Под впечатлением от серии уязвимостей, о которых сообщалось (https://www.opennet.ru/opennews/art.shtml?num=44790) утром, разработчики OpenBSD приняли решение (http://undeadly.org/cgi?action=article&sid=20160715125022) об удалении функции монтирования файловых систем непривилегированным пользователем (sysctl kern.usermount=1). Из соображений безопасности начиная со следующего выпуска OpenBSD 6.0 монтировать разделы можно будет только с правами root, а sysctl-параметр kern.usermount будет игнорироваться.
В общем виде озвученные в вышеупомянутых уязвимостях проблемы в системном вызове mount названы вершиной айсберга, так как слишком много кода вовлечено в его работу, поэтому пользователям рекомендуется отключить поддержку режима монтирования обычными пользователями в своих системах (sysctl kern.usermount=0).URL: http://undeadly.org/cgi?action=article&sid=20160715125022
Новость: https://www.opennet.ru/opennews/art.shtml?num=44796
Предлагаю в следующей версии отключить возможность входа в систему... и вообще запуска каких-либо процессов... из соображений безопасности...
> Предлагаю в следующей версии...Зачем вы тут предлагаете? Тео же не читает опеннет, напишите ему на deraadt@openbsd.org.
Vse ya chitayu. Nat predlozheniem podumayu.
Господин Тео, может вообще снести систему, перекрасить компьютер в зеленой цвет и выбросить в поле чтобы никто не нашел? Думаю таким образом проблема уязвимостей будет окончательно решена.
Лучше еще заменить компьютер на железобетонный блок, для надежности.
Еще питание отключить. Мало ли что там в блок встроено. А с батарейками у всего человечества проблемы, еще никто не смог это победить.
а можно говорить по теме, по существу ?
Тео скажет что молодые программисты нынче не те. Часть лезет на IT форум ничего не понимая и не интересуясь в разработке чтобы прокомментировать чужую работу, а часть - чтобы прокомментировать тех кто комментирует. Но самой разработкой никто не интересуется, да и знаний и навыков нет, хватает только тяфкунуть. Вот как я сейчас. Хотя хотел бы найти работу связанную с разработкой ОС
>знаний и навыков нет, хватает только тяфкунуть. Вот как я сейчас.Тяф-кун?
> Хотя хотел бы найти работу связанную с разработкой ОСЛегко. Например, хоть те же средства доверенной загрузки, работающие до старта "полноценной" ОС (скажем на базе UEFI, Grub2) - им нужно уметь в файловые системы, интерфейсы отрисовывать, etc., вполне себе получаются миниатюрные узкоспециализированные ОС.
С "большими" ОС типа линукса тоже достаточно легко можно найти работу, связанную, скажем, с написанием/допилом драйверов... да много всего.
P.S. Но, конечно, всегда можно поступить проще, записаться в майнтейнеры/тестировщики какого-нибудь дистрибутива, и всем гордо говорить "я разработчик операционных систем", гы-гы. Встречал таких.
А системным программистом еще проще стать, чем разработчиком операционных систем. Я вот на днях посматривал вакансии, читаю: "Системный программист". Думаю, что за хрень? Кому тут у нас системный программист понадобился? Полез в вакансию, а там: "Требуется программист для работы в системе 1С"...
Систематический.
> Систематический.Осистемленный. Осистемлённый. Восистемлённый. Водинэстемлённый.
http://www.raidix.ru/vacancy/c-developer/Разработка файловой системы под Linux.
Я им посоветовал Ганса, но они сказали, что нужен в офис и на полный день.
Все просто. Это не моложые программисты. Программистов вообще немного в сравнении с числом посетителей опеннета.
Ещё запретите писать в /tmp - для верности. А то ещё переполнят невзначай системный раздел. И ещё на Си нужно запретить писать - в нём часто случаются меморилики, выходы за пределы массивов и разрушения куч и стэков, что может сыграть на руку хакерам-террористам. :))
все на rust!
Какой раст?! Для Изи существует только один язык программирования.
Причём он тот язык в глаза не видал дальше хелловорлда.
тогда уж на Оберон-2 обьектные форки.
вот уж где файловер допилен "из коробки" и обработка исключений "для ленивых".
ну или ванильный эрланг(в форках/ампутациях - там наоборот урезано чуток.в тч - как раз это)
Да что там мелочится - возможность загрузки ОС пусть отключают сразу, от неё все проблемы идут!
Отключить возможность загрузки ОС непривилегированными пользователями. Это повысит безопасность!
Предлагаю все полномочия передать Скайнету. Это радикально повысит безопасность, потому что нет людей — нет опасности.
Предлагаю удалить возможность загрузки системы.
из этой новости я узнал, что такая опция там была
Под рутом сидишь!111 :D
> Под рутом сидишь!111 :DА зачем на роутере под кем-то ещё сидеть?
Такой ход открывает путь всем тем "уязвимостям", для которых нужен привилегированный доступ, потому как использоваться такой доступ будет чаще.
Поэтому это решение, возможно, временное.
> Такой ход открывает путь всем тем "уязвимостям", для которых нужен привилегированный доступ,
> потому как использоваться такой доступ будет чаще.
> Поэтому это решение, возможно, временное.doas/sudo позволяют предоставить пользователю возможность монтирования устройств практически с тем же уровнем комфорта. Честное слово, не вижу в запрете никакой драмы.
проблема не в админе, а в самостоятельных скриптах, которые теперь может потребоваться выполнять из-под рута; с живым админом проблемы тут действительно нет, потому что при ручном монтировании он будет с привелегиями выполнять только само монтирование (подразумевается разумный админ).
костыль: можно в скрипте команду заменить на "echo $USERPWD | sudo -S --prompt="" mount ...", и соответственно настроить sudoers; проблема в том, что $USERPWD тут в скрипте лежать должен, что совсем плохая практика.
> костыль: можно в скрипте команду заменить на "echo $USERPWD | sudo -S
> --prompt="" mount ...", и соответственно настроить sudoers; проблема в том,
> что $USERPWD тут в скрипте лежать должен, что совсем плохая практика.man sudo | grep NOPASSWD
Убрать пароль - это очень меткое решение. Продвинутые Windows уже 20 лет как позволяют админу без паролей в систему входить. Очень нехватает этого в юниксах и - особенно - в OpenBSD.
> Продвинутые Windows уже 20 лет как позволяют админу без паролей в систему входить.
> Очень нехватает этого в юниксах и - особенно - в OpenBSD.в OpenBSD это уже больше 20 лет, как есть :)
Не пойму - ты из секты забанненых в гугле или это ускользающе тонкий юмор?
Зачем убирать пароль для одной команды? Я свободный от зад ротство человек! Лучше я сохраню его в скрипте, который все прочитают!
При использовании sudo есть проблема, если её запускать не по абсолютному пути. А Вы когда-нибудь видели, чтобы её запускали по абсолютному пути?Я писал об этом заметку http://comdivbyzero.blogspot.ru/2016/01/big-mistake-in-using...
Чудак, об этом все нормальные админы знают и только ты открыл для себя Америку. Хочешь я тебе еще несколько столь же страшных "уязвимостей" расскажу, а ты новую статейку тиснешь в бложик?
> Чудак, об этом все нормальные админы знают и только ты открыл для
> себя Америку.Очень рад за нормальных админов, у которых есть время покрасноглазить, но есть и ведь и такая разновидность, как админы локалхостов, и безопасность им тоже нужна. И моё мнение просто - в основных дистрибутивах наиболее безопасное поведение должно быть настроено по умолчанию, а если нет, то хотя бы пользователи должны знать об этом. И для этого, как ни страннно, в том числе, нужно писать об этом в бложиках.
> Хочешь я тебе еще несколько столь же страшных "уязвимостей"
> расскажу, а ты новую статейку тиснешь в бложик?Зачем? Напишите об этом в свой бложик. Вместо того, чтобы высокомерно дартаньянить, гордясь своей причастностью к тру-специалистам, распространяйте информацию и способствуйте повышению общего уровня. Такую деятельность нужно не высмеивать, а поддерживать.
Да причем здесь красноглазие? Или вы думаете, что это какая-то особо тайная информация, доступная избранным? Это просто здравый вывод делаемый _самостоятельно_ админом из понимания того, что такое PATH, а также из понимания разграничения прав пользователя. В качестве мощнейшей подсказки выступает невозможность запустить программу непосредственно из текущей директории. А если чуть лучше изучить вопрос и практику работы админов, то окажется, что проблема вообще надумана.Хотя если судить по предлагаемым путям решения, то создается впечатление, что кое-кто очень слабо понял как работают права, шелл, пользователи, переменные окружения и запуск привелигированных программ. И вместо реального понимания черпает представления из опыта винды. Вот расскажи мне реальный сценарий получения прав с использованием данной "уязвимости". Ну создал ты юзером файлик sudo со своим кодом, добавил его в _свой_ PATH, а дальше что? Ведь у тебя сразу четыре проблемы:
1. Заставить админа переключится на твоего пользователя
2. Заставить его при этом загрузить твое окружение
3. Убедить его запустить sudo, которое ему нафиг не нужно под твоим пользователем.
4. Хоть что-то из этого поиметь, кроме получения своего же собственного пароля, который тебе и так известен.
> Да причем здесь красноглазие? Или вы думаете, что это какая-то особо тайная
> информация, доступная избранным?Об этом догадается любой, кто об этом задумается, но не все задумываются, потому что для них ОС второстепенна, и думают они над решаемыми задачами, а не настройке. Обратите внимание, на чьё сообщение я отвечал. Он об этом догадывался?
Вы полагаете, что я считаю это тайной информацией, и поэтому говорю об этом в интернете для всех? Сарказм должен быть уместным, иначе он только усиливает сказанную глупость.> А если чуть лучше изучить вопрос и
> практику работы админов, то окажется, что проблема вообще надумана.Ещё раз, не все являются админами, а безопасность нужна везде и по умолчанию, а не после долгих настроек. Я исхожу из фактов - почти все рецепты в сети подаются неправильно, даже ОС услужливо подсказывает неправильно. И это свидетельствует о том, что проблема надумана?
> использованием данной "уязвимости". Ну создал ты юзером файлик sudo со своим
> кодом, добавил его в _свой_ PATH, а дальше что? Ведь уЯ же написал, для чего это может быть применено - для повышения привилегий и получения пароля пользователя. Надеюсь, как грамотный админ Вы понимаете, что речь не идёт о проникновении с одной стороны, а с другой стороны, что такие вещи должны исправляться независимо, чтобы у злоумышленника не было возможности совместить обе вещи.
Итак:
1. Запускаем злонамеренный код через троян или уязвимость.
2. Если скопрометирован терминал, вызываем setenv, если нет - правим .bashrc
3. Создаём свой sudo, считывающий пароль пользователя и незаметно выполняющим подставной код.
4. Ждём, когда пользователю потребуется sudo
5. ProfitЕсть такая возможность или нет? Или я из Windows что-то притащил?
Ой, как всё запущено. Я думал ты пытаешься придумать как из под пользователя админа ломануть, а ты оказывается вообще дурью маешься. Если уж зловред может запустится под пользователем и подставить ввод в sudo, то что мешает просто подставить ввод в passwd, зачем ждать у моря погоды? Зачем дурацкая манипуляция путями, когда можно просто стать шеллом и перехватывать вообще все команды независимо от относительных и абсолютных путей?Но кое в чем ты прав, я о такой глупости даже не задумывался.
Похоже на то, что наступил "кризис жанра". Почему-то под Windows никто не задумывается о небезопасном монтировании флэшек. Всё как-то само получается, и пользователи не страдают.
> Ой, как всё запущено. Я думал ты пытаешься придумать как из под
> пользователя админа ломануть, а ты оказывается вообще дурью маешься.То есть, Вы 2-а раза не поняли о чём заметка, и выставляете это как доблесть?
> Если уж
> зловред может запустится под пользователем и подставить ввод в sudo, то
> что мешает просто подставить ввод в passwd, зачем ждать у моря
> погоды? Зачем дурацкая манипуляция путями, когда можно просто стать шеллом и
> перехватывать вообще все команды независимо от относительных и абсолютных путей?Я писал об этом в заметке. Вынужден констатировать, что и с 3-го раза Вы не поняли.
На всяки случай сообщаю, что если предпринять меры, то локальный прорыв закончится вместе с закрытой сессией.> Но кое в чем ты прав, я о такой глупости даже не
> задумывался.Ради бога, потешайтесь, не жалко.
Последнее объяснение с помощью аналогии, так как нормально ты похоже не понял.Вот ты пишешь статью: "дымоходы небезопасны, воры могут ими воспользоваться и пока на них не будут ставить решетки надо своими силами их законопатить". Я предполагю, что имеется ввиду их использование для проникновения в дом и говорю, что с одной стороны это само собой разумеется, с другой стороны маловероятный способ проникновения и меры противодействия неадекватны. И тут оказывается, что ты говорил не о самом проникновении, а о том, что проникнувшие в дом смогут через дымоход вытащить вещи. Мысль о том, что они для этого могут воспользоваться дверью или окнами до тебя не доходит даже после явного ее высказывания. Ты все равно уверен, что воры будут тянуть вещи через дымоход и с этим надо бороться.
Если и после этого не дойдет, то извини, пояснительные картинки рисовать не умею.
Последнее объяснение с помощью аналогии, так как нормально Вы так и непоняли и умудрились даже иронизировать по этому поводу.Вот я написал заметку: "сейф с цифровым замком должен быть таким, чтобы на него нельзя было нацепить фальшивую переднюю панель, которую могли бы прикрепить злоумышленники, в случае их проникновения в дом через дымоход, окно или дверь, и таким образом завладеть паролем и доступом в сейф."
Ко мне приходит специалист, и не разобравшись в заметке, начинает говорить, что всё и так понятно, но неправильно и вообще я веду себя не как житель дома, а сарая. По мере сил я пытаюсь разъяснить специалисту свою позицию, но тот мне перечит, что на самом деле я веду речь о том, что надо законопатить дымоходы, и до меня не доходит, что воры могут воспользоваться окном или дверью. И это несмотря на то, что я ничего не говорил о решётках на дымоходе и его конопачении, а только о повышении безопасности сейфа.
Специалист, уверенный, что открыватель Америки так ничего и не понял, уходит с гордо поднятой головой.Я, ненавязчиво прикладывая ладонь к лицу, говорою ему до свидания и благодарю за плодотворную беседу. В конце концов, никто из нас не умеет рисовать пояснительные записки.
Во-первых, не надо искажать мою аналогию, а то возникает впечатление, что ты хочешь не понять, а выиграть спор. В этом случае просто считай себя победившим и не пиши больше, спор ради спора меня не интересует.
Во-вторых, поясняю в рамках твоей аналогии - зачем возиться с фальшивой панелью, если можно просто взять и вскрыть сейф? Что собственно всегда и делается на практике. Только в исходном случае всё еще печальней, ведь трудоемкость подставления ввода в passwd и в sudo одинакова.
Дело в том, что созданные известными архитекторами эскизы, по которым был построен дом, были неплохо продуманы в этом плане, и не позволяли только на основании проникновения в дом завладеть доступом в сейф, вскрыв его грубой силой.
Для этого злоумышленнику нужно найти червоточину в защите, что усложняется тем, что червоточины регулярно находятся и залатываются работниками службы поддержки домоуправления.
Я заметил, что, в принципе, есть возможность получить доступ и без использования червоточин, обойдясь установкой скиммера на сейф.
Написав заметку об этом в местной стенгазете и сообщив о ней жителями других домов, я получил обвинения от одного специалиста в том, что занимаюсь глупостью.И при чём тут passwd, которым многие никогда не пользуются, в отличии от /usr/bin/sudo, который требуется постоянно.
Нет чтоб починить, решили запретить. Никого не напоминает?
doas/sudo позволяют предоставить пользователю возможность монтирования устройств практически с тем же уровнем комфорта.
Тео походу пивка обпился :) :) :) Может послабее варить будешь? :) :) :)
В линуксе уже давно так. Решается Халом и прочими udisk-ами
> В линуксе уже давно так. Решается Халом и прочими udisk-аминет.
А как?
Опциями user и users в /etc/fstab
И в OpenBSD так
прям как в нащем гос-ве - всё запретить!
других методов неприемлем.
Переезжайте в Россию - тут всё свободно. Даже борцунов с кровавым режимом не сажают и не расстреливают (если не заводить романы с моделями из соседнего государства).
> Из соображений безопасноститеперь все будут root-ами сидеть.
И ничего не поменятся.
скоро в новостях:
- прекращена поддержка настройки сети
- прекращена поддержка настройки ОС
- прекращена поддржка установки программ
...
- прекращена ...
У них там fuse есть?
Вообще, если у системы вообще есть (непривилегированные) пользователи, то монтировать нужно. А если система этого немогет, то это делает ее менее юзабильной.
> У них там fuse есть?Есть. Работает.
> Вообще, если у системы вообще есть (непривилегированные) пользователи, то монтировать
> нужно. А если система этого немогет, то это делает ее менее
> юзабильной.doas mount
Это полумеры! Из соображений безопасности нужно запретить непривелигерованых пользователей!
Точно, нет юзера - нет и проблемы ;) Хороший юзер - deleted user !
Джо Неуловимый давно решил все свои проблемы...