OpenForum RSS: Анализ безопасности показал переоценку защиты с использовани... https://www.opennet.ru/openforum/vsluhforumID3/73892.html Брэд Спенглер (Brad Spengler), автор проекта grsecurity (http://www.grsecurity.net), представил отчет (http://forums.grsecurity.net/viewtopic.php?f=7&t=2522) с результатами оценки надежности системы "capabilities (http://www.opennet.ru/man.shtml?topic=capabilities)" в Linux, предназначенной для выборочного предоставления определенных привилегированных действий или открытия доступа к определенным ресурсам (например, утилите ping можно открыть только доступ к raw-сокету, без делегирования остальных root-прав). Проведенное исследование показало неожиданные результаты: 19 из 35 существующих "capabilities" позволили совершить действия, которые в конечном итоге потенциально могут привести к получению полноценных прав пользователя root.<br><br><br><br>Для каждого из девятнадцати проблемных "capabilities" представлен метод получения прав полноценного супервользователя в ситуации эксплуатации непривилегированных приложений, для которых выставлен только один из флагов "capabilities". Несмотря на то, что...<br><br>URL: http://forums. Анализ безопасности показал переоценку защиты с использовани... (Michael Shigorin) https://www.opennet.ru/openforum/vsluhforumID3/73892.html#28 Sat, 15 Jan 2011 09:16:08 GMT &gt; А если они ещё нужны? Уже сброшенное обратно не вернёшь...<br><br>То отделяют worker'ов с уже пониженными привилегиями от процесса, который держит привилегии и порождает worker'ов, но старается не вляпаться сам.<br> Анализ безопасности показал переоценку защиты с использовани... (ананим) https://www.opennet.ru/openforum/vsluhforumID3/73892.html#27 Wed, 12 Jan 2011 21:01:51 GMT выражение "один фиг" - это тупые коментарии недоучек, пытающихся выдать своё невежество за активную гражданскую позицию.<br>даже спорить с такими - это неуважение к себе любимому.<br><br>зы:<br>отмечу только один факт http://www.opennet.ru/man.shtml?topic=capabilities<br>&gt;Начиная с ядра 2.2, Linux обеспечивает (хотя и не полностью) в системе много возможностей, разделяющие привилегии, традиционно ассоциированные с суперпользователем, в отдельный блок, который может быть независимо включен или выключен.<br><br>http://ru.wikipedia.org/wiki/Linux_(%D1%8F%D0%B4%D1%80%D0%BE) <br>&gt;25 января 1999 &#8212; Linux версии 2.2.0, изначально довольно недоработанный (1 800 847 строк кода).<br><br>так что это такая уже древность, что все ваши инсинуации по данному вопросу просто смешны.<br>при чем они так и не входят в posix стандарт, в который ACL принят (тем более реализован) аж в 1998 году.<br> Анализ безопасности показал переоценку защиты с использовани... (letsmac) https://www.opennet.ru/openforum/vsluhforumID3/73892.html#26 Wed, 12 Jan 2011 20:40:09 GMT &gt; да это просто была стандартная попытка неуча заполучить очки, смешав в кучу <br>&gt; слабо понимаемые им понятия - ACL, MAC, RBAC, MLS, MIC и <br><br>Это один фиг только "больше и толще и современнее". Капабилитис из той же кучи с той же задачей разграничения прав только для приложений. Еще один балаган c аббревиатурами. <br><br> Анализ безопасности показал переоценку защиты с использовани... (ананим) https://www.opennet.ru/openforum/vsluhforumID3/73892.html#25 Wed, 12 Jan 2011 10:16:59 GMT &gt;&gt; Так глядишь и ACL нормальный у пингвинов появится.<br>&gt;А что, сейчас они не нормальные?<br><br>да это просто была стандартная попытка неуча заполучить очки, смешав в кучу слабо понимаемые им понятия - ACL, MAC, RBAC, MLS, MIC и пр., и пр. ну и капабилитис до кучи.<br> Анализ безопасности показал переоценку защиты с использовани... (non anon) https://www.opennet.ru/openforum/vsluhforumID3/73892.html#24 Wed, 12 Jan 2011 07:20:24 GMT &gt; для соляры со своими версиями программ - очень даже безопасная<br><br>Это почему? Принципы-то те же.<br><br>&gt; Так глядишь и ACL нормальный у пингвинов появится. <br><br>А что, сейчас они не нормальные?<br> Анализ безопасности показал переоценку защиты с использовани... (letsmac) https://www.opennet.ru/openforum/vsluhforumID3/73892.html#23 Tue, 11 Jan 2011 21:02:40 GMT Ну и в винде примерно аналогично. Для каждого потока создается свой уровень доступа. Технология очень сложная в разрешении противоречий. Для linux - новая - для соляры со своими версиями программ - очень даже безопасная. Так глядишь и ACL нормальный у пингвинов появится. <br> Анализ безопасности показал переоценку защиты с использовани... (zazik) https://www.opennet.ru/openforum/vsluhforumID3/73892.html#22 Tue, 11 Jan 2011 06:25:31 GMT &gt; А если они ещё нужны? Уже сброшенное обратно не вернёшь...<br><br>А для чего такое может понадобится? Сделал дело - отдай capabilities. Иначе SETUID лучше.<br> Анализ безопасности показал переоценку защиты с использовани... (Frank) https://www.opennet.ru/openforum/vsluhforumID3/73892.html#21 Tue, 11 Jan 2011 05:02:14 GMT А если они ещё нужны? Уже сброшенное обратно не вернёшь...<br> Анализ безопасности показал переоценку защиты с использовани... (Michael Shigorin) https://www.opennet.ru/openforum/vsluhforumID3/73892.html#20 Mon, 10 Jan 2011 20:47:25 GMT До кучи:<br>http://seclists.org/oss-sec/2010/q4/123<br>http://www.lst.de/~okir/blackhats/node125.html<br>http://tldp.org/HOWTO/Secure-Programs-HOWTO/minimize-privileges.html<br>