| 1.1, Anonimus (??), 10:02, 25/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +21 +/– |
Вот уж действительно основательный подход. И наверно это довольно серьезный удар по имиджу Linux, как основы безопасной системы. Хотя я честно рад, что большинство из линуксойдов все же прежде всего гики, и наверно прекрасно понимают, что абсолютно безопасных систем не бывает, а ребята из kernel.org молодцы: возникшие проблемы требуют серьезных действий, и они это сделали.
| | |
| |
| 2.9, iCat (ok), 11:17, 25/09/2011 [^] [^^] [^^^] [ответить]
| +28 +/– |
 >...это довольно серьезный удар по имиджу Linux, как основы безопасной системы...
Только для неспециалистов.
| | |
| |
| 3.29, tmp (ok), 13:42, 25/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >>...это довольно серьезный удар по имиджу Linux, как основы безопасной системы...
> Только для неспециалистов.
А рекламируемая безопасность OpenBSD - это тоже для неспециалистов?
| | |
| |
| 4.41, Аноним (-), 16:13, 25/09/2011 [^] [^^] [^^^] [ответить]
| +5 +/– | |
>А рекламируемая безопасность OpenBSD - это тоже для неспециалистов?
Да.
| | |
| 4.91, Аноним (-), 21:11, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> А рекламируемая безопасность OpenBSD - это тоже для неспециалистов?
У рекламируемых специалистов разок случился весьма годный FAIL с их OpenSSH: их сервер вскрыли и подменяли сырец OpenSSH. Отмазка удивила своей инфантильностью: мы, типа, голодранцы, своего сервера у нас нет. Поэтому мы использовали чужой, а там накосячили с администрированием. Блин, да какая мне разница как именно меня через вас поимели?!
| | |
| |
| 5.106, тигар (ok), 21:56, 25/09/2011 [^] [^^] [^^^] [ответить]
| –2 +/– |
 >> А рекламируемая безопасность OpenBSD - это тоже для неспециалистов?
> У рекламируемых специалистов разок случился весьма годный FAIL с их OpenSSH: их
> сервер вскрыли и подменяли сырец OpenSSH. Отмазка удивила своей инфантильностью: мы,
> типа, голодранцы, своего сервера у нас нет. Поэтому мы использовали чужой,
> а там накосячили с администрированием. Блин, да какая мне разница как
> именно меня через вас поимели?!
может быть тогда ты покажешь версию того, что у тебя в качестве sshd используется? или админу локалхоста не нужен ssh[d]? ;-)
| | |
| |
| 6.107, Аноним (-), 22:05, 25/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>может быть тогда ты покажешь версию того, что у тебя в качестве sshd используется?
0.53.1
| | |
| |
| 7.108, Аноним (-), 22:08, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>может быть тогда ты покажешь версию того, что у тебя в качестве sshd используется?
> 0.53.1
Я не любитель тяжеловесной и переусложненной блоатвари.
Не то чтобы мне ресурсов жалко - просто переусложнение и набивание лишней функциональностью сильно увеличивает объем кода и вероятность наличия в нем ошибок, критичных для безопасности.
| | |
|
| 6.121, Аноним (-), 22:30, 25/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> может быть тогда ты покажешь версию того, что у тебя в качестве sshd используется?
0.53. Это хорошо или плохо?
| | |
| 6.140, Аноним (-), 01:27, 26/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
> может быть тогда ты покажешь версию того, что у тебя в качестве
> sshd используется? или админу локалхоста не нужен ssh[d]? ;-)
Кстати, а с мутной историей про ipsec и бэкдоры там хотя-бы разобрались уже? И каков вывод - есть ли бэкдор на данный момент? Где результаты аудита? Дофига ж времени уже прошло?
| | |
| |
| 7.144, фклфт (ok), 06:33, 26/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > Кстати, а с мутной историей про ipsec и бэкдоры там хотя-бы разобрались
> уже? И каков вывод - есть ли бэкдор на данный момент?
> Где результаты аудита? Дофига ж времени уже прошло?
Там не совсем что бы бекдор, вся фишка заключается в том что при некорректной настройке IPSEC есть высокая вероятность скомпроментирования системы, а если еще более точно то там какая то фитча указанная по дефолту в конфиге не совсем корректно работает - вобщем вся суть в том что надо знать что включать и как включать (функционал)
в общем как то так...
| | |
|
|
|
| 4.93, Аноним (-), 21:18, 25/09/2011 [^] [^^] [^^^] [ответить]
| +5 +/– |
>А рекламируемая безопасность OpenBSD - это тоже для неспециалистов?
>>рекламируемая
Тот, кто верит рекламе - разве специалист?
| | |
| |
| 5.173, anonymous (??), 10:04, 27/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Реклама бывает не только навязчивая, можно наоборот как бы прятaть информацию и рекламировать сам факт сложности доступа, чтобы как раз таких "умников" ловить. Специалисты блин.
| | |
|
|
|
| 2.35, ДФ (ok), 15:12, 25/09/2011 [^] [^^] [^^^] [ответить] | +1 +/– |  Во первых, вопрос не в том, что систему нельзя сломать Преимущество Линукса в т... большой текст свёрнут, показать | | |
| |
| 3.57, Аноним (-), 17:10, 25/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Не хочу Вас обидеть, но нельзя не заметить что Ваша скрытая анти-реклама
> Линукса по стилистике напоминает приемы времен Геббельса...
Других способов защиты винды, кроме откровенного вранья и промывания мозгов - просто не существует.
| | |
| |
| 4.59, Suminona (??), 17:13, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Не хочу Вас обидеть, но нельзя не заметить что Ваша скрытая анти-реклама
>> Линукса по стилистике напоминает приемы времен Геббельса...
> Других способов защиты винды, кроме откровенного вранья и промывания мозгов - просто
> не существует.
Никто не защищает Венду. Местную публику призывают открыть глаза и перестать истерить на тему Венда-дыра, Линух-непробиваемая стена. Всё.
| | |
| |
| 5.63, Аноним (-), 17:25, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Никто не защищает Венду. Местную публику призывают открыть глаза и перестать истерить
> на тему Венда-дыра, Линух-непробиваемая стена. Всё.
Любая ОС - дыра по определению. Просто у винды эта дыра огромна, а линукса - сравнительно небольшая.
| | |
| |
| 6.131, Аноним (-), 23:43, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Любая ОС - дыра по определению. Просто у винды эта дыра огромна,
> а линукса - сравнительно небольшая.
Просто у линукса дыру можно и самому заштопать и вообще применить нестандартные техники защиты, типа Qube OS от Рутковской. А в винде - только и остается что ждать патчей и надеяться что до их выхода - не раздолбают. А альтернативные техники защиты в силу общей огороженности системы малобюджетным исследователям сложно делать. А как защищают разрекламленные защиты за много баксов - видно на примере DigiNotar. Хорошо защитили - компания стала банкротом!
| | |
|
| 5.170, Аноним (-), 00:24, 27/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
Истерят, вообще-то, залётные виндузятники, потому что на дыре они, а не мы. Раскройте глаза.
| | |
|
|
|
| 2.97, Аноним (-), 21:33, 25/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Вот уж действительно основательный подход. И наверно это довольно серьезный удар по
> имиджу Linux, как основы безопасной системы.
Так покажите безопасную систему? :) Только чур не надо про винды, DigiNotar вон 21 числа обанкротился благодаря взломщикам.
| | |
| |
| 3.113, Аноним (-), 22:15, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Так покажите безопасную систему? :) Только чур не надо про винды, DigiNotar
> вон 21 числа обанкротился благодаря взломщикам.
Ответ вполне предсказуем. Кернел.орг взломали -> все претензии к дырявости винды автоматически аннулируются.
| | |
| |
| 4.123, Аноним (-), 22:35, 25/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Ответ вполне предсказуем. Кернел.орг взломали -> все претензии к дырявости винды автоматически аннулируются.
Ну понятно - если в свой глаз влетело бревно, надо срочно кинуть соломинку в глаз конкурента. Только вот полный дестрой IT инфраструктуры, выпуск 250+ фэйковых сертификатов и в результате банкротство CA - это как-то позлее будет чем взлом кернелорга где наиболее ценный материалец - хрен запатчишь так по простому.
| | |
|
|
|
| 1.4, Аноним (-), 10:29, 25/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– | |
> Как показала практика, при наличии неограниченного доступа к shell, получение root-привилегий - дело времени.
Станно. буквально 2 недели назад - какой-то товарищ из RedHat говорил что уявзвимости ядра которые требуют shell акаунта - это не критические. Неужели такая серьезная компания врала?
| | |
| |
| 2.6, dxd (?), 10:42, 25/09/2011 [^] [^^] [^^^] [ответить]
| +5 +/– |
для ядра - не критические. Если уж доступ к shell получен - ошибка где-то выше.
| | |
| |
| 3.15, Аноним (-), 12:10, 25/09/2011 [^] [^^] [^^^] [ответить]
| +3 +/– |
а для хостеров ?:)
то есть linux безопасен только как сферический конь в вакуме?
Тут недавно windows обливали грязью за то что от любого пользователя можно получить админа, а выходит linux нефига не лучше? Через дырявый php скрипт запустили утилитку и ву-аля.. вот он админ.
И это нефига не критическая проблема :)
| | |
| |
| |
| 5.19, Аноним (-), 12:53, 25/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
никто.
Но называть некритической дырку через которую можно получить рута от непривилигированного акаунта - мягко скажем не корректно.
| | |
| 5.24, crypt (??), 13:10, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> А кто виноват, что запускает дырявый php-скрипт? ;)
Когда поимеешь проблемы на работе, тебе будет глубоко пофигу "кто виноват". А сам ты весь пхп код всеравно проверять не будешь.
| | |
| |
| 6.132, Аноним (-), 23:46, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Когда поимеешь проблемы на работе, тебе будет глубоко пофигу "кто виноват". А
> сам ты весь пхп код всеравно проверять не будешь.
Ну так запустите мой код, который совсем не троян?! Вообще, белый и пушистый кот. Хакер Вася Пупкин подтвердит - никаких троянов, что вы! Раз весь код не проаудитишь - давайте запускать что попало. Например можно мой скриптик запустить. Не хотите? :)
| | |
| |
| 7.145, crypt (??), 08:21, 26/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> можно мой скриптик запустить. Не хотите? :)
Нет, твой не хочу. Ты походу даже не понял, на что отвечаешь. Выше написали про дырявый пхп на хостинге. Речь идет про дырявые php сайты (частных вебстудий) и неизвестные уязвимости в известных php продуктах.
| | |
|
|
|
| 4.23, crypt (??), 13:05, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
Поддерживаю. Если так
"Как показала практика, при наличии неограниченного доступа к shell, получение root-привилегий - дело времени."
начнут считать не только авторы новостей, но и те, кто непосредственно занимается Linux, то можно ставить жирный крест на это ОС.
| | |
| |
| 5.66, Аноним (-), 17:31, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> начнут считать не только авторы новостей, но и те, кто непосредственно занимается
> Linux, то можно ставить жирный крест на это ОС.
Почитайте про последние взломы SourceForge, GNU.org и т.п. Везде взломщики смогли получить root. Иногда приходится годами ждать момента, но такой момент бывает когда о дыре уже стало известно, а обновление с исправление еще не пришло. Более того, скажу вам, что просто читая changelog последних тестовых и не тестовых выпусков ядра Linux можно эмпирически выявить кучу дыр. Для примера смотрите secunia.com, через пару дней после каждого обновления ядра бывают отчеты о дырах, которые в changelog очень нейтрально описаны.
| | |
| |
| 6.146, crypt (??), 08:30, 26/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> начнут считать не только авторы новостей, но и те, кто непосредственно занимается
>> Linux, то можно ставить жирный крест на это ОС.
> Почитайте про последние взломы SourceForge, GNU.org и т.п. Везде взломщики смогли получить
...
> бывают отчеты о дырах, которые в changelog очень нейтрально описаны.
savannah.gnu.org? Нет свидетельств получения root'a. sourceforge? Опять же не вижу, про root'a. При чем тут последние тестовые ядра? Я считаю, это ошибка использовать Fedora на продакшен серверах. Так что я бы предпочел увидеть changelog LTS ядер с описанием дыр.
| | |
| |
| 7.149, Аноним (-), 09:56, 26/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> savannah.gnu.org? Нет свидетельств получения root'a. sourceforge? Опять же не вижу, про
> root'a.
И там и там подменили sshd и снифили пароли пользователей, что подразумевает наличие root-прав.
> При чем тут последние тестовые ядра?
При том, что если ошибка исправлена, с большой вероятностью она появилась не вчера и также присутствует в ядрах, используемых в дистрибутивах.
| | |
| |
| 8.156, crypt (??), 13:40, 26/09/2011 [^] [^^] [^^^] [ответить] | +/– | Да, про source forge есть такое про savannah хз Но это не означает повышение ... большой текст свёрнут, показать | | |
|
|
| 6.157, crypt (??), 13:50, 26/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> root. Иногда приходится годами ждать момента, но такой момент бывает когда
> о дыре уже стало известно, а обновление с исправление еще не
> пришло.
Я правильно понял, что ты именно так и "ломаешь" сайты? Найдешь заброшенный сайт, который не меняют годами, с SQL и делаешь на него закладку "авось да когда-нибудь"? По-моему это почти то же самое, что дождаться, когда сервер помрет от старости, а потом сказать, что произвел DoS атаку.:)
| | |
|
| 5.129, zerot (ok), 22:55, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 :) это врядли. альтернативы существенно хуже, да и методы организации доступа чётко говорят, что пользователей в шелл в большинстве случаев пускать не надо
| | |
|
| 4.28, filosofem (ok), 13:34, 25/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >Через дырявый php скрипт запустили утилитку и ву-аля.. вот он админ.
Админ виртуального контейнера, поздравляю.
| | |
| |
| 5.31, Аноним (-), 14:35, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>Через дырявый php скрипт запустили утилитку и ву-аля.. вот он админ.
> Админ виртуального контейнера, поздравляю.
Где вас таких неумелых учат.
через дырку в ядре - становится полным админом ибо выполняет код с привилегиями ядра, а не процесса.
| | |
| |
| 6.33, brzm (?), 14:57, 25/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
С привелегиями ядра, вы уверены? Не различаете пользователя/суперпользователя и kernel/user-space? Получив рута в том же контейнере OpenVZ, KVM, Xen etc, вы сломаете только конкретный контейнер, для того все эти вещи умные дядьки и придумали. ;)
| | |
| |
| 7.40, Аноним (-), 16:08, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> С привелегиями ядра, вы уверены? Не различаете пользователя/суперпользователя и kernel/user-space?
> Получив рута в том же контейнере OpenVZ, KVM, Xen etc, вы
> сломаете только конкретный контейнер, для того все эти вещи умные дядьки
> и придумали. ;)
Смотря о чем речь. Ежели речь не о всяких hardware-assisted виртуализациях (как KVM и Xen), а про OpenVZ, то ядро там в ring 0, а изоляция только в том, что контейнерам приурезаны допустимые сисколлы. Но если уж есть вариант как в kernel space запустить произвольный код, то все, машина полностью, как говорят братья наши школьные, pwned.
С ring 1, ясен пень, такого не будет, там дальше, атаковать надо гипервизор, а там ошибку найти труднее, он мельче и проще.
| | |
| 7.64, Аноним (-), 17:28, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Уверен. А вы видимо сказок о невзламываемости OpenVZ начиначилсь?
Смею огорчить - половина из них - это реклама одной конторы - которая долгое время ложила на GPL, и при этом на нее никто не наезжал.
Linux-vserver в свое время тривиально позволял выпрыгивать из песочницы поимев рута в контейнере.
OpenVZ чуть сложнее - но и там, метка "контейнер" - это только число в struct task + указатель на лимиты (которые мягко скажем тут наплевать). так что имея возможность выполнить что либо в контексте ядра - стать админом host - мягко скажем тривиально.
Дальше объяснять? или возьмете букварик и пойдете читать домашнее задание?
| | |
| |
| |
| |
| 10.125, Аноним (-), 22:44, 25/09/2011 [^] [^^] [^^^] [ответить] | –1 +/– | Да блин, набор скриптов самопальных, заменяющих некоторые стандартные команды на... большой текст свёрнут, показать | | |
|
|
| 8.124, brzm (?), 22:40, 25/09/2011 [^] [^^] [^^^] [ответить] | +1 +/– | Ну не используйте OpenVZ, кто ж вам мешает, или вас его разработчики страстно по... текст свёрнут, показать | | |
|
| 7.150, Michael Shigorin (ok), 10:06, 26/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > С привелегиями ядра, вы уверены? Не различаете пользователя/суперпользователя
> и kernel/user-space?
Так человек будто и говорил про запуск произвольного кода в контексте ядра. Из относительно недавнего -- коркомёт (хорошо, что в альте он из коробки по схожим соображениям отключен и дырка не работала).
| | |
|
|
|
|
|
| 2.7, filosofem (ok), 10:45, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
>Станно. буквально 2 недели назад - какой-то товарищ из RedHat говорил что уявзвимости ядра которые требуют shell акаунта - это не критические. Неужели такая серьезная компания врала?
Вообще-то одно из другого следует, включайте головной мозг уже.
| | |
| |
| 3.20, Аноним (-), 12:54, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>Станно. буквально 2 недели назад - какой-то товарищ из RedHat говорил что уявзвимости ядра которые требуют shell акаунта - это не критические. Неужели такая серьезная компания врала?
> Вообще-то одно из другого следует, включайте головной мозг уже.
то есть врала? и любая дырка в ядре - уже критическая ?
| | |
|
| 2.47, Аноним (-), 16:57, 25/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>какой-то товарищ из RedHat говорил что уявзвимости ядра которые требуют shell акаунта - это не критические.
Можно точную цитату со ссылкой на источник?
| | |
| |
| 3.65, Аноним (-), 17:29, 25/09/2011 [^] [^^] [^^^] [ответить]
| –3 +/– |
>>какой-то товарищ из RedHat говорил что уявзвимости ядра которые требуют shell акаунта - это не критические.
> Можно точную цитату со ссылкой на источник?
Сами найдете. Было на OpenNet хвастливое высказвание от RH - который рассказывал что в ядре небыло критических ошибок.
| | |
| |
| 4.67, Аноним (-), 17:33, 25/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>Сами найдете. Было на OpenNet хвастливое высказвание от RH - который рассказывал что в ядре небыло критических ошибок.
А еще сам Столман говорил, что винда - единственная полностью свободная ОС, ага. Пруф сами найдете.
| | |
| |
| 5.110, Аноним (-), 22:09, 25/09/2011 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> А еще сам Столман говорил, что винда - единственная полностью свободная ОС,
На опеннете, разумеется. Тут столлман и RH периодически устраивают баталии руками анонимусов :)
| | |
| |
| 6.118, Аноним (-), 22:19, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Тут столлман и RH периодически устраивают баталии руками анонимусов :)
На самом деле, Столман и RH - всего лишь послушные марионетки в руках могущественного Анонима. Что он пожелает - то они и скажут.
| | |
|
|
|
| 3.138, Аноним (-), 00:05, 26/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Можно точную цитату со ссылкой на источник?
Я другой Аноним. Ссылка эта
http://www.redhat.com/f/pdf/security/RHEL4_RiskReport_6yr_wp_5732067_0311_ma_
Суть в том, что в понимании Red Hat критическая уязвимость - это remote root или возможность автоматической эксплуатации без ведома пользователя. Согласитесь, remote root и local root - это разного класса уязвимости. Именно по этому local root в классификации Red Hat значится как опасная, но не критическая.
| | |
|
| 2.54, Аноним (-), 17:04, 25/09/2011 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Станно. буквально 2 недели назад - какой-то товарищ из RedHat говорил что
> уявзвимости ядра которые требуют shell акаунта - это не критические. Неужели
> такая серьезная компания врала?
Нет, врал какой-то несерьезный аноним с опеннета, приписывая свои высказывания другим.
| | |
| |
| 3.69, Аноним (-), 17:35, 25/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Нет, врал какой-то несерьезный аноним с опеннета, приписывая свои высказывания другим.
Причем этот деятель агитпропа упорно не хочет приводить ссылку - иначе кто-нибудь может по ней по ней пройти и прочитать, как все было на самом деле, и обнаружить, что это совсем не согласуется с враньем про "заявления RedHat".
| | |
|
| 2.87, Michael Shigorin (ok), 20:18, 25/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Станно. буквально 2 недели назад - какой-то товарищ из RedHat говорил что
> уявзвимости ядра которые требуют shell акаунта - это не критические.
Ссылочка будет или речь на самом деле шла про local DoS, как обычно?
А то есть тут одна "серьёзная" компания, которая регулярно подзуживает неокрепших умов, подсовывая сомнительные "доводы" -- ну, чтоб не так вот прямо врать, как про UEFI.
| | |
| |
| 3.112, Аноним (-), 22:14, 25/09/2011 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> подсовывая сомнительные "доводы" -- ну, чтоб не так вот прямо врать, как про UEFI.
Кстати про UEFI на хабре выдвинули вполне доходчивые доводы против:
1) Если систему взгрели до уровня когда можно писать загрузчик - защищать там уже по сути нечего, хакер на этот момент мог спереть все что только можно. Поэтому...
2) Единственным сомнительным "бонусом" станет не загружающаяся совсем система. Насколько это лучше чем загружающаяся система, но с руткитом - вопрос вкусов и предпочтений. По-моему оба варианта - дрянь. А если учесть что винда не фонтан в качестве средства рекавери, а что-то еще запустить не выйдет... впрочем кого волнуют проблемы хомячков, правда? :)
Итого: притянутая за уши система DRM-ограничений и загородок. "Для безопасности [облапошивания] пользователя".
| | |
| 3.130, Аноним (-), 23:05, 25/09/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Станно. буквально 2 недели назад - какой-то товарищ из RedHat говорил что
>> уявзвимости ядра которые требуют shell акаунта - это не критические.
> Ссылочка будет или речь на самом деле шла про local DoS, как
> обычно?
в том треде были приведены ссылки как миниум на 4 дыры которые имели эксплойты по поднятию привелегий. Все 4 были помечены в RH - как серьезные, но не критические.
Я уж не знаю что может быть более критическое...
| | |
| |
| 4.133, Аноним (-), 23:49, 25/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Я уж не знаю что может быть более критическое...
Капитан подсказывает: ремотный рут по сети. Ну как в шиндошс с ее мсбластами и лавсанами, современные видоизменения которых прошибают все сплошняком - от винтукея до "суперсекурных" 2008 с последним сервиспаком.
| | |
| 4.137, Аноним (-), 00:00, 26/09/2011 [^] [^^] [^^^] [ответить] | +2 +/– | Видимо собрат Аноним имеет в виду это http www opennet ru opennews art shtml n... большой текст свёрнут, показать | | |
|
|
|
| 1.8, umbr (ok), 11:12, 25/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 >отдельную базу виртуальных пользователей, не имеющих системных аккаунтов
Виртуальные аккаунты не панацея, неизвестно, какие дыры там обнаружатся.
>считает свой проект абсолютно безопасным и готов выплатить тысячу долларов
Главная уязвимость системы - излишняя самоуверенность разработчиков.
>перестанут работать ... обработчики, написанные на shell. Подобные обработчики потребуется переписать с учетом особенностей...
А вот и первая потенциальная уязвимость.
| | |
| |
| 2.32, szh (ok), 14:47, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 >> отдельную базу виртуальных пользователей, не имеющих системных аккаунтов
> Виртуальные аккаунты не панацея, неизвестно, какие дыры там обнаружатся.
Панацея очевидна, отключить сервер от интернета навсегда. Только людям еще работать надо, поэтому не подходит.
>считает свой проект абсолютно безопасным и готов выплатить тысячу долларов
> Главная уязвимость системы - излишняя самоуверенность разработчиков.
Бла-бла-бла. Главная уязвимость комментатора - попытка делать самоуверенные выводы не основанные ни на чем.
> А вот и первая потенциальная уязвимость
Видно людям же этот функционал нужен чтобы эффективно работать, иначе не стали бы это делать, не дураки. Не работать, или работать медленно и неудобно - не панацея.
| | |
| 2.78, anonymous (??), 18:47, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > Виртуальные аккаунты не панацея, неизвестно, какие дыры там обнаружатся.
правильно. лучше всего закрыть kernel.org навсегда и предложить всем разработчикам заняться действительно полезным делом: писать твикалки и чистилки реестра под Единственную Неуязвимую ОС.
| | |
|
| 1.10, Аноним (-), 11:27, 25/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>Как показала практика, при наличии неограниченного доступа к shell, получение root-привилегий - дело времени.
Двумя руками подписываюсь под этим утверждением. Именно так все и бывает: взом пользовательского аккаунта, локальный эксплойт с целью обретения рутовых привелегий и инсталляция руткита в оконцовке.
А все потому что SSH - это одна большая дырка, как ни покрути. Пока брандмауэром не защитишь - все одно сломают.
| | |
| |
| 2.18, Клыкастый2 (?), 12:46, 25/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– | |
ssh дырка? простите, в каком месте? юзать шелл на каждый чих - некошерно, согласен. ключики надо свои защищать - тоже согласен. но ssh-то тут при чём? какой именно алгоритм криптовки вы считаете дыркой?
P.S. компьютер одна большая дырка. вот есть у меня гиря чугунная....
| | |
| |
| 3.172, thesame (?), 06:39, 27/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> ssh дырка? простите, в каком месте? юзать шелл на каждый чих -
> некошерно, согласен. ключики надо свои защищать - тоже согласен. но ssh-то
> тут при чём? какой именно алгоритм криптовки вы считаете дыркой?
> P.S. компьютер одна большая дырка. вот есть у меня гиря чугунная....
Лучше паяльник.
