The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимостей в ядре Linux, opennews (??), 29-Дек-21, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


1. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –7 +/
Сообщение от Аноним (1), 29-Дек-21, 13:23 
есть ли защита такого уровня для BSD?
Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –12 +/
Сообщение от Аноним (-), 29-Дек-21, 14:26 
> есть ли защита такого уровня для BSD?

С разморозкой!

> Author: wollman <wollman@FreeBSD.org>
> Date:   Wed Aug 10 02:48:08 1994 +0000
>    If you have compiled a kernel from the latest sources, your kernel
>    security level is set to -1 by default

man securelevel


The kernel runs with five different security levels.  Any super-user
     process can raise the level, but no process can lower it.  The security
     levels are:
     -1    Permanently insecure mode - always run the system in insecure mode.
           This is the default initial value.
     0     Insecure mode - immutable and append-only flags may be turned off.
           All devices may be read or written subject to their permissions.
     1     Secure mode - the system immutable and system append-only flags may
           not be turned off; disks for mounted file systems, /dev/mem and
           /dev/kmem may not be opened for writing; /dev/io (if your platform
           has it) may not be opened at all; kernel modules (see kld(4)) may
           not be loaded or unloaded.  The kernel debugger may not be entered
           using the debug.kdb.enter sysctl.  A panic or trap cannot be forced
           using the debug.kdb.panic and other sysctl's.
 
     2     Highly secure mode - same as secure mode, plus disks may not be
           opened for writing (except by mount(2)) whether mounted or not.
           This level precludes tampering with file systems by unmounting
           them, but also inhibits running newfs(8) while the system is multi-
           user.
 
           In addition, kernel time changes are restricted to less than or
           equal to one second.  Attempts to change the time by more than this
           will log the message “Time adjustment clamped to +1 second”.
 
     3     Network secure mode - same as highly secure mode, plus IP packet
           filter rules (see ipfw(8), ipfirewall(4) and pfctl(8)) cannot be
           changed and dummynet(4) or pf(4) configuration cannot be adjusted

> sysctl -d security.bsd.suser_enabled
> security.bsd.suser_enabled: processes with uid 0 have privilege

Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +2 +/
Сообщение от Аноним (1), 29-Дек-21, 14:30 
Скопируй следующую страницу мана плиз.
Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –8 +/
Сообщение от Аноним (-), 29-Дек-21, 14:39 
>> sysctl -d security.bsd.suser_enabled
>> security.bsd.suser_enabled: processes with uid 0 have privilege

-
> Скопируй следующую страницу мана плиз.

Хорошо:


#
# The INVARIANT_SUPPORT option makes us compile in support for
# verifying some of the internal structures.  It is a prerequisite for
# 'INVARIANTS', as enabling 'INVARIANTS' will make these functions be
# called.  The intent is that you can set 'INVARIANTS' for single
# source files (by changing the source file or specifying it on the
# command line) if you have 'INVARIANT_SUPPORT' enabled.  Also, if you
# wish to build a kernel module with 'INVARIANTS', then adding
# 'INVARIANT_SUPPORT' to your kernel will provide all the necessary
# infrastructure without the added overhead.
#
> options         INVARIANT_SUPPORT

Но и ты начни уже читать глазами.

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –4 +/
Сообщение от Аноним (10), 29-Дек-21, 14:42 
А можно еще пару страниц, пожалуйста?
Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +2 +/
Сообщение от Аноним (-), 29-Дек-21, 14:57 
> А можно еще пару страниц, пожалуйста?

Твоих глупостей и прочего подгорания? Ну ладно, так и быть, разрешаю!

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 29-Дек-21, 15:21 
Троллей не кормить! Игнорируй.
Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 29-Дек-21, 17:08 
> Троллей не кормить! Игнорируй.

Ух ты, тролли оказывается манами питаются.

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (21), 29-Дек-21, 17:15 
Интересный у вас диалог с самим собой.
Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (-), 29-Дек-21, 18:09 
> Интересный у вас диалог с самим собой.

Анонимусов на опеннете чуть более одного. Странно что ты этого еще не заметил, анонимус :)

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Урри (ok), 29-Дек-21, 19:34 
Вот только они пронумерованы. Внезапно, да?
Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (40), 29-Дек-21, 19:45 
> Вот только они пронумерованы. Внезапно, да?

http://wiki.opennet.ru/ForumHelp#.D0.98.D0.BA.D0.BE.D0.BD.D0...
> (-) - анонимный аноним, например, использующий Tor.

Вот только ты опять не в курсе, но ценное мнение имеешь?


Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 29-Дек-21, 21:09 
> Вот только они пронумерованы. Внезапно, да?

Хаха, во ты кадр. Вообще, движок не нумерует анонимов. Но если активно постить с одного айпишника - в какой-то момент начинает нумеровать. Видимо, чтобы проще было спам сносить если спамбот всерьез разошелся.

Поэтому шиза у вас тут зачетная получилась. Наехали на каких-то разных анонимов, лолки. Аноним без номера может быть кто угодно.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

13. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +1 +/
Сообщение от Аноним (-), 29-Дек-21, 15:21 
Нельзя. Толлинг допускается только один раз. Ты же по второму кругу идёшь.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

19. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (21), 29-Дек-21, 17:06 
> Толлинг

Это что-то типа лизинга?

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +1 +/
Сообщение от Аноним (41), 29-Дек-21, 19:49 
Не, взымание платы за платную дорогу
Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +3 +/
Сообщение от Крок (?), 29-Дек-21, 14:54 
Именно такого нет, есть MAC фреймворк с модулями разными, они могут дополнительно всякое разноетпроверять.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

16. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –2 +/
Сообщение от Аноним (1), 29-Дек-21, 16:12 
Ну я так понял BSD-альтернативы для LKRG нет.

> MAC фреймворк с модулями разными

Ну так он в линуксе и до этого был. И не один.

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (21), 29-Дек-21, 17:01 
>  Ну я так понял BSD-альтернативы для LKRG нет.

Но зато есть man-страницы, которые можно скопипастить, а это уже что-то.
И говорящий сам с собой копипастер.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (1), 29-Дек-21, 17:22 
чем длиннее пасты, тем солиднее коммент. Можно еще для убедительности разбавить ссылками. Пофиг, что не по теме -- главное щоб були ссилкi.
Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (21), 29-Дек-21, 17:27 
Да я этого поехавшего помню ещё по фееричному доказательству, что "freebas НЕ переходила на zfsonlinux" ссылками на... новости о том, что freebsd переходит на zfsonlinux.
Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (26), 29-Дек-21, 17:26 
>>  Ну я так понял BSD-альтернативы для LKRG нет.
> Но зато есть man-страницы, которые можно скопипастить, а это уже что-то.

Ну да, глупые бздуны забыли что чтение мана - это не к лапчатым ...
> И говорящий сам с собой копипастер.

И очередной подгоревший недо-вбросчик метана, с сумбурными фантазиями.


Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

37. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +3 +/
Сообщение от Аноним (-), 29-Дек-21, 18:56 
> Ну да, глупые бздуны забыли что чтение мана - это не к лапчатым ...

Модно-молодежные выбирают ютуб же - просмотр полуторачасового видосика экономит 10 минут старперского чтения мана!

Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –2 +/
Сообщение от Аноним (-), 29-Дек-21, 21:15 
Наспамить бсдшными манами в теме про линуксный модуль, а потом еще и такие заявы выдавать? А вы красавчики, лол. Благодаря таким типам и складывается вмечатление что бсд пользуются только совсем ушибленые придурки.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

44. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (-), 29-Дек-21, 21:31 
> Наспамить бсдшными манами в теме про линуксный модуль, а потом еще и
> такие заявы выдавать?

Наспамить в теме про линуксовый модуль "В BSD нету LKRG! Воть!", спалиться анонимным номерком, нарваться на ответку, перейти на ad hominem и еще повозмущаться "а чей-то вы миня абижаите!" - красава!

> А вы красавчики, лол. Благодаря таким типам и
> складывается вмечатление что бсд пользуются только совсем ушибленые придурки.

Зато благодаря вам, "нетакимкакфсе", давно уже сложилось впечатление, что линухом пользуются только  истеричные тик-токеры-школота, постоянно ищущая, за счет чего бы самоутвердиться ...

Ответить | Правка | Наверх | Cообщить модератору

76. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 17:17 
> Наспамить в теме про линуксовый модуль "В BSD нету LKRG! Воть!", спалиться
> анонимным номерком, нарваться на ответку, перейти на ad hominem и еще
> повозмущаться "а чей-то вы миня абижаите!" - красава!

Во ты нарк. Там реально несколько разных анонимов.

> Зато благодаря вам, "нетакимкакфсе", давно уже сложилось впечатление, что линухом пользуются
> только  истеричные тик-токеры-школота, постоянно ищущая, за счет чего бы самоутвердиться...

Факин лол!

Ответить | Правка | Наверх | Cообщить модератору

83. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 18:10 
>> Наспамить в теме про линуксовый модуль "В BSD нету LKRG! Воть!", спалиться
>> анонимным номерком, нарваться на ответку, перейти на ad hominem и еще
>> повозмущаться "а чей-то вы миня абижаите!" - красава!
> Во ты нарк. Там реально несколько разных анонимов.

Эксперд294, попробуй читать глазами, а не опой
> Сообщение от Аноним (1), 29-Дек-21, 13:23
> есть ли защита такого уровня для BSD?

-
> Сообщение от Аноним (1), 29-Дек-21, 16:12
> Ну я так понял BSD-альтернативы для LKRG нет.

-
> Сообщение от Аноним (1), 29-Дек-21, 17:24
> уже было в линуксе до всяких LKRG. А вот где аналог LKRG в BSD?

А номерок анонима привязан либо к айпишнику, который не входит в список публичных тор-нод (и возможно, анонимных проксей), либо к введенному мылу. И получить совпадение теоретически (и практически) можно, но учитывая стилистику и тему - вероятность, что анонимы "реально разные" не физически, а из-за шизы - наверное повыше будет.

>> Зато благодаря вам, "нетакимкакфсе", давно уже сложилось впечатление, что линухом пользуются
>> только  истеричные тик-токеры-школота, постоянно ищущая, за счет чего бы самоутвердиться...
> этого поехавшего
> ушибленые придурки.
> Во ты нарк.
> Факин лол!

Какая наглядная демонстрация! Продолжайте, продолжайте!


Ответить | Правка | Наверх | Cообщить модератору

86. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 18:38 
> Эксперд294, попробуй читать глазами, а не опой

Чисто поржать, я где-то в середине втерся, подстебать чудика бросающегося на разных анонимов. Это предсказуемо довершило срыв стэка и тому лолу и протупляющему урри заодно.

> А номерок анонима привязан либо к айпишнику, который не входит в список
> публичных тор-нод (и возможно, анонимных проксей), либо к введенному мылу.

Для тех кто не отпустил ручник, сообщаю:
1) мыло, если его указали, видно, значок появляется.
2) смысл укзания мыла анонимом загадка
3) движок имеет какое-то свое мнение о нумеровании, я не уверен что номер стабилен, он делает нечто типа инкремента по мере появления новых активных анонов, или типа того.

> И получить совпадение теоретически (и практически) можно, но учитывая стилистику и тему
> - вероятность, что анонимы "реально разные" не физически, а из-за шизы
> - наверное повыше будет.

Вот именно с одним номером, в одном треде - вроде бы да. Но цифра кажись может появиться не сразу, а только если несколько мсг с одного ип закинуть. До этого аноним может быть совсем-анонимным, с "-", и даже если ему потом номер дают, на сообщения с - это вроде не влияет.

> Какая наглядная демонстрация! Продолжайте, продолжайте!

Есчо я недавно в это шоу шЫзы вклинился, поугорать. Те аноны ко мне отношения не имеют. Но жгут знатно. Правда, имхо, их все-равно стоило бы стереть или скрыть, нафиг они с своим спамом манами? Хоть и угарно сорвали стэки, конечно :)

Ответить | Правка | Наверх | Cообщить модератору

91. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (91), 30-Дек-21, 19:34 
> Для тех кто не отпустил ручник, сообщаю:
> 1) мыло, если его указали, видно, значок появляется.

Я уже говорил - попробуй начать читать глазами:
>> Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).

Это прямо из формы ответа, если что. Смотри демку - я заношу "!!mail@mail.mail" перед отправкой.
Видишь значок мыла? А номер - вот он, несмотря на тор.

> 2) смысл укзания мыла анонимом загадка

Получать уведомления об ответе? Видеть "себя" по номеру (мыло не обязательно должно быть валидным)?

> Вот именно с одним номером, в одном треде - вроде бы да.
> Но цифра кажись может появиться не сразу, а только если несколько

Может да, может нет - но чаще всего сразу, как и в этом случае.
А вот именно что одинаковый номер у двух разных анонов (т.е. меня из под Tor и точно не мое сообщение с таким же номером) - я видел лишь один раз, да и то в теме с полтыщей сообщений, с разницев в несколько дней.


>> Какая наглядная демонстрация! Продолжайте, продолжайте!
> Есчо я недавно в это шоу шЫзы вклинился, поугорать. Те аноны ко
> мне отношения не имеют. Но жгут знатно.

Я в курсе, но так ведь даже лучше - демонстрируется более репрезентативная выборка :)


Ответить | Правка | Наверх | Cообщить модератору

96. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 31-Дек-21, 10:15 
> Видишь значок мыла? А номер - вот он,

Эвона как, можно быть анонимом Шредингера, одновременно с номером и без.

> несмотря на тор.

С ним номер может отсутствовать. Иногда появляться. Пропадать. Как-то засисит от смены exit'ов.

> Получать уведомления об ответе?

Лол, какой же это аноним, проще зарегаться наверное.

> Видеть "себя" по номеру (мыло не обязательно должно быть валидным)?

Ну это еще куда ни шло. Хоть и странная фича.

> Может да, может нет - но чаще всего сразу, как и в этом случае.

Во всяком случае через тор оно как-то так: первые сообщения с - а если быстро запостить несколько с одного exit, вроде бы номер появляется, потом может пропасть, наверное, когда exit другой.

> номером) - я видел лишь один раз, да и то в
> теме с полтыщей сообщений, с разницев в несколько дней.

Может айпишники экситов совпали, или типа того. Вот это полнейший рандом в таком случае :)

> Я в курсе, но так ведь даже лучше - демонстрируется более репрезентативная выборка :)

Ну тебе как эксперту виднее :P.

Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 29-Дек-21, 17:19 
>> MAC фреймворк с модулями разными
> Ну так он в линуксе и до этого был. И не один.

Т.е. не проблема показать вариант mac_portacl (которому почти 20 лет и который все еще поддерживается)
> # sysctl security.mac.portacl.rules=uid:1001:tcp:110,uid:1001:tcp:995
> Permit the user with the UID of 1001 to bind to the TCP ports 110 (“pop3”) and 995 (“pop3s”).
> This will permit this user to start a server that accepts connections on ports 110 and 995.

.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

24. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (1), 29-Дек-21, 17:24 
уже было в линуксе до всяких LKRG. А вот где аналог LKRG в BSD?
Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (26), 29-Дек-21, 17:31 
> уже было в линуксе до всяких LKRG.

Пруфы будут? Или как обычно?


Ответить | Правка | Наверх | Cообщить модератору

69. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Moomintroll (ok), 30-Дек-21, 10:22 
>> уже было в линуксе до всяких LKRG.
> Пруфы будут? Или как обычно?

SELinux же!

А ещё есть capabilities.

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (21), 29-Дек-21, 17:25 
>       setuid()  sets the effective user ID of the calling process.  If the calling process is privileged (more precisely: if the process has the CAP_SETUID capability in its user namespace), the real UID
>       and saved set-user-ID are also set.
>       Under Linux, setuid() is implemented like the POSIX version with the _POSIX_SAVED_IDS feature.  This allows a set-user-ID (other than root) program to drop all of its user privileges, do  some  un-
>       privileged work, and then reengage the original effective user ID in a secure manner.
>       If the user is root or the program is set-user-ID-root, special care must be taken: setuid() checks the effective user ID of the caller and if it is the superuser, all process-related user ID's are
>       set to uid.  After this has occurred, it is impossible for the program to regain root privileges.
>       Thus, a set-user-ID-root program wishing to temporarily drop root privileges, assume the identity of an unprivileged user, and then regain root privileges afterward cannot use  setuid().   You  can
>       accomplish this with seteuid(2).

.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

28. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (26), 29-Дек-21, 17:29 
>> Permit the user with the UID of 1001 to bind to the TCP ports 110
>>       setuid()  sets the effective user ID of the calling process.  If the calling process is privileged (more precisely: if the process has the CAP_SETUID capability

Умел бы читать - понял бы, что это совершенно не то.
Но увы, ты похоже даже скопипастить нормально не можешь, куда уж тебе до системных азов.

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (21), 29-Дек-21, 17:33 
> Умел бы читать - понял бы, что это совершенно не то.

Вот уже 20 лет демоны биндятся на нужный им порт, а потом сбрасывают привилегии.
Но это, конечно же, совсем не то.

Лучше расскажите нам, как все 65535 портов между UID-ами распределяете (а то граница в 1024 уже много лет не имеет особого физического смысла).

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (32), 29-Дек-21, 17:45 
>> Умел бы читать - понял бы, что это совершенно не то.
> Вот уже 20 лет демоны биндятся на нужный им порт, а потом сбрасывают привилегии.

Вот уже 20 лет с mac_portctl не нужен запуск с излишними привелегиями, а затем их же "сброс".
> Но это, конечно же, совсем не то.

Естественно. Рад, что и до вас дошло.

> Лучше расскажите нам, как все 65535 портов между UID-ами распределяете (а то
> граница в 1024 уже много лет не имеет особого физического смысла).

Сами придумали какую-то дичь, сами и рассказывайте о ней (лучше всего зеркалу, а не на форум) - мы-то причем?


Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 29-Дек-21, 18:07 
> Вот уже 20 лет демоны биндятся на нужный им порт, а потом
> сбрасывают привилегии.

А в линухе им можно вообще дать cap на это дело и больше никаких привилегий. Так что и сбрасывать особо нечего.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

62. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Ivan_83 (ok), 30-Дек-21, 02:00 
Да, прямой альтернативы нет, в том виде как это устроено/работает.

Но в MAC есть Biba, LOMAC и Multi-Level Security.
Ещё есть bsdextended - file system firewall policy.

Целостность структур ядра оно не проверяет, но оно следит за принадлежностью объектов и что они за рамки позволенного не выходят, те как раз от "изменения полномочий пользовательских процессов".

>     These rules prevent subjects of lower integrity from influencing the be-
>     havior of higher integrity subjects by preventing the flow of informa-
>     tion, and hence control, from allowing low integrity subjects to modify
>     either a high integrity object or high integrity subjects acting on those
>     objects.  Biba integrity policies may be appropriate in a number of envi-
>     ronments, both from the perspective of preventing corruption of the oper-
>     ating system, and corruption of user data if marked as higher integrity
>     than the attacker. In traditional    trusted    operating systems, the Biba
>     integrity model is used to protect the Trusted Code Base (TCB).

https://www.freebsd.org/cgi/man.cgi?query=mac&sektion=4

Те линуксойды опять сделали простую вещь с минимумом функционала а в бсд нашёлся древний фреймворк который это в том числе умеет делать.

К сожалению у фреймворков есть одна проблема: нужно время и мозги на их освоение, а хреновину из линуха можно включить не приходя в сознание.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

66. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (66), 30-Дек-21, 07:41 
> К сожалению у фреймворков есть одна проблема: нужно время и мозги на их освоение, а хреновину из линуха можно включить не приходя в сознание.

То есть ты намекаешь на то, что этот бздешный фреймворк настолько крив и недокументирован, что на него уйдёт уйма времени? Я о бздах был лучшего мнения если честно.
> а хреновину из линуха можно включить не приходя в сознание. Не вижу здесь ничего плохого. Я всегда ценил удобство, например. А приходить в сознание уже можно на более сложных вещах.

Ответить | Правка | Наверх | Cообщить модератору

67. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Ivan_83 (ok), 30-Дек-21, 08:03 
Нет, это так же как с BPF который в линукс утащили: мало просто загрузить модуль, надо бы ещё какую то программу/конфиг туда залить чтобы оно начало работать.
Ответить | Правка | Наверх | Cообщить модератору

84. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 18:14 
> Но в MAC есть Biba, LOMAC и Multi-Level Security.
> Ещё есть bsdextended - file system firewall policy.
> Целостность структур ядра оно не проверяет, но оно следит за принадлежностью объектов
> и что они за рамки позволенного не выходят, те как раз
> от "изменения полномочий пользовательских процессов".

Вы там что, в системном программировании вообще ни в зуб ногой?

С любезно закинутого анонимусом https://a13xp0p0v.github.io/2021/08/25/lkrg-bypass.html


It's a Linux kernel module that performs runtime integrity checking of the kernel and detects kernel vulnerability exploits. The aim of LKRG anti-exploit functionality is to detect specific kernel data corruption performed during vulnerability exploitation

Что из перечисленого является хоть каким-то аналогом упомянутого?

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

88. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 19:16 
> 
 
> It's a Linux kernel module that performs runtime integrity checking of the 
> kernel and detects kernel vulnerability exploits. The aim of LKRG anti-exploit 
> functionality is to detect specific kernel data corruption performed during vulnerability 
> exploitation 
>

> Что из перечисленого является хоть каким-то аналогом упомянутого?

Вас, зубоногих уже вроде бы ткнули:
> A kernel compiled with the INVARIANTS configuration option attempts to
> detect memory corruption caused by such things as writing outside the
>  allocated area and imbalanced calls to the malloc() and free() functions

kern/kern_malloc.c


#ifdef INVARIANTS
...
        KASSERT(mtp->ks_magic == M_MAGIC, ("malloc: bad malloc type magic"));
        /*
         * Check that exactly one of M_WAITOK or M_NOWAIT is specified.
         */
...
#ifdef INVARIANTS
            mtrash_ctor, mtrash_dtor, mtrash_init, mtrash_fini,

kern/subr_sbuf.c

#if defined(_KERNEL) && defined(INVARIANTS)
static void
...
#define assert_sbuf_integrity(s) _assert_sbuf_integrity(__func__, (s))
#define assert_sbuf_state(s, i)  _assert_sbuf_state(__func__, (s), (i))
#else /* _KERNEL && INVARIANTS */
#define assert_sbuf_integrity(s) do { } while (0)
#define assert_sbuf_state(s, i)  do { } while (0)
#endif /* _KERNEL && INVARIANTS */

netpfil/pf/pf.c
#ifdef INVARIANTS
        struct pf_keyhash *kh = &V_pf_keyhash[pf_hashkey(sk)];        PF_HASHROW_ASSERT(kh);

net/bpf_buffer.c
#ifdef INVARIANTS
       d->bd_sbuf = d->bd_hbuf = d->bd_fbuf = (caddr_t)~0;

kern/uipc_socket.c

#ifdef INVARIANTS
     bzero(&so->so_rcv,
         sizeof(struct socket) - offsetof(struct socket, so_rcv));
#endif

и т.д.

Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Ivan_83 (ok), 30-Дек-21, 02:06 
Я не знаток линукса, знаю только selinux, который тоже всё метками метить умеет и какие то правила применять к ним.
Насколько оно аналог MAC мне судить трудно, потому что я и с MAC очень мало работал, а селинукс можно сказать что только видел пока в андройдах копаюсь.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру