Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от opennews (??), 09-Окт-23, 23:50 | ||
Компания Canonical объявила о внесении в Ubuntu 23.10 изменений, ограничивающих доступ пользователей к пространствам имён идентификаторов пользователя (user namespace), что позволит повысить защищённость систем, использующих контейнерную изоляцию, от уязвимостей, для эксплуатации которых необходимы манипуляции с user namespace. По данным Google, 44% эксплоитов, участвующих в программе по выплате денежных вознаграждений за выявление уязвимостей в ядре Linux, требуют наличия возможности создания пространств имён идентификаторов пользователя... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
2. "Ubuntu ограничит доступ к user namespace" | –3 +/– | |
Сообщение от Аноним (2), 09-Окт-23, 23:53 | ||
Может они когда-нибудь исправят ужасный suid? | ||
Ответить | Правка | Наверх | Cообщить модератору |
3. "Ubuntu ограничит доступ к user namespace" | +5 +/– | |
Сообщение от swarus (ok), 10-Окт-23, 00:13 | ||
зачем, не используй его и всё | ||
Ответить | Правка | Наверх | Cообщить модератору |
75. "Ubuntu ограничит доступ к user namespace" | +1 +/– | |
Сообщение от noc101 (ok), 11-Окт-23, 04:32 | ||
а ныть как? | ||
Ответить | Правка | Наверх | Cообщить модератору |
10. "Ubuntu ограничит доступ к user namespace" | +4 +/– | |
Сообщение от Аноним (10), 10-Окт-23, 05:46 | ||
Исправил, не благодари: https://www.opennet.dev/openforum/vsluhforumID3/131681.html#157 | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
4. Скрыто модератором | –7 +/– | |
Сообщение от scriptkiddis (?), 10-Окт-23, 00:53 | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. "Ubuntu ограничит доступ к user namespace" | +1 +/– | |
Сообщение от DeerFriend (?), 10-Окт-23, 01:06 | ||
Напомните, зачем гуглу этот доступ нужно оставлять? | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Bob (??), 10-Окт-23, 03:14 | ||
Other applications, such as Google Chrome make use of namespaces to isolate its own processes which are at risk from attack on the internet. | ||
Ответить | Правка | Наверх | Cообщить модератору |
11. "Ubuntu ограничит доступ к user namespace" | –1 +/– | |
Сообщение от Аноним (10), 10-Окт-23, 05:56 | ||
Вкладки браузера изолируются через user namespaces. | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
71. "Ubuntu ограничит доступ к user namespace" | +1 +/– | |
Сообщение от Аноним (71), 11-Окт-23, 01:51 | ||
В чём я не прав? Хоть бы аргументировали минусы, что ли. Мне всё равно, а окружающих в заблуждение вводите, господа эксперты. | ||
Ответить | Правка | Наверх | Cообщить модератору |
22. "Ubuntu ограничит доступ к user namespace" | +1 +/– | |
Сообщение от Аноним (22), 10-Окт-23, 09:27 | ||
> Напомните, зачем гуглу этот доступ нужно оставлять? | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
38. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Всем Анонимам Аноним (?), 10-Окт-23, 12:04 | ||
Если вам не нравится изоляция одной вкладки от другой, то выключите это просто | ||
Ответить | Правка | Наверх | Cообщить модератору |
68. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от yet another anonymous (?), 10-Окт-23, 22:45 | ||
А дело не "нравится/не нравится". А в пропихивании всеми доступными и не очень способами принципиально ущербных подходов с последующей выборочной "изоляцией". Почти все довольны: выпуск очень нужных обновлений от истинных вендоров, сложность сопровождения --- сертфицированные дорогие обслуживатели, нужные люди про технологические отверстия в курсе, ну и т.д., все при деле. | ||
Ответить | Правка | Наверх | Cообщить модератору |
47. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от КО (?), 10-Окт-23, 12:35 | ||
Кто платит - того и ботинки | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
9. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Аноним (9), 10-Окт-23, 05:06 | ||
> возможность создавать user namespace при наличии профиля AppArmor | ||
Ответить | Правка | Наверх | Cообщить модератору |
19. "Ubuntu ограничит доступ к user namespace" | +1 +/– | |
Сообщение от пох. (?), 10-Окт-23, 09:02 | ||
Так тебе понимать ничего и не надо. Она просто будет через пару промежуточных итераций - работать. | ||
Ответить | Правка | Наверх | Cообщить модератору |
21. "Ubuntu ограничит доступ к user namespace" | –1 +/– | |
Сообщение от Аноним (22), 10-Окт-23, 09:25 | ||
> Так тебе понимать ничего и не надо. Она просто будет через пару | ||
Ответить | Правка | Наверх | Cообщить модератору |
49. "Ubuntu ограничит доступ к user namespace" | +2 +/– | |
Сообщение от Аноним (49), 10-Окт-23, 13:15 | ||
Да забей на AppArmor. Просто используй SELinux. | ||
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору |
12. "Ubuntu ограничит доступ к user namespace" | +1 +/– | |
Сообщение от academiq (ok), 10-Окт-23, 06:08 | ||
Есть ли нечто подобное для SELinux? Или это чисто решение (выборочное ограничение user namespace) для AppArmor? | ||
Ответить | Правка | Наверх | Cообщить модератору |
13. "Ubuntu ограничит доступ к user namespace" | +1 +/– | |
Сообщение от Аноним (10), 10-Окт-23, 06:17 | ||
Ну, CAP_SYS_ADMIN должно быть можно выборочно заблокировать. | ||
Ответить | Правка | Наверх | Cообщить модератору |
67. "Ubuntu ограничит доступ к user namespace" | +1 +/– | |
Сообщение от пох. (?), 10-Окт-23, 22:43 | ||
> Ну, CAP_SYS_ADMIN должно быть можно выборочно заблокировать. | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от OpenEcho (?), 10-Окт-23, 11:34 | ||
РТФМ setcap и | ||
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору |
33. "Ubuntu ограничит доступ к user namespace" | –5 +/– | |
Сообщение от Аноним (33), 10-Окт-23, 11:43 | ||
> Есть ли нечто подобное для SELinux? | ||
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору |
44. "Ubuntu ограничит доступ к user namespace" | +4 +/– | |
Сообщение от Аноним (44), 10-Окт-23, 12:23 | ||
нужно просто перекомпилить ядро с отключенной опцией MULTIUSER. Тогда в линуксе кроме рута ничего не будет, совсем как в MS-DOS! | ||
Ответить | Правка | Наверх | Cообщить модератору |
79. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Пряник (?), 17-Окт-23, 11:39 | ||
Анонимус научился выполнять menuconfig. Как мило! | ||
Ответить | Правка | Наверх | Cообщить модератору |
51. "Ubuntu ограничит доступ к user namespace" | –2 +/– | |
Сообщение от пох. (?), 10-Окт-23, 13:45 | ||
> Есть ли нечто подобное для SELinux? | ||
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору |
18. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Аноним (18), 10-Окт-23, 09:02 | ||
К чему эти нежности? Нужно просто запретить пользователю включать компьютер. | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от OpenEcho (?), 10-Окт-23, 11:36 | ||
> К чему эти нежности? Нужно просто запретить пользователю включать компьютер. | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от onanim (?), 10-Окт-23, 09:18 | ||
думаю, речь идёт об kernel.unprivileged_userns_clone, который во всех нормальных дистрибутивах по умолчанию выключен, и только в убунте включён, и для которого уже штук 20 local privilege escalation эксплоитов написано. | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Ubuntu ограничит доступ к user namespace" | +2 +/– | |
Сообщение от Аноним (10), 10-Окт-23, 10:13 | ||
Как раз, наоборот. Включен по умолчанию. Отключен только на hardened-ядрах и в некоторых дистрибутивах, которые никто как десктоп использовать не планировал. | ||
Ответить | Правка | Наверх | Cообщить модератору |
27. "Ubuntu ограничит доступ к user namespace" | –3 +/– | |
Сообщение от Аноним (27), 10-Окт-23, 10:39 | ||
Ну всё понятно, Убунту под предлогом "безопасности" упрощает жизнь малвари. Видно, кто оплатил услуги, и для чего. | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Аноним (44), 10-Окт-23, 11:19 | ||
> речь идёт об kernel.unprivileged_userns_clone, который во всех нормальных дистрибутивах по умолчанию выключен | ||
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору |
52. "Ubuntu ограничит доступ к user namespace" | –1 +/– | |
Сообщение от Аноним (52), 10-Окт-23, 13:46 | ||
> Во-первых, это устаревший sysctl | ||
Ответить | Правка | Наверх | Cообщить модератору |
55. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Аноним (44), 10-Окт-23, 14:08 | ||
> > Во-первых, это устаревший sysctl | ||
Ответить | Правка | Наверх | Cообщить модератору |
23. "Ubuntu ограничит доступ к user namespace" | +2 +/– | |
Сообщение от Аноним (23), 10-Окт-23, 09:44 | ||
Короче, линукс идёт дорогой андроида - всё больше огораживаний. Лет через пять отберут рут - небезопасно же... | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Аноним (10), 10-Окт-23, 10:17 | ||
> Лет через пять отберут рут - небезопасно же... | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Anonim (??), 10-Окт-23, 10:22 | ||
И как в этой ситуации обходите "нажмите Ctrl-D или введите пароль root"?? Или у профи таких ситуаций не бывает? | ||
Ответить | Правка | Наверх | Cообщить модератору |
57. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от И это очень хороший вопрос (?), 10-Окт-23, 17:41 | ||
а действительно, как? | ||
Ответить | Правка | Наверх | Cообщить модератору |
58. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от пох. (?), 10-Окт-23, 19:07 | ||
Да просто - переустановил винд...э...линoops и живет дальше. | ||
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору |
74. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Аноним (71), 11-Окт-23, 02:19 | ||
За 15 лет свой Арч только один раз переустанавливал, когда сносил дуалбут с Виндой и объединял разделы в один (LUKS+Btrfs). | ||
Ответить | Правка | Наверх | Cообщить модератору |
73. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Аноним (71), 11-Окт-23, 02:15 | ||
Забыл ещё в /etc/sudoers{,.d/*} проверить наличие "%wheel ALL=(ALL:ALL) ALL". | ||
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору |
32. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Аноним (33), 10-Окт-23, 11:42 | ||
Скоро закроют всё кроме /home/username и sudo запретят. | ||
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору |
35. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от pic (?), 10-Окт-23, 11:55 | ||
Уже. Fedora Silverblue, Vanilla OS, Endless OS, и Ubuntu (GNOME) через 4 релиза. | ||
Ответить | Правка | Наверх | Cообщить модератору |
31. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Аноним (33), 10-Окт-23, 11:40 | ||
Какого шлака только не понапридумывали лишь бы не использовать стандартные права на запись,чтение,исполнение файлов. | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "Ubuntu ограничит доступ к user namespace" | +1 +/– | |
Сообщение от Аноним (44), 10-Окт-23, 11:53 | ||
Какого шлака только не понапридумывали лишь бы не использовать MS-DOS где можно было не задумываться по поводу прав | ||
Ответить | Правка | Наверх | Cообщить модератору |
36. "Ubuntu ограничит доступ к user namespace" | +1 +/– | |
Сообщение от Аноним (33), 10-Окт-23, 11:57 | ||
Я бы с удовольствием использовал MS-DOS если бы это было уместно в нынешних реалиях. | ||
Ответить | Правка | Наверх | Cообщить модератору |
37. "Ubuntu ограничит доступ к user namespace" | –1 +/– | |
Сообщение от Аноним (44), 10-Окт-23, 11:58 | ||
Я бы с удовольствием использовал стандартные права на запись,чтение,исполнение файлов если бы это было уместно в нынешних реалиях. | ||
