OpenForum RSS: Для OpenSSH реализована поддержка изоляции на этапе до начал... https://www.opennet.me/openforum/vsluhforumID3/79367.html Для защиты от возможных ошибок в сторонних модулях аутентификации (например, удаленная root-уязвимость (http://www.opennet.ru/opennews/art.shtml?num=31053) через OpenSSH в старых версиях FreeBSD из-за ошибки в libopie), разработчики OpenBSD реализовали (http://undeadly.org/cgi?action=article&sid=20110721123003) новый режим изоляции "UsePrivilegeSeparation=sandbox", работающий на стадии до начала аутентификации и сброса привилегий. <br><br><br>Пока метод работает только в OpenBSD и использует систему systrace для ограничения числа допустимых системных вызовов. В будущих выпусках OpenBSD представленная опция будет использована по умолчанию. При использовании данной защиты в случае поражения через уязвимость в OpenSSH злоумышленник не сможет организовать атаку на локальную систему (например, эксплуатировать локальную уязвимость в ядре) и другие хосты (создать сокет, запустить прокси и т.п.).<br><br><br><br><br>URL: http://undeadly.org/cgi?action=article&sid=20110721123003<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=3128 Для OpenSSH реализована поддержка изоляции на этапе до начал... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/79367.html#58 Fri, 29 Jul 2011 03:55:47 GMT Только что-то не нужен никому этот GPL-ный вариант...<br> Для OpenSSH реализована поддержка изоляции на этапе до начал... (ананим) https://www.opennet.me/openforum/vsluhforumID3/79367.html#57 Wed, 27 Jul 2011 17:09:39 GMT дык и нечего соляркой махать.<br>В рамках сабжа это вообще офтопик, а не в рамках - у соляры тоже масса своих ограничений.<br> Для OpenSSH реализована поддержка изоляции на этапе до начал... (ананим) https://www.opennet.me/openforum/vsluhforumID3/79367.html#56 Wed, 27 Jul 2011 17:07:37 GMT да хрен тебя рязбёрет, что там у тебя.<br> Для OpenSSH реализована поддержка изоляции на этапе до начал... (PereresusNeVlezaetBuggy) https://www.opennet.me/openforum/vsluhforumID3/79367.html#55 Wed, 27 Jul 2011 10:52:53 GMT &gt;&gt; Не &#171;не могут&#187;, а &#171;не собираются&#187;. Листать через &#171;next in thread&#187;: <br>&gt; Все как обычно. "Если у нас чего-то нет, значит, нам это не <br>&gt; нужно" <br>&gt; А объяснить, почему именно не нужно - дело штатных демагогов.<br><br>Если быть более точным, текущие реализации MAC опёнковцев не особо устраивают. Видел комментарии от разработчиков о возможности прикручивания ACL к файловой системе. В целом же классический UNIX-контроль доступа звучит как: &#171;это твоя сфера ответственности и делай здесь, что тебе нужно, а это не твоя&#187;, а MAC &#8212; &#171;вот это можно, вот это нельзя, здесь можно только это, за исключением ещё вот того и того...&#187;. И единственно правильного выбора здесь нет. :)<br><br>&gt; Вот не люблю я, когда вместо программистов работают демагоги.<br><br>Плодами трудов этих демагогов почему-то пользуются люди далеко за пределами OpenBSD. ;)<br><br>&gt;&gt; Не путайте безопасность и фичастость.<br>&gt; MAC - это безопасность.<br><br>MAC &#8212; это способ раздачи и ограничения прав доступа. Один из.<br><br>&gt; Для OpenSSH реализована поддержка изоляции на этапе до начал... (nuclight) https://www.opennet.me/openforum/vsluhforumID3/79367.html#53 Wed, 27 Jul 2011 10:12:32 GMT &gt;&gt;И будет этот второй случай враньем, проистекающим от незнания других систем.<br>&gt; Вы так говорите, как будто можете действительно назвать технологии аналогичного уровня <br>&gt; в других системах, а не заниматься демагогией.<br><br>Вы так говорите, как будто не будет тут же анонимной демагогии, что солярку тут не рассматривают, и ваще. Вон, в соседнем треде уже наглядный пример.<br> Для OpenSSH реализована поддержка изоляции на этапе до начал... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/79367.html#52 Wed, 27 Jul 2011 10:08:40 GMT &gt; Не &#171;не могут&#187;, а &#171;не собираются&#187;. Листать через &#171;next in thread&#187;: <br><br>Все как обычно. "Если у нас чего-то нет, значит, нам это не нужно"<br>А объяснить, почему именно не нужно - дело штатных демагогов.<br>Вот не люблю я, когда вместо программистов работают демагоги.<br><br>&gt; Не путайте безопасность и фичастость.<br><br>MAC - это безопасность. А то, что в сабже - костыли от неимения MAC.<br>Никогда еще не видел, чтобы нагромождение костылей с закономерным запутыванием всего и вся повышало безопасность.<br> Для OpenSSH реализована поддержка изоляции на этапе до начал... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/79367.html#51 Wed, 27 Jul 2011 10:02:36 GMT &gt;И будет этот второй случай враньем, проистекающим от незнания других систем.<br><br>Вы так говорите, как будто можете действительно назвать технологии аналогичного уровня в других системах, а не заниматься демагогией.<br> Для OpenSSH реализована поддержка изоляции на этапе до начал... (Клыкастый) https://www.opennet.me/openforum/vsluhforumID3/79367.html#50 Wed, 27 Jul 2011 01:11:09 GMT &gt; Может, туда еще танцующих свинок запихнуть?<br><br>да! да! а можно? :)<br> Невроз OpenBSD (mixac) https://www.opennet.me/openforum/vsluhforumID3/79367.html#49 Tue, 26 Jul 2011 19:22:46 GMT ох уж эти безопасники придут, психологией задавят "вумными" словами с панталыку собьют..<br>впарят свою супер-пупер систему ген директору...<br>А на деле потом окажется что все равно = порты закрыть провода отрезать печати охрана прослушка подписка о не разглашении и старые дедовские способы от паяльно-ректального метода<br>-не знаешь не выдашь )<br>