Разработчики Ubuntu согласовали ограничение доступа к утилите /usr/bin/dmesg только для пользователей, входящих в группу "adm". В настоящее время непривилегированные пользователи Ubuntu не имеют доступа к  /var/log/kern.log, /var/log/syslog и системным событиям в journalctl, но могут посмотреть лог событий ядра через dmesg...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=53280

• В Ubuntu 20.10 будет ограничен доступ к dmesg,Stanislavvv, 09:50 , 03-Июл-20
  • В Ubuntu 20.10 будет ограничен доступ к dmesg,CHERTS, 09:52 , 03-Июл-20
    • В Ubuntu 20.10 будет ограничен доступ к dmesg,iv m., 10:03 , 03-Июл-20
      • В Ubuntu 20.10 будет ограничен доступ к dmesg,A, 11:21 , 03-Июл-20
    • В Ubuntu 20.10 будет ограничен доступ к dmesg,iPony129412, 10:45 , 03-Июл-20
      • В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 17:42 , 03-Июл-20
      • В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 00:14 , 07-Июл-20
    • В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 11:12 , 03-Июл-20
      • В Ubuntu 20.10 будет ограничен доступ к dmesg,zshfan, 11:55 , 03-Июл-20
        • В Ubuntu 20.10 будет ограничен доступ к dmesg,siu77, 13:45 , 03-Июл-20
    • В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 11:48 , 03-Июл-20
  • В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 14:58 , 03-Июл-20
  • В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 00:13 , 07-Июл-20
• В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 10:16 , 03-Июл-20
  • В Ubuntu 20.10 будет ограничен доступ к dmesg,iPony129412, 10:47 , 03-Июл-20
  • В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 12:17 , 03-Июл-20
    • В Ubuntu 20.10 будет ограничен доступ к dmesg,Diozan, 13:09 , 03-Июл-20
      • В Ubuntu 20.10 будет ограничен доступ к dmesg,Няняняним, 15:32 , 03-Июл-20
  • В Ubuntu 20.10 будет ограничен доступ к dmesg,Вейланд, 13:46 , 03-Июл-20
    • В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 18:51 , 03-Июл-20
      • В Ubuntu 20.10 будет ограничен доступ к dmesg,srgazh, 22:39 , 04-Июл-20
  • В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 16:02 , 03-Июл-20
  • В Ubuntu 20.10 будет ограничен доступ к dmesg,Bdfybec, 19:43 , 03-Июл-20
• В Ubuntu 20.10 будет ограничен доступ к dmesg,Да я вернулся, 10:18 , 03-Июл-20
• В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 10:23 , 03-Июл-20
  • В Ubuntu 20.10 будет ограничен доступ к dmesg,OpenEcho, 10:48 , 03-Июл-20
    • В Ubuntu 20.10 будет ограничен доступ к dmesg,Мимикус Пипикус Онанимус, 11:26 , 03-Июл-20
      • В Ubuntu 20.10 будет ограничен доступ к dmesg,OpenEcho, 12:17 , 03-Июл-20
    • В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 15:48 , 03-Июл-20
      • В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 18:16 , 03-Июл-20
        • В Ubuntu 20.10 будет ограничен доступ к dmesg,Bdfybec, 19:46 , 03-Июл-20
          • В Ubuntu 20.10 будет ограничен доступ к dmesg,anonymous yet another, 07:11 , 04-Июл-20
            • В Ubuntu 20.10 будет ограничен доступ к dmesg,Oldfag, 17:07 , 06-Июл-20
        • В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 09:50 , 07-Июл-20
• В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 11:27 , 03-Июл-20
  • В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 12:46 , 03-Июл-20
• В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 15:44 , 03-Июл-20
  • В Ubuntu 20.10 будет ограничен доступ к dmesg,Bdfybec, 19:48 , 03-Июл-20
    • В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 09:51 , 07-Июл-20
• В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 16:02 , 03-Июл-20
• В Ubuntu 20.10 будет ограничен доступ к dmesg,Иваня, 17:48 , 03-Июл-20
  • В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 18:43 , 03-Июл-20
• В Ubuntu 20.10 будет ограничен доступ к dmesg,Аноним, 19:56 , 03-Июл-20
  • В Ubuntu 20.10 будет ограничен доступ к dmesg,kai3341, 00:49 , 04-Июл-20
  • В Ubuntu 20.10 будет ограничен доступ к dmesg,iPony129412, 05:04 , 04-Июл-20
  • В Ubuntu 20.10 будет ограничен доступ к dmesg,iPony129412, 05:24 , 04-Июл-20
• В Ubuntu 20.10 будет ограничен доступ к dmesg,AntonAlekseevich, 07:59 , 04-Июл-20
• В Ubuntu 20.10 будет ограничен доступ к dmesg,zg_nico, 18:32 , 04-Июл-20
  • Дя,srgazh, 22:42 , 04-Июл-20
  • В Ubuntu 20.10 будет ограничен доступ к dmesg,iPony129412, 05:30 , 07-Июл-20

Надо сразу kernel.dmesg_restrict = 1
Ибо нефиг.

Да вообще запретить доступ в /var/log ибо нефиг логи смотреть.

А лучше сразу их туда и не писать, а то задосят.

Комп сразу выключить из розетки. Ага. )

Вон деды и в /dev/dsp пердели
А сейчас не получится. Права нужны всякие.

Ничего не знаю, у меня и сейчас получается. Разве что по умолчанию /dev/dsp отсутствует, надо загружать модуль ядра snd-pcm-oss. Я это даже на практике использую, т.к. через /dev/dsp пердёж получается более резкий (с меньшим лагом), нежели через libasound, даже при настройке последнего на использование прямого вывода в hw.

Удачи в дудении, что с правами, что без:

$ ls /dev/dsp
ls: cannot access '/dev/dsp': No such file or directory

Неправильно мыслишь. Доступ к логам и дмесгу должен быть по ежемесячной подписке хотя бы за 5$.
Вот тогда это будет серьезно (и хорошая модель монетизации для дистрибутива!).

Ты совсем что ли? Ты зачем им бизнес-модель подсказываешь? Вот окажется тут один из них и всё виндекапец 20.10 станет непопулярным у домохозяек и тогда они попрут на родные генты, арчи и слаки.

Ну, так, а зачем dmesg домохозяйкам? Наоборот, станет популярным.

> запретить доступ в /var/log

Там и так давно уже ничего нет.

> Надо сразу kernel.dmesg_restrict = 1

Надо сразу все опции безопамности включить, а не по одной обсуждать.

Тянут время.

> Надо сразу kernel.dmesg_restrict = 1

Еще можно так:
CONFIG_SECURITY_LOCKDOWN_LSM=y
CONFIG_LSM="lockdown, ...

Идиотия жёсткая, ибо пользователи в итоге начнут на каждый чих писать sudo.

// b.

И что с того?
Кто не понимая, что попало делает, тот и с этим и без этого что попало будет делать.
А такие на линуксах не выживают.

Каждый день по нескольку раз смотришь в dmesg?

Ну, при отладках, бывает и по несколько раз в минуту.

И в чем проблема засунуть нужного юзера в нужную группу?

Если ты можешь написать sudo, то ты уже в этой группе и тебе не надо писать sudo.

Нет, в убунте в sudoers разрешена группа admin (которой из коробки в системе нет).
В новости речь идёт о группе adm (которой традиционно принадлежат системные логи в дебиане).

Да убунто хомяки не занли)

Прекратить вендузятские выкрики!

> начнут на каждый чих писать sudo

Потом, с помпой, отменят sudo за ненадобностью

Linux должен жить, хотя бы как испытательный полигон для качественных патчей для Windows и MacOS.

Догнали наконец FreeBSD, где давно можно доступ отключить прям из инсталлера.

Догонят когда перекроют всем кому не попадя шарится по /proc

Уже сто лет как есть возможность показывать только те процессы, которыми владеет текущий юзер ( если он не рут).
mount -o remount,hidepid=2 none /proc
И все, среднестатистический Васян видит только то, что сам наспавнил в системе. Все остальное можно через AppArmor/SELinux зарезать, и вроде как в старых GRSecurity вроде была такая фича.

> Уже сто лет как есть возможность показывать только те процессы, которыми владеет
> текущий юзер

Мы же про настройки из каробки, нет?

А если закручивать гайки, то имхо админам(не рутам) наверное все таки полезно смотреть /proc  

echo '
proc /proc proc rw,nosuid,nodev,noexec,relatime,hidepid=2,gid=adm  0  0
' >> /etc/fstab

Все это тлен, пока буфер обмена X-ов шарится беззастенчиво

А где-то еще остались иксы?

Почти нет кроме пары ретроградов, но у них 286-й комп и монитор 640x480.

Врёшь, собака! У нас CGA, 320x240.

В CGA 320x200. Иди учи уроки

где nvidia, там остались

Вместо того, чтобы сделать привилегии для ядерных событий (каждое событие имеет свой дескриптор, каждый пользователь тоже, программы под пользователем видят только события, которые пользователю разрешено видеть), они ограничили доступ к ним совсем.

У меня обычный пользователь логи читать не может вообще, кроме wtmp

А на dmesg матюк:
dmesg: read kernel buffer failed: Operation not permitted

Все что ты пишешь это MAC, очень дорогая штука. В рядовых Linux дистрах сначала надо заняться DAC.

в debian уже так сделали...

> в debian уже так сделали...

Под дверь нагадили?

а я уже сделал alias dmesg='sudo dmesg' в .bashrc

А что с journalctl -k?

Подскажите пожалуйста, где найти и скачать исходные коды утилиты /bin/dmesg 🤔

https://github.com/karelzak/util-linux/blob/master/sys-utils...

С ума сойти... кто-то начал всерьёз задумываться о безопасности десктопных юзкейсов на Linux. А я думал там одни иллюзии на тему неуловимого Джо...

>  С ума сойти... кто-то начал всерьёз задумываться о безопасности десктопных юзкейсов на Linux. А я думал там одни иллюзии на тему неуловимого Джо...

Всё чаще Ubuntu используется на сервере. Там оно вполне оправдано

> безопасности десктопных юзкейсов на Linux

А в чём тут десктопность?

А десктоп....
Там десятилетний баг с отображением рабочего стола после спячки, а потом уже скрин-локера исправили?
ЗЫ: а если бы такой Windows или macOS вытворяли — их бы запинали же.

> Например, в dmesg в случае сбоев отображается дамп стека и имеется возможность определения адресов структур в ядре, которые могут способствовать обходу механизма KASLR. Атакующий может использовать dmesg в качестве обратной связи, постепенно приводя эксплоит к должному виду, наблюдая за oops-сообщениями в логе после неудачных попыток атаки.

Как говорится "Давайте ослепнем и все будет хорошо". А тем временем KASLR будут ломать все кому не лень и будут новые эксплоиты.

Мдя... Придется-таки осваивать другой дистрибутив, похоже... Не, я всё понимаю, но вот dmesg через sudo - вот этого я ну никак не понимаю :(
У них там обострение какое-то, в Canonical. Сначала новость про насильно устанавливаемый snap с chromium, теперь dmesg для пользователя запретить... Так чего доброго все подряд начнут гвоздями приколачивать. Эх... Хороший был дистрибутив на момент знакомства. Жаль расставаться.

Да пара уже) Собери свой. И вообще хороший совет оставь Linux для серверов. Установи Windows 10 и радуйся жизни.

Нашёл проблему...
Насколько помню в инсталяторе создаётся сразу пользователь как около админмтратор, тоесть включенный в группу adm