Разработчики утверждают, что, если получить доступ к админу, сервер взламывается за несколько минут. :)
| | |
|
|
| 1.11, Другой Аноним (?), 11:33, 25/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 > Как показала практика, при наличии неограниченного доступа к shell, получение root-привилегий - дело времени.
Это что, шутка такая??? Что это за система, в которой получение локальным пользователем прав root'а -- вопрос времени??? О какой безопасности вообще тогда может идти речь???
| | |
| |
| 2.14, Аноним (-), 11:53, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Это что, шутка такая??? Что это за система, в которой получение локальным
> пользователем прав root'а -- вопрос времени??? О какой безопасности вообще тогда
> может идти речь???
Любая. Раз в год стабильно везде находят подобные дыры, где-то реже, а где-то чаще. При наличии локального Shell разные дополнительные надстройки типа SELinux и AppArrmor мало помогают, они больше для защиты пролома отдельных приложений, а не Glibc и ядра. Радует только то, что многие дистрибутивы осознали порочную практику наводнения системы suid-ными программами и активно переходят на capabilities.
| | |
| |
| 3.17, Другой Аноним (?), 12:36, 25/09/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
SELinux, apparmor -- это средства описания тех или иных привилегий, но ни коим образом не средство от их повышения. Так что вполне естественно, что они не помогают. И таки повышение привилегий, хоть локального пользователя, хоть удалённого, это абсолютно ненормально для системы, которую хотелось бы называть надёжной и безопасной.
| | |
| |
| 4.36, Andrew Kolchoogin (?), 15:28, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> SELinux, apparmor -- это средства описания тех или иных привилегий,
> но ни коим образом не средство от их повышения.
"Да ладно, профессор!" (C) Анекдот.
SELinux (как и любая система MAC) предназначен ИМЕННО для этого: для защиты от local root compromise в частности и от несанкционированного privileges escalation вообще.
| | |
| |
| 5.44, Другой Аноним (?), 16:24, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> SELinux, apparmor -- это средства описания тех или иных привилегий,
>> но ни коим образом не средство от их повышения.
> "Да ладно, профессор!" (C) Анекдот.
> SELinux (как и любая система MAC) предназначен ИМЕННО для этого: для защиты
> от local root compromise в частности и от несанкционированного privileges escalation
> вообще.
Каким образом?
| | |
| 5.128, Аноним (-), 22:53, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> SELinux (как и любая система MAC) предназначен ИМЕННО для этого: для защиты
> от local root compromise в частности и от несанкционированного privileges escalation вообще.
У шиндошса NT ACL сто лет в обед как есть. Что-то это не больно DigiNotar'у помогло: хаксор поимел SYSTEM через неизвестную дыру а в качестве бонуса спер креденшлы админа AD (с такими правами можно раскинуть бэкдоры на вообще все машины в AD, да хоть через те же групповые политики, например).
| | |
| |
| 6.154, szh (ok), 12:09, 26/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> У шиндошса NT ACL
правильно что под анонимом, незнаешь о чем речь и мысли кудато в сторону блуждают
| | |
| 6.168, Disaron (??), 21:27, 26/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> У шиндошса NT ACL сто лет в обед как есть.
Охрененно одно и тоже: обычный дискреционный ACL винды и линуха супротив мандатного SELinux. Спесьялисты....
| | |
|
|
|
| |
| 4.39, Аноним (-), 15:58, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> 21 век уже давно у всех LDAP/389DS стоят
Это в 20-м было, LDAP всякие. В 21-м все-таки PAM.
| | |
| |
| 5.51, Аноним (-), 17:01, 25/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Это в 20-м было, LDAP всякие. В 21-м все-таки PAM.
Да вы офигенно крутой спец. PAM и LDAP у вас типа конкурирующие технологии, да :D
| | |
|
| 4.82, uldus (ok), 19:48, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 >> При наличии локального Shell разные дополнительные надстройки типа
>> SELinux и AppArrmor мало помогают
> Про апп-армор не скажу, а про СЕ советую его для начала поманить
> ...
Во первых, на kernel.org была Fedora с SELinux. Во вторых, покажите мне хоть один дистрибутив с залоченным SELinux shell-ом. В том то и проблема, что какой-нибудь Firefox зажмут, а войдя по ssh можно что угодно делать.
| | |
| |
| 5.84, Аноним (-), 20:07, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> покажите мне хоть один дистрибутив с залоченным SELinux shell-ом.
А вы мне покажите хоть одну дыру в шелле, позволяющую получить рутовые права. Именно в шелле, а не в программе, которую можно из него запустить.
> В том то и проблема, что какой-нибудь Firefox зажмут, а войдя по ssh можно что угодно делать.
Браузеры, как наиболее уязвимые и небрежно написанные программы, необходимо защищать в первую очередь.
А шелл на для того предназначен, чтобы делать все что угодно. И если админ разбрасывается своими реквизитами - это уже какбэ не проблема шелла, не находите?
| | |
| |
| 6.101, anonymous (??), 21:40, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Огораживать ФФ есть очень большой смысл.
Что еще один из криокамеры ? Давно уже все пускают фф так :
sandbox -X firefox
| | |
| |
| 7.103, Другой Аноним (?), 21:42, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Огораживать ФФ есть очень большой смысл.
> Что еще один из криокамеры ? Давно уже все пускают фф так
> :
> sandbox -X firefox
Ой, да, простите, это всё меняет.
| | |
| 7.176, anonymous (??), 10:34, 27/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Огораживать ФФ есть очень большой смысл.
> Что еще один из криокамеры ? Давно уже все пускают фф так
> :
> sandbox -X firefox
А скачаное после длолгих мучительных поисках по сотням форумов как сохранить? Фотографировать экран?
| | |
|
|
|
|
| 3.50, Аноним (-), 17:00, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> разные дополнительные надстройки типа SELinux и AppArrmor мало помогают, они больше для защиты пролома отдельных приложений, а не Glibc и ядра.
Очень остроумно. А как вы проломите glibc и ядро, не воспользовавшись ни одним приложением?
| | |
| |
| 4.70, Аноним (-), 17:35, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Очень остроумно. А как вы проломите glibc и ядро, не воспользовавшись ни
> одним приложением?
Написав и собрав свое приложение дергающие нужный системный вызов ? Как по вашему эксплоиты запускают ?
| | |
| |
| 5.85, Аноним (-), 20:07, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Написав и собрав свое приложение дергающие нужный системный вызов ? Как по
> вашему эксплоиты запускают ?
Бгг. Эксплойт - не программа, да?
| | |
| |
| 6.86, Аноним (-), 20:15, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Написав и собрав свое приложение дергающие нужный системный вызов ? Как по
>> вашему эксплоиты запускают ?
> Бгг. Эксплойт - не программа, да?
А по умолчанию всё разрешающий для неизвестный процессов полиси - не полиси ?
| | |
| |
| 7.119, Аноним (-), 22:21, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> А по умолчанию всё разрешающий для неизвестный процессов полиси - не полиси
... а детская игрушка, да.
| | |
|
| 6.136, Аноним (-), 23:52, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Бгг. Эксплойт - не программа, да?
Может быть и не программой, если прилетает в другую программу и вклинивается в ее код. При этом он будет выполняться в контексте этой программы.
| | |
|
|
| 4.117, Аноним (-), 22:19, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Очень остроумно. А как вы проломите glibc и ядро, не воспользовавшись ни
> одним приложением?
Очень остроумно. А зачем нужна система без программ? :)
| | |
| 4.135, Аноним (-), 23:50, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> разные дополнительные надстройки типа SELinux и AppArrmor мало помогают, они больше для защиты пролома отдельных приложений, а не Glibc и ядра.
> Очень остроумно. А как вы проломите glibc и ядро, не воспользовавшись ни
> одним приложением?
Если есть shell, то есть возможность собрать самому все что угодно и дернуть любой sysctl, ioctl и прочее.
| | |
|
| 3.164, Michael Shigorin (ok), 19:50, 26/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Радует только то, что многие дистрибутивы осознали порочную практику наводнения
> системы suid-ными программами и активно переходят на capabilities.
Огорчает то, что без должного понимания это... чревато дырками, как вот с sendmail было: программа проверяет, что работает "не от рута", и не делает проверки, которым с включенными капабилитями всё равно место.
http://lwn.net/Articles/420624/ (можно просканировать по sendmail и solardiz)
| | |
|
|
| 1.12, pro100master (ok), 11:37, 25/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 >Как показала практика, при наличии неограниченного доступа к shell, получение root-привилегий - дело времени.
еще один повод подумать над более распределенной системой доступа, раз комбинация users & groups не исключают повышения уровня доступа.
| | |
| |
| 2.22, Аноним (-), 12:57, 25/09/2011 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> еще один повод подумать над более распределенной системой доступа, раз комбинация users & groups не исключают повышения уровня доступа.
Ещё один повод поискать ошибку в ядре, вместо того, чтобы переделывать всю инфраструктуру kernel.org из-за нежелания искать эту ошибку. Или, раз уж это лишь вопрос времени, давайте вообще запретим uid отличные от нулевого.
| | |
| 2.30, anonymous (??), 14:11, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> еще один повод подумать над более распределенной системой доступа
Вылазайте уже из криокамеры ... man SElinux !
| | |
| |
| |
| 4.55, Аноним (-), 17:06, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> это вы kernel.org учите жить :)
Они слишком круты, чтобы разбираться в тонкостях работы написанного ими ядра.
| | |
|
| 3.104, Аноним (-), 21:45, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Вылазайте уже из криокамеры ... man SElinux !
Угу, каждый первый боевой сплойт считает своим долгом его вырубить первым делом, чтобы под ногами не путался.
| | |
| |
| 4.177, anonymous (??), 10:41, 27/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Вылазайте уже из криокамеры ... man SElinux !
> Угу, каждый первый боевой сплойт считает своим долгом его вырубить первым делом,
> чтобы под ногами не путался.
Знаем мы этот "сплойт". Он по форумам постоянно кочует, "Первым делом я после установки федоры сношу пульсаудио отключаю селинукс к0чаю мп3 кодек, настоящий нвидия блоб, нескучные обои, ой вот мне уже пишут в почте мужик из африки что то там про казну... ну все накогда мне тут с вами, пойду 100 бкасов отправлю - черный пацан пишет больше вернет"
| | |
|
|
|
| 1.13, анонимус (??), 11:45, 25/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
По идее даже рута необязательно получать если взломан аккаунт или рабочий комп разработчика. Можно от его имени коммитить в линух ядро замаскированные дырки :)
Тоже самое думаю можно провернуть и с Gitolite ...
| | |
| |
| 2.26, MikhailVerepin (?), 13:23, 25/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > По идее даже рута необязательно получать если взломан аккаунт или рабочий комп
> разработчика. Можно от его имени коммитить в линух ядро замаскированные дырки
> :)
> Тоже самое думаю можно провернуть и с Gitolite ...
Попробуйте хоть раз поучаствовать в разработке и тестировании большого проекта, тогда поймете, что в тех местах, где дырки ищут - их не встроить.
| | |
| 2.99, Аноним (-), 21:36, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> разработчика. Можно от его имени коммитить в линух ядро замаскированные дырки :)
Пробовали однажды, не прокатило - коммиты натурально читают и коммитеру надают по щщам ;)
| | |
|
| 1.21, ixti (ok), 12:56, 25/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 На самом деле автор готов выплатить не тысячу долларов а сто:
"Я не могу позволить выплатить награду в 1000 долларов, как djb, так что Вам придётся согласиться на 5000 рупии в качестве приза"
(ориг: "well I can't afford 1000 USD rewards like djb, so you'll have to settle for 5000 INR (Indian Rupees) as a "token" prize")
| | |
| 1.38, Аноним (-), 15:56, 25/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Нынешние SSH-ключи отменены, а новые будут сгенерированы и отправлены разработчикам в ближайшее время.
Ад какой-то.
А ничего, что все должно быть наоборот — ключи должны генерить сами разработчики и передавать их публичные части (либо по защищенному каналу, либо подписанными доверенными GPG-ключами) на кернельорк?
| | |
| |
| 2.178, anonymous (??), 10:46, 27/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Нынешние SSH-ключи отменены, а новые будут сгенерированы и отправлены разработчикам в ближайшее время.
> Ад какой-то.
> А ничего, что все должно быть наоборот — ключи должны генерить сами
> разработчики и передавать их публичные части (либо по защищенному каналу, либо
> подписанными доверенными GPG-ключами) на кернельорк?
По разному делают, на самом деле даже разработчики ssh говорят что одинаково это. Можно генерировать ключ локально и подписать его в центре, можно генерировать централизовано и раздать по защищенному каналу. Разницы нет, в любом случае риск перехвата одинаков.
| | |
|
| 1.48, bircoph (ok), 16:59, 25/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Странно, почему они gitolite раньше не использовали.
Гентушные оверлеи (git.overlays.gentoo.org) давно на нём.
| | |
| |
| 2.102, Аноним (-), 21:41, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Неосилятоам SELinux сюда: http://www.xakep.ru/post/56714/default.asp . Если и после
> подобных вводных статей непонятно зачем нужа технология SELinux, то, я думаю,
> вам лучше не стоит вообще подходить сколько-нибудь близко в серверам.
Капитан намекает что хваленый selinux при эксплойтировании ядра - выпинывается первым делом.
| | |
| |
| 3.105, Аноним (-), 21:49, 25/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
>Капитан намекает что хваленый selinux при эксплойтировании ядра - выпинывается первым делом.
0. Смысл выносить selinux если удалось получить root?
1. До эксплойтирования ядра еще нужно проскочить атакой через selinux (вариант атаки из-под локального аккаунта пока не рассматриваю так как .. см. третий пункт)
2. Есть же git-shell, зачем девелоперам давать полный shell ?
вывод: капитан = лжекапитан
| | |
| |
| 4.120, Аноним (-), 22:23, 25/09/2011 [^] [^^] [^^^] [ответить] | +/– | А чтоб не мешался своими останками Да вон тут в новостях было несколько сплойто... большой текст свёрнут, показать | | |
| |
| 5.126, Аноним (-), 22:47, 25/09/2011 [^] [^^] [^^^] [ответить] | +/– | Мне непонятно Как он может мешаться если получен root Уточните Ошибки есть - ... большой текст свёрнут, показать | | |
| |
| 6.139, Аноним (-), 00:15, 26/09/2011 [^] [^^] [^^^] [ответить] | +/– | Честно говоря не въезжал в детали чем именно он так не угодил авторам сплойтов, ... большой текст свёрнут, показать | | |
| |
| 7.142, Аноним (-), 02:38, 26/09/2011 [^] [^^] [^^^] [ответить] | +/– | Понятное дело что после получения рута selinux дизейблить - не проблема И все ж... большой текст свёрнут, показать | | |
| |
| 8.147, Аноним (-), 08:38, 26/09/2011 [^] [^^] [^^^] [ответить] | +1 +/– | Поэтому не могли бы вы пояснить - чего все так про него орут в контексте новости... большой текст свёрнут, показать | | |
| |
| 9.155, Аноним (-), 12:48, 26/09/2011 [^] [^^] [^^^] [ответить] | +/– | Пояснять не вижу смысла, так как я уже говорил что в ситуации когда получен root... большой текст свёрнут, показать | | |
| |
| 10.163, vi (?), 17:10, 26/09/2011 [^] [^^] [^^^] [ответить] | +/– | Дайте же слово совершенному непрофессионалу Поправьте меня если что Имея root-... текст свёрнут, показать | | |
| 10.179, Аноним (-), 12:42, 28/09/2011 [^] [^^] [^^^] [ответить] | +/– | Наверное потому что тут рассматривалась дырень через которую и были повышены пра... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