Ответить | Правка | Наверх | Cообщить модератору |
40. "Ubuntu ограничит доступ к user namespace" | +3 +/– | |
Сообщение от 12yoexpert (ok), 10-Окт-23, 12:05 | ||
повысить безопасность позволит выпиливание к хренам контейнеров | ||
Ответить | Правка | Наверх | Cообщить модератору |
56. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Kuromi (ok), 10-Окт-23, 16:06 | ||
"Вместо полной блокировки доступа к user namespace в Ubuntu применена гибридная схема, выборочно оставляющая некоторым программам возможность создавать user namespace" | ||
Ответить | Правка | Наверх | Cообщить модератору |
60. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от пох. (?), 10-Окт-23, 20:07 | ||
> "Вместо полной блокировки доступа к user namespace в Ubuntu применена гибридная схема, | ||
Ответить | Правка | Наверх | Cообщить модератору |
61. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Kuromi (ok), 10-Окт-23, 20:22 | ||
>> "Вместо полной блокировки доступа к user namespace в Ubuntu применена гибридная схема, | ||
Ответить | Правка | Наверх | Cообщить модератору |
62. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от пох. (?), 10-Окт-23, 20:27 | ||
> Разработчики браузера используют максимум фич им доступных, почему бы и нет? | ||
Ответить | Правка | Наверх | Cообщить модератору |
63. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Аноним (27), 10-Окт-23, 20:41 | ||
Конкретно эта не особо, механизм изоляции работает таким образом, что получить дополнительные права не получится. Рут несколько раз был у приложений, которые используют права виртуального рута в неймспейсе. | ||
Ответить | Правка | Наверх | Cообщить модератору |
64. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от пох. (?), 10-Окт-23, 20:56 | ||
так весь фокус в том что в неймспейсе у тебя сброшены (в смысле - в исходное состояние, даже если были посброшены до clone) capabilities, и рут там тоже вполне себе может быть - причем для создания такого рута не надо иметь прав рута в системе. | ||
Ответить | Правка | Наверх | Cообщить модератору |
65. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Аноним (27), 10-Окт-23, 21:25 | ||
Так это значит, что уже есть возможность исполнять произвольный код и создавать свои неймспейсы. Но например доступа в сеть в изолированном неймспейсе не появится, придётся для начала сбежать и получить права вне изоляции. При этом, песочницы изолируют gpu-процесс, исполняющий рандомные шейдеры, у которых в противном случае будет слишком много прав (привет майнеры). И обычно контентный тоже (привет libvpx). Что является более актуальным. | ||
Ответить | Правка | Наверх | Cообщить модератору |
66. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от пох. (?), 10-Окт-23, 22:41 | ||
> Так это значит, что уже есть возможность исполнять произвольный код и создавать | ||
Ответить | Правка | Наверх | Cообщить модератору |
69. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от yet another anonymous (?), 10-Окт-23, 22:58 | ||
Действительно, настойчивое проталкивание wayland-only --- с доступом к GPU и около --- начинает играть новыми красками ;) | ||
Ответить | Правка | Наверх | Cообщить модератору |
70. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Аноним (27), 11-Окт-23, 00:16 | ||
Так у кода в браузере есть только возможность исполнять жс/вебассембли, это не то же самое, что дёргать произвольный код в произвольных либах. Эксплуатация уязвимостей значительно усложняется. Альтернатива неймспейсам это суидный рутовый бинарь. Ну, либо вообще, твори, что желаешь. | ||
Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору |
72. "Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от Аноним (71), 11-Окт-23, 01:58 | ||
https://github.com/containers/bubblewrap/blob/main/bubblewrap.c | ||
Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |