пани", а во-вторых "Рутковска", а не "Рутковская"<br><br>Ну и да, она покинула основанный ей QubesOS достаточно давно, лет пять назад что ли и сейчас он развивается без нее<br> В Fedora 40 планируют включить изоляцию системных сервисов (Neandertalets) https://www.opennet.ru/openforum/vsluhforumID3/132104.html#163 Fri, 24 Nov 2023 05:40:48 GMT &gt; Только. Я OS/2 успел напользоваться вдоволь. И вирусы там были, и все остальные приключения.<br><br>Ну а про вирусы именно под OS/2 (не варианты под подсистему DOS, т.е. обычные DOS-овые), а именно под OS/2 расскажи поподробней. Там их было "1,5 землекопа" - одной руки для пересчёта хватит. И даже интересно, на какой помойке надо было брать софт, чтобы их найти.<br>Коллеги, обслуживающие банкоматы, с сильным недоумением бы на тебя посмотрели. Сейчас банкоматов на OS/2, наверное, и нет, а раньше были почти единственным вариантом и разницу ТП ощутила сразу после замены на виндовозные новые.<br><br>&gt; Мифы про уникальную устойчивость и производительность OS/2 сильно преувеличены людьми, никогда OS/2 не использовавшими.<br><br>Что же ты с нею делал, что она у тебя падала? У нас лет 15 проработала минимум - вообще проблем не помню (только с платами управления были проблемы). Я потом поставил подмену и работало ещё несколько лет до переезда. И не только у меня было нормально: коллеги, у которых OS/2 работала на банкоматах, 3D при В Fedora 40 планируют включить изоляцию системных сервисов (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/132104.html#162 Fri, 24 Nov 2023 03:02:29 GMT &gt; И все это - не привлекая внимания санитаров. Неуловимого Джо - опять <br>&gt; не поймали - шах-и-мат, скептики!<br><br>Я так то еще до кучи умею Enterprise Admin быть. Поэтому имел возможность сравнить как мне оно.<br><br>...и пришел к выводу что можно сделать мои системы намного секурнее с в 20 раз меньше трахом. Что и заимплементил. И ощущения вот реально - как будто я из прогнившего фордфокусв в звездолет пересел.<br><br> В Fedora 40 планируют включить изоляцию системных сервисов (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/132104.html#161 Fri, 24 Nov 2023 01:12:23 GMT Только. Я OS/2 успел напользоваться вдоволь. И вирусы там были, и все остальные приключения. Мифы про уникальную устойчивость и производительность OS/2 сильно преувеличены людьми, никогда OS/2 не использовавшими.<br> В Fedora 40 планируют включить изоляцию системных сервисов (User) https://www.opennet.ru/openforum/vsluhforumID3/132104.html#160 Thu, 23 Nov 2023 18:36:49 GMT &gt; На фоне этих поделий мои конфиги тоже смотрятся просто звездолетами. С одной стороны - никакого &gt; факин микроменеджмента - вбил координаты назначения и варпнулся туда. С другой это все сильно проще, быстрее, предсказуемее. А силовые щиты еще и не такой threat level отфутболивают.<br>&gt; Пока вы там трахались с микроменеджментом, рискуя неверно понять эффективный набор прав, <br>&gt; и молясь чтобы хаксоры не нашли обходной путь - я за <br>&gt; 10% времени от этого нарулил куда более радикальную изоляцию под совсем <br>&gt; другие допущения, где не то что мышь, блоха не проскочит.<br><br>И все это - не привлекая внимания санитаров. Неуловимого Джо - опять не поймали - шах-и-мат, скептики!<br> В Fedora 40 планируют включить изоляцию системных сервисов (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/132104.html#159 Thu, 23 Nov 2023 18:14:03 GMT &gt;&gt; ProtectClock=yes - запрет изменения времени.<br>&gt; Звучит шикарно, сначала повесить синхронизацию времени на systemd, потом отрезать доступ... <br><br>А с какой бы легитимной целью допустим httpd, или кто там, мог бы захотеть мне системное время корежить?! Поэтому всем и зарубить - кроме сервисов синхронизаторов времени, разумеется.<br><br>Принцип файрволла по сути: DENY ALL, ALLOW (as needed).<br> В Fedora 40 планируют включить изоляцию системных сервисов (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/132104.html#158 Thu, 23 Nov 2023 18:11:02 GMT &gt; Ды щаз, с нулевым оверхедом. Одних структур только на полкеша.<br><br>Де факто на производительность не влияет с точностью до погрешности измерений как правило. Ну и у остальных с производительностью как правило хуже даже и без этого. Поэтому пингвин и получает свое в номинации EPIC WIN. А системд что, он интерфейс к этим фичам системы. Получше чем сборище спичек и желудей, имеющее неиллюзорные проблемы с изоляцией программы от - внезапно - СЕБЯ. Ну вот незачем какому там вебсерваку вообще bash вызывать. Легитимных причин для этого - ноль.<br>