OpenForum RSS: X-сервер скоро будет избавлен от кода, работающего с правами... https://opennet.ru/openforum/vsluhforumID3/56517.html Включение в состав Linux ядра DRM (Direct Rendering Manager) модулей для видеокарт Intel и ATI (для NVIDIA разработка проекта Nouveau пока не принята в ядро) и реализация на уровне ядра механизма переключения видеорежимов (KMS) и управления памятью GPU (GEM или TTM), открывает возможность (http://www.phoronix.com/scan.php?page=news_item&px=NzM2MA) полного избавления X-сервера от необходимости выполнения частей кода в режиме суперпользователя. Избавление от требующего root-привелегий кода позволит существенно повысить безопасность системы. <br><br><br>Jesse Barnes, один из разрабочиков компании Intel выставил на обсуждение (http://lists.x.org/archives/xorg-devel/2009-July/001293.html) в списке рассылки x.org, несколько небольших патчей для кода X-сервера и одно тривиальное исправление для кода DRM модуля ядра, предназначенных для полного избавления X-сервера от привилегированного кода. Дополнительно сообщается, что X-сервер, используемый в проекте Moblin (http://www.opennet.ru/opennews/art.shtml?num=21808), будет раб X-сервер скоро будет избавлен от кода, работающего с правами... (XoRe) https://opennet.ru/openforum/vsluhforumID3/56517.html#43 Sat, 04 Jul 2009 11:30:41 GMT &gt;неправда ваша, дяденька Биденко! (с) Сын полка <br>&gt;при правах 0100 даже руту будет "пермишн отбой" .... другой вопрос, что <br>&gt;рут может ПОМЕНЯТЬ права любому файлу :) <br><br># id<br>uid=0(root) gid=0(root) groups=0(root)<br># touch test.txt<br># ls -la test.txt <br>-rw-r--r-- 1 root root 0 2009-07-04 07:20 test.txt<br># chmod 0100 test.txt <br># ls -la test.txt <br>---x------ 1 root root 0 2009-07-04 07:20 test.txt<br># echo "write test" &gt;&gt; test.txt <br># ls -la test.txt <br>---x------ 1 root root 11 2009-07-04 07:21 test.txt<br># cat test.txt <br>write test<br><br>Насколько я знаю, пользователь с id 0 игнорирует ограничения для файлов на читать/писать, указанные с помощью chmod.<br>Работает только ограничение на выполнение.<br>Для папок ограничений нет, хоть 000 ставить.<br>Поправьте, если не так.<br> X-сервер скоро будет избавлен от кода, работающего с правами... (cobain) https://opennet.ru/openforum/vsluhforumID3/56517.html#42 Fri, 03 Jul 2009 12:00:50 GMT чего хорошего то в том что каноникал только говорить может, а код ваяют разрабы интела<br> X-сервер скоро будет избавлен от кода, работающего с правами... (ddwag) https://opennet.ru/openforum/vsluhforumID3/56517.html#40 Fri, 03 Jul 2009 06:26:31 GMT А какая последняя версия X в которой -novtswitch -sharevts нормально работают?<br> X-сервер скоро будет избавлен от кода, работающего с правами... (Wizard) https://opennet.ru/openforum/vsluhforumID3/56517.html#39 Fri, 03 Jul 2009 05:56:51 GMT А ты проверь, а потом говори!<br> Мде.. (oops) https://opennet.ru/openforum/vsluhforumID3/56517.html#38 Fri, 03 Jul 2009 03:30:59 GMT Не беспокойтесь. Линуксу это не грозит.<br> X-сервер скоро будет избавлен от кода, работающего с правами... (Name) https://opennet.ru/openforum/vsluhforumID3/56517.html#37 Fri, 03 Jul 2009 01:21:12 GMT &gt;&gt;... поломали multihead, изобретают и всё не могут внедрить уже который libpciaccess<br>&gt;<br>&gt;что за libpciaccess, а то ничего толкового не нагуглилось... да и монитор <br>&gt;у меня один. <br><br>Плохо гуглил. :)<br><br>http://www.x.org/wiki/PciReworkHowto<br> X-сервер скоро будет избавлен от кода, работающего с правами... (User294) https://opennet.ru/openforum/vsluhforumID3/56517.html#36 Fri, 03 Jul 2009 00:24:03 GMT &gt;Ну а что root сильно вредит? <br><br>В случае эксплойта то?Очень даже... <br><br>&gt;Поставьте нужные права на /dev/sda <br><br>Простите, для этого рут должен заранее об этом позаботиться.Да, админ может стрелять себе в пятки - на то и админ.<br><br>&gt;попробуйте записать туда какой-нибудь мусор от имени простого пользователя. Чем не <br>&gt;rm -rf / ? <br><br>А если раздать на все файлы нужные права - то и не-админ сможет rm -rf /<br>Вот только для этого надо всего-то ничего, чтобы руту приспичило раздать либеральные права... ;)<br><br> X-сервер скоро будет избавлен от кода, работающего с правами... (User294) https://opennet.ru/openforum/vsluhforumID3/56517.html#35 Fri, 03 Jul 2009 00:18:29 GMT &gt;Так будет ещё безопаснее))) <br><br>Если уж паранойя долбит - можно например распихать все демоны по своим контейнерам (например, OpenVZ).Параноидально, эффективно по обкусыванию возможностей атацкеров (ни модуль в ядро не загрузить, ни соседям не поднасрать, ни даже их ресурсы толком не выжрать) и до кучи так можно легко мониторить левую активность (понавешав ловушек, часть из которых может быть невидимыми для хаксора на хост-системе) и даже можно например тушить поломаное окружение автоматом, etc :).А если на скорость похрен - можно в порядке глума пнуть армовский бинарь под qemu.Готов поспорить - хакер сломает мозг пытаясь хотя-бы понять - а куда же он собственно попал?!<br> X-сервер скоро будет избавлен от кода, работающего с правами... (User294) https://opennet.ru/openforum/vsluhforumID3/56517.html#34 Fri, 03 Jul 2009 00:11:26 GMT &gt;Даешь с седьмом офтопике GDI.EXE работающий от пользователя! <br><br>Не бойтесь, вас оно не спасет.Благо еще есть такая штука как win32k.sys - "всего" пара метров кернельного кода, выносок от GDI прямо в ядре... ;).Кто не помнит кульные анимированные курсорчики которые заодно выполняли ядрены код? :)<br>