The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от opennews on 15-Ноя-16, 10:22 
В пакете Cryptsetup (https://gitlab.com/cryptsetup/cryptsetup), применяемом для настройки шифрования дисковых разделов в Linux, выявлена уязвимость (http://hmarco.org/bugs/CVE-2016-4484/CVE-2016-4484_cryptsetu...) (CVE-2016-4484 (https://security-tracker.debian.org/tracker/CVE-2016-4484)), позволяющая получить доступ в командную оболочку начального загрузочного окружения initramfs или Dracut с правами пользователя root. Проблема вызвана ошибкой в коде скрипта разблокировки системных разделов и проявляется только при использовании LUKS (Linux Unified Key Setup) для шифрования разделов.


Для эксплуатации уязвимости достаточно нажать и удерживать клавишу Enter в ответ на запрос ввода пароля для доступа к зашифрованным разделам. после чего root shell. После примерно 70 секунд удерживания Enter пользователь будет выброшен в root shell загрузочного окружения. Атака хорошо повторяема и не зависит от настроек или системного окружения. Несмотря на то, что полный доступ предоставляется только в окружении начальной загрузки initramfs или Dracut, а диски остаются зашифрованы, атакующий имеет возможность скопировать, изменить или вывести из строя содержимое дисков. Для атаки требуется физический доступ к системе, но не исключаются и варианты удалённой эксплуатации облачных окружений.


Проблема вызвана неверной обработкой превышения лимита на максимальное число попыток ввода пароля - вместо бесконечного зацикливания  и предложения выполнить перезагрузку, осуществлялся выход из скрипта проверки, что при отсутствии подключенных разделов приводило к выводу root shell. В настоящее время обновления пакета Cryptsetup в дистрибутивах пока не выпущены. В качестве временной меры защиты, можно настроить в grub загрузку ядра с параметром "panic" (в GRUB_CMDLINE_LINUX_DEFAULT добавить "panic=5" и запустить grub-install), после чего загрузочный скрипт инициирует перезагрузку вместо вывод root shell.

URL: http://openwall.com/lists/oss-security/2016/11/14/13
Новость: http://www.opennet.dev/opennews/art.shtml?num=45492

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +5 +/
Сообщение от 1 (??) on 15-Ноя-16, 10:23 
>Для атаки требуется физический доступ к системе

Ну как обычно

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +4 +/
Сообщение от rshadow (ok) on 15-Ноя-16, 10:52 
Опять новость о прикольной беге. Все как в старых виндах: нажал эскейп в окне входа - залогинился код админом :)

По факту конечно кто шифрует диски, тот знает что у него все хорошо, даже если физический доступ и рут шелл

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Чаёвник on 15-Ноя-16, 11:06 
Я не знаю, что у меня всё хорошо. Более того меня волнуют следующие моменты
1) Как сменить пароль на зашифрованный диск?
2) Как забутать удалённо машину, если она ребутнулась (например свет пропадал на ночь) не топая ножками и при этом сохранив секурность?
3) Если зашифрован раздел с данными пользователя (encryptfs) - как сменить ему пароль? В /etc/passwd пароль то меняется штатными средствами, но профиль пользователя перестаёт монтироваться.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +7 +/
Сообщение от dry (ok) on 15-Ноя-16, 11:35 
1. Читать мануал, luksAddKey/luksRemoveKey/luksChangeKey
2. Если есть уверенность, что не скомпрометирован физический доступ, то черех iLO/IPMI/iDRAC
3. Не пользуюсь, но совет тут общий - читай маны. Не хочешь маны - читай гугл. Не хочешь гугл - бери метлу, иди работать.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

56. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  –1 +/
Сообщение от Чаёвник on 15-Ноя-16, 14:11 
Спасибо. Как-то затупил и слёту про LUKS не нашёл был.
iLO/IPMI/iDRAC - сугубо аппаратные решения, не всегда они доступны.
А вот Dropbear SSH видимо оно, даже гуглится сразу https://stinkyparkia.wordpress.com/2014/10/14/remote-unlocki.../
Осталось encryptfs для хомяка забороть
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

62. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +1 +/
Сообщение от Аноним (??) on 15-Ноя-16, 16:51 
ecryptfs-add-passphrase подойдёт? Ещё можно через смену домашнего каталога с новым паролем.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

18. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +2 +/
Сообщение от mine (ok) on 15-Ноя-16, 11:40 
1) По методу Симпсона. Пункт один - подойти, пункт два - сменить. Это конечно, если ты адекват и использовал LUKS. Там мастер-ключ от раздела хранится на нём же зашифрованный паролем пользователя. Смена пароля = расшифровать мастер-ключ старым паролем + зашифровать новым. Это же позволяет иметь много паролей от одного раздела.
2) Если физически машина под твоим контролем, то Dropbear SSH в загрузочном образе. Если нет, то у тебя нет и не будет секурности. Вообще.
3) ХЗ, я этим не пользуюсь.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

22. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +3 +/
Сообщение от yummy on 15-Ноя-16, 11:45 
> Как забутать удалённо машину, если она ребутнулась (например свет пропадал на ночь) не топая ножками и при этом сохранив секурность?

Если нужна реальная секурность, то никак.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

68. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Фкук on 15-Ноя-16, 20:17 
>> Если нужна реальная секурность, то никак.

iLo чем не устраивает?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

75. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Michael Shigorin email(ok) on 16-Ноя-16, 13:33 
>>> Если нужна реальная секурность, то никак.
> iLo чем не устраивает?

Прошивку покажите.  И да, у меня знакомые разработчики IPMI firmware по крайней мере есть.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

95. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +3 +/
Сообщение от Аноним (??) on 17-Ноя-16, 10:01 
> iLo чем не устраивает?

Да вот понимаешь, жила была фирма супермикро. И запалилась на инженерном логине в таких вещах. Ну конечно же они случайно забыли, вы ничего не подумайте.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

24. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от aluck email on 15-Ноя-16, 11:51 
Dropbear SSH решит часть проблем
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

25. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 15-Ноя-16, 11:55 
Причем количество слотов вроде 8
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

29. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 15-Ноя-16, 12:16 
Смотри
http://youngblog.hoster-ok.com/smena-parolya-na-zashifrovann.../
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

65. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Меломан1 on 15-Ноя-16, 19:02 
> 2) Как забутать удалённо машину, если она ребутнулась (например свет пропадал на
> ночь) не топая ножками и при этом сохранив секурность?

Юзай deo encrypt. Серверы будут бутаться по ssl ключам.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

85. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 17-Ноя-16, 02:43 
Это еще какая-то проприетарная куйня, по типу http-ss и прочих ie-ee?
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

70. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +1 +/
Сообщение от Аноним (??) on 15-Ноя-16, 22:28 
> 1) Как сменить пароль на зашифрованный диск?

Штатными средствами.

> 2) Как забутать удалённо машину, если она ребутнулась (например свет пропадал на ночь) не топая ножками и при этом сохранив секурность?

UPS (Uninterruptible Power Supply) и/или SecureBoot.

> 3) Если зашифрован раздел с данными пользователя (encryptfs) - как сменить ему пароль? В /etc/passwd пароль то меняется штатными средствами, но профиль пользователя перестаёт монтироваться.

Не использовать encryptfs.

Безопасность всегда подразумевает какой-то компромисс с удобством, и этот случай не исключение.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

76. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Michael Shigorin email(ok) on 16-Ноя-16, 14:15 
>> 2) Как забутать удалённо машину, если она ребутнулась (например свет пропадал на ночь)
>> не топая ножками и при этом сохранив секурность?
> UPS (Uninterruptible Power Supply) и/или SecureBoot.

?!

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

78. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  –1 +/
Сообщение от Аноним (??) on 16-Ноя-16, 16:14 
UPS как раз и нужен, чтобы электричество не пропадало. А SecureBoot (при соблюдении некоторого списка условий и допущений) может гарантировать загрузку доверенного ядра.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

79. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Michael Shigorin email(ok) on 16-Ноя-16, 16:55 
> UPS как раз и нужен, чтобы электричество не пропадало.

Для этого при "на ночь" в условиях обычно нужен уже дизель-генератор -- хотя для одной машинки, конечно, может хватить и горки батареек.

> А SecureBoot (при соблюдении некоторого списка условий и допущений)
> может гарантировать загрузку доверенного ядра.

По крайней мере без весьма неприятных условий или глупых допущений -- максимум загрузчика.  Ну, насколько я в теме: http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

82. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  –1 +/
Сообщение от Аноним (??) on 16-Ноя-16, 21:01 
> Для этого при "на ночь" в условиях обычно нужен уже дизель-генератор -- хотя для одной машинки, конечно, может хватить и горки батареек.

Безопасность — это всегда компромисс с удобством. Тем, кому действительно надо, у тех и дизель есть, и избычтность электропитания, и бдящая охрана. А локалхост можно и вручную.

> По крайней мере без весьма неприятных условий или глупых допущений -- максимум загрузчика.

Проверка подписи ядра тоже доступна, и уже давно. Первая же ссылка из гугла, например: http://kroah.com/log/blog/2013/09/02/booting-a-self-signed-l.../.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

83. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +1 +/
Сообщение от Michael Shigorin email(ok) on 17-Ноя-16, 00:52 
>> По крайней мере без весьма неприятных условий или глупых допущений
>> -- максимум загрузчика.
> Проверка подписи ядра тоже доступна, и уже давно.

Попробуйте.

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

96. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  –1 +/
Сообщение от Аноним (??) on 17-Ноя-16, 22:16 
Зачем пробовать? На двух серверах поднял, хоть и не без бубна, и оно уже год работает. Ну и с обновлениями ядра тоже своя специфика.
Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

86. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +1 +/
Сообщение от Аноним (??) on 17-Ноя-16, 02:54 
> Для этого при "на ночь" в условиях обычно нужен уже дизель-генератор --
> хотя для одной машинки, конечно, может хватить и горки батареек.

Olimex тут как-то писали что их сервер даунлоадов остался last man^W server standing. Отработав 6 часов без электричества. Батареечкой выступил прозаичный 3000 ma*h литиевый аккумулятор - такие в 7" планшеты обычно ставят. Что они использовали как сервер даунлоадов - несложно догадаться :).

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

16. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +4 +/
Сообщение от Аноним (??) on 15-Ноя-16, 11:32 
Если есть физический доступ, то ты не можешь быть уверен, что все хорошо.
1. Подменяем Cryptsetup.
2. Ждем пока кто-нибудь введет пароль в подмененный Cryptsetup.
3. ???
4. PROFIT!
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

72. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  –1 +/
Сообщение от Андрей (??) on 16-Ноя-16, 00:45 
> Опять новость о прикольной беге. Все как в старых виндах: нажал эскейп в окне входа - залогинился код админом :)

Да, удобно было. Пользователям. А под линуксами аналогично, только нужно быть усердней: 28 раз нажать "забой", и всё - grub сдался и пропустил. Было тут ровно 11 месяцев назад: https://www.opennet.dev/opennews/art.shtml?num=43536

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

3. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  –5 +/
Сообщение от Анонимко on 15-Ноя-16, 10:25 
это полный привет... Любой ребенок может взять мой ноутбук и "взломать" его
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +18 +/
Сообщение от Аноним (??) on 15-Ноя-16, 10:28 
Ребнок первым делом отломает экран.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +4 +/
Сообщение от anonymous (??) on 15-Ноя-16, 10:51 
если ребёнок может взять твой ноут, то он в любом случае может получить рута, просто прописав в грубе init=/bin/bash или, если корень тоже зашифрован, свичнуться в инитрамфс или какое-нибудь грубово рескью. ну или просто вытащить твой винт

эта ошибка не расшифровывает раздел, она просто спихивает тебя в шелл

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

26. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Анонимко on 15-Ноя-16, 11:58 
Согласен с вами. Данные это не скомпрометирует. А если злоумышленник имеет в распоряжении бук и 70+ секунд на эксплуатацию этой уязвимости, он уже имеет полный доступ к винту. Хотябы методом его тыринга. Так что да. Не так уж и страшно.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

28. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  –1 +/
Сообщение от Аноним (??) on 15-Ноя-16, 12:05 
Если все носители зашифрованы ключом с количеством символов 40+,
то пусть тырят. Только для этого 70 секунд маловато будет.
Или просто выдрать носители и бежать.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

57. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним84701 on 15-Ноя-16, 14:45 
> Если все носители зашифрованы ключом с количеством символов 40+,

А чем не угодили 10-12 символов? PBKDF2/bcrypt вкупе с банальной комбинаторикой подсказывают, что если "не хватит" 12-и символов, то и 40+ не сильно помогут.

> . Только для этого 70 секунд маловато будет.

Обычно достаточно открутить один винт крепления крышки на дне/c боку ноута и выдернуть хард. Частенько таким же образом можно добавить оперативку.
А вот "взять две отвертки, открутить 10 винтов, снять крышку, открутить еще 4, вынуть хард" -- такую "дружественность" к пользователю любят в яблоках делать :)

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

60. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 15-Ноя-16, 16:06 
У пароля есть такая характеристика как стойкость/качество.
Так вот, если вы берете 40 символов, состоящих только
из строчных букв и цифр, то его стойкость чуть выше 200 bit
Ежели вы выберети все символы (строчные и прописные, цифры,
минус, пробел, подчеркивание, спец символы), то это
где выше 256 bit

Выдернуть диск это самое простое, но кто высказался
о копировании инфы, и тут нужен значительный временной задел.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

63. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +1 +/
Сообщение от Аноним84701 on 15-Ноя-16, 16:58 
> У пароля есть такая характеристика как стойкость/качество.
> Так вот, если вы берете 40 символов, состоящих только
>  из строчных букв и цифр, то его стойкость чуть выше 200 bit


>>> 36**12

4738381338321616896
>>> 36**40

178689910246017054531432477289437798228285773001601743140683776L


Это конечно, на первый взгляд, впечатляет -- однако беру я не только строчные, но и прописные, т.к. запомнить их не так уж сложно, а количество возможных комбинаций увеличивает заметно
62**12 = 3226266762397899821056 ;)

Так вот, если посчитать, то чтобы перебрать все пароли хотя бы в течении года:


>>> 62**12/(365*24*60*60.0)

102 304 247 919 771

>>>36**12/(365*24*60*60.0)

150 253 086 577

>>> 62**10/(365*24*60*60.0)

26 614 008 303


выходит, что даже при использовании "жалких" 10 символов -- придется перебирать 26 миллиардов паролей в секунду. А ведь PBKDF2 никто не отменял, так что удачи переборщикам -- те, кто могут себе позволить "просадить" такие ресурсы, скорее всего и смогут задействовать несколько другие методы "криптоанализа" ;)

> Так вот, если вы берете 40 символов,
> Ежели вы выберети все символы (строчные и прописные, цифры,
> минус, пробел, подчеркивание, спец символы)
, то это где выше 256 bit

А еще, в реальном мире у пароля есть такая характеристика, как запоминаемость простым пользователем без бумажки и прочих вспомогательных средств ;). И я что-то сомневаюсь, что пароли из 40 спецсимволов/цифр и т.д к таким относятся. Ну а использование набора слов/предложения все таки немного другое и там считать стойкость вот так вот, "в лоб" подсчитывая количество комбинаций символов, не катит.
Не говоря о том, что встроить все эти спецсимволы "запоминаемым" способом тоже не так просто.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

64. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 15-Ноя-16, 18:24 
Все определяется ценой вопроса.
Никто не будет тратить 100 р за инфу в 1 р.
По впоросу длины пароля, так достаточно
запомнить 1 мастер-пароль, а дальше либо
свой алгоритм образования паролей на основе
него либо использование его для менеджера паролей.
И таки радужные таблицы никто не отменял, если
вдруг захочется словами писать.
https://ru.wikipedia.org/wiki/Радужная_таблица
Вычислительный мощности нынче не малые.
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

66. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +2 +/
Сообщение от Аноним84701 on 15-Ноя-16, 19:25 
> Все определяется ценой вопроса.
> Никто не будет тратить 100 р за инфу в 1 р.

Предлагаю подсчитать цену на нужные ресурсы для подбора 26 мрд. паролей в секунду в течении года ;).
Кстати, тут вот
https://gitlab.com/cryptsetup/cryptsetup/wikis/FrequentlyAsk...
уже считали (возможно, сферических коней в вакууме - в детали я не вчитывался).
С дефолтным количество итераций PBKDF2 == 100 000


The table above then becomes:
    Passphrase entropy  Cost to break
    50 bit              EUR/USD   600k
    55 bit              EUR/USD    20M
    60 bit              EUR/USD   600M
    65 bit              EUR/USD    20B
    70 bit              EUR/USD   600B
    75 bit              EUR/USD    20T

10и значный пароль с прописными/строчными и цифрами:
62^10 ~= 2^59
12 знаков ~= 2^71
т.е. классическое https://xkcd.com/538/

> И таки радужные таблицы никто не отменял, если
> вдруг захочется словами писать.
> https://ru.wikipedia.org/wiki/Радужная_таблица
> Вычислительный мощности нынче не малые.

О каких радужных таблицах при использовании PBKDF2 в целом (соль) и в сабже (количество итераций привязанно ко времени, т.е. вариирует в зависимости от мощности конкретной машины) в частности, может идти речь?

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

61. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 15-Ноя-16, 16:09 
Вот тут чуток инфы
https://ru.wikipedia.org/wiki/Сложность_пароля
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

5. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +3 +/
Сообщение от Ващенаглухо (ok) on 15-Ноя-16, 10:51 
Интересно сработает если /boot тоже зашифрован, когда grub запрашивает пароль?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Леха email on 15-Ноя-16, 11:11 
Пароль Grub легко удалить, если есть любой livecd. Примонтировал /boot, удалил из grub.cfg нужные строки, перезагрузился и все готово, но это если Grub находится на не зашифрованном разделе, иначе труба....
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

32. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от J.L. on 15-Ноя-16, 12:24 
> Интересно сработает если /boot тоже зашифрован, когда grub запрашивает пароль?

*если /boot тоже зашифрован*
а как вы с этим живёте ? кто его расшифровывает ?
пароль груба не относится к шифрованию бута

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

35. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от J.L. on 15-Ноя-16, 12:33 
>> Интересно сработает если /boot тоже зашифрован, когда grub запрашивает пароль?
> *если /boot тоже зашифрован*
> а как вы с этим живёте ? кто его расшифровывает ?
> пароль груба не относится к шифрованию бута

видимо ответ тут https://www.opennet.dev/openforum/vsluhforumID3/109646.html#19
"grub2 умеет открыть LUKS"

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

10. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +5 +/
Сообщение от Аноним (??) on 15-Ноя-16, 11:11 
А что означает
while true; do 100; done
?

Что такое 100?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +14 +/
Сообщение от anon5894 on 15-Ноя-16, 12:20 
сто
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

74. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от KonstantinB (ok) on 16-Ноя-16, 05:10 
а 3*100 ?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

12. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 15-Ноя-16, 11:17 
> если /boot тоже зашифрован

Это как сделать? Первый раз слышу о таком.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от EuPhobos (ok) on 15-Ноя-16, 11:41 
Граб2 умеет работать c LUKS, дебиан прям с инсталлятора шифрует без проблем /boot и ставит grub2.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

23. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 15-Ноя-16, 11:46 
Хм.. На вирт машине прям сегодня посмотрю. Хотя остаюсь при совем мнении, что boot нужно убирать на внешний носитель.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

33. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от J.L. on 15-Ноя-16, 12:27 
> Хм.. На вирт машине прям сегодня посмотрю. Хотя остаюсь при совем мнении,
> что boot нужно убирать на внешний носитель.

и ещё надо как-то убеждаться что биос машины первый в цепочке загрузчик читает именно с вашего нужного внешнего носителя (я пока не знаю как бы это делать нормально кроме как каждый раз вызывать меню выбора "откуда грузимся")

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

37. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 15-Ноя-16, 12:38 
>> Хм.. На вирт машине прям сегодня посмотрю. Хотя остаюсь при совем мнении,
>> что boot нужно убирать на внешний носитель.
> и ещё надо как-то убеждаться что биос машины первый в цепочке загрузчик
> читает именно с вашего нужного внешнего носителя (я пока не знаю
> как бы это делать нормально кроме как каждый раз вызывать меню
> выбора "откуда грузимся")

В БИОСе можно явно указать - грузится с внешнего носителя. Указать с какого именно в большенстве случаев не получится, но в некоторых есть профили загрузки.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

88. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +1 +/
Сообщение от Аноним (??) on 17-Ноя-16, 06:07 
> В БИОСе можно явно указать - грузится с внешнего носителя.

В результате атакующему остается лишь без палива сунуть мелкую флешку показывающую логин-промпт похожий на ваш - и для вас дело полная шляпа.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

89. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +3 +/
Сообщение от Аноним (??) on 17-Ноя-16, 06:11 
> и ещё надо как-то убеждаться что биос машины первый в цепочке загрузчик
> читает именно с вашего нужного внешнего носителя (я пока не знаю
> как бы это делать нормально кроме как каждый раз вызывать меню
> выбора "откуда грузимся")

Интел уже убедился. Что первым неизбежно запускается ME (management engine) и проверяет что BIOS правильный. Чтобы вы случайно не соскочили с их услуг по причинению пользы и нанесению добра.

Поэтому если вы пользуетесь писюком свежее 2010 года на чипсетах от интел - вы можете ожидать вполне конкретный уровень безопасноти... интела. От вас и ваших систем. Ну а то что ME может все перепатчить, поменять настройки BIOS и даже операционку переставить при том что это доступно по сети и даже невозможно зафайрволить - дичайший баян.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

34. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от J.L. on 15-Ноя-16, 12:31 
> Граб2 умеет работать c LUKS, дебиан прям с инсталлятора шифрует без проблем
> /boot и ставит grub2.

проблема в том что загрузочный сектор винчестера доступен для подмены при возможности загрузится с ливсидюка
но в принципе для умеренного уровня паранои наверно достаточно будет настроить биос на загрузку с определённого винта и пароль на биос
надо посмотреть как там груб умеет с LUKS, пропустил эту возможность

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

41. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 15-Ноя-16, 12:45 
И что вы получите на выходе при подмене?
Невозможность открыть?
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

44. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от J.L. on 15-Ноя-16, 12:53 
> И что вы получите на выходе при подмене?
> Невозможность открыть?

кейлогер вписанный в функциональность стандартного загрузочного сектора
(но наверно скрытая камера или микрофон+анализ звука клавиш будут удобнее для заинтересованных лиц)

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

49. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 15-Ноя-16, 13:11 
Уже тут договорились, что /бут
на внешнем носителе.
Камеры конечно бывают маленькими,
но чем меньше, тем меньше разрешение.
Вопрос питания и коммуникаций.
Все это скрыть.. ну надо быть сильно невнимательным.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

84. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  –1 +/
Сообщение от Аноним (??) on 17-Ноя-16, 01:08 
А как этот grub запустится, если он сам зашифрован будет? Или шифруется не веcь /boot, а только ядро и initrd?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

98. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от JL2001 email(ok) on 19-Ноя-16, 15:14 
> А как этот grub запустится, если он сам зашифрован будет? Или шифруется
> не веcь /boot, а только ядро и initrd?

груб запускается с мбр и ко, дальше предположительно он умеет спросить пароль и открыть зашифрованный раздел (зашифрована не вся поверхность, там ещё технические структуры типо таблицы разделов и прочего, в этом объёме пускатель груба и лежит)

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

13. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  –1 +/
Сообщение от Аноним (??) on 15-Ноя-16, 11:19 
> с правами пользователя root.

Как они получаются? Ну в шелл сбрасывает - может быть, но как под рутом? Нихрена не понятно ((

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +1 +/
Сообщение от J.L. on 15-Ноя-16, 12:37 
>> с правами пользователя root.
> Как они получаются? Ну в шелл сбрасывает - может быть, но как
> под рутом? Нихрена не понятно ((

аналогично этому
init=/bin/bash
и получаешь инитрдешный шел под рутом + зашифрованные винчестеры

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

90. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 17-Ноя-16, 06:15 
Это валидно при условии что бутлоадер согласен тебя пустить в продвинутости. Тот же grub умеет пароль просить при этом. Не то чтобы это сильная защита, но если атакующий ограничен во времени - это немного стопорнет атакующего. Хотя если он сможет загрузиться с другого носителя - эта линия защиты будет расплющена.

Чтобы менять настройки BIOS было нельзя - бывает пароль на BIOS. А на него бывает AWARD_SW, после ввода которого менять их становится таки можно. И прочие management engine.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

14. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +3 +/
Сообщение от Аноним (??) on 15-Ноя-16, 11:21 
> получить доступ в командную оболочку начального загрузочного окружения

Это в принципе не уязвимость как таковая. Зашифрованные данные остаются зашифрованными. А доступ к остальным разделам при наличии доступа к железу - дело времени.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

91. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 17-Ноя-16, 06:17 
> Это в принципе не уязвимость как таковая. Зашифрованные данные остаются зашифрованными.

Тем не менее, атакующий может подпихнуть приблуду которая ему сольет твой пароль при этом. И если у атакуюшего выдастся минутка когда ты отошел посцать - можно зажать энтер, подпихнуть приблуду, отвалить в туман и сделать вид что так и было. А вот дальше атакующий уже знает как все это расшифровывать, извини.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +1 +/
Сообщение от Аноним (??) on 15-Ноя-16, 11:24 
> добавить "panic=5" и запустить grub-install

update-grub не катит?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  –2 +/
Сообщение от vantoo (ok) on 15-Ноя-16, 11:45 
Это больше на закладку похоже.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от J.L. on 15-Ноя-16, 12:19 
> обычно без шифрования оставляется раздел /boot

до кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от J.L. on 15-Ноя-16, 12:41 
>> обычно без шифрования оставляется раздел /boot
> до кого-то ещё не дошло что /boot должен быть на флешке (в
> формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен
> и настроен на загрузку с определённой флешки а все винчестеры целиком
> и полностью зашифрованы ?

ладно, ладно
для умеренного уровня паранои наверно достаточно будет настроить биос на загрузку с определённого винта и пароль на биос + цельношифрованный диск + шифрованный бут + груб2 с умением стартануть с LUKS
и опечатанный корпус компа чтоб не сняли винт/не ребутнулись в ливсидюк и не заменили загрузочный сектор винта

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

43. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 15-Ноя-16, 12:49 
Опечатанный корпус предотвращает бесконтрольный доступ, а не сам доступ.
Что вам дает замена загрузочного сектора? Уже сказано, что boot вынесен на внешний носитель.
Где вы хотите его найти и заменить?
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

46. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от J.L. on 15-Ноя-16, 13:01 
> Что вам дает замена загрузочного сектора? Уже сказано, что boot вынесен на
> внешний носитель.

есть два варианта
1) бут на внешнем + загрузка явно с этого внешнего + необходимость во флешке + "защита машины/биоса от чужих лап" (а то перепрошьют биос на версию с кейлогером)
2) бут внутри полностью шифрованного винчестера + груб2 умеющий с LUKS + загрузка явно с этого винчестера + "защита машины/биоса от чужих лап" (а то перепрошьют биос на версию с кейлогером И/ИЛИ загрузочный сектор винчестера на версию с кейлогером)

получается что второй вариант не требует флешки при одинаковых уязвимостях к "физическому доступу"

как я понимаю достоинство первого варианта - возможность открывать винт по паролю+ключу, а не только по паролю
достоинство второго - отсутствие флешки

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

48. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 15-Ноя-16, 13:06 
В чем достоинство отсуствия флешки?
Вы на 100% контролируете защиту boot,
без всякого его шифрования.

Вариант 3:
Установка ОС на внешний носитель с полнодисковым шифрованием.
(USB3.0, размер носителя не проблема).

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

53. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от J.L. on 15-Ноя-16, 13:44 
> В чем достоинство отсуствия флешки?

не потерять через дырку в кармане

> Вы на 100% контролируете защиту boot, без всякого его шифрования.

а чем вообще вариант груб2+luksboot на винчестере плох ?

> Вариант 3:
> Установка ОС на внешний носитель с полнодисковым шифрованием.
> (USB3.0, размер носителя не проблема).

мы так договоримся до убунтутелефона в кармане, а вместо компа у нас теперь будет юсб-хаб с винтом+клавомышкой и монитор по hdmi

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

55. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +1 +/
Сообщение от Аноним (??) on 15-Ноя-16, 14:03 
Если за шифрованный диск +/- можно быть спокойным, то с /boot не все однозначно.
Вдруг потом выснится какая то уязвимость, которую противник знал, а вы нет?
Примеров таких полно.

Что касается ОС на внешнем носителе, так а что вы теряете?
В производительности? Не уверен. На ПК где приложением требуется
серьезные ресурсы, врядли содержится информация, которую нужно защищать.
Или вы что неправильно организовали в совем рабочем процессе/месте.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

50. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от ryoken (ok) on 15-Ноя-16, 13:26 
> до кого-то ещё не дошло что /boot должен быть на флешке (в
> формфакторе позволяющим её быстро съесть и ещё быстрее переварить)

Благородный дон происходит от крокодилов???

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

92. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 17-Ноя-16, 06:20 
> Благородный дон происходит от крокодилов???

Вроде бы, переваривать пластик не умеют даже крокодилы. Многие пластики достаточно устойчивы к химии. И RoHS конечно RoHS'ом но применяемые в электронной промышленности материалы все-таки не сказать что полезны для здоровья.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

38. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  –2 +/
Сообщение от Аноним (??) on 15-Ноя-16, 12:38 
>до кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ?

А ещё надо быстро подключится по удаленке при пропававшем инете и съесть флешку без запивки, по чесноку что-бы было. )))
А винчестеры заминировать и взорвать при первой опасности или появлении таракана разведчика. )))

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 15-Ноя-16, 12:44 
>>до кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ?
> А ещё надо быстро подключится по удаленке при пропававшем инете и съесть
> флешку без запивки, по чесноку что-бы было. )))
> А винчестеры заминировать и взорвать при первой опасности или появлении таракана разведчика.
> )))

Нечего хранить инфу на удаленной машине.
И да, заминировать. При отключении питания срабатывает механический взрыватель.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

42. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от J.L. on 15-Ноя-16, 12:49 
>>>до кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ?
>> А ещё надо быстро подключится по удаленке при пропававшем инете и съесть
>> флешку без запивки, по чесноку что-бы было. )))
>> А винчестеры заминировать и взорвать при первой опасности или появлении таракана разведчика.
>> )))
> Нечего хранить инфу на удаленной машине.
> И да, заминировать. При отключении питания срабатывает механический взрыватель.

зачем ? вроде пока LUKS не ломали... достаточно винчестер открывать по ключу (с паролем) и ключик уничтожать - пусть отапливают вселенную ломая, людям же надо получать зарплату
а про то что в брянском болоте запрятан бекап ключика забывать под гипнозом заранее

или вы считаете что ваш пароль уже соснифили (скрытой камерой) и теперь пришли уже за винчестером ?

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

45. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 15-Ноя-16, 12:56 
Чего тут вообще обсуждать, когда утрачен доступ к удаленной машине?
Тот кто получил к ней доступ с запущенной ОС, получил доступ к инфе
в открытом виде.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

47. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от J.L. on 15-Ноя-16, 13:06 
> Чего тут вообще обсуждать, когда утрачен доступ к удаленной машине?
> Тот кто получил к ней доступ с запущенной ОС, получил доступ к
> инфе
>  в открытом виде.

ну это если говорить о вариантах с чтением памяти через перестановку после жидкого азота или ещё какими техническими средствами (говорят Thunderbolt имеет прямой доступ к памяти, или какой взлом запущенных на машине сервисов)
тут уж никакие зашифрованные винчестеры не помогут, так что речь идёт только о варианте когда желающий не может получить доступ внуторь рабочей расшифрованной системы, а только как простой смертный через - ввод спертого пароля

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

52. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  –1 +/
Сообщение от ryoken (ok) on 15-Ноя-16, 13:27 
>> Чего тут вообще обсуждать, когда утрачен доступ к удаленной машине?
>> Тот кто получил к ней доступ с запущенной ОС, получил доступ к
>> инфе
>>  в открытом виде.
> ну это если говорить о вариантах с чтением памяти через перестановку после
> жидкого азота или ещё какими техническими средствами (говорят Thunderbolt имеет прямой
> доступ к памяти, или какой взлом запущенных на машине сервисов)

Ещё вроде Ieee1394, которвй FireWire.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

93. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 17-Ноя-16, 06:29 
> Ещё вроде Ieee1394, которвй FireWire.

А также PCI/PCIe и прочие infiniband. И таки да - есть девайсы которые сделав DMA снимают к чертям блокировку экрана с компа. Для 1394 кто-то такой PoC делал, вытряхивая винду с экрана блокировки как будто пользователь ввел верный пароль. Разумеется пароль никто не знает - приблуда просто патчит код и процесс уверен что пароль введен правильно. Потому что ему код пропатчили.

А кому мало - еще rowhammer есть. Даже, блин, rowhammer.js - даже вебстраничка может до кучи попробовать подолбить один и тот же адрес памяти. В надежде что битики перевернутся, после чего можно немного пропатчить память. Например память ядра. Убедив его сделать что-нибудь полезное атакующему. На js это конечно получается лажово и алгоритмы трансформации доступа у контролеров памяти разные. Но потенциально даже голимая вебпага может на всем что DDR3 и старее провалиться в kernel mode. Не говоря о нативных программах которые могут пытаться повысить себе привилегии гораздо наглее и потому потенциально успешнее.

В ядре линя придумывают как этот хардварный баг вкостылить в софте. Ну там например попробовать через perf monitor получать прерывания о чрезмерных cache miss и вкостыливать это со стороны ядра, чтобы такой долбеж сорвался.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

51. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от ryoken (ok) on 15-Ноя-16, 13:26 
> Нечего хранить инфу на удаленной машине.

Как можно УДАЛИТЬ машину..?
..а, тьфу :D

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

54. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от J.L. on 15-Ноя-16, 13:48 
>> Нечего хранить инфу на удаленной машине.
> Как можно УДАЛИТЬ машину..?
> ..а, тьфу :D

//оффтоп
как-то так http://www.ua.all.biz/img/ua/catalog/1156254.jpeg
а это удаление в корзину http://itc.ua/wp-content/uploads/2014/12/22_main145-671x362.jpg

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

58. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +4 +/
Сообщение от тоже Аноним email(ok) on 15-Ноя-16, 14:46 
Это же русифицированная терминология - бессмысленная и бессмысленная.
Любое нововведение должно быть названо так, чтобы звучало по возможности неочевидно и по-канцелярски.
В данном случае, например, вариант "отдаленный" не вызывал бы подобных казусов, но он чересчур литературен, чтобы им кто-то всерьез пользовался. Недостаточно суконно.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

69. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  –2 +/
Сообщение от Аноним (??) on 15-Ноя-16, 21:45 
Пиши ещё.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

71. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +4 +/
Сообщение от тоже Аноним (ok) on 16-Ноя-16, 00:34 
Да что писать об очевидном?
Любой человек, писавший курсовые и диплом, поневоле выучился этому странному диалекту русского языка, изобилующему деепричастиями и сложноподчиненными предложениями, скорее предназначенному не для донесения некоторой мысли до читающего, а для скрытия того факта, что никакой мысли в прочитанном тексте нет.
Принято у нас лить воду и оговаривать терминологию вместо того, чтобы сказать что-то простым бытовым языком. Понятным при беглом прочтении. Зато скорочтение процветает - вчитываться-то в тексты никакого смысла нет, главное - разглядеть те две строчки сути, которые размазаны на весь лист.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

67. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Michael Shigorin email(ok) on 15-Ноя-16, 19:50 
Точно в cryptsetup, а не в чьих-то кривых дистрибутивных скриптах?
Не слышу хора "systemd-mkinitrdd!".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

73. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  –1 +/
Сообщение от Аноним (??) on 16-Ноя-16, 00:50 
Тут писали что можно шифровать раздел /boot
Не поленился и решил зашифровать.
Установщик сходу заорал, что такое
делать нельзя.
"Это невозможно, так как системный загрузчик
не сможет загрузить ядро и initrd" (дословно)

Что делается не так?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

97. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от M on 18-Ноя-16, 14:36 
Инсталлятор 8.6 перестал давать такое делать. Надо 8.5. Предположу, что 8.5 не проверяет  есть ли бут на незашифрованном разделе.
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

77. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +1 +/
Сообщение от Аноним (??) on 16-Ноя-16, 14:33 
Но ведь это же уязвимость в инициализационных скриптах дебиана, а никак не в cryptsetup.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

81. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  +/
Сообщение от Аноним (??) on 16-Ноя-16, 17:26 
16.11.2016 в ветке debian testing обновлены пакеты cryptsetup,cryptsetup-bin.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

94. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."  –1 +/
Сообщение от marios (ok) on 17-Ноя-16, 09:13 
Может ли система подписей UEFI-прошива -> загрузчик -> ядро обеспечить защиту от подмены ядра?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру