forum.opennet.ru - "Обход ограничений SELinux, связанных с загрузкой модулей ядра" (174)

"Обход ограничений SELinux, связанных с загрузкой модулей ядра"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обход ограничений SELinux, связанных с загрузкой модулей ядра"	+/–
Сообщение от opennews (??), 05-Июн-23, 10:32
Выявлена возможность обхода запрета загрузки модулей ядра, реализуемого через SELinux. Блокировка модулей в SELinux основывалась на ограничении доступа к системному вызову finit_module, позволяющему загрузить модуль из файла и применяемому в таких утилитах, как insmod. При этом правила SELinux не рассматривали системный вызов init_module, который также может применяться для загрузки модулей ядра напрямую из буфера в памяти... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59248
Ответить \| Правка \| Cообщить модератору

Оглавление

не понял, а нахрена это через селинукс запрещать у ядра давно уже есть blacklis, Аноним (1), 10:32 , 05-Июн-23, (1) –3

Предлагаете все возможные имена занести в blacklist , n00by (ok), 10:47 , 05-Июн-23, (4) +4

зачем все возможные имена, если можно держать белый список разрешенных, а при из, Аноним (1), 10:57 , 05-Июн-23, (6) +4

Зачем тогда нужны модули если всё можно вкомпилировать в ядро , Аноним (15), 11:21 , 05-Июн-23, (15) –2

потому что не у всех есть время бюджет заниматься конфигурированием до компиляци, Аноним (1), 11:35 , 05-Июн-23, (17) +1

На белые листы время есть, а на сборку нет Как-то небезопасненько , Аноним (15), 11:47 , 05-Июн-23, (22) +1

ну давай, расскажи мне, как получить ядро, в котором есть только то, что нужно н, Аноним (1), 11:54 , 05-Июн-23, (26) +2

Рассказываю по опыту генто бства полдня-день на систему на первую итерацию, при, Аноним (40), 12:46 , 05-Июн-23, (40) +1

если стартуешь с дефолтного конфига - может быть так и есть, при этом не решаетс, Аноним (1), 13:08 , 05-Июн-23, (45)

выше - краткое содержание чьей-то будущей книги Как изнасиловать линукс и остат, ivan_erohin (?), 20:17 , 05-Июн-23, (85)

После слов вооружаемся grep исследовать исходники ядра у меня появились со, n00by (ok), 06:38 , 06-Июн-23, (102)

года 4 назад я подбирал какой-то инструмент не на go и не на rust для поиска по, ivan_erohin (?), 14:05 , 06-Июн-23, (126)
Хороший инструмент сначала прогоняет исходник через препроцессор, что бы разверн, n00by (ok), 16:49 , 06-Июн-23, (130)
Скрыто модератором, ivan_erohin (?), 19:53 , 07-Июн-23, (166)
Скрыто модератором, n00by (ok), 09:03 , 08-Июн-23, (170)

Если у тебя нет времени на безопасность зачем ей заниматься , Аноним (41), 12:47 , 05-Июн-23, (41) –1

Внезапно, принели вам сетевушку Было бы модулем, udev сам бы необхомый е модул, Аноним (50), 13:42 , 05-Июн-23, (50) –1

Каким олигофреном нужно быть, что бы без раздумий пихать внезапно принесенное же, Атон (?), 20:26 , 05-Июн-23, (86) –3

Каким олигофреном нужно быть, чтобы так ответить на фразу внезапно, принесли ва, Аноним (121), 11:33 , 06-Июн-23, (121)

Представьте нам свою картину мира, в которой будет объяснена внезапность появлен, Атон (?), 13:12 , 06-Июн-23, (123)

Чего там объяснять - диверсия- , BeLord (ok), 14:06 , 06-Июн-23, (127)

Главный диверсант - HR принявший на работу техником mentality disabled персону, , Атон (?), 14:54 , 06-Июн-23, (128)

А буфер памяти куда вписать , n00by (ok), 12:02 , 05-Июн-23, (28) +1

В пространство процесса, взявшего на себя обязанность загружать модули Потом на, Аноним (50), 13:45 , 05-Июн-23, (51)

В адресное пространство каждого процесса, взявшего на себя обязанность загружать, n00by (ok), 16:07 , 05-Июн-23, (68)

Системный вызов в пространство ядра скопирует, оформит уже как структуры модуля , Аноним (50), 16:28 , 05-Июн-23, (72)

Всё это сделает и загрузит драйвер Так задача прямо противоположная - не пускат, n00by (ok), 06:43 , 06-Июн-23, (103)

Нуб, ты чего Это работает так читаешь файл с диска, грузишь модуль в память, н, Аноним (-), 01:16 , 06-Июн-23, (99)

Так а как ещё ему объяснить, что по условию задачи модуль попадать в ядро не дол, n00by (ok), 06:53 , 06-Июн-23, (104)

В принципе и другие способы запрета этого есть, если оно реально надо А забавно, Аноним (-), 04:01 , 07-Июн-23, (145)

скорее включить lsm lockdown и установить https github com lkrg-org lkrg, onanim (?), 11:44 , 05-Июн-23, (20) +2

Особенно, когда с кем-то по сети играешь, далеко-далеко так , Аноним (50), 13:47 , 05-Июн-23, (52)

на опеннете запрещено упоминание шахмат лолшто , onanim (?), 13:46 , 07-Июн-23, (161)

man оффтопик, вероятно вот вы наглые стали, еще и возмущаетесь что совсем уж , Аноним (180), 15:41 , 08-Июн-23, (180)

Это было как раз по теме исходного сообщения Его автор несколько плавал в вопро, n00by (ok), 05:43 , 09-Июн-23, (183)

Эпичный фейл однако Так загрузка идет помимо insmod, Аноним (83), 19:46 , 05-Июн-23, (83) +1

типичный опеннет, однако Не пойму одного, почему еще тотальный кабздец инфрастр, пох. (?), 09:21 , 06-Июн-23, (112)

голосом оптимиста из анекдота про хуже уже не будет coming soon , Аноним (149), 09:00 , 07-Июн-23, (149)

Ну правильно, драйвер руткита как раз из памяти удобнее стартовать При сохранен, n00by (ok), 10:45 , 05-Июн-23, (2) +4

Настоящий антивирус, а не тот которого нет Оперативную память тоже сканирует Н, Аноним (5), 10:48 , 05-Июн-23, (5) +3

Файл с драйвером перед запуском придётся расшифровать Плюс сам факт его появлен, n00by (ok), 11:32 , 05-Июн-23, (16)

Если он не отловит момент загрузки модуля то по расписанию И будет вирус пойман, Аноним (15), 11:46 , 05-Июн-23, (21) –1

Руткитом называют такую шутку, задача которой скрыть своё присутствие в системе , n00by (ok), 11:52 , 05-Июн-23, (25) +2

При условии, что руткит покроет 100 потенциальных путей обнаружения Что не фак, Аноним (35), 12:22 , 05-Июн-23, (35)

Чукча и геолог собирают камушки на берегу океана Вдруг видятнаправляющегося к н, n00by (ok), 12:39 , 05-Июн-23, (37)

ты нам пытаешься объяснить что чукча умнее геолога , Tester (??), 13:35 , 15-Июн-23, (191)

Микрософт решила вопрос с руткитами следующим образом Придумали PatchGuard Через, n00by (ok), 12:55 , 05-Июн-23, (42)

https youtu be 7iez8N_6i4I, n00by (ok), 12:58 , 05-Июн-23, (43)
Зато они апдейты по вторникам грузят Как будто хакеры целый месяц ждать будут , Аноним (-), 01:22 , 06-Июн-23, (100)

1 Заходим в википедию и смотрим кто изначальный разработчик SELinux2 Не удивля, Аноним (5), 10:46 , 05-Июн-23, (3) +8

Покажи как нужно было сделать Создай свой аналог и поделись им с нами Посмотри, Аноним (7), 11:01 , 05-Июн-23, (7) +2

apparmor же, Аноним (9), 11:07 , 05-Июн-23, (9) –1

Ты задумывайся , когда копипастишь в ответы , Аноним (10), 11:17 , 05-Июн-23, (10)

А ну всё конечно пусть всех прослушивают раз они такие молодцы Любители зондов , Аноним (15), 11:20 , 05-Июн-23, (14) +3

Для некоторых людей зонд, при условии достаточно глубокого введения, выполняет ф, Аноним (35), 12:25 , 05-Июн-23, (36) +4

стопиццот, Аноним (50), 13:58 , 05-Июн-23, (53)

Разрабы Астры показали PARSEC Неплохо, по-моему , Аноним (35), 12:15 , 05-Июн-23, (32) +1

Вспоминается гениальный разработчик Росы Андрюша Григорьев, доказывающий техдиру, n00by (ok), 12:42 , 05-Июн-23, (38)

Скрыто модератором, Аноним (-), 23:44 , 19-Мрт-24, (192)

А чем одна контора с названием из трёх букв лучше другой, с другим названием из , Аноним (50), 14:02 , 05-Июн-23, (55) –1

ну да пили бы баварское, йа йа натюрлих Крепитесь, заграница вам поможет Надею, anonymous (??), 14:52 , 05-Июн-23, (57) +3
Тем, что одна сертифицирована, а другая нет А в РФ реалиях сертификация дает пр, oditynet (?), 16:47 , 05-Июн-23, (74)

Ну это только в госсекторе и только для попила , Аноним (81), 19:41 , 05-Июн-23, (81)

И чо Я тоже хочу из г-на на курорт Тем более что в виду явного расцвета экономи, пох. (?), 15:46 , 06-Июн-23, (129)

Будьте осторожны в своих желаниях, однако , Аноним (149), 11:27 , 07-Июн-23, (159)

означает ли это, что в реалиях тех же сша или ведущих стран ес открыта возможнос, Бывалый смузихлёб (?), 19:42 , 05-Июн-23, (82) +1
Осталось понять, почему Windows XP сертификация не спасла , n00by (ok), 06:59 , 06-Июн-23, (106)

Ид иотии и конспирологии у анонимов не занимать SeLinux успешно помог предотвр, Аноним (47), 13:13 , 05-Июн-23, (47) +5

Ах, да, на Android ядро собирают без модулей - все built-in Ужасная уязвимость ч, Аноним (47), 13:14 , 05-Июн-23, (48) –1
А сколько помог взломать Об этом вам не расскажут Потому что, то взломы, кого , Аноним (50), 14:05 , 05-Июн-23, (56)

Это глухо они не понимают простых вещей У них есть только белое и черное И все, Аноним (41), 15:15 , 05-Июн-23, (62) +2

Иди хоть разок почитай что такое SELinux и как работает , Dima (??), 21:08 , 05-Июн-23, (87)

Поэтому они имеют право сами взламывать кого захотят, когда захотят Из тех кто , Аноним (41), 15:14 , 05-Июн-23, (61) +1
Пожалуй, поверю я вот этому Анониму, а не собственному опыту 111, n00by (ok), 16:12 , 05-Июн-23, (69)

Я бы пофиксил 2 Если удивляемся, смотри пункт 1 , Аноним (83), 19:50 , 05-Июн-23, (84)
Позволю себе обратить Ваше внимание, сэр, на тот факт, что SELinux был опубликов, Адмирал Майкл Роджерс (?), 21:59 , 05-Июн-23, (89)

Прошел Потом кривые targeted-правила подсунули , Иван Федорович Крузенштерн (?), 22:40 , 05-Июн-23, (96)

Формально эти правила подпадают под определение исходный код , n00by (ok), 07:07 , 06-Июн-23, (108)

Не соблаговолит ли достопочтенный сэр охарактеризовать действия находящихся в РФ, n00by (ok), 07:04 , 06-Июн-23, (107) +1

В данном случае я предпочёл бы воздержаться от каких-либо оценок , Адмирал Майкл Роджерс (?), 13:33 , 06-Июн-23, (125) +1

Новость ты прочитать не смог в силу того что не умеешь читать , Аноним (81), 09:30 , 06-Июн-23, (113) +1

Считаю уместным заметить, что я отвечал на комментарий мистера Анонима 1 3 , Адмирал Майкл Роджерс (?), 13:17 , 06-Июн-23, (124)

Уровень опеннета, как всегда пробил очередное днище То есть проблема не в конкре, пох. (?), 11:17 , 05-Июн-23, (11) –1

Так это ты не него зашел вот он и пробил Не заходи сюда больше , Аноним (15), 11:18 , 05-Июн-23, (13) +2
Although the policy wasn t nearly as strict as the standard policy that you migh, n00by (ok), 11:48 , 05-Июн-23, (23)

Да не этому бесполезно что-то доказывать Все всегда будет жить в мире розовых п, Аноним (15), 11:50 , 05-Июн-23, (24)

Поправочка, коричневых пони Он из failed state , Аноним (35), 12:20 , 05-Июн-23, (34) +1

ну очевидно что речь о стандартной targeted Которая действительно костыль, и пр, пох. (?), 12:03 , 05-Июн-23, (29)

Это как бы самый очевидный вектор атаки, и оставлен открытым Похоже, Андроид хо, n00by (ok), 12:09 , 05-Июн-23, (30)

как бы не самый очевидный Во-первых нужен рут Во вторых, собственно, и приехал, пох. (?), 13:36 , 05-Июн-23, (49)

И что из этого следуют Пусть оставляют уязвимость Или может хорошо что они спе, Аноним (81), 15:45 , 05-Июн-23, (65) +2

ничего не следует кроме того что ты не умеешь ни кодить ни хотя бы правила selin, пох. (?), 15:53 , 05-Июн-23, (66)

Состояние поха быстра деградирует , Аноним (81), 09:31 , 06-Июн-23, (114)

Когда рут нужен - его покупают у специально обученных людей Это уже следующий ш, n00by (ok), 16:20 , 05-Июн-23, (70) +2
Рут бывает разный Скажем lockdown ядра пытаются ограничивать в уроне для систем, Аноним (94), 22:19 , 05-Июн-23, (94) +2

Ничего существенного, ничего существенного, Карл пох ты неисправим , Аноним (41), 12:44 , 05-Июн-23, (39) +2
Yes, sir Major , Аноним (50), 16:25 , 05-Июн-23, (71)

Уже исправлено Касается всех 1 человек, которые нашли это , Аноним (47), 13:10 , 05-Июн-23, (46) +1

Всех сотрудников, которые использовали по назначению , Аноним (41), 15:10 , 05-Июн-23, (60)

То есть закрыв дверь на замок они тупо забыли закрыть окно которое тут же рядом , Kuromi (ok), 15:22 , 05-Июн-23, (63) +1

Они оставили для себя незакрепленную дощечку, про которую никто не знает, через , Аноним (41), 15:29 , 05-Июн-23, (64) +1
там нет двери Там лес с миллионом тропинок На некоторых стоит шлагбаум В наде, пох. (?), 15:55 , 05-Июн-23, (67) +1

Типа что исполнитель оставил для себя окошко в виде тропинок, это его как-то опр, Аноним (81), 16:49 , 05-Июн-23, (75) +2

Госсподи именно такие и оставляют пароль по умолчанию , или запуск БД без парол, 1 (??), 17:58 , 05-Июн-23, (77) –3

Пароля по умолчанию быть вообще не может Посмотри как сделаны нормальные продук, Аноним (81), 09:33 , 06-Июн-23, (115) +1

Они с церемониями повесили золоченый замок на парадную дверь Про еще пять двере, Аноним (94), 22:11 , 05-Июн-23, (92) +2

Напомнило мне забавный момент из Двух сорванных башен в переводие Гоблина , ког, Kuromi (ok), 22:46 , 05-Июн-23, (97) +1

Мне одному кажется, что SELinux - лютое ненужно , Аноним (78), 18:35 , 05-Июн-23, (78) –1

Ты от начала и до конца полностью прав , Аноним (81), 19:39 , 05-Июн-23, (80)
Потому что ты ни чего не знаешь про него, ни чего с ним не можешь настроить , Dima (??), 21:13 , 05-Июн-23, (88)

Возни с его настройкой - во, а потом атакующий вот так парой сисколов грузит код, Аноним (94), 22:13 , 05-Июн-23, (93)

Всё нужно Просто не всегда , Пряник (?), 16:15 , 09-Июн-23, (189)

Опять нужен рут, чтобы систему скомпрометировать Ну что ж ты будешь делать Комм, Аноним (98), 23:43 , 05-Июн-23, (98) +3

Тебе бы самому раздуплить отличия finit_module от init_module, а потом попроб, n00by (ok), 07:14 , 06-Июн-23, (109) –1

Ну естественно для того, чтобы взломать хосты опеннетных анонимов А нет, погоди, Аноним (98), 17:10 , 06-Июн-23, (131) +1

Раздупляю за тебя сискола два, а вектор атаки один Пиши не мне, а авторам прав, n00by (ok), 17:25 , 06-Июн-23, (133)

Ну вот один в strace засветился и был включён в полиси, а про другой писавший не, Аноним (98), 17:40 , 06-Июн-23, (135) +1

А, так ты юрист, консультирующий забесплатно по вопросам безопасности С этого и, n00by (ok), 06:31 , 07-Июн-23, (147)

это было смешно, пока их таких были десятки процентов на общем сравнительно прил, пох. (?), 09:16 , 06-Июн-23, (110) +1

Ты ни программировать не умеешь ни думать Поэтому ты и находишься там где наход, Аноним (81), 09:36 , 06-Июн-23, (116)
С твоей нелюбовью к е6анариуму я нахожу весьма странным, что ты не уплыл из него, Аноним (98), 17:29 , 06-Июн-23, (134)

я тоже Обычно эти люди вовремя голосовали за кого надо, неплохо отхватили жирны, пох. (?), 22:41 , 06-Июн-23, (139) +1

Инженер с одной фабрики по производству телевизоров и медсестра Его родители на, Аноним (98), 23:21 , 06-Июн-23, (141)

тоже неплохо- сейчас бы уже не получилось К сожалению, у меня никогда не было т, пох. (?), 23:37 , 06-Июн-23, (142)

Скрыто модератором, Аноним (-), 05:14 , 07-Июн-23, (146)

Скрыто модератором, пох. (?), 09:07 , 07-Июн-23, (151)

Скрыто модератором, Аноним (149), 10:42 , 07-Июн-23, (156)

Скрыто модератором, пох. (?), 20:26 , 07-Июн-23, (167)

Скрыто модератором, Аноним (180), 15:22 , 08-Июн-23, (179)

У автора RSBAC когда-то была статья, что все механизмы которые используют ядерны, Quad Romb (ok), 02:12 , 06-Июн-23, (101) +1

тем не менее - частенько оно - работает Потому что очень маловероятно что прокл, пох. (?), 09:19 , 06-Июн-23, (111)

Частенько работает Карл , Аноним (81), 09:37 , 06-Июн-23, (117) +1

Мне пару раз вполне себе помогло Причем первый раз оно вообще добыло рута в дол, пох. (?), 09:53 , 06-Июн-23, (119)

Запасной парашют, который частенько работает - крайне сомнительный по качеству т, Quad Romb (ok), 12:51 , 06-Июн-23, (122)

А стопроцентную безопасность никто не может гарантировать ИБ оно всё про менедж, Аноним (98), 18:11 , 06-Июн-23, (136)

Никто Надо бежать от того кто её гарантирует Но использовать систему безопасност, Quad Romb (ok), 18:32 , 06-Июн-23, (137)

он еще и погасить основной может, если не успеть его заблокировать, и в его стро, пох. (?), 23:39 , 06-Июн-23, (143)

Не так Желающих прыгать без надёжных запасок - мало Но, поскольку большинство не, Quad Romb (ok), 23:54 , 06-Июн-23, (144)

еще раз - парашутные запаски - ненадежны и могут вообще убить при совершенно нор, пох. (?), 09:16 , 07-Июн-23, (152)

Да вообще-то есть, виртуалки и контейнеры называется Эффект даже лучше - а долб, Аноним (149), 10:53 , 07-Июн-23, (158)

это где s in docker stands for security Ага, есть Жаль что придумано соверше, пох. (?), 16:54 , 07-Июн-23, (164)

Совершенно не обязательно использовать самое хайпожорское решение, есть и другие, Аноним (180), 11:39 , 08-Июн-23, (176) –1

Встретились два знатока У одного - мильен мест проверок CODE grep -Rc pris, Аноним (178), 12:32 , 08-Июн-23, (178)

Ну да, ну да, в теории бзды как бы неплохая штука На практике - гимора кусок и , Аноним (180), 15:51 , 08-Июн-23, (181)

Как же ты любишь пафосную и пустопорожнюю болтовню и спрыги с темы Отличный п, Аноним (178), 15:57 , 08-Июн-23, (182)
Рассказы фанов бсд про ОС мне напоминают посты с али про китайские ватты всегда, Аноним (149), 10:16 , 09-Июн-23, (184) –1
Сам опять что-то придумал, сам оспорил Как тетерев на току, ей-ей Умный и увер, Аноним (178), 10:56 , 09-Июн-23, (185)
А таки, пох деятельно иллюстрировал фу каким именно быть и почему Да и бсдюки з, Аноним (149), 13:05 , 09-Июн-23, (186) –1

Вы предпочли не приподнять свою шляпу, а наложить в неё Ну, оно, конечно негигие, Quad Romb (ok), 11:56 , 07-Июн-23, (160)

На большинстве систем можно сделать проще и эксплоит не нужен setenforce 0 mo, Аноним (118), 09:46 , 06-Июн-23, (118)

вот ты хакер, блин обрати внимание - автор суперэксплойта и про getenforce-то н, пох. (?), 10:00 , 06-Июн-23, (120)

Этот драйвер точно по дизайну грузит, или же эксплуатируют в нём уязвимость Про, n00by (ok), 17:17 , 06-Июн-23, (132)

точно То есть он подписанный и по крайней мере в каком там прошлом, видимо,, пох. (?), 22:50 , 06-Июн-23, (140) +1

Как conti нашли это драйвер Качали скриптом всё подряд с сайта-файлопомойки с д, n00by (ok), 06:50 , 07-Июн-23, (148)

может фича была в определенных кругах например пользователей того странного обо, пох. (?), 09:26 , 07-Июн-23, (153)

Заводики точно шифровали, а о мелких информация не расходится Не самоподписан В, n00by (ok), 09:59 , 07-Июн-23, (155)

на широко известном в узких кругах форуме один криптовымогатель написал, что взл, onanim (?), 13:54 , 07-Июн-23, (162)

С паролями и без этих ваших иксэксэсэв понятно, хотя данная формулировка скорее , n00by (ok), 15:27 , 07-Июн-23, (163)

что тут такого удивительного мировая практика , onanim (?), 09:09 , 08-Июн-23, (171)

В первой части - ничего Вторая ИМХО не входила в их планы, когда они подминали , n00by (ok), 10:46 , 08-Июн-23, (175)

ну вот ко мне лет двадцать назад такое запорхнуло Причем, с-ка, ни разу не test, пох. (?), 20:34 , 07-Июн-23, (168)

Ко мне тоже что-то недавно залетало, только пароли оно совсем не крякало Трахну, Аноним (149), 15:40 , 09-Июн-23, (187)

не Просто качай бинарник это чтоб ты мог из исходников сам собрать Но релизные, пох. (?), 16:59 , 07-Июн-23, (165)

Подписать могли бы, но зачем раскрывать сразу все карты Да и если моя версия ве, n00by (ok), 09:17 , 08-Июн-23, (172)
Если там по уму сделано, модуль выполняется в пространстве пользователя без каки, n00by (ok), 09:22 , 08-Июн-23, (173)

Ога, и как оказалось на своей мине можно самому же и - того, вот прям так https, Аноним (149), 09:07 , 07-Июн-23, (150)

а то бы ты быстро-быстро попатчил чужой драйвер сам Что-то вот сомневаюсь , пох. (?), 09:28 , 07-Июн-23, (154)

поглядывая на абсолютно аморальный патч ath9k, который я тебе не дам а напрасн, Аноним (149), 10:44 , 07-Июн-23, (157)

напоминаю - там драйвер виндовый, исходников тебе не дали были б у тебя исходни, пох. (?), 20:37 , 07-Июн-23, (169)

Ныне в драйверах могут и отладочный вывод оставить, сразу с именами функций , n00by (ok), 09:25 , 08-Июн-23, (174)
Ты так хорошо расписал почему я маздаем не пользуюсь, спасибо Как раз в том чис, Аноним (180), 11:50 , 08-Июн-23, (177)

Ага, ограничивать root - ловить муху в поле Удачки , Пряник (?), 16:14 , 09-Июн-23, (188)

Вообще lockdown что-то такое попытается И на каждую муху найдется свой дрон W л, Аноним (149), 18:24 , 10-Июн-23, (190)

Скрыто модератором, Аноним (-), 23:50 , 19-Мрт-24, (193)

Сообщения [Сортировка по времени | RSS]

1. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." –3 +/–

Сообщение от Аноним (1), 05-Июн-23, 10:32

не понял, а нахрена это через селинукс запрещать? у ядра давно уже есть blacklist и install $module /bin/false. А также в том же самом ядре есть возможность сделать так, чтобы новые модули нельзя было загружать без перезагрузки.

Ответить | Правка | Наверх | Cообщить модератору

4. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +4 +/–

Сообщение от n00by (ok), 05-Июн-23, 10:47

Предлагаете все возможные имена занести в blacklist?

Ответить | Правка | Наверх | Cообщить модератору

6. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +4 +/–

Сообщение от Аноним (1), 05-Июн-23, 10:57

зачем все возможные имена, если можно держать белый список разрешенных, а при изменении белого списка требовать рестарт?

Ответить | Правка | Наверх | Cообщить модератору

15. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." –2 +/–

Сообщение от Аноним (15), 05-Июн-23, 11:21

Зачем тогда нужны модули если всё можно вкомпилировать в ядро?

Ответить | Правка | Наверх | Cообщить модератору

17. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Аноним (1), 05-Июн-23, 11:35

потому что не у всех есть время/бюджет заниматься конфигурированием до компиляции и сопровождением всего этого при обновлении ядра.

Ответить | Правка | Наверх | Cообщить модератору

22. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Аноним (15), 05-Июн-23, 11:47

На белые листы время есть, а на сборку нет. Как-то небезопасненько.

Ответить | Правка | Наверх | Cообщить модератору

26. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +2 +/–

Сообщение от Аноним (1), 05-Июн-23, 11:54

ну давай, расскажи мне, как получить ядро, в котором есть только то, что нужно на этом конкретном железе и для таких-то конкретных задач, и как при этом потратить хотя бы (хотя бы!) в сто раз больше (больше!) времени, чем прописывание белого списка. Подсказываю: стартовым конфигом будет tinyconfig.

Ответить | Правка | Наверх | Cообщить модератору

40. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Аноним (40), 05-Июн-23, 12:46

Рассказываю по опыту генто@бства: полдня-день на систему на первую итерацию, при условии что в конфиге ядра ориентируешься хоть немного. Первая итерация означает как минимум загружается, делается быстро, если знаешь, что надо включить диски и фс под корень. Остальные несколько часов проверяешь нужные программы и ищешь, почему что отвалилось.
Совсем без опыта наверное ещё дольше, для меня такое слишком давно было, не помню.

Ответить | Правка | Наверх | Cообщить модератору

45. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (1), 05-Июн-23, 13:08

если стартуешь с дефолтного конфига - может быть так и есть, при этом не решается проблема того, что получим ядро с кучей лишнего. Правильный ответ начинается со слов "грузимся в максимально полное ядро и исследуем /sys на предмет того, какие устройства имеются, далее для каждого устройства задаем себе вопрос, нужно ли оно на самом деле, или оно здесь появилось просто потому, что мы загрузились в максимальное ядро, далее каким-то макаром находим, какой драйвер отвечает за устройство, по имени драйвера находим имя модуля, по имени модуля находим имя опции, по опции находим его зависимые опции" и так далее и так далее. По пути нужно изучить, как именно ядро грузит модули: по идентификаторам PCI (обычно частичные), по идентификаторам USB (обычно частичные), по всем остальным шинам аналогично. Также вооружаемся lkddb (обычно дает неполную инфу), вооружаемся $EDITOR и grep исследовать исходники ядра, вооружаемся полными спеками железа и проходим по каждому пункту каждого спека и врубаем специфичные опции. Это я не рассказал и 10% того, что касается железа, а ведь есть еще "софт" - не менее сложная тема, ибо если прога не находит для себя достаточные возможности ядра, она молча выходит или выдает негуглящееся сообщение. Это работа на полгода-год, а не на полдня-день.

Ответить | Правка | Наверх | Cообщить модератору

85. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от ivan_erohin (?), 05-Июн-23, 20:17

выше - краткое содержание чьей-то будущей книги "Как изнасиловать линукс и остаться в живых и на свободе".

Ответить | Правка | Наверх | Cообщить модератору

102. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 06-Июн-23, 06:38

После слов "вооружаемся ... grep исследовать исходники ядра" у меня появились сомнения, кто кого насилует.

Ответить | Правка | Наверх | Cообщить модератору

126. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от ivan_erohin (?), 06-Июн-23, 14:05

> После слов "вооружаемся ... grep исследовать исходники ядра" у меня появились сомнения,
> кто кого насилует.
года 4 назад я подбирал какой-то инструмент (не на go и не на rust)
для поиска по source tree, искал им в исходниках iMule несовместимости и их происхождение
для пересобрать под новый дебиан. но я забыл название. старость не радость.
но теоретически можно и грепом.

Ответить | Правка | Наверх | Cообщить модератору

130. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 06-Июн-23, 16:49

Хороший инструмент сначала прогоняет исходник через препроцессор, что бы развернуть макросы, а потом переводит результат в упрощённый аналог синтаксического дерева, что бы можно было быстро посмотреть граф вызовов (в Eclipce CDT он называется Call Hierarchy) и выполнять контекстный поиск. Исходники Linux по объёму в разы больше iMule, для некоторых строк grep выдаст массу лишнего (например, одноимённые функции для разных архетектур). Гипотетически, наверное, найти что-то можно и grep-ом, но даже простой переход к месту определению функции окажется существенно дольше.

Ответить | Правка | Наверх | Cообщить модератору

166. Скрыто модератором +/–

Сообщение от ivan_erohin (?), 07-Июн-23, 19:53

нашел: apt info ack
Eclipse жироноват и следовательно торомоз (inb4 время г-кодера стоит дороже).

Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору

170. Скрыто модератором +/–

Сообщение от n00by (ok), 08-Июн-23, 09:03

На исходниках Linux пока Eclipse лидирует - остальные, что смотрел, не сохраняют индекс и при повторном запуске заново молотят сорцы. Плюс в Eclipse можно задать макросами нужные архитектуры, он выполнит #ifdef и не будет смотреть лишнее. Source Insight быстрый, но не вполне по теме сайта.

Ответить | Правка | К родителю #166 | Наверх | Cообщить модератору

41. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." –1 +/–

Сообщение от Аноним (41), 05-Июн-23, 12:47

Если у тебя нет времени на безопасность зачем ей заниматься?

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

50. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." –1 +/–

Сообщение от Аноним (50), 05-Июн-23, 13:42

Внезапно, принели вам сетевушку. Было бы модулем, udev сам бы необхомый(е) модуль(ли) нашёл и загрузил. Но вам придётся самому копать, какой модуль для данного девайса нужон, и ядро из-за одного модуля пересобирать.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

86. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." –3 +/–

Сообщение от Атон (?), 05-Июн-23, 20:26

> Внезапно, принели вам сетевушку.
Каким олигофреном нужно быть, что бы без раздумий пихать внезапно принесенное железо в доверенный комп обрабатываюший чувствительную конфиденциальную информацию.

Ответить | Правка | Наверх | Cообщить модератору

121. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (121), 06-Июн-23, 11:33

> Каким олигофреном нужно быть, что бы...
Каким олигофреном нужно быть, чтобы так ответить на фразу "внезапно, принесли вам сетевушку". Вы, похоже, смогли представить только следующую картину: посреди тишины и благодати к Вам с улицы пришел какой-то неизвестный смурной мужик в шпионском плаще и протягивает вам со зловещей усмешкой какую-то непонятную железку непонятного производителя и непонятного назначения?

Ответить | Правка | Наверх | Cообщить модератору

123. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Атон (?), 06-Июн-23, 13:12

>> Каким олигофреном нужно быть, что бы...
> Каким олигофреном нужно быть, чтобы так ответить на фразу "внезапно, принесли вам
> сетевушку". Вы, похоже, смогли представить только следующую картину: посреди тишины и
> благодати к Вам с улицы пришел какой-то неизвестный смурной мужик в
> шпионском плаще и протягивает вам со зловещей усмешкой какую-то непонятную железку
> непонятного производителя и непонятного назначения?
Представьте нам свою картину мира, в которой будет объяснена внезапность появления сетевушки хотя бы даже рядом с SElinux.  Скажем метрах в трёх.

Ответить | Правка | Наверх | Cообщить модератору

127. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от BeLord (ok), 06-Июн-23, 14:06

Чего там объяснять - диверсия-)))

Ответить | Правка | Наверх | Cообщить модератору

128. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Атон (?), 06-Июн-23, 14:54

> Чего там объяснять - диверсия-)))
Главный диверсант - HR принявший на работу техником mentality disabled персону, которое, внезапно завидев сетевушку, начинает впихивать её во все отверстия, серверу.

Ответить | Правка | Наверх | Cообщить модератору

28. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от n00by (ok), 05-Июн-23, 12:02

А буфер памяти куда вписать?

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

51. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (50), 05-Июн-23, 13:45

В пространство процесса, взявшего на себя обязанность загружать модули. Потом натравить системый вызов на этот буфер. Процес этот, конечно, должен соответствующими правами обладать.

Ответить | Правка | Наверх | Cообщить модератору

68. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 05-Июн-23, 16:07

В адресное пространство каждого процесса, взявшего на себя обязанность загружать модули? А кто будет внедрять данные в пространство произвольного процесса, и что дальше с этими данными делать?

Ответить | Правка | Наверх | Cообщить модератору

72. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (50), 05-Июн-23, 16:28

Системный вызов в пространство ядра скопирует, оформит уже как структуры модуля.

Ответить | Правка | Наверх | Cообщить модератору

103. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 06-Июн-23, 06:43

Всё это сделает и загрузит драйвер? Так задача прямо противоположная - не пускать какой попало драйвер в ядро.

Ответить | Правка | Наверх | Cообщить модератору

99. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (-), 06-Июн-23, 01:16

> В адресное пространство каждого процесса, взявшего на себя обязанность загружать модули?
Нуб, ты чего? Это работает так: читаешь файл с диска, грузишь модуль в память, ну и натравливаешь вон тот ядерный сискол на свой буфер -> модуль попадает в ядро, если это получилось. Хотел ли это изначально вообще процесс, или это эксплойт какой, или специальная хакерская прога - да в общем то возможны разные варианты. И то что САБЖ этот механизм пролюбил это полное ололо для wannabe-улучшителя безопасности в системе.
Правда как мне кажется SELINUX делался в основном потому что в таком топике как "информационная безопасность" - бывают, внезапно, характерные регламенты. О чем догадываются все у кого например был предмет "информационная безопасность", ну там в вузе, или по своему интересу. И если там написано "трава должна быть зеленой, а контроль доступа мандатным" - ну, вот вам банка с краской, а вот SELINUX, извольте. У официалов информационная безопасность достаточно бюрократизированный топик. А compliance не пустой звук в т.ч. и у амеров. Ну вот оно кажись больше инструмент комплайнса чем реальной защиты.

Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

104. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 06-Июн-23, 06:53

>> В адресное пространство каждого процесса, взявшего на себя обязанность загружать модули?
> Нуб, ты чего? Это работает так: читаешь файл с диска, грузишь модуль
> в память, ну и натравливаешь вон тот ядерный сискол на свой
> буфер -> модуль попадает в ядро, если это получилось. Хотел ли
> это изначально вообще процесс, или это эксплойт какой, или специальная хакерская
> прога - да в общем то возможны разные варианты. И то
> что САБЖ этот механизм пролюбил это полное ололо для wannabe-улучшителя безопасности
> в системе.
Так а как ещё ему объяснить, что по условию задачи модуль попадать в ядро не должен?
> Правда как мне кажется SELINUX делался в основном потому что в таком
> топике как "информационная безопасность" - бывают, внезапно, характерные регламенты.
> О чем догадываются все у кого например был предмет "информационная безопасность",
> ну там в вузе, или по своему интересу. И если там
> написано "трава должна быть зеленой, а контроль доступа мандатным" - ну,
> вот вам банка с краской, а вот SELINUX, извольте. У официалов
> информационная безопасность достаточно бюрократизированный топик. А compliance не пустой
> звук в т.ч. и у амеров. Ну вот оно кажись больше
> инструмент комплайнса чем реальной защиты.
То есть в ТЗ в одном из пунктов указали "запретить загрузку модулей". Исполнитель это прочёл, для одного случая создал правило, а потом пошёл пить кофе и забыл? И за ним никто не проверил? :)

Ответить | Правка | Наверх | Cообщить модератору

145. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (-), 07-Июн-23, 04:01

> Так а как ещё ему объяснить, что по условию задачи модуль попадать
> в ядро не должен?
В принципе и другие способы запрета этого есть, если оно реально надо. А забавно тут то что SElinux проявил несколько менее паранои в части Systems SEcurity чем от секурити-экспертов ожидается.
Для лично себя - я не запрещаю вгруз модулей, но там FORCE на проверку подписей и вот именно лично мой ключ. У меня то он есть. Хорошо когда система работает на меня. А если у вон тех нету, они и пролетают, соответственно.
Если хочется пожестче, есть /proc/sys/kernel/modules_disabled - если записать туда 1, загрузка новых модулей отвалится до ребута. При этом после старта системы когда все взлетело, можно быренько это дело врубать - обувая атакующих на это дело вообще. В цать раз проще SELinux и более эффективно. Но может потребовать ребут потом если нечто новое все же потребовалось.
А совсем злобный вариант - собрать ядро без поддержки модулей. Но это неудобно. Однако давно известно что чем удобнее тем хуже безопасность.
> То есть в ТЗ в одном из пунктов указали "запретить загрузку модулей".
Видимо да, иначе не понятно в чем прикол отрубить хвост именно наполовину.
> Исполнитель это прочёл, для одного случая создал правило, а потом пошёл
> пить кофе и забыл? И за ним никто не проверил? :)
А кто его знает. После юного д@лб@"№а сливающего секретные доки в дискорд я ничему такому не удивлюсь.
p.s. и кстати из-за непоседы Кента и его ФС как-то попало под внимание... то что модули априори нарушают W^X: это by design новые аллокации, выполняющие код. А кроме этого есть еще не менее 3 сценариев когда хотят динамически сгенерить код. И вот кент еще - для перфоманса файлухи.
В результате из-за Кента досталось и mm, и блокировкам (locks) и чему-то еще, например: https://lore.kernel.org/lkml/ZH0EseWI9F1n9yJx@moria.hom.../ - на правах хинта шишкину и ко как оно на самом деле надо было, если в майнлайн хочется. И в результате дискуссий, на самом деле, половина работы было спихана на айбиэмщика, еще кого-то и проч. А Кент приближается к желаемым точкам в своем квесте.

Ответить | Правка | Наверх | Cообщить модератору

20. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +2 +/–

Сообщение от onanim (?), 05-Июн-23, 11:44

скорее включить lsm=lockdown и установить https://github.com/lkrg-org/lkrg

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

Часть нити удалена модератором

52. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (50), 05-Июн-23, 13:47

Особенно, когда с кем-то по сети играешь, далеко-далеко так ;)

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

161. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от onanim (?), 07-Июн-23, 13:46

> Часть нити удалена модератором
> В шахматах не подсказывают , !*! n00by (ok), 11:58 , 05-Июн-23 (27)
> УДАЛЕНО.Отмодерировано: mc, Время: Mon Jun 5 15:48:11 2023
на опеннете запрещено упоминание шахмат? лолшто?

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

180. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (180), 08-Июн-23, 15:41

man оффтопик, вероятно... вот вы наглые стали, еще и возмущаетесь что совсем уж офтоп потерли

Ответить | Правка | Наверх | Cообщить модератору

183. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 09-Июн-23, 05:43

Это было как раз по теме исходного сообщения. Его автор несколько плавал в вопросе, я начал задавать наводящие, что бы тот подумал. А onanim взял и сразу написал правильный овтет. ;(

Ответить | Правка | Наверх | Cообщить модератору

83. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Аноним (83), 05-Июн-23, 19:46

Эпичный фейл однако.
> blacklist
Так загрузка идет помимо insmod

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

112. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 06-Июн-23, 09:21

типичный опеннет, однако. Не пойму одного, почему еще тотальный кабздец инфраструктуры в РФ не наступил окончательно. Правда, каждый день где-то что-то горит, но это пока еще, по-моему, не оно.

Ответить | Правка | Наверх | Cообщить модератору

149. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (149), 07-Июн-23, 09:00

> типичный опеннет, однако. Не пойму одного, почему еще тотальный кабздец инфраструктуры
(голосом оптимиста из анекдота про хуже уже не будет) coming soon!

Ответить | Правка | Наверх | Cообщить модератору

2. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +4 +/–

Сообщение от n00by (ok), 05-Июн-23, 10:45

> При этом правила SELinux не рассматривали системный вызов init_module,
> который также может применяться для загрузки модулей ядра
> напрямую из буфера в памяти.
Ну правильно, драйвер руткита как раз из памяти удобнее стартовать. При сохранении на ФС его чего доброго обнаружит антивирус (который в Линукс вообще не нужен, но не все слушают экспертов).

Ответить | Правка | Наверх | Cообщить модератору

5. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +3 +/–

Сообщение от Аноним (5), 05-Июн-23, 10:48

Настоящий антивирус, а не тот которого нет. Оперативную память тоже сканирует. Но опять же в чьих интересах и что он сканирует это прям очень большой вопрос.

Ответить | Правка | Наверх | Cообщить модератору

16. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 05-Июн-23, 11:32

Файл с драйвером перед запуском придётся расшифровать. Плюс сам факт его появления уже звоночек для эвристика. А просканировать память... в какой момент антивирус это сделает?

Ответить | Правка | Наверх | Cообщить модератору

21. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." –1 +/–

Сообщение от Аноним (15), 05-Июн-23, 11:46

Если он не отловит момент загрузки модуля то по расписанию. И будет вирус пойманный в конечно счете.

Ответить | Правка | Наверх | Cообщить модератору

25. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +2 +/–

Сообщение от n00by (ok), 05-Июн-23, 11:52

Руткитом называют такую шутку, задача которой скрыть своё присутствие в системе. Для чего драйвер например перехватывает системные вызовы и фильтрует возвращаемые данные. Антивирус при активном рутките видит вместо вируса фигу. Если пропустил запуск модуля, уже поздно сканировать память.

Ответить | Правка | Наверх | Cообщить модератору

35. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (35), 05-Июн-23, 12:22

При условии, что руткит покроет 100% потенциальных путей обнаружения. Что не факт.
Собственно, тут та же проблема, что и с защитой системы - все возможные пути обнаружить малореально.

Ответить | Правка | Наверх | Cообщить модератору

37. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 05-Июн-23, 12:39

Чукча и геолог собирают камушки на берегу океана. Вдруг видят
направляющегося к ним голодного белого медведя. Ружья нет.
Чукча хватает лыжи и начинает их надевать. Геолог:
- Бесполезно. Все равно ты не сможешь бежать быстрее медведя.
- А мне и не надо бежать быстрее медведя. Мне надо бежать
быстрее тебя!
Мораль сей басни такова - автор протестирует своё творение совместно с антивирусами, а у другой стороны такой возможности нет, пока не поймают образец.

Ответить | Правка | Наверх | Cообщить модератору

191. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Tester (??), 15-Июн-23, 13:35

ты нам пытаешься объяснить что чукча умнее геолога?

Ответить | Правка | Наверх | Cообщить модератору

42. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 05-Июн-23, 12:55

Микрософт решила вопрос с руткитами следующим образом:
Придумали PatchGuard.
Через некоторое время PatchGuard разобрали и обошли.
Вышла следующая версия PatchGuard.
Опять разобрали.
И так далее.
В такой схеме Микрософт заведомо оказывается на шаг впереди, следующую версию они могут подготовить заранее и обновиться оперативно. У атакующих этой возможности нет, пока будут разбирать новую версию, боты помрут. Держится всё это на закрытости кода и обфускации PG. Для остальных мы включаем балладу «Я свободен!»

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

43. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 05-Июн-23, 12:58

> включаем балладу «Я свободен!»
https://youtu.be/7iez8N_6i4I

Ответить | Правка | Наверх | Cообщить модератору

100. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (-), 06-Июн-23, 01:22

> В такой схеме Микрософт заведомо оказывается на шаг впереди, следующую версию они
> могут подготовить заранее и обновиться оперативно.
Зато они апдейты по вторникам грузят. Как будто хакеры целый месяц ждать будут. Некоторые даже специально релизили сплойты в среду, чтобы почти месяц был :)))
А так - безопасность это процесс, а не результат.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

3. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +8 +/–

Сообщение от Аноним (5), 05-Июн-23, 10:46

1) Заходим в википедию и смотрим кто изначальный разработчик SELinux
2) Не удивляемся.

Ответить | Правка | Наверх | Cообщить модератору

7. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +2 +/–

Сообщение от Аноним (7), 05-Июн-23, 11:01

Покажи как нужно было сделать. Создай свой аналог и поделись им с нами. Посмотрим как с этим справишься)

Ответить | Правка | Наверх | Cообщить модератору

9. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." –1 +/–

Сообщение от Аноним (9), 05-Июн-23, 11:07

apparmor же

Ответить | Правка | Наверх | Cообщить модератору

10. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (10), 05-Июн-23, 11:17

Ты задумывайся , когда копипастишь в ответы.

Ответить | Правка | Наверх | Cообщить модератору

14. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +3 +/–

Сообщение от Аноним (15), 05-Июн-23, 11:20

А ну всё конечно пусть всех прослушивают раз они такие молодцы. Любители зондов типа тебя подтянутся ещё.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

36. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +4 +/–

Сообщение от Аноним (35), 05-Июн-23, 12:25

Для некоторых людей зонд, при условии достаточно глубокого введения, выполняет функцию внутреннего стержня.

Ответить | Правка | Наверх | Cообщить модератору

53. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (50), 05-Июн-23, 13:58

+стопиццот

Ответить | Правка | Наверх | Cообщить модератору

32. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Аноним (35), 05-Июн-23, 12:15

> Покажи как нужно было сделать.
Разрабы Астры показали (PARSEC). Неплохо, по-моему.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

38. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 05-Июн-23, 12:42

Вспоминается гениальный разработчик Росы Андрюша Григорьев, доказывающий техдиру Астры, что PARSEC фуфло, ему хватит и SELinux.

Ответить | Правка | Наверх | Cообщить модератору

192. Скрыто модератором +/–

Сообщение от Аноним (-), 19-Мрт-24, 23:44

Хотя SELinux в Роса Линукс всё равно не работает.

Ответить | Правка | Наверх | Cообщить модератору

55. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." –1 +/–

Сообщение от Аноним (50), 05-Июн-23, 14:02

А чем одна контора с названием из трёх букв лучше другой, с другим названием из трёх букв?

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

57. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +3 +/–

Сообщение от anonymous (??), 05-Июн-23, 14:52

ну да пили бы баварское, йа йа натюрлих. Крепитесь, заграница вам поможет. Надеюсь вас автоматом этот СОРМ в соответствующий список заносит после таких вбросов.

Ответить | Правка | Наверх | Cообщить модератору

74. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от oditynet (?), 05-Июн-23, 16:47

Тем, что одна сертифицирована, а другая нет. А в РФ реалиях сертификация дает право жизни одному дистру,а другой останется посредственным

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

81. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (81), 05-Июн-23, 19:41

Ну это только в госсекторе и только для попила.

Ответить | Правка | Наверх | Cообщить модератору

129. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 06-Июн-23, 15:46

И чо? Я тоже хочу из г-на на курорт!
Тем более что в виду явного расцвета экономики - других шансов озолотиться кроме попилов и не предвидится.

Ответить | Правка | Наверх | Cообщить модератору

159. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (149), 07-Июн-23, 11:27

> И чо? Я тоже хочу из г-на на курорт!
Будьте осторожны в своих желаниях, однако...

Ответить | Правка | Наверх | Cообщить модератору

82. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Бывалый смузихлёб (?), 05-Июн-23, 19:42

означает ли это, что в реалиях тех же сша или ведущих стран ес открыта возможность любому желающему поставить любое не сертифицированное хз что на ключевых объектах как ВПК, так и производства ?

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

106. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 06-Июн-23, 06:59

Осталось понять, почему Windows XP сертификация не спасла.

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

47. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +5 +/–

Сообщение от Аноним (47), 05-Июн-23, 13:13

Ид иотии и конспирологии у анонимов не занимать.
* SeLinux успешно помог предотвратить взлом системы для тысяч уязвимостей различных программ.
* Разрабы SeLinux - то же люди.
* Это не похоже на back door ни одним местом.
Тучу upvotes для этого - показатель уровня интеллекта посетителей opennet. Печальная картина.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

48. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." –1 +/–

Сообщение от Аноним (47), 05-Июн-23, 13:14

Ах, да, на Android ядро собирают без модулей - все built-in.
Ужасная уязвимость что сказать.

Ответить | Правка | Наверх | Cообщить модератору

56. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (50), 05-Июн-23, 14:05

А сколько помог взломать? Об этом вам не расскажут. Потому что, то взломы, кого надо взломы.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

62. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +2 +/–

Сообщение от Аноним (41), 05-Июн-23, 15:15

Это глухо они не понимают простых вещей. У них есть только белое и черное. И все, действия белого по дефолту хорошие, а черного по дефолту плохие. Никакой анализ проводится не может это мыслепреступление.

Ответить | Правка | Наверх | Cообщить модератору

87. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Dima (??), 05-Июн-23, 21:08

Иди хоть разок почитай что такое SELinux и как работает.

Ответить | Правка | Наверх | Cообщить модератору

61. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Аноним (41), 05-Июн-23, 15:14

Поэтому они имеют право сами взламывать кого захотят, когда захотят? Из тех кто использует SELinux, а это примерно все.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

69. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 05-Июн-23, 16:12

> * Это не похоже на back door ни одним местом.
Пожалуй, поверю я вот этому Анониму, а не собственному опыту!!!111

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

84. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (83), 05-Июн-23, 19:50

> 2) Не удивляемся.
Я бы пофиксил:
2) Если удивляемся, смотри пункт 1.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

89. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Адмирал Майкл Роджерс (?), 05-Июн-23, 21:59

Позволю себе обратить Ваше внимание, сэр, на тот факт, что SELinux был опубликован в виде исходных кодов и прошёл все необходимые проверки перед включением в состав ядра Linux.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

96. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Иван Федорович Крузенштерн (?), 05-Июн-23, 22:40

Прошел. Потом кривые targeted-правила подсунули.

Ответить | Правка | Наверх | Cообщить модератору

108. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 06-Июн-23, 07:07

Формально эти правила подпадают под определение "исходный код".

Ответить | Правка | Наверх | Cообщить модератору

107. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от n00by (ok), 06-Июн-23, 07:04

Не соблаговолит ли достопочтенный сэр охарактеризовать действия находящихся в РФ агентов по продажам вышеупомянутых исходных кодов?

Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

125. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Адмирал Майкл Роджерс (?), 06-Июн-23, 13:33

В данном случае я предпочёл бы воздержаться от каких-либо оценок.

Ответить | Правка | Наверх | Cообщить модератору

113. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Аноним (81), 06-Июн-23, 09:30

Новость ты прочитать не смог в силу того что не умеешь читать?

Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

124. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Адмирал Майкл Роджерс (?), 06-Июн-23, 13:17

Считаю уместным заметить, что я отвечал на комментарий мистера Анонима #1.3.

Ответить | Правка | Наверх | Cообщить модератору

11. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." –1 +/–

Сообщение от пох. (?), 05-Июн-23, 11:17

Уровень опеннета, как всегда пробил очередное днище.
То есть проблема не в конкретном правиле конкретного набора, а якобы в selinux?
Уровень самого "исследователя" судя по его копипастам примерно тот же.

Ответить | Правка | Наверх | Cообщить модератору

13. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +2 +/–

Сообщение от Аноним (15), 05-Июн-23, 11:18

Так это ты не него зашел вот он и пробил. Не заходи сюда больше.

Ответить | Правка | Наверх | Cообщить модератору

23. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 05-Июн-23, 11:48

Although the policy wasn't nearly as strict as the standard policy that you might find on a typical Android device, it was strict enough to prevent me from doing a lot of useful things (e.g., mounting filesystems and accessing files in /etc/).

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

24. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (15), 05-Июн-23, 11:50

Да не этому бесполезно что-то доказывать. Все всегда будет жить в мире розовых пони.

Ответить | Правка | Наверх | Cообщить модератору

34. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Аноним (35), 05-Июн-23, 12:20

Поправочка, коричневых пони. Он из failed state.

Ответить | Правка | Наверх | Cообщить модератору

29. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 05-Июн-23, 12:03

ну очевидно что речь о стандартной targeted. Которая действительно костыль, и прикрывает только от большинства тривиальных (но от этого не менее реальных) проблем, а не  всего что можно придумать.

Т.е. правильный заголовок новости - "недостаточный фильтр системных вызов selinux-targeted" и более ничего существенного.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

30. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 05-Июн-23, 12:09

Это как бы самый очевидный вектор атаки, и оставлен открытым. Похоже, Андроид хотел рутануть, вот и нашёл случайно. А куда смотрел Тысячеглаз?

Ответить | Правка | Наверх | Cообщить модератору

49. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 05-Июн-23, 13:36

> Это как бы самый очевидный вектор атаки, и оставлен открытым.
как бы не самый очевидный. Во-первых нужен рут. Во вторых, собственно, и приехали.
Можно уже никакие модули никуда не грузить.
> А куда смотрел Тысячеглаз?
targeted policy - это _набор_затычек_. Бесконечный. Вот он посмотрел и еще одну добавил - в комплект к предыдущим статыщам. Еще одну странную ситуацию (которая вообще-то вряд ли возникнет в реальности) закрыли.

Ответить | Правка | Наверх | Cообщить модератору

65. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +2 +/–

Сообщение от Аноним (81), 05-Июн-23, 15:45

И что из этого следуют? Пусть оставляют уязвимость? Или может хорошо что они специально сделали такой дизайн программного продукта, чтобы было удобнее подсаживают троянов это типа хорошо? У тебя давно с головой не лады, но твоё состояния явно ухудшается.

Ответить | Правка | Наверх | Cообщить модератору

66. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 05-Июн-23, 15:53

> И что из этого следуют? Пусть оставляют уязвимость?
ничего не следует кроме того что ты не умеешь ни кодить ни хотя бы правила selinux читать.
Тот кто умел - исправил то что ему показалось важным.
> Или может хорошо что они специально сделали
иди голову лечи.

Ответить | Правка | Наверх | Cообщить модератору

114. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (81), 06-Июн-23, 09:31

Состояние поха быстра деградирует.

Ответить | Правка | Наверх | Cообщить модератору

70. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +2 +/–

Сообщение от n00by (ok), 05-Июн-23, 16:20

>> Это как бы самый очевидный вектор атаки, и оставлен открытым.
> как бы не самый очевидный. Во-первых нужен рут. Во вторых, собственно, и
> приехали.
Когда рут нужен - его покупают у специально обученных людей. Это уже следующий шаг, закрепление в системе.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

94. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +2 +/–

Сообщение от Аноним (94), 05-Июн-23, 22:19

> как бы не самый очевидный. Во-первых нужен рут.
Рут бывает разный. Скажем lockdown ядра пытаются ограничивать в уроне для системы и его. И возможность грузить ядерный код там может быть и не в тему.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

39. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +2 +/–

Сообщение от Аноним (41), 05-Июн-23, 12:44

Ничего существенного, ничего существенного, Карл!
пох ты неисправим.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

71. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (50), 05-Июн-23, 16:25

>Т.е. правильный заголовок новости - "недостаточный фильтр системных вызов selinux-targeted" и более ничего существенного.
Yes, sir Major!

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

46. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Аноним (47), 05-Июн-23, 13:10

Уже исправлено.
Касается всех 1 человек, которые нашли это.

Ответить | Правка | Наверх | Cообщить модератору

60. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (41), 05-Июн-23, 15:10

Всех сотрудников, которые использовали по назначению.

Ответить | Правка | Наверх | Cообщить модератору

63. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Kuromi (ok), 05-Июн-23, 15:22

То есть закрыв дверь на замок они тупо забыли закрыть окно которое тут же рядом?

Ответить | Правка | Наверх | Cообщить модератору

64. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Аноним (41), 05-Июн-23, 15:29

Они оставили для себя незакрепленную дощечку, про которую никто не знает, через которую, если что, можно просунуть руку и открыть замок.

Ответить | Правка | Наверх | Cообщить модератору

67. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от пох. (?), 05-Июн-23, 15:55

> То есть закрыв дверь на замок они тупо забыли закрыть окно которое
> тут же рядом?
там нет двери. Там лес с миллионом тропинок. На некоторых стоит шлагбаум. В надежде что т-пые упрутся в него и дальше не пройдут.
В принципе - помогает.
Потому что вы именно такие и есть.
Знать о том что targeted policy не единственно возможная вам незачем.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

75. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +2 +/–

Сообщение от Аноним (81), 05-Июн-23, 16:49

Типа что исполнитель оставил для себя окошко в виде тропинок, это его как-то оправдывает? Зачем ты эту чушь пишешь, объясни?

Ответить | Правка | Наверх | Cообщить модератору

77. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." –3 +/–

Сообщение от 1 (??), 05-Июн-23, 17:58

Госсподи именно такие и оставляют "пароль по умолчанию", или запуск БД без пароля вообще.
А виноват в этом да, разработчик.

Ответить | Правка | Наверх | Cообщить модератору

115. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Аноним (81), 06-Июн-23, 09:33

Пароля по умолчанию быть вообще не может. Посмотри как сделаны нормальные продукт ты или его или сам создаёшь или никакой возможности войти у тебя нет.

Ответить | Правка | Наверх | Cообщить модератору

92. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +2 +/–

Сообщение от Аноним (94), 05-Июн-23, 22:11

> То есть закрыв дверь на замок они тупо забыли закрыть окно которое тут же рядом?
Они с церемониями повесили золоченый замок на парадную дверь. Про еще пять дверей в этом же доме они благополучно забыли, увлекшись церемонией и расписыванием свойств шикарного замка. Пришел хаксор, почесал репу глядя на замок, рещил что за болторезом ему бегать и то лениво - просто зашел в боковую дверь. В которой вообще никакого замка не было. Ну вот не предусматривали его при строительстве дома там. Этим хаксор от церемониалов с протоколами из анб и отличался.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

97. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Kuromi (ok), 05-Июн-23, 22:46

>> То есть закрыв дверь на замок они тупо забыли закрыть окно которое тут же рядом?
> Они с церемониями повесили золоченый замок на парадную дверь. Про еще пять
> дверей в этом же доме они благополучно забыли, увлекшись церемонией и
> расписыванием свойств шикарного замка. Пришел хаксор, почесал репу глядя на замок,
> рещил что за болторезом ему бегать и то лениво - просто
> зашел в боковую дверь. В которой вообще никакого замка не было.
> Ну вот не предусматривали его при строительстве дома там. Этим хаксор
> от церемониалов с протоколами из анб и отличался.
Напомнило мне забавный момент из Двух сорванных башен (в переводие Гоблина), когда орки атакуют крепость, но дломятся исключительно в укрепленный главный вход. Гимли с Арагорном тихонько выходят в незащищенную никак боковую дверь и Гимли спрашивает Арагорна, "Ара, а поцчему они ломятся в ту двер, а в эту - нед?". Арагорн отвечает, "А потому что там Вход, а здесь Выход".

Ответить | Правка | Наверх | Cообщить модератору

78. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." –1 +/–

Сообщение от Аноним (78), 05-Июн-23, 18:35

Мне одному кажется, что SELinux - лютое ненужно.

Ответить | Правка | Наверх | Cообщить модератору

80. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (81), 05-Июн-23, 19:39

Ты от начала и до конца полностью прав.

Ответить | Правка | Наверх | Cообщить модератору

88. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Dima (??), 05-Июн-23, 21:13

Потому что ты ни чего не знаешь про него, ни чего с ним не можешь настроить?

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

93. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (94), 05-Июн-23, 22:13

Возни с его настройкой - во, а потом атакующий вот так парой сисколов грузит код в ядро. Ну и зачем такие соотношения надо?! Сложно должно быть атакующим а не админам, имхо.

Ответить | Правка | Наверх | Cообщить модератору

189. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Пряник (?), 09-Июн-23, 16:15

Всё нужно. Просто не всегда.

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

98. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +3 +/–

Сообщение от Аноним (98), 05-Июн-23, 23:43

Опять нужен рут, чтобы систему скомпрометировать. Ну что ж ты будешь делать!
Комментаторы, не раздупляющие ни что такое targeted набор правил, ни принципы работы SELinux, но в голос верещащие про бэкдоры особенно смешат. Опеннет — мой любимый комедийный ресурс.

Ответить | Правка | Наверх | Cообщить модератору

109. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." –1 +/–

Сообщение от n00by (ok), 06-Июн-23, 07:14

Тебе бы самому "раздуплить" отличия  finit_module от init_module, а потом попробовать подумать, зачем одно закрыли, а другое нет.

Ответить | Правка | Наверх | Cообщить модератору

131. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Аноним (98), 06-Июн-23, 17:10

Ну естественно для того, чтобы взломать хосты опеннетных анонимов. А нет, погодите, опеннетные анонимы про SELinux знают только setenforce 0 и echo "SELINUX=disabled" > /etc/sysconfig/selinux. Значит чтобы взломать злобные корпорации. А нет, погодите, злобыне корпорации и сами всё сливают в NSA, потому что они злобные. Стало быть чтобы взломать самих себя. Да. NSA — они такие, сами себе уши отморозят назло всем, чтобы все боялись. Мысль о том, что писавшие targeted полиси проморгали этот и ещё массу других способов нагнуть ядро мы думать не будем. Слишком просто и нет заговора. Нам такое на опеннете не подходит.

Ответить | Правка | Наверх | Cообщить модератору

133. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 06-Июн-23, 17:25

Раздупляю за тебя: сискола два, а вектор атаки один. Пиши не мне, а авторам правил, пусть откроют закрытый правилами шлюз - ты так хорошо объясняешь, почему это лишнее.

Ответить | Правка | Наверх | Cообщить модератору

135. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Аноним (98), 06-Июн-23, 17:40

Ну вот один в strace засветился и был включён в полиси, а про другой писавший не знал. Какая печаль, подай на него в суд.

Ответить | Правка | Наверх | Cообщить модератору

147. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 07-Июн-23, 06:31

> подай на него в суд.
А, так ты юрист, консультирующий забесплатно по вопросам безопасности. С этого и начинал бы свою проекцию о спосбностях "раздуплять".

Ответить | Правка | Наверх | Cообщить модератору

110. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от пох. (?), 06-Июн-23, 09:16

это было смешно, пока их таких были десятки процентов на общем сравнительно приличном интеллектуальном фоне.
Сейчас, глядя на этот е6анариум истово верующих в происки проклятой NSA - хочется только съ...ся от свихнувшейся страны куда подальше.
А кто уже - вымарать из резюме все упоминания о ней. Потому что потенциальные коллеги именно таким е6анашкой и будут тебя воспринимать, и наймут индуса. Лучше уж пусть думают что ты джун с "трогательным несоответствием набора скиллов прошлому опыту", чем подозревают что ты один из отключателей обновлений винды сразу после установки (а то там проклятая NSA!)
P.S. но обрати внимание - автор исходной статьи тоже ничего не слышал ни про targeted, ни про то как это вообще работает (см. как он "проверяет" что у него selinux вообще есть). Т.е. идиотизм и повсеместная некомпетентность - они, увы, распространяются по планете.

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

116. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (81), 06-Июн-23, 09:36

Ты ни программировать не умеешь ни думать. Поэтому ты и находишься там где находишься, а не в нормальном месте. Собственно так тебе и надо.

Ответить | Правка | Наверх | Cообщить модератору

134. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (98), 06-Июн-23, 17:29

С твоей нелюбовью к е6анариуму я нахожу весьма странным, что ты не уплыл из него первым же пароходом. И не надо опять заливать про собак, я лично знаком с людьми вывезшими на другой континент весь свой персональный зоопарк — собак, кошек, хомяков и канареек, — вместе с детьми и престарелыми родителями.
А то, что тебе кажется, мол, идиотизм и повсеместная некомпетентность распространяются по планете, так это старческое брюзжание. Средний уровень интеллекта на планете растёт с тех самых пор, как его придумали мерять. Неравномерно, нелинейно, не везде, но неуклонно. Поэтому скорее всего проблема как раз в тебе: ты не понимаешь почему так, а не иначе и как результат всё вокруг кажется тупым. И это нормальный ход жизни, мы стареем, слабеем телом, духом и разумом, и в какой-то момент нам пора на покой, растить помидоры в удовольствие и баловать внуков. Долго тебе до пенсии осталось-то?

Ответить | Правка | К родителю #110 | Наверх | Cообщить модератору

139. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от пох. (?), 06-Июн-23, 22:41

> И не надо опять заливать про собак, я лично знаком с людьми вывезшими на другой континент весь
> свой персональный зоопарк — собак, кошек, хомяков и канареек
я тоже. Обычно эти люди вовремя голосовали за кого надо, неплохо отхватили жирных кусков, своевременно их вывели куда подальше и теперь намерены не скучать и кстати "к сожалению в настоящее время мы не можем принимать оплату от российских пользователей" (и ведь этот был еще из лучших, действительно одна из самых светлых голов в бывшероссийском IT...)
А у меня, увы, престарелых родителей не осталось, самому пенсия не положена, а собак надо кормить и лечить, поэтому я остаюсь там где мне платят зарплату.
> Долго тебе до пенсии осталось-то?
в моей семье до нее ни один мужчина не дожил. По инвалидности не в счет.

Ответить | Правка | Наверх | Cообщить модератору

141. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (98), 06-Июн-23, 23:21

> неплохо отхватили жирных кусков
Инженер с одной фабрики по производству телевизоров и медсестра. Его родители на стройке познакомились, где оба работали после войны. Её родители из деревни. Отхватил жирный кусок с продажи трёшки в городе-миллионнике и подержаного пассата. Такие дела. Да и сам я когда-то с 900$ в кармане приехал, чего уж там.
> в моей семье до нее ни один мужчина не дожил
Стань первым.

Ответить | Правка | Наверх | Cообщить модератору

142. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 06-Июн-23, 23:37

> Отхватил жирный кусок с продажи трёшки в городе-миллионнике и подержаного пассата.
тоже неплохо- сейчас бы уже не получилось. К сожалению, у меня никогда не было трешки в миллионнике, а то бы и правда хрен бы меня там больше видели.
А что планирует жрать когда эти кончатся? Фабрик по производству телевизоров кроме как в китае не осталось, медсестре подтверждать диплом или вообще учиться с нуля.
> Да и сам я когда-то с 900$ в кармане приехал, чего уж там.
так ты был один и, полагаю, сравнительно молодой. Плюс была дикая недостача грамотных айтишников.
А сейчас... "если в магазине продается специальная бумага для резюме - значит работы в этой стране на самом деле - нет" (с)

Ответить | Правка | Наверх | Cообщить модератору

146. Скрыто модератором +/–

Сообщение от Аноним (-), 07-Июн-23, 05:14

Да, пох, ты все правильно понял - с квалификацией как у тебя ты врядли кому нужен. А в чем ты собственно спец? В нытье как все плохо и отмазках? За это имхо денег не платят.

Ответить | Правка | Наверх | Cообщить модератору

151. Скрыто модератором +/–

Сообщение от пох. (?), 07-Июн-23, 09:07

> Да, пох, ты все правильно понял - с квалификацией как у тебя
> ты врядли кому нужен.
то ли дело специалисты по ремонту телевизоров? Ветеринары вот, говорят, легко устраиваются. Но есть нюанс - надо подтвердить диплом. На чужом языке и по чужим протоколам, поэтому удается единицам.
Но в принципе, да, столько ITшников в мире не нужно вообще. Ни с какой квалификацией. В 70е был же анекдот - "если по трапу самолета в Тель-Авиве идет человек и у него в руках нет скрипочки - это инженер".
Самые удачливые из них устроились слесарями, сантехниками и тому подобным. Повезло, смогли как-то применять остатки инженерного мышления и образования. Большинство так и прозябало до пенсии товароведами или вовсе подсобными рабочими.
Сейчас почти ничего не изменилось - если по кишке на выход идет не носитель футлярчика для парадно-выходного костюма (эт менеджер, среднего звена, эт не пропадет) то точно ср-ный итшник. Для них все, кстати, еще хуже стало - заводы в 70е были примерно везде одни и те же, а сейчас везде требуется амазон и gcp, а с опытом мэйлру почему-то не берут. А я уже и не помню ничего про их апи.
> А в чем ты собственно спец?
а тебе-то какая разница? Ты ж в этом не разбираешься, куда ни ткни - везде провал.

Ответить | Правка | Наверх | Cообщить модератору

156. Скрыто модератором +/–

Сообщение от Аноним (149), 07-Июн-23, 10:42

> то ли дело специалисты по ремонту телевизоров?
Disclaimer: я другой анон и встрял в дискуссию недавно. И вот тут я без понятия. Наверное зависит от того что за телевизоры. Для лично меня традиционное аналоговое месиво было почти мистикой, мне сложно сказать как тем кто в это умел сейчас с этим. Я просто не принадлежу той эпохе и технологиям. Умея лишь некий базовый минимум. Но если вопрос в том что это будет нечто цифровое, да еще, чего доброго, с линухом... говоря за себя для меня такой паттерн дизайна систем прост и понятен и я могу там что угодно, в общем то. До кучи и починить, разумеется. Хотя мне больше нравится кастомдев с линухом и околомикроконтроллерное/эмбедовочное.
> Ветеринары вот, говорят, легко устраиваются. Но есть нюанс - надо подтвердить диплом.
Ну наверное, а чего им не. Они перестанут требоваться? Это врядли.
> На чужом языке и по чужим протоколам, поэтому удается единицам.
Пару докторов которые такое провернули я знаю. Хоть они и не ветеринары.
> Но в принципе, да, столько ITшников в мире не нужно вообще. Ни с какой квалификацией.
Ну так сейчас вон тех питоняш которым сложно быть эффективными более 2 часа в день и побустают. Уже бустают во всю.
А чего ты умеешь полезного людям, фирмам, ... - хрен тебя знает! Ты иногда выдаешь дельные мысли но это раз из 10. По сравнению с 95% которые не гроссмейстеры это некий апгрейд, так что твоя тушка заняла 1 слот в danbar number. Это жирновато но я не полностью контролирую аллокацию от и до в этом случае. Судя по спичу ты даже что-то когда-то девелопал, возможно даже для линуха. Но явно выпал из всех актуальных состояний дел и явно не up-to-date. А кернел штука динамичная, знания 2010 года не сильно помогут, половину отрефакторили уже.
> В 70е был же анекдот - "если по трапу самолета в Тель-Авиве идет человек
> и у него в руках нет скрипочки - это инженер". Самые удачливые из них устроились
> слесарями, сантехниками и тому подобным.
Ну довольно спорная удача как по мне, там кассамы постоянно над башкой свистят и если уж хотелось сантехникой заниматься, можно наверное и место поспокойней найти. Где охранники не расстреливают забытые в аэропорту ноуты "на всякий случай", и вообще.
> костюма (эт менеджер, среднего звена, эт не пропадет) то точно ср-ный итшник.
Менеджер среднего звена в основном отличается тем что усвоил: никого не е#$%т совковые де@льные отмазки. А хуже от всего этого станет в основном тебе самому, имхо. Просто ты нахватался гнилого климата и "выученной беспомощности" в поганых конторах уже.
> сейчас везде требуется амазон и gcp, а с опытом мэйлру почему-то не берут.
> А я уже и не помню ничего про их апи.
На самом деле если кто ценный и интересный кадр его могут и подучить, дать время на ramp up и все такое. Но тут вопрос в том чтобы им это стало надо.
> а тебе-то какая разница? Ты ж в этом не разбираешься, куда ни
> ткни - везде провал.
Я сносно разбираюсь в электронике (в основном цифровой, конечно же), энное количество печаток отрисовал, фирмварей накодил, все такое. В линухе и мк, есть всякие забавные выводки одноплатничков уже. И это я только начал начинать, наступает мое время позажигать. Провал? Ох, к счастью на фоне тех хипстеров я не так уж плох. Да и на твоем кажется тоже. Во всяком случае, эксперименты показали что я могу зарулить все системные проблемы с которыми я сталкиваюсь в линухе. А ты не смог даже это, постоянно ноешь о простреленных пятках и как у тебя и чего там не работает. На этом фоне я почему-то выгляжу и ощущаю себя мощнее себя. Сугубо сравнивая с таким вот референсом.

Ответить | Правка | Наверх | Cообщить модератору

167. Скрыто модератором +/–

Сообщение от пох. (?), 07-Июн-23, 20:26

> я без понятия. Наверное зависит от того что за телевизоры. Для
ну и вот что в сасунге на стене можно ремонтировать? В богатых странах их просто выносят на мусорку. В бедных нет телевизоров (у бедных. Богатые - зовут лакея вынести на мусорку.)
>> Ветеринары вот, говорят, легко устраиваются. Но есть нюанс - надо подтвердить диплом.
> Ну наверное, а чего им не. Они перестанут требоваться? Это врядли.
ну такое себе наверное, когда тебе не 25, диплом подтверждать. Сам-то сможешь? Что ты помнишь из ФТТ? ITшники тоже не перестали совсем уж требоваться, но когда на одну позицию претендует сотня - очевидно что дела в этом бизнесе плохи. А с ветами получше, судя по диким очередям к немногим устроившимся.
>> На чужом языке и по чужим протоколам, поэтому удается единицам.
> Пару докторов которые такое провернули я знаю. Хоть они и не ветеринары.
А я вот знаю одну которая вынуждена была стать медсестрой. Да, это операционная медсестра, они там и хирургу ассистируют и много чего делают сами, чтоб ценное время хирурга не тратить, а не горшки за лежачими выносят, но это все же огромное понижение в статусе и, вероятно, уровне жизни тоже даже с поправкой на из Мурома в LA.
> Ну так сейчас вон тех питоняш которым сложно быть эффективными более 2
> часа в день и побустают. Уже бустают во всю.
наверное... не очень уверен что не наоборот. Эти дешевые, а экономить надо на дорогих.
> А чего ты умеешь полезного людям, фирмам, ... - хрен тебя знает!
я много чего умею но в отрыве от привычной среды все это крайне малополезные умения.
Не то чтоб совсем нигде не надо, но см выше - по сотне-две кандидатов на одну позицию не считая тех кого линкедин не видит. Возьмут, разумеется, местного а не понаеха.
> Ну довольно спорная удача как по мне, там кассамы постоянно над башкой
> свистят и если уж хотелось сантехникой заниматься, можно наверное и место
> поспокойней найти.
поспокойней им не предлагали. Не все выигрывают гринкард в лотерею. Многие его никогда не выиграют.
> тебе самому, имхо. Просто ты нахватался гнилого климата и "выученной беспомощности"
> в поганых конторах уже.
я в поганых не работаю, я в хороших работаю. Проблема только в том что они не в той стране.
> На самом деле если кто ценный и интересный кадр его могут и
> подучить, дать время на ramp up и все такое. Но тут
на пустом рынке - да. А на переполненом - да зачем, там из этих ста десять отберут идеальных и устроят между ними бои в грязи, просто чисто поржать.
> тоже. Во всяком случае, эксперименты показали что я могу зарулить все
> системные проблемы с которыми я сталкиваюсь в линухе. А ты не
вот в этом и прокол. Ты даже не в курсе с чем ты столкнешься попробовав поработать в чем-то
крупном. Я ж говорю - куда ни ткни, ты везде "это мы не проходили".

Ответить | Правка | Наверх | Cообщить модератору

179. Скрыто модератором +/–

Сообщение от Аноним (180), 08-Июн-23, 15:22

> ну и вот что в сасунге на стене можно ремонтировать? В богатых
> странах их просто выносят на мусорку.
Питальник какой-нибудь. Ну может подсветка еще иногда, судя по ремонтерским форумам. Или там софт перелить если что слетело/загадилось. Мне честно говоря похрен, но вот именно относительно современный агрегат при случае оседлаю. Что я, не разберусь с одноплатником? Да ладно? Правда сильно фирменное типа гнусмуса наверняка секурбутом обложено от и до.
> В бедных нет телевизоров (у бедных. Богатые - зовут лакея вынести на мусорку.)
Эм... по моим наблюдениям корреляци иная. Те кто поумнее просто не покупают телевизоры, даже если денег у них навалом, тупо потому что не смотрят их. Поглупее, даже бедные, какой-нибудь дешевый хлам все же купят. Лично я когда захотел себя порадовать, купил себе большой шикарный монитор с хорошей цветопередачей. Да, и киношки на нем смотреть классно, он все поле зрения занимает и не выглядит как УГ даже с близкой дистанции. Ну и зачем мне телек? Чего мне с ним делать?
> ну такое себе наверное, когда тебе не 25, диплом подтверждать. Сам-то сможешь?
> Что ты помнишь из ФТТ?
Я подтвержу пардон свой скилл. Показав воон те печатки, фирмвары, образа систем, проекты, перечислив что могу, с примерами как оно, etc. Это все же другое. И что, все это перестанет требоваться в обозримом будущем? Не думаю.
> ITшники тоже не перестали совсем уж требоваться, но когда на одну позицию
> претендует сотня - очевидно что дела в этом бизнесе плохи.
Так я и не лезу в вебмакакинг. А чтобы зарубиться со мной на равных там где я что-то смыслю надо иметь скилл не хуже в областях в которые я вхож. Удачи. Я учился многим вещам большую часть жизни. И чему-то кажется научился. Потому что реально интересовался тем чем занимаюсь а не протирал штаны, выдавая отмазки шефу.
> но это все же огромное понижение в статусе и,
> вероятно, уровне жизни тоже даже с поправкой на из Мурома в LA.
Что-то мне подсказывает что - таки - нефиговое повышение уровня жизни. Статус? Да, пожалуй.
> наверное... не очень уверен что не наоборот.
Ну как, Маск уже проверил, 80% можно уволить и разницы особо не видно.
> Эти дешевые, а экономить надо > на дорогих.
Это отлично работает. До первой серьезной инженерной проблемы. Кто тебе ее решит? Эффективные 2 часа в день питоняши? Они ж только пыль в глаза пускают о супернужности. Приходится резко извиняться и предлагать повышение оклада вооон тем которых по ошибке приняли за хомячка, а оказалось что это гордый суслик был...
> я много чего умею но в отрыве от привычной среды все это
> крайне малополезные умения.
Ну вот тут я хз что для тебя привычная среда - кажется, не то что ходовое, попсовое, беспроблемное и имеющее применение в каких-то реальных кейсах. А покупать спецом для тебя какую там еще соляру/aix/etc или трахаться с *bsd - да, предсказуемо мало кто захочет.
> Не то чтоб совсем нигде не надо, но см выше - по
> сотне-две кандидатов на одну позицию не считая тех кого линкедин н видит.
Это намекает что род занятий был слишком примитивный и легкодоступный. Надо было себя апгрейдить немного, чтоли, чтобы умеющих так же, на том же уровне, было поменьше...
> Возьмут, разумеется, местного а не понаеха.
Это если местный с нужными скиллами есть, см выше про примитивные занятия.
> поспокойней им не предлагали. Не все выигрывают гринкард в лотерею. Многие его
> никогда не выиграют.
Есть еще такая штука как H1B... если тушка нужна, его таки делают. И все упирается в нужность тушки. Но ессно для этого надо уметь что-то выше среднего, чтобы локальных таких же не особо водилось.
> я в поганых не работаю, я в хороших работаю.
Они входят в Fortune 500? Или в чем их хорошесть состоит?
> Проблема только в том что они не в той стране.
Это уже звучит подозрительно. Хорошие, кстати, нередко еще и помогают с релокейшном.
> на пустом рынке - да. А на переполненом - да зачем, там из этих ста десять отберут
Ну так нехрен лезть на переполненые направления, рубаясь с бангалорцами. В твоем возрасте наверное уже можно уметь чуть поболее эникея, не? А, за чес ЧСВ супер-фирменными мега-операционками и правда нихрена не платят нынче. Но к этому, так то, давно шло. То что до тебя за пару десятков лет не доперло наверное твой тупняк.
> идеальных и устроят между ними бои в грязи, просто чисто поржать.
Какой из этого вывод? Неплохо бы качнуть скиллы до уровня когда ты смотришь на эту возню сверху.
> вот в этом и прокол. Ты даже не в курсе с чем
> ты столкнешься попробовав поработать в чем-то крупном.
Знаешь в чем твой прокол?
1) С чего ты взял что меня не было в этих крупных?
2) С чего ты взял что работа в этих унылках моя самоцель?
Правильно все же петя сказал - есть желание, есть 1000 возможностей. Нет желания, есть 1000 отмазок. Я правда решительно не понимаю смысла отмазываться когда вопрос о своем окороке идет, своему окороку от этого лучше явно не станет и на..ть так можно разве что сам себя, не? Пойнт этого занятия остается для меня загадкой.

Ответить | Правка | Наверх | Cообщить модератору

101. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Quad Romb (ok), 06-Июн-23, 02:12

У автора RSBAC когда-то была статья, что все механизмы которые используют ядерный механизм хуков LSM - принципиально не могут хоть какую-то консистентность применения правил этой самой безопасности обеспечить.
А механизм этого самого ядерного LSM изначально затачивался именно на SELinux.
Хотя потом его начали использовать и Smack, и Tomoyo, и прочие немногие.
Если у кого-то из комментаторов есть ссылка на эту статью, или нечто подобное-подробное - буду признателен такому комментатору, если он эту ссылку здесь приведёт.

Ответить | Правка | Наверх | Cообщить модератору

111. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 06-Июн-23, 09:19

тем не менее - частенько оно - работает. Потому что очень маловероятно что проклятая nsa озаботилась персонально тобой, а вот троянец написанный таким же как местные комментаторы - запросто обломится, потому что автор "всегда отключаю этот selinux, там бэкдооооры!" и думает что все кругом такие же. В целом не очень и ошибается, конечно.

Ответить | Правка | Наверх | Cообщить модератору

117. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от Аноним (81), 06-Июн-23, 09:37

Частенько работает. Карл!

Ответить | Правка | Наверх | Cообщить модератору

119. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 06-Июн-23, 09:53

Мне пару раз вполне себе помогло. Причем первый раз оно вообще добыло рута в долю секунды (скачав какой-то зеродей прямо с метасплойта) и... сфейлилось, попытавшись спрятаться под видом dhcpcd. Ой, ну надо же так неудачно - а ему запрещен доступ к почти всей фс и сеть тоже жестко порезана - в результате полный лог ошибок, которые естственно заметили сразу же, и облом с попытками перейти к следующему этапу распространения.
А не было бы selinux - оно на этом всеми забытом хосте резвилось бы может месяцами.

Ответить | Правка | Наверх | Cообщить модератору

122. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Quad Romb (ok), 06-Июн-23, 12:51

> тем не менее - частенько оно - работает. Потому что очень маловероятно
> что проклятая nsa озаботилась персонально тобой, а вот троянец написанный таким
> же как местные комментаторы - запросто обломится, потому что автор "всегда
> отключаю этот selinux, там бэкдооооры!" и думает что все кругом такие
> же. В целом не очень и ошибается, конечно.
Запасной парашют, который частенько работает - крайне сомнительный по качеству товар.
А внедряемые таким образом бэкдоры никогда не занимаются персонально кем-то.
Это всегда стрельба по площадям.
Спасибо за содержательно неприведённую ссылку на нечто подробное-толковое по данной теме.

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

136. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (98), 06-Июн-23, 18:11

А стопроцентную безопасность никто не может гарантировать. ИБ оно всё про менеджмент рисков, а не про какое-то мифическое состояние безопасности, которое можно достичь и там наслаждаться. И запасной парашют именно что «частенько работает», так как имеет большие риски, чем основной хотя бы потому, что используется значительно реже.

Ответить | Правка | Наверх | Cообщить модератору

137. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Quad Romb (ok), 06-Июн-23, 18:32

> А стопроцентную безопасность никто не может гарантировать. ИБ оно всё про менеджмент
> рисков, а не про какое-то мифическое состояние безопасности, которое можно достичь
> и там наслаждаться. И запасной парашют именно что «частенько работает», так
> как имеет большие риски, чем основной хотя бы потому, что используется
> значительно реже.
Никто.
Надо бежать от того кто её гарантирует.
Но использовать систему безопасности, которая, якобы, позволяет равноправное автоматическое стекирование нескольких (больше одного) различных механизмов безопасности на одном уровне - разговор в пользу сирых и убогих с самого старта.
Тут будут обсуждать - хорош SELinux, или плох, но вот то, что он использует, в качестве базы, механизм стекирования хуков LSM - никто говорить не будет.
А ведь по сути, LSM, и был введён в ядро, как бы с благими намерениями поддержки универсальности.
Но - по инициативе как раз ребят из дворца загадок.
Западный блок никуда не денется - будет SELinux пользовать, потому что без него, например в их нефтянке, сертификации им не видать.
Местные шутники видимо никогда не читали юридически обязывающие соглашения об аттестации комплексов ТЭК того же "Шелл".
Но у нас своя песочница, и брать их лопатку нам в неё совершенно не с руки.
У нас МРОСЛ-ДП есть, и от хуков LSM он уходит всё дальше и дальше.
SELinux, чисто теоретически можно хорошо настроить.
И даже убедить себя, что сделан он на совесть.
Только что толку, если этот люк с подлодки вставлен в деревянную раму?
Пусть даже и крепкую.

Ответить | Правка | Наверх | Cообщить модератору

143. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 06-Июн-23, 23:39

> Запасной парашют, который частенько работает - крайне сомнительный по качеству товар.
он еще и погасить основной может, если не успеть его заблокировать, и в его стропы запутаться. Тем не менее, желающих прыгать без запасок почему-то мало.

Ответить | Правка | К родителю #122 | Наверх | Cообщить модератору

144. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Quad Romb (ok), 06-Июн-23, 23:54

>> Запасной парашют, который частенько работает - крайне сомнительный по качеству товар.
> он еще и погасить основной может, если не успеть его заблокировать, и
> в его стропы запутаться. Тем не менее, желающих прыгать без запасок
> почему-то мало.
Не так.
Желающих прыгать без надёжных запасок - мало.
Но, поскольку большинство не прыгает, а просто подпрыгивает на земле - это не так заметно.
SELinux Вас устраивает, и ссылок Вы на что-либо содержательное давать не желаете.
И на то, и на другое - имеете полное право.
Ну, тогда и приподнимем шляпы - ибо содержательная часть разговора, похоже, себя исчерпала.

Ответить | Правка | Наверх | Cообщить модератору

152. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 07-Июн-23, 09:16

> Желающих прыгать без надёжных запасок - мало.
еще раз - парашутные запаски - ненадежны и могут вообще убить при совершенно нормальном раскрытии основного. Тем не менее - те кто прыгают - прыгают с запасками. Потому что без них еще хуже. (Кроме бейсеров, те все равно одноразовые, зачем еще хорошую вещь портить)
> SELinux Вас устраивает, и ссылок Вы на что-либо содержательное давать не желаете.
Не все устраивает, главный минус - фееричная бесполезность чего-либо отличного от targeted в реальном применении, но лучшего нет. В конспирологические бредни я, разумеется, не верю.
В рукож..пие соотечественников вот верю вполне, поэтому что там у атcpы и насколько оно лучше механизма хуков - мне неинтересно совсем - оно сдохнет вместе со страной и будет всеми забыто, никаких шансов у этого проекта нет ни внутри ни снаружи, незачем тратить время.

Ответить | Правка | Наверх | Cообщить модератору

158. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (149), 07-Июн-23, 10:53

> Не все устраивает, главный минус - фееричная бесполезность чего-либо отличного
> от targeted в реальном применении, но лучшего нет.
Да вообще-то есть, виртуалки и контейнеры называется. Эффект даже лучше - а долботни с настройкой и менеджментом сильно меньше. Так что если над тобой нет регламента что трава должна быть зеленой а акцесконтроль мандатным - то и хрен с ним с SELinux'ом!

Ответить | Правка | Наверх | Cообщить модератору

164. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 07-Июн-23, 16:54

>> Не все устраивает, главный минус - фееричная бесполезность чего-либо отличного
>> от targeted в реальном применении, но лучшего нет.
> Да вообще-то есть, виртуалки и контейнеры называется. Эффект даже лучше - а
это где s in docker stands for "security"? Ага, есть. Жаль что придумано совершенно не для безопасности.
Для той придуман jail, и всю дорогу его главный недостаток был ровно тот же что у selinux targeted - по сути он состоит из миллиона проверок в миллионе мест ядра вида if(а не в джейле ли мы)?
- естественно, они не могут быть консистентны by design. И периодически тропка в обход очередного шлагбаума таки находилась.

Ответить | Правка | Наверх | Cообщить модератору

176. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." –1 +/–

Сообщение от Аноним (180), 08-Июн-23, 11:39

> это где s in docker stands for "security"? Ага, есть. Жаль что
> придумано совершенно не для безопасности.
Совершенно не обязательно использовать самое хайпожорское решение, есть и другие. И да, т.к. ядро никогда не делалось для контейнеров, в неймспейсах бывают достаточно дурные отвалы. Если надо более серьезно - есть виртуалки или хотя-бы UML, чтоб ядро гасили все же отдельное и не в основном кернелспейсе. Но даже это лучше чем нифига и уж точно не хуже сабжа, стандартно отключаемого каждым первым сплойтом.
> Для той придуман jail, и всю дорогу его главный недостаток был ровно
> тот же что у selinux targeted - по сути он состоит
...что он решает хзкакие задачи, абы как, как и вся bsd вообще, поэтому нафиг надо. Они даже просто виртуализацию сети нормальную научились только недавно IIRC.
> из миллиона проверок в миллионе мест ядра вида if(а не в > джейле ли мы)?
> - естественно, они не могут быть консистентны by design. И периодически тропка
> в обход очередного шлагбаума таки находилась.
Ну вот и namespaces в линухе как-то так же. При том в них ищут в миллион раз больше чем вон там. А когда мне реально надо... я даже и еще сильно более прочные варианты юзаю.

Ответить | Правка | Наверх | Cообщить модератору

178. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (178), 08-Июн-23, 12:32

> ...что он решает хзкакие задачи, абы как, как и вся bsd вообще,
> поэтому нафиг надо. Они даже просто виртуализацию сети нормальную научились только
> недавно IIRC.
Встретились два "знатока". У одного - "мильен мест проверок"

grep -Rc prison0 /usr/src/sys/kern|grep -v ":0"
/usr/src/sys/kern/init_main.c:2
/usr/src/sys/kern/kern_descrip.c:4
/usr/src/sys/kern/kern_jail.c:48
/usr/src/sys/kern/kern_linker.c:2
/usr/src/sys/kern/kern_mib.c:2
/usr/src/sys/kern/kern_priv.c:1
/usr/src/sys/kern/kern_racct.c:1
/usr/src/sys/kern/kern_shutdown.c:1
/usr/src/sys/kern/sysv_msg.c:4
/usr/src/sys/kern/sysv_sem.c:4
/usr/src/sys/kern/sysv_shm.c:4
/usr/src/sys/kern/vfs_export.c:3
/usr/src/sys/kern/vfs_mountroot.c:5

(да-да, сам хост уже давненько стал "prison0", (т.е. jail с JID 0), поэтому проверка на джейлность - на самом деле проверка, не в "нулевом" ли джейле мы)
У другого - 15 лет "только недавно".

Ответить | Правка | Наверх | Cообщить модератору

181. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (180), 08-Июн-23, 15:51

Ну да, ну да, в теории бзды как бы неплохая штука. На практике - гимора кусок и дохреналион "нюансов" всех мастей и направлений, не от мира сего.
Пример: себе контейнеры и VM делаю чем-то типа cp --reflink. Это просто, быстро и эффективно. Но у вас такого ж просто нет.
Или bhyve vs kvm... эээ, чочо, "virtio driver is slow, ... known issue" (c) чувак бенчивший сетевой стек относительно более-менее свежего линуха? Ну офигенная операционка, и совсем не факап. Глядя на пачку виртуалок обвешаных virtio от и до, ога...

Ответить | Правка | Наверх | Cообщить модератору

182. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (178), 08-Июн-23, 15:57

> Ну да, ну да, в теории бзды как бы неплохая штука. На практике - гимора кусок и дохреналион "нюансов" всех мастей и направлений, не от мира сего.
Как же ты любишь пафосную и пустопорожнюю болтовню и спрыги с темы ...
> Пример: себе контейнеры и VM делаю чем-то типа cp --reflink. Это просто, быстро и эффективно. Но у вас такого ж просто нет.
Отличный пример, как с умным и уверенным видом нести чушь.

Ответить | Правка | Наверх | Cообщить модератору

184. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." –1 +/–

Сообщение от Аноним (149), 09-Июн-23, 10:16

> Как же ты любишь пафосную и пустопорожнюю болтовню и спрыги с темы
Рассказы фанов бсд про ОС мне напоминают посты с али про китайские ватты: всегда обещания оказываются лучше чем то что на самом деле будет. Сэр пох, между прочим, в перерывах между злопыханиями на другие темы - виндочку хвалит. Так что его сказки на тему ЗБС недорого стоят.
А мне из чисто практических соображений сильно удобно ворочать 1 набором технологий на десктопе, серваках, одноплатниках и проч. Вот просто для реюза знаний и core технологии. Я так могу добиться большего. Пох и остальные фаны виндочки отлично иллюстрируют почему мне это кажется бенефитом относительно них. Вертикальное масштабирование и универсальность это хорошо, ниипет.
> Отличный пример, как с умным и уверенным видом нести чушь.
Дык у вас файлух умеющих этот трюк чисто технически нету. Это требует CoW семантику + хинт оной что мы хотим "копию" которая изначально 100% дедуп относительно вон того. Но вы конечно можете блеснуть эрудицией и рассказать как вы это делаете. Не, онлайн дедуп это вообще совсем не то уже по жрачу CPU и RAM. Вон то вообще совсем халявная и быстрая операция. Оно не создает проблему вместо того чтобы потом героически ее решать.

Ответить | Правка | Наверх | Cообщить модератору

185. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (178), 09-Июн-23, 10:56

>> Как же ты любишь пафосную и пустопорожнюю болтовню и спрыги с темы
> Рассказы фанов бсд про ОС мне напоминают посты с али про китайские
> ватты: всегда обещания оказываются лучше [...] Пох и остальные
> фаны виндочки отлично иллюстрируют почему мне это кажется бенефитом относительно них.
> Вертикальное масштабирование и универсальность это хорошо, ниипет.
Сам опять что-то придумал, сам оспорил. Как тетерев на току, ей-ей.

> Дык у вас файлух умеющих этот трюк чисто технически нету. Это требует
> CoW семантику + хинт оной что мы хотим "копию" которая изначально
> 100% дедуп относительно вон того. Но вы конечно можете блеснуть эрудицией
> и рассказать как вы это делаете. Не, онлайн дедуп это вообще совсем не то уже по жрачу CPU и RAM. Вон то вообще совсем халявная и быстрая операция. Оно не создает проблему вместо того чтобы потом героически ее решать.
Умный и уверенный вид ...
ZFS: snapshot -> clone делает именно то самое, "совсем халявная и быстрая операция" как раз из-за CoW семантики, о Великий Гуру По Всему294

Ответить | Правка | К родителю #184 | Наверх | Cообщить модератору

186. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." –1 +/–

Сообщение от Аноним (149), 09-Июн-23, 13:05

> Сам опять что-то придумал, сам оспорил. Как тетерев на току, ей-ей.
А таки, пох деятельно иллюстрировал фу каким именно быть и почему. Да и бсдюки забавные ребята. Когда было реально актуально (в эпоху тормозных виртуализаторов) - в лине полноценная виртуализация сетевого стека (с своим независимым роутингом, фаером и проч) на годы раньше появилась. А потом виртуалки, видите ли, virtio научились, кому секурити важнее - смогли ими пользоваться с минимумом потерь, потому что это шустро (правда как обычно, не у вас).
С точки зрения сабжа, давать доступ в системный кернел совсем untrusted - так себе идея. Вы настолько уверены в своем ядре что fuzz-тесты прямо на вас - не парят? В этом аспекте виртуализаторы лучше: untrusted не может fuzz'ить сисколы. Мне это больше нравится, если секурити в приоритете.
> ZFS: snapshot -> clone делает именно то самое, "совсем халявная и быстрая
> операция" как раз из-за CoW семантики, о Великий Гуру По Всему294
reflink имеет жирный плюс: это все менеджить вообше не надо. Оно не отсвечивает на уровень менеджмента совсем никак. При этом однако делая создание инстансов VM или контейнеров шустрым и эффективным. В этом его пойнт и состоит. И я буду за вот такой менеджмент систем. Туда же и системд кстати. Мне вот он вполне себе упрощает жизнь по дофига системным апспектам. Если у вас это не так, ну, оки-доки, удачи показать как там для вас ваши вэйности работают, желательно не путем ребутов в виндочку и рассказов про "серверные" системы.

Ответить | Правка | К родителю #185 | Наверх | Cообщить модератору

160. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Quad Romb (ok), 07-Июн-23, 11:56

> В рукож..пие соотечественников вот верю вполне, поэтому что там у атcpы и
> насколько оно лучше механизма хуков - мне неинтересно совсем - оно
> сдохнет вместе со страной и будет всеми забыто, никаких шансов у
> этого проекта нет ни внутри ни снаружи, незачем тратить время.
Вы предпочли не приподнять свою шляпу, а наложить в неё?
Ну, оно, конечно негигиенично - но, дело хозяйское.

Ответить | Правка | К родителю #152 | Наверх | Cообщить модератору

118. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (118), 06-Июн-23, 09:46

На большинстве систем можно сделать проще и эксплоит не нужен:
setenforce 0 && modprobe blabla
Eстественно модуль работает в контексе ядра и может там практически что угодно перезаписать, на то он модуль ядра, эксплоит на 3ку. Таким же макаром можно написать драйвер в Windows, который может там наворотить. Новость на 2ку, сделали сенсацию, будь-то все сервера в интернете будут взломаны.

Ответить | Правка | Наверх | Cообщить модератору

120. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 06-Июн-23, 10:00

> На большинстве систем можно сделать проще и эксплоит не нужен:
> setenforce 0
вот ты хакер, блин!
(обрати внимание - автор суперэксплойта и про getenforce-то не в курсе ;-)

> Таким же макаром можно написать драйвер в Windows, который может там наворотить.
а вот хрен тебе, таким же. Драйвер должен быть подписан, иначе ничегошеньки не получится.
Посмотри на какие мучения пришлось пойти авторам conti, чтобы обойти эту проблему и денег никому не платить.
(Они таскают за собой легальный подписанный драйвер, написанный какими-то м-ками, которые додумались внутри драйвера подгружать внешние бинарники.)
> Новость на 2ку, сделали сенсацию, будь-то все сервера в интернете будут взломаны.
а контингент опеннета воспринял на ура. Так что ачивка получена.

Ответить | Правка | Наверх | Cообщить модератору

132. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 06-Июн-23, 17:17

> Посмотри на какие мучения пришлось пойти авторам conti, чтобы обойти эту проблему
> и денег никому не платить.
> (Они таскают за собой легальный подписанный драйвер, написанный какими-то м-ками, которые
> додумались внутри драйвера подгружать внешние бинарники.)
Этот драйвер точно по дизайну грузит, или же эксплуатируют в нём уязвимость? Просто такой прокси-драйвер уже был сразу после ввода подписей, его достаточно быстро занесли в ЧС. Странно, если Микрософт всё подряд и сейчас подписывает.

Ответить | Правка | Наверх | Cообщить модератору

140. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +1 +/–

Сообщение от пох. (?), 06-Июн-23, 22:50

> Этот драйвер точно по дизайну грузит, или же эксплуатируют в нём уязвимость?
точно. То есть он подписанный и (по крайней мере в каком там... прошлом, видимо, году) - ни разу не был в блэклистах.
Какое-то г-но типа rs432 портов или что-то столь же распространенное - поэтому драйверописателями наняли особо работящую стаю макак прямо с ветки.
> быстро занесли в ЧС. Странно, если Микрософт всё подряд и сейчас
> подписывает.
она сама ничего не подписывает, она подписывает серты разработчиков. За деньги. Считается, видимо (и правильно) что большинству это достаточная мера чтобы с сертификатом обращались с осторожностью, потому что забанить его действительно могут влегкую и новый хрен дадут (это по сути EV).
Но всегда находятся особо одаренные (в основном как раз из сферы промышленных процессов и тому подобных) которые сделают вот так потому шта могут.

Ответить | Правка | Наверх | Cообщить модератору

148. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 07-Июн-23, 06:50

>> Этот драйвер точно по дизайну грузит, или же эксплуатируют в нём уязвимость?
> точно. То есть он подписанный и (по крайней мере в каком там...
> прошлом, видимо, году) - ни разу не был в блэклистах.
> Какое-то г-но типа rs432 портов или что-то столь же распространенное - поэтому
> драйверописателями наняли особо работящую стаю макак прямо с ветки.
Как conti нашли это драйвер? Качали скриптом всё подряд с сайта-файлопомойки с драйверми и анализировали импортируемые драйвером функции в наивной надежде? Там небось и нет этого драйвера.
>> быстро занесли в ЧС. Странно, если Микрософт всё подряд и сейчас
>> подписывает.
> она сама ничего не подписывает, она подписывает серты разработчиков. За деньги. Считается,
> видимо (и правильно) что большинству это достаточная мера чтобы с сертификатом
> обращались с осторожностью, потому что забанить его действительно могут влегкую и
> новый хрен дадут (это по сути EV).
Под разработчиком надо понимать не частное лицо, а компанию. К которой выдвигается ряд требований. Насколько помню, надо было показывать, что не просто какие-то левые васяны, у которых есть 500 долларов, а вот имеются вполне конкретные программные продукты. Если какая-то компания из старых клиентов МС такое допустила, не знаю, что и думать. :) Может conti не стали им шифровать архивы и просить "оплатить пентест", а просто вставили в исходники нужное?)

Ответить | Правка | Наверх | Cообщить модератору

153. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 07-Июн-23, 09:26

> Как conti нашли это драйвер? Качали скриптом всё подряд с сайта-файлопомойки с
может фича была в определенных кругах (например пользователей того странного оборудования) известна, может сами имели косвенное отношение к производителю, а может случайно наткнулись хакнув заводишко где оно применялось - мильен с тыщами вариантов, совершенно не требующих конспирологии.
> Там небось и нет этого драйвера.
конечно нет, те проходят отдельную сертификацию (проходили, тут я застрял на уровне 95й, да, были когда-то и мы рысаками...давнооо - но вряд ли поменялось в сторону упрощения, скорее наоборот) и вряд ли туда такое допустят.
Это какое-то лютое 3d party причем совсем не для юзеров. Поэтому и сделано тяп-ляп - кто бы мог подумать что его могут использовать не только там, и было ли этим мартышкам, чем?
> Под разработчиком надо понимать не частное лицо, а компанию. К которой выдвигается
можно и частное. dokany подписан. Пользуйся (прикольно ж пошифровать дуалбутчику его линoopsовый раздел). Но да, EV - то есть ни разу не автоматически и не левому васяну с улицы.
> допустила, не знаю, что и думать. :) Может conti не стали
> им шифровать архивы и просить "оплатить пентест", а просто вставили в
> исходники нужное?)
заодно и поправили чтоб работал и по прямому назначению, а те и рады - неработающий драйвер сам починился? ;-)Но нет, вряд ли, не те ребята, им не нужны такие лишние сложности, они деньгов зарабатывают.

Ответить | Правка | Наверх | Cообщить модератору

155. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 07-Июн-23, 09:59

>> Как conti нашли это драйвер? Качали скриптом всё подряд с сайта-файлопомойки с
> может фича была в определенных кругах (например пользователей того странного оборудования)
> известна, может сами имели косвенное отношение к производителю, а может случайно
> наткнулись хакнув заводишко где оно применялось - мильен с тыщами вариантов,
> совершенно не требующих конспирологии.
Заводики точно шифровали, а о мелких информация не расходится.
>> Под разработчиком надо понимать не частное лицо, а компанию. К которой выдвигается
> можно и частное. dokany подписан. Пользуйся (прикольно ж пошифровать дуалбутчику его линoopsовый
> раздел). Но да, EV - то есть ни разу не автоматически
> и не левому васяну с улицы.
Не самоподписан? Вот что у них сходу нашёл.
if ($securebootUEFI)
{
    write-Host "Secureboot is enabled. This needs to be disabled so that the driver signed with a self signed certificate can be loaded." -ForegroundColor Red
    write-host "See https://docs.microsoft.com/en-us/windows-hardware/manufactur... for instructions to disable it" -ForegroundColor Red
    return;
}
>> допустила, не знаю, что и думать. :) Может conti не стали
>> им шифровать архивы и просить "оплатить пентест", а просто вставили в
>> исходники нужное?)
> заодно и поправили чтоб работал и по прямому назначению, а те и
> рады - неработающий драйвер сам починился? ;-)Но нет, вряд ли, не
> те ребята, им не нужны такие лишние сложности, они деньгов зарабатывают.
Ну ключи для подписи драйверов могли оказаться в слитых перед шифрованием дампах. Вот как раз это наверняка целенаправленно ищут, и не одни conti. Я только сейчас начал подозревать о масштабах проблемы... :)

Ответить | Правка | Наверх | Cообщить модератору

162. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от onanim (?), 07-Июн-23, 13:54

> Я только сейчас начал подозревать о масштабах проблемы... :)
на широко известном в узких кругах форуме один криптовымогатель написал, что взломал большинство крупных компаний через забытый аккаунт test:test на пограничном фаерволе.

Ответить | Правка | Наверх | Cообщить модератору

163. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 07-Июн-23, 15:27

С паролями и без этих ваших иксэксэсэв понятно, хотя данная формулировка скорее фигура речи. С подписями получается, что Микрософт сидит в луже-океане с лицом игрока в покер, и по факту ограничили они систему от энтузиастов, а не от атак.

Ответить | Правка | Наверх | Cообщить модератору

171. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от onanim (?), 08-Июн-23, 09:09

> ограничили они систему от энтузиастов, а не от атак.
что тут такого удивительного? мировая практика.

Ответить | Правка | Наверх | Cообщить модератору

175. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 08-Июн-23, 10:46

>> ограничили они систему от энтузиастов, а не от атак.
> что тут такого удивительного? мировая практика.
В первой части - ничего. Вторая ИМХО не входила в их планы, когда они подминали под себя антивирусы и удаляли с рынка слишком перспективных, типа OSSS Спорова.

Ответить | Правка | Наверх | Cообщить модератору

168. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 07-Июн-23, 20:34

> на широко известном в узких кругах форуме один криптовымогатель написал, что взломал
> большинство крупных компаний через забытый аккаунт test:test на пограничном фаерволе.
ну вот ко мне лет двадцать назад такое запорхнуло. Причем, с-ка, ни разу не test там был пароль, но да, словарное слово с простой пермутацией, на один раз зайти и удалить, и почему-то его там забыли, сервис хирел и умирал, поэтому файрвол тоже пускал ssh уже отовсюду, поскольку штатных работников уже не осталось давно а нештатные вечно оказывались в странных местах.
Через секунду оно было рут. И... позорно обломалось о политику, и дальше не прошло, и в логах так все загадило что ежу было ясно что происходит.

Ответить | Правка | К родителю #162 | Наверх | Cообщить модератору

187. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (149), 09-Июн-23, 15:40

Ко мне тоже что-то недавно залетало, только пароли оно совсем не крякало. Трахнуло сервис, эксплойтом, я даже знаю какой. Вскоре оно не мелочась попыталось эскалироваться от души. И вот тут что-то пошло не так. Ядро упало в панику. Фигня случается, у меня ж не стоковые кернелы. Да еще...
...еще даже если бы оно в него смогло - ох, круто, только это была ARMовская виртуалка на x86 хосте. И я не в курсе архидемонов способных пересекать скрещенные силовые поля таким манером. Да и данных в сугубо тестовом сетапе - брать нечего. Смысл этого действа остался некоторой загадкой, возможно, законы Мерфи прикалываются и над атакуюшими тоже. Надо ж попытаться разъ...ть самую зубодробильную из всех конфиг да еще и без полезных данных, лол.

Ответить | Правка | Наверх | Cообщить модератору

165. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 07-Июн-23, 16:59

>> можно и частное. dokany подписан. Пользуйся (прикольно ж пошифровать дуалбутчику его
> Не самоподписан? Вот что у них сходу нашёл.
не. Просто качай бинарник.
> if ($securebootUEFI)
> {
>  write-Host "Secureboot is enabled. This needs to be disabled so that
> the driver signed with a self signed certificate can be loaded."
это чтоб ты мог из исходников сам собрать. Но релизные бинари - подписаны.
Тебе осталось оформить троянца в виде fuse-модуля. Ну и том не должен быть claimed by windows.
Т.е. передашь привет дуалбутерам.
> Вот как раз это наверняка целенаправленно ищут, и не одни conti.
тогда могли бы и просто свой подписать, но нет, не прокатило.

Ответить | Правка | К родителю #155 | Наверх | Cообщить модератору

172. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 08-Июн-23, 09:17

>> Вот как раз это наверняка целенаправленно ищут, и не одни conti.
> тогда могли бы и просто свой подписать, но нет, не прокатило.
Подписать могли бы, но зачем раскрывать сразу все карты? Да и если моя версия верна - то подписанное не нашли, либо не афишируют.

Ответить | Правка | Наверх | Cообщить модератору

173. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 08-Июн-23, 09:22

> Тебе осталось оформить троянца в виде fuse-модуля.
Если там по уму сделано, модуль выполняется в пространстве пользователя без каких-либо прав.

Ответить | Правка | К родителю #165 | Наверх | Cообщить модератору

150. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (149), 07-Июн-23, 09:07

> Драйвер должен быть подписан, иначе ничегошеньки не получится.
Ога, и как оказалось на своей мине можно самому же и - того, вот прям так: https://3dnews.ru/1087288/vladeltsi-planshetov-microsoft-sur...

Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

154. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 07-Июн-23, 09:28

>> Драйвер должен быть подписан, иначе ничегошеньки не получится.
> Ога, и как оказалось на своей мине можно самому же и -
> того, вот прям так: https://3dnews.ru/1087288/vladeltsi-planshetov-microsoft-sur...
а то бы ты быстро-быстро попатчил чужой драйвер сам?
Что-то вот сомневаюсь...

Ответить | Правка | Наверх | Cообщить модератору

157. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (149), 07-Июн-23, 10:44

> а то бы ты быстро-быстро попатчил чужой драйвер сам?
> Что-то вот сомневаюсь...
(поглядывая на абсолютно аморальный патч ath9k, который я тебе не дам) а напрасно, иногда и такое вот случается :-)

Ответить | Правка | Наверх | Cообщить модератору

169. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от пох. (?), 07-Июн-23, 20:37

>> а то бы ты быстро-быстро попатчил чужой драйвер сам?
>> Что-то вот сомневаюсь...
напоминаю - там драйвер виндовый, исходников тебе не дали (были б у тебя исходники - ты бы мог своим ключом подписать). Найти переполняющийся счетчик наверное можно и так, но это ни разу не ath9k.

Ответить | Правка | Наверх | Cообщить модератору

174. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от n00by (ok), 08-Июн-23, 09:25

Ныне в драйверах могут и отладочный вывод оставить, сразу с именами функций.

Ответить | Правка | Наверх | Cообщить модератору

177. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (180), 08-Июн-23, 11:50

> напоминаю - там драйвер виндовый, исходников тебе не дали
> (были б у тебя исходники - ты бы мог своим ключом подписать).
Ты так хорошо расписал почему я маздаем не пользуюсь, спасибо. Как раз в том числе и потому что там поразвлекаться с системщиной жуткий гимор, и баги мешающие жить - не чинябельны. А сказки про мир розовых пони где дрова и софт без багов ты кому-нибудь другому, имхо, оставь. Потому что виндой я пользовался и как оно там "без багов", "лучше" и "обгоняет линукс" я на своей шкурке прямо и убедился.
> Найти переполняющийся счетчик наверное можно и так, но это ни разу не ath9k.
Ну да, поэтому и линукс, вот. И копание в его внутренностях. Это проще, эффективнее и кайфовее. А винды - как там грится? "Contact your support", во.

Ответить | Правка | К родителю #169 | Наверх | Cообщить модератору

188. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Пряник (?), 09-Июн-23, 16:14

Ага, ограничивать root - ловить муху в поле. Удачки!

Ответить | Правка | Наверх | Cообщить модератору

190. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..." +/–

Сообщение от Аноним (149), 10-Июн-23, 18:24

> Ага, ограничивать root - ловить муху в поле. Удачки!
Вообще lockdown что-то такое попытается. И на каждую муху найдется свой дрон^W ласточка, или что там.

Ответить | Правка | Наверх | Cообщить модератору

193. Скрыто модератором +/–

Сообщение от Аноним (-), 19-Мрт-24, 23:50

Лучше Smack, как на Tizen.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	–3 +/–
Сообщение от Аноним (1), 05-Июн-23, 10:32
не понял, а нахрена это через селинукс запрещать? у ядра давно уже есть blacklist и install $module /bin/false. А также в том же самом ядре есть возможность сделать так, чтобы новые модули нельзя было загружать без перезагрузки.
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+4 +/–
	Сообщение от n00by (ok), 05-Июн-23, 10:47
	Предлагаете все возможные имена занести в blacklist?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+4 +/–
	Сообщение от Аноним (1), 05-Июн-23, 10:57
	зачем все возможные имена, если можно держать белый список разрешенных, а при изменении белого списка требовать рестарт?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	–2 +/–
	Сообщение от Аноним (15), 05-Июн-23, 11:21
	Зачем тогда нужны модули если всё можно вкомпилировать в ядро?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+1 +/–
	Сообщение от Аноним (1), 05-Июн-23, 11:35
	потому что не у всех есть время/бюджет заниматься конфигурированием до компиляции и сопровождением всего этого при обновлении ядра.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+1 +/–
	Сообщение от Аноним (15), 05-Июн-23, 11:47
	На белые листы время есть, а на сборку нет. Как-то небезопасненько.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+2 +/–
	Сообщение от Аноним (1), 05-Июн-23, 11:54
	ну давай, расскажи мне, как получить ядро, в котором есть только то, что нужно на этом конкретном железе и для таких-то конкретных задач, и как при этом потратить хотя бы (хотя бы!) в сто раз больше (больше!) времени, чем прописывание белого списка. Подсказываю: стартовым конфигом будет tinyconfig.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+1 +/–
	Сообщение от Аноним (40), 05-Июн-23, 12:46
	Рассказываю по опыту генто@бства: полдня-день на систему на первую итерацию, при условии что в конфиге ядра ориентируешься хоть немного. Первая итерация означает как минимум загружается, делается быстро, если знаешь, что надо включить диски и фс под корень. Остальные несколько часов проверяешь нужные программы и ищешь, почему что отвалилось. Совсем без опыта наверное ещё дольше, для меня такое слишком давно было, не помню.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+/–
	Сообщение от Аноним (1), 05-Июн-23, 13:08
	если стартуешь с дефолтного конфига - может быть так и есть, при этом не решается проблема того, что получим ядро с кучей лишнего. Правильный ответ начинается со слов "грузимся в максимально полное ядро и исследуем /sys на предмет того, какие устройства имеются, далее для каждого устройства задаем себе вопрос, нужно ли оно на самом деле, или оно здесь появилось просто потому, что мы загрузились в максимальное ядро, далее каким-то макаром находим, какой драйвер отвечает за устройство, по имени драйвера находим имя модуля, по имени модуля находим имя опции, по опции находим его зависимые опции" и так далее и так далее. По пути нужно изучить, как именно ядро грузит модули: по идентификаторам PCI (обычно частичные), по идентификаторам USB (обычно частичные), по всем остальным шинам аналогично. Также вооружаемся lkddb (обычно дает неполную инфу), вооружаемся $EDITOR и grep исследовать исходники ядра, вооружаемся полными спеками железа и проходим по каждому пункту каждого спека и врубаем специфичные опции. Это я не рассказал и 10% того, что касается железа, а ведь есть еще "софт" - не менее сложная тема, ибо если прога не находит для себя достаточные возможности ядра, она молча выходит или выдает негуглящееся сообщение. Это работа на полгода-год, а не на полдня-день.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	85. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+/–
	Сообщение от ivan_erohin (?), 05-Июн-23, 20:17
	выше - краткое содержание чьей-то будущей книги "Как изнасиловать линукс и остаться в живых и на свободе".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	102. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+/–
	Сообщение от n00by (ok), 06-Июн-23, 06:38
	После слов "вооружаемся ... grep исследовать исходники ядра" у меня появились сомнения, кто кого насилует.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	126. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+/–
	Сообщение от ivan_erohin (?), 06-Июн-23, 14:05
	> После слов "вооружаемся ... grep исследовать исходники ядра" у меня появились сомнения, > кто кого насилует. года 4 назад я подбирал какой-то инструмент (не на go и не на rust) для поиска по source tree, искал им в исходниках iMule несовместимости и их происхождение для пересобрать под новый дебиан. но я забыл название. старость не радость. но теоретически можно и грепом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	130. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+/–
	Сообщение от n00by (ok), 06-Июн-23, 16:49
	Хороший инструмент сначала прогоняет исходник через препроцессор, что бы развернуть макросы, а потом переводит результат в упрощённый аналог синтаксического дерева, что бы можно было быстро посмотреть граф вызовов (в Eclipce CDT он называется Call Hierarchy) и выполнять контекстный поиск. Исходники Linux по объёму в разы больше iMule, для некоторых строк grep выдаст массу лишнего (например, одноимённые функции для разных архетектур). Гипотетически, наверное, найти что-то можно и grep-ом, но даже простой переход к месту определению функции окажется существенно дольше.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	166. Скрыто модератором	+/–
	Сообщение от ivan_erohin (?), 07-Июн-23, 19:53
	нашел: apt info ack Eclipse жироноват и следовательно торомоз (inb4 время г-кодера стоит дороже).
	Ответить \| Правка \| К родителю #130 \| Наверх \| Cообщить модератору


	170. Скрыто модератором	+/–
	Сообщение от n00by (ok), 08-Июн-23, 09:03
	На исходниках Linux пока Eclipse лидирует - остальные, что смотрел, не сохраняют индекс и при повторном запуске заново молотят сорцы. Плюс в Eclipse можно задать макросами нужные архитектуры, он выполнит #ifdef и не будет смотреть лишнее. Source Insight быстрый, но не вполне по теме сайта.
	Ответить \| Правка \| К родителю #166 \| Наверх \| Cообщить модератору


	41. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	–1 +/–
	Сообщение от Аноним (41), 05-Июн-23, 12:47
	Если у тебя нет времени на безопасность зачем ей заниматься?
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору


	50. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	–1 +/–
	Сообщение от Аноним (50), 05-Июн-23, 13:42
	Внезапно, принели вам сетевушку. Было бы модулем, udev сам бы необхомый(е) модуль(ли) нашёл и загрузил. Но вам придётся самому копать, какой модуль для данного девайса нужон, и ядро из-за одного модуля пересобирать.
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	86. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	–3 +/–
	Сообщение от Атон (?), 05-Июн-23, 20:26
	> Внезапно, принели вам сетевушку. Каким олигофреном нужно быть, что бы без раздумий пихать внезапно принесенное железо в доверенный комп обрабатываюший чувствительную конфиденциальную информацию.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	121. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+/–
	Сообщение от Аноним (121), 06-Июн-23, 11:33
	> Каким олигофреном нужно быть, что бы... Каким олигофреном нужно быть, чтобы так ответить на фразу "внезапно, принесли вам сетевушку". Вы, похоже, смогли представить только следующую картину: посреди тишины и благодати к Вам с улицы пришел какой-то неизвестный смурной мужик в шпионском плаще и протягивает вам со зловещей усмешкой какую-то непонятную железку непонятного производителя и непонятного назначения?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	123. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+/–
	Сообщение от Атон (?), 06-Июн-23, 13:12
	>> Каким олигофреном нужно быть, что бы... > Каким олигофреном нужно быть, чтобы так ответить на фразу "внезапно, принесли вам > сетевушку". Вы, похоже, смогли представить только следующую картину: посреди тишины и > благодати к Вам с улицы пришел какой-то неизвестный смурной мужик в > шпионском плаще и протягивает вам со зловещей усмешкой какую-то непонятную железку > непонятного производителя и непонятного назначения? Представьте нам свою картину мира, в которой будет объяснена внезапность появления сетевушки хотя бы даже рядом с SElinux. Скажем метрах в трёх.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	127. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+/–
	Сообщение от BeLord (ok), 06-Июн-23, 14:06
	Чего там объяснять - диверсия-)))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	128. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+/–
	Сообщение от Атон (?), 06-Июн-23, 14:54
	> Чего там объяснять - диверсия-))) Главный диверсант - HR принявший на работу техником mentality disabled персону, которое, внезапно завидев сетевушку, начинает впихивать её во все отверстия, серверу.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+1 +/–
	Сообщение от n00by (ok), 05-Июн-23, 12:02
	А буфер памяти куда вписать?
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	51. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+/–
	Сообщение от Аноним (50), 05-Июн-23, 13:45
	В пространство процесса, взявшего на себя обязанность загружать модули. Потом натравить системый вызов на этот буфер. Процес этот, конечно, должен соответствующими правами обладать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	68. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+/–
	Сообщение от n00by (ok), 05-Июн-23, 16:07
	В адресное пространство каждого процесса, взявшего на себя обязанность загружать модули? А кто будет внедрять данные в пространство произвольного процесса, и что дальше с этими данными делать?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	72. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+/–
	Сообщение от Аноним (50), 05-Июн-23, 16:28
	Системный вызов в пространство ядра скопирует, оформит уже как структуры модуля.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	103. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+/–
	Сообщение от n00by (ok), 06-Июн-23, 06:43
	Всё это сделает и загрузит драйвер? Так задача прямо противоположная - не пускать какой попало драйвер в ядро.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	99. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+/–
	Сообщение от Аноним (-), 06-Июн-23, 01:16
	> В адресное пространство каждого процесса, взявшего на себя обязанность загружать модули? Нуб, ты чего? Это работает так: читаешь файл с диска, грузишь модуль в память, ну и натравливаешь вон тот ядерный сискол на свой буфер -> модуль попадает в ядро, если это получилось. Хотел ли это изначально вообще процесс, или это эксплойт какой, или специальная хакерская прога - да в общем то возможны разные варианты. И то что САБЖ этот механизм пролюбил это полное ололо для wannabe-улучшителя безопасности в системе. Правда как мне кажется SELINUX делался в основном потому что в таком топике как "информационная безопасность" - бывают, внезапно, характерные регламенты. О чем догадываются все у кого например был предмет "информационная безопасность", ну там в вузе, или по своему интересу. И если там написано "трава должна быть зеленой, а контроль доступа мандатным" - ну, вот вам банка с краской, а вот SELINUX, извольте. У официалов информационная безопасность достаточно бюрократизированный топик. А compliance не пустой звук в т.ч. и у амеров. Ну вот оно кажись больше инструмент комплайнса чем реальной защиты.
	Ответить \| Правка \| К родителю #68 \| Наверх \| Cообщить модератору


	104. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+/–
	Сообщение от n00by (ok), 06-Июн-23, 06:53
	>> В адресное пространство каждого процесса, взявшего на себя обязанность загружать модули? > Нуб, ты чего? Это работает так: читаешь файл с диска, грузишь модуль > в память, ну и натравливаешь вон тот ядерный сискол на свой > буфер -> модуль попадает в ядро, если это получилось. Хотел ли > это изначально вообще процесс, или это эксплойт какой, или специальная хакерская > прога - да в общем то возможны разные варианты. И то > что САБЖ этот механизм пролюбил это полное ололо для wannabe-улучшителя безопасности > в системе. Так а как ещё ему объяснить, что по условию задачи модуль попадать в ядро не должен? > Правда как мне кажется SELINUX делался в основном потому что в таком > топике как "информационная безопасность" - бывают, внезапно, характерные регламенты. > О чем догадываются все у кого например был предмет "информационная безопасность", > ну там в вузе, или по своему интересу. И если там > написано "трава должна быть зеленой, а контроль доступа мандатным" - ну, > вот вам банка с краской, а вот SELINUX, извольте. У официалов > информационная безопасность достаточно бюрократизированный топик. А compliance не пустой > звук в т.ч. и у амеров. Ну вот оно кажись больше > инструмент комплайнса чем реальной защиты. То есть в ТЗ в одном из пунктов указали "запретить загрузку модулей". Исполнитель это прочёл, для одного случая создал правило, а потом пошёл пить кофе и забыл? И за ним никто не проверил? :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	145. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."	+/–
	Сообщение от Аноним (-), 07-Июн-23, 04:01
	> Так а как ещё ему объяснить, что по условию задачи модуль попадать > в ядро не должен? В принципе и другие способы запрета этого есть, если оно реально надо. А забавно тут то что SElinux проявил несколько менее паранои в части Systems SEcurity чем от секурити-экспертов ожидается. Для лично себя - я не запрещаю вгруз модулей, но там FORCE на проверку подписей и вот именно лично мой ключ. У меня то он есть. Хорошо когда система работает на меня. А если у вон тех нету, они и пролетают, соответственно. Если хочется пожестче, есть /proc/sys/kernel/modules_disabled - если записать туда 1, загрузка новых модулей отвалится до ребута. При этом после старта системы когда все взлетело, можно быренько это дело врубать - обувая атакующих на это дело вообще. В цать раз проще SELinux и более эффективно. Но может потребовать ребут потом если нечто новое все же потребовалось. А совсем злобный вариант - собрать ядро без поддержки модулей. Но это неудобно. Однако давно известно что чем удобнее тем хуже безопасность. > То есть в ТЗ в одном из пунктов указали "запретить загрузку модулей". Видимо да, иначе не понятно в чем прикол отрубить хвост именно наполовину. > Исполнитель это прочёл, для одного случая создал правило, а потом пошёл > пить кофе и забыл? И за ним никто не проверил? :) А кто его знает. После юного д@лб@"№а сливающего секретные доки в дискорд я ничему такому не удивлюсь. p.s. и кстати из-за непоседы Кента и его ФС как-то попало под внимание... то что модули априори нарушают W^X: это by design новые аллокации, выполняющие код. А кроме этого есть еще не менее 3 сценариев когда хотят динамически сгенерить код. И вот кент еще - для перфоманса файлухи. В результате из-за Кента досталось и mm, и блокировкам (locks) и чему-то еще, например: https://lore.kernel.org/lkml/ZH0EseWI9F1n9yJx@moria.hom.../ - на правах хинта шишкину и ко как оно на самом деле надо было, если в майнлайн хочется. И в результате дискуссий, на самом деле, половина работы было спихана на айбиэмщика, еще кого-то и проч. А Кент приближается к желаемым точкам в своем квесте.
	Ответить \| Правка \| Наверх \| Cообщить модератору