The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Ошибка в LSM-модуле Landlock позволяла заново получить сброшенные привилегии"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Ошибка в LSM-модуле Landlock позволяла заново получить сброшенные привилегии"  +/
Сообщение от opennews (?), 29-Июл-24, 07:57 
Янн Хорн (Jann Horn) из команды Google Project Zero, в своё время выявивший уязвимости Spectre и Meltdown, нашёл логическую ошибку в реализации модуля безопасности Linux (LSM) Landlock, позволяющую программе получить обратно уже сброшенные привилегии, в случае наличии у программы доступа к системным вызовам fork() и keyctl()...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61619

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +5 +/
Сообщение от полуржавчина (?), 29-Июл-24, 07:57 
не прокатила закладка, кто там авторы?
Ответить | Правка | Наверх | Cообщить модератору

2. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Аноним (2), 29-Июл-24, 08:06 
Сервисмены ограниченные жопаруки. Не надо выдавать каждую глупость за хитрый плпн.
Ответить | Правка | Наверх | Cообщить модератору

4. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +5 +/
Сообщение от Аноним (4), 29-Июл-24, 09:13 
О да Jin Tan тоже допустил глупость, чего сразу миллион новостей по ней выпустили?
Ответить | Правка | Наверх | Cообщить модератору
Часть нити удалена модератором

19. Скрыто модератором  +/
Сообщение от Аноним (2), 29-Июл-24, 13:56 
Ответить | Правка | Наверх | Cообщить модератору

18. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +3 +/
Сообщение от Аноним (-), 29-Июл-24, 13:51 
> О да Jin Tan тоже допустил глупость, чего сразу миллион новостей по ней выпустили?

Как раз то что расследование инцидента показало что - это не глупость а злонамеренный мутный код. Откуда и фурор.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

20. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +1 +/
Сообщение от Аноним (4), 29-Июл-24, 14:31 
Это тебе в новостях так сказали, а сам головой подумать ты не пытался. В сабже никто ничего не расследовал, значит можно расслабиться?
Ответить | Правка | Наверх | Cообщить модератору

25. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Аноним (-), 29-Июл-24, 15:15 
> Это тебе в новостях так сказали, а сам головой подумать ты не
> пытался. В сабже никто ничего не расследовал, значит можно расслабиться?

Что мне в новостях сказали? Что некий х..рен попробовал нечто левое - засыпался - и - treason uncloaked? Оок, и это плохо, недостоверно, и проч - потому что что? :) И что я должен придумать головой? Что энные типы могут и бэкдор внедрить? Ну а вот для этого и нужны тысячи глаз, чтобы это все неповадно было.

И хотя тут кто-то пиндит что опенсорс благодатное поле, по логике вещей пропреитарь намного благодатнее - там случайные васяны в код не смотрят и шансы палива - ниже. По логике вещей.

Ответить | Правка | Наверх | Cообщить модератору

31. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +1 +/
Сообщение от Fyjy (-), 29-Июл-24, 16:06 
>> Это тебе в новостях так сказали, а сам головой подумать ты не
>> пытался. В сабже никто ничего не расследовал, значит можно расслабиться?
> Ну а вот для этого и нужны тысячи глаз, чтобы это все неповадно было.

Прошло пять лет и наконец-то тысячный глаз смог заметить что-то неладное!

> И хотя тут кто-то пиндит что опенсорс благодатное поле, по логике вещей пропреитарь намного благодатнее - там случайные васяны в код не смотрят и шансы палива - ниже. По логике вещей.

Неа. Проприетарь хоть как-то отвечает, за то что делает.
Так к мелкомягким могут прийти люди в черном и спросить "какого собственно буя из-за вашего овнокода (сертифицированного кстати) у нас прон с сенатором в сеть утек?".
А в попенсорсе тут анархия и никто, никому, ничего не должен.
Ну что ты возьмешь с васяна который закоммитил выход за пределы буфера? Уволишь?
А он и так бесплатно работает как умеет.

В некоторых случаях, как в примере с ХЗ, разработчики вообще хз с кем они работают.
Паспорт же на входе не проверяют)

Ответить | Правка | Наверх | Cообщить модератору

36. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Секьюрити Сру Наулице (?), 29-Июл-24, 19:04 
> Прошло пять лет и наконец-то тысячный глаз смог заметить что-то неладное!

Прошло пять лет и этой функцией решили воспользоваться, и заметили неладное.

> Проприетарь хоть как-то отвечает, за то что делает.

Никак не отвечает. Заглатываешь "AS{S,} IS". За свой счет. Ещё и настаивает, чтобы штаны спускал для установки зонда и ладошкой не прекрывался для своего же блага.

> А в попенсорсе тут анархия и никто, никому, ничего не должен.

Как и везде. Только это называется не "анарxия", а "lib-ная demo-тия". Любой дурак может выбрать любого подлеца по вкусу. Правда выбирает он, почему-то, всегда одного и того же, с самым большим рекламным бюджетом. Поколение кваса, например, выбