https://www.opennet.ru/openforum/vsluhforumID3/80471.html Один из администраторов инфраструктуры kernel.org опубликовал в списке разработчиков ядра Linux уведомление (https://lkml.org/lkml/2011/9/23/357), в котором рассказал о статусе восстановления серверов после взлома (http://www.opennet.ru/opennews/art.shtml?num=31651) и работе, проделанной для увеличения безопасности. Kernel.org недоступен уже почти месяц. Столь длительный срок связан с тем, что разработчики были заняты детальным аудитом и полной переработкой архитектуры аутентификации и организации доступа во всех публично доступных сервисах kernel.org. <br><br><br>Возобновить работу сайта в первозданном виде, переустановив операционную систему и восстановив данных из резервной копии, можно было за несколько часов, но такой шаг не устраивал, так как инцидент показал принципиальные недоработки в организации доступа, которые рано или поздно могли привести к повторному взлому. В частности, наличие shell-аккаунтов у 448 разработчиков потенциально делали каждого из них мишенью для атакующих. В случ...<br><br>URL: https://lkml.o https://www.opennet.ru/openforum/vsluhforumID3/80471.html#179 Wed, 28 Sep 2011 08:42:08 GMT &gt; Пояснять не вижу смысла, так как я уже говорил что в ситуации <br>&gt; когда получен root, selinux не поможет. Но почему-то Вы мне упорно <br>&gt; пытаетесь навязать беседу в этом контексте. <br><br>Наверное потому что тут рассматривалась дырень через которую и были повышены права с просто юзера до рута, что и является основной проблемой. Т.е. взлом мог выглядеть просто и обидно: кто-то пролюбил ssh-логин потребный для git'а а потом кто-то использовал оный, задрал себе права до рута через некую дыру, и порезвился, воткнув руткит.<br><br>&gt; Корректно настроенная политика SELinux на системе должна обеспечивать<br>&gt; выполнение программы в ее рамках, не давая приложению выполнить больше<br>&gt; дозволенного.<br><br>В теории все так. На практике - это не система фильтрации сисколов, поэтому эффективность selinux в защите от атак повышения привилегий довольно ограниченная (if any).<br><br>&gt; недостаточной фильтрацией входных параметров в сисколлах, которые позволяют овладеть uid=0.<br><br>Ну так SELinux был посоветован в контексте этой новости, которая к https://www.opennet.ru/openforum/vsluhforumID3/80471.html#178 Tue, 27 Sep 2011 06:46:15 GMT &gt;&gt; Нынешние SSH-ключи отменены, а новые будут сгенерированы и отправлены разработчикам в ближайшее время.<br>&gt; Ад какой-то.<br>&gt; А ничего, что все должно быть наоборот &#8212; ключи должны генерить сами <br>&gt; разработчики и передавать их публичные части (либо по защищенному каналу, либо <br>&gt; подписанными доверенными GPG-ключами) на кернельорк?<br><br>По разному делают, на самом деле даже разработчики ssh говорят что одинаково это. Можно генерировать ключ локально и подписать его в центре, можно генерировать централизовано и раздать по защищенному каналу. Разницы нет, в любом случае риск перехвата одинаков.<br> https://www.opennet.ru/openforum/vsluhforumID3/80471.html#177 Tue, 27 Sep 2011 06:41:48 GMT &gt;&gt; Вылазайте уже из криокамеры ... man SElinux !<br>&gt; Угу, каждый первый боевой сплойт считает своим долгом его вырубить первым делом, <br>&gt; чтобы под ногами не путался.<br><br>Знаем мы этот "сплойт". Он по форумам постоянно кочует, "Первым делом я после установки федоры сношу пульсаудио отключаю селинукс к0чаю мп3 кодек, настоящий нвидия блоб, нескучные обои, ой вот мне уже пишут в почте мужик из африки что то там про казну... ну все накогда мне тут с вами, пойду 100 бкасов отправлю - черный пацан пишет больше вернет"<br> https://www.opennet.ru/openforum/vsluhforumID3/80471.html#176 Tue, 27 Sep 2011 06:34:40 GMT &gt;&gt; Огораживать ФФ есть очень большой смысл.<br>&gt; Что еще один из криокамеры ? Давно уже все пускают фф так <br>&gt; : <br>&gt; sandbox -X firefox <br><br>А скачаное после длолгих мучительных поисках по сотням форумов как сохранить? Фотографировать экран?<br> https://www.opennet.ru/openforum/vsluhforumID3/80471.html#174 Tue, 27 Sep 2011 06:15:30 GMT &gt; тут собрались админы localhost - они с трудом понимают проблемы хостеров.<br>&gt; Хотел бы я посмотреть как бы они каждый скрипт который заливают клиенты <br>&gt; просматривали - и решали - быть ему на хостинге или нет.. <br>&gt; Оченььь интересно было посмотреть.<br><br>Мусье админит кластеры амазон йецедва? Есть ли сложности в прокладке очередной 6 киловольтной ЛЭП до нового сервера? Как решаете проблемы с мелкими но болезненными для имиджа восстаниями местной черни, лопочущей чтото там про экологию ? Хотелось бы уточнить, насколько регулярно надо отстегивать лоббистам рядом с оральном кабинетом? А то мы тут совсем темные локалхостеры.<br> https://www.opennet.ru/openforum/vsluhforumID3/80471.html#173 Tue, 27 Sep 2011 06:04:23 GMT Реклама бывает не только навязчивая, можно наоборот как бы прятaть информацию и рекламировать сам факт сложности доступа, чтобы как раз таких "умников" ловить. Специалисты блин.<br> https://www.opennet.ru/openforum/vsluhforumID3/80471.html#172 Tue, 27 Sep 2011 02:39:45 GMT &gt; ssh дырка? простите, в каком месте? юзать шелл на каждый чих - <br>&gt; некошерно, согласен. ключики надо свои защищать - тоже согласен. но ssh-то <br>&gt; тут при чём? какой именно алгоритм криптовки вы считаете дыркой?<br>&gt; P.S. компьютер одна большая дырка. вот есть у меня гиря чугунная....<br><br>Лучше паяльник.<br>Разработчики утверждают, что, если получить доступ к админу, сервер взламывается за несколько минут. :)<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/80471.html#171 Mon, 26 Sep 2011 22:34:37 GMT Да, теоретически нельзя. Потому что SELinux может ограничить полномочия рута. Только для этого нужна ну очень кастомная политика, которую всем лень писать.<br> https://www.opennet.ru/openforum/vsluhforumID3/80471.html#170 Mon, 26 Sep 2011 20:24:02 GMT Истерят, вообще-то, залётные виндузятники, потому что на дыре они, а не мы. Раскройте глаза.<br>