Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Выпуск пакетного фильтра iptables 1.8.9, opennews (??), 12-Янв-23, (0) [смотреть все] Динамические правила на уровне приложения с привязкой к иноде экзешника на диск, Аноним (1), 15:27 , 12-Янв-23, (1) –1 // ты понимаешь, что это бред есть миллион способов обойти эти правила, например ч, Аноним (2), 15:30 , 12-Янв-23, (2) +6   // Именно Нужна проверка, что файл именно тот, который был в момент установки прав, Аноним (1), 15:35 , 12-Янв-23, (3)   // Кстати, с неймспейсами можно без проблем запихнуть всех потомков в те же рамки , Аноним (1), 15:37 , 12-Янв-23, (5)   Тебе нужен явно другой инструмент Например, апармор может наследовать права п, Аноним (6), 15:38 , 12-Янв-23, (6) +1   В момент установки правила, а не в момент запуска , Аноним (1), 15:40 , 12-Янв-23, (7) –2   т е правило должно создаваться после запуска программы , InuYasha (??), 19:31 , 13-Янв-23, (68)   Собственно, да, при запуске проверять что это тот самый файл, потом разрешающее , Аноним (1), 20:08 , 13-Янв-23, (71) –1   Запускай нехорошие приложения в network namespaces с зарезанным доступом в сеть , Аноним (8), 15:57 , 12-Янв-23, (8) // Угу, очень многие приложения хотят локалхост для работы и чтобы выполнить ip lin, Аноним (1), 16:22 , 12-Янв-23, (12) // SELinux в помощь , Аноним (33), 21:48 , 12-Янв-23, (33) +1 cap net admin не хватит , Full Master (?), 23:07 , 12-Янв-23, (36) А это не хуже Потому что unshare не получает реальных админских прав, только в , Аноним (1), 23:45 , 12-Янв-23, (39) –1 Но кстати этого рута в неймспейсе емнип достаточно чтобы выставить cap_sys_admin, Аноним (1), 23:48 , 12-Янв-23, (40) –1 Ты неправ, аноним, нужно запускать в cgroup net_cls Неймспейс тот же, но по cls, Аноним (62), 12:34 , 13-Янв-23, (62) opensnitch не так работает , Дуров (?), 17:36 , 12-Янв-23, (16) Сейчас из того что развивается есть только opensnitch , An0nim0us (?), 23:20 , 12-Янв-23, (37) все эти грабли проходили на винде, когда пытались сделать непробиваемые групповы, ivan_erohin (?), 14:01 , 13-Янв-23, (65) // и что - оно там разве не работает , InuYasha (??), 19:33 , 13-Янв-23, (69) –1 // предполагаю, что достаточно убить или пропатчить сервис AppIdSvc или как его там, ivan_erohin (?), 22:06 , 13-Янв-23, (72) А почему тогда пытались Вроде, на винде полно сервисов работает Даже в зверб, InuYasha (??), 23:51 , 13-Янв-23, (73) –1 потому что это должно не отключаться так просто т е находиться в ядре по рандо, ivan_erohin (?), 06:59 , 14-Янв-23, (74) я забыл сформулировать в чем именно грабли 1 прежде чем что-то запрещать или ра, ivan_erohin (?), 07:18 , 14-Янв-23, (75) У всех хардлинков на один файл одинаковый inode , Аноним (77), 01:03 , 16-Янв-23, (77) значит симлинки все время путаю их , ivan_erohin (?), 22:06 , 20-Янв-23, (83) У каждого процесса есть родитель Эту цепочку можно отследить , Аноним (82), 21:44 , 20-Янв-23, (82) родитель init или systemd что дальше , ivan_erohin (?), 22:07 , 20-Янв-23, (84) Это уже не относится к теме Мы говорили о том,, Аноним (82), 20:06 , 24-Янв-23, (85) Но как, Холмс Кто пояснит, почему от простых и понятных правил, которыми и был, Аноним (4), 15:36 , 12-Янв-23, (4) +17 // А чтобы деды не разобрались, Аноним (9), 15:59 , 12-Янв-23, (9) +3 Можно каждое правило отдельной строкой команде nft передавать , Аноним (-), 16:03 , 12-Янв-23, (10) +1 Так никто не отказался, вон все твои простые правила сохранили и продолжают пи, пууук (?), 16:26 , 12-Янв-23, (13) +1 В современном мире надо эмитировать развитие даже если продукт завершён, иначе с, Аноним (18), 17:53 , 12-Янв-23, (18) +2 // Эмитируют облигации и электроны Развитие имитируют , Аноним (25), 18:47 , 12-Янв-23, (25) Скромное напоминание обещанного рыжым аналога ipchains -C как только так сразу, пох. (?), 20:16 , 12-Янв-23, (29) –1 Потому, что 171 мешанина из фигурных скобок 187 удобно парсится и генерирует, Аноним (33), 21:51 , 12-Янв-23, (34) +1 // Интересно посмотреть на исследование сколько в современном мире хостов администр, Аноним (77), 01:11 , 16-Янв-23, (78) Лучше бы json в iptables завезли, чтобы парсить выхлоп было удобно , Аноним (11), 16:07 , 12-Янв-23, (11) –2 // лучше бы лекарство от жысон головного мозга придумали , Аноним (6), 16:51 , 12-Янв-23, (14) +9 // Жсон очень удобен для шелл-скриптов Лучше и безопасней xml опять же , Аноним (1), 16:58 , 12-Янв-23, (15) +1 // а sed придумали трусы ага вот так и живем , анонна (?), 18:58 , 12-Янв-23, (26) +3 Нет, sed придумали умные люди, которые в отличие от тебя понимают, что такое обл, Аноним (41), 00:02 , 13-Янв-23, (41) черт а оператор 124 тебе просто так дали , анонна (?), 00:55 , 13-Янв-23, (53) –2 я поражаюсь новым поколениям программистов, которые не видели линукса во времена, анонна (?), 01:01 , 13-Янв-23, (54) –1 sed не для парсинга если что, это потоковый редактор всего навсего , Анончик (?), 04:27 , 13-Янв-23, (58) –1 кстати да браузер тоже ток читалка html разметки, а погляди че натворили , анонна (?), 05:11 , 27-Янв-23, (86) вас услышали и написали nftablesnft --json list ruleset, An0nim0us (?), 23:27 , 12-Янв-23, (38) +1 Для json ификации вывода команд есть https kellyjonbrazil github io jc , Аноним (44), 00:16 , 13-Янв-23, (44) Это надо быть сверхчеловеком чтобы помнить все эти правила Как-то надо было нас, Аноним (20), 18:26 , 12-Янв-23, (20) +6 // Я тебе секрет професии открою, только не рассказывай никому Вместо того, чтобы , Аноним (33), 00:08 , 13-Янв-23, (42) +1 // К счастью я выпилился из ойти и вкатился в сварщики на севера вахтовым методом , Аноним (46), 00:31 , 13-Янв-23, (46) +2 // Теперь ты настоящий сварщик , Аноним (57), 04:07 , 13-Янв-23, (57) Работаю админом Тоже ничерта не помню эти таблицы, правила, ipсеты, каждый раз , Аноним (55), 03:03 , 13-Янв-23, (55) –1 // Учи firewalld - он как раз для тебя, попроще Синтаксис немного уе нский, но ра, пох. (?), 14:34 , 13-Янв-23, (66) –1 В nftables можно писать комментарии к правилам, считать по счётчикам, и вообще к, Аноним (62), 12:36 , 13-Янв-23, (63) // В iptables тоже можно писать комментарии и считать по счётчикам, если уж на то п, я (?), 13:55 , 13-Янв-23, (64) Я наверно тоже ИДИОТ, ufw мне всегда хватало А iptables кроме как платной подде, Аноним (28), 19:20 , 12-Янв-23, (28) +1 // ты не наверное, ты точно Впрочем, определение из викивракии - человек, страдающи, пох. (?), 20:20 , 12-Янв-23, (30) –4 // Сожгут вас на костре, за ваши знания пс убил, Sw00p aka Jerom (?), 21:19 , 12-Янв-23, (32) А код будет Что бы предметно , Anonim (??), 22:20 , 12-Янв-23, (35) Так то ufw сам iptables юзает и надо заметить довольно мусорно после него станов, Аноним (55), 03:09 , 13-Янв-23, (56) как там сделать NAT - хотя бы простой с маскарадом, без вписывания параметров дл, Роман (??), 21:00 , 14-Янв-23, (76) А э за 4 года уже даже я переписал все свои хотелки на nft И синтаксис та, InuYasha (??), 19:39 , 13-Янв-23, (70) –1 // И не жалко вам было 4 года потратить на переписывание одного и того же , Аноним (77), 01:22 , 16-Янв-23, (79) // 4 года делали ОНИ, а не я А я ща эти годы потратил 3-4 дня, наверное , InuYasha (??), 14:22 , 16-Янв-23, (80) –1 OpenWRT на nftables, начиная с последнего мажорного релиза , Аноним (33), 18:59 , 16-Янв-23, (81) 1,4,11,20,28,70

Сообщения

[Сортировка по времени | RSS]

	2. "Выпуск пакетного фильтра iptables 1.8.9"	+6 +/–
	Сообщение от Аноним (2), 12-Янв-23, 15:30
	ты понимаешь, что это бред? есть миллион способов обойти эти правила, например через создание подпроцесса "curl". Всё, пид там будет другой. "Индоа экзешника" тоже другая. И ничего не "подменено".
	Ответить | Правка | Наверх | Cообщить модератору

	3. "Выпуск пакетного фильтра iptables 1.8.9"	+/–
	Сообщение от Аноним (1), 12-Янв-23, 15:35
	Именно. Нужна проверка, что файл именно тот, который был в момент установки правила.
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Выпуск пакетного фильтра iptables 1.8.9"	+/–
	Сообщение от Аноним (1), 12-Янв-23, 15:37
	Кстати, с неймспейсами можно без проблем запихнуть всех потомков в те же рамки. Но надо контролировать, что родительский процесс именно то чем представляется. Может хеш бинаря в памяти проверять тоже.
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Выпуск пакетного фильтра iptables 1.8.9"	+1 +/–
	Сообщение от Аноним (6), 12-Янв-23, 15:38
	Тебе нужен явно другой инструмент... Например, апармор может наследовать права при запуске дочернего процесса, и пофик, какая там будет нода и пида.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	7. "Выпуск пакетного фильтра iptables 1.8.9"	–2 +/–
	Сообщение от Аноним (1), 12-Янв-23, 15:40
	В момент установки правила, а не в момент запуска.
	Ответить | Правка | Наверх | Cообщить модератору

	68. "Выпуск пакетного фильтра iptables 1.8.9"	+/–
	Сообщение от InuYasha (??), 13-Янв-23, 19:31
	т.е. правило должно создаваться после запуска программы?
	Ответить | Правка | Наверх | Cообщить модератору

	71. "Выпуск пакетного фильтра iptables 1.8.9"	–1 +/–
	Сообщение от Аноним (1), 13-Янв-23, 20:08
	Собственно, да, при запуске проверять что это тот самый файл, потом разрешающее правило привязывается и не должно быть возможности подменить процесс, файл, или код.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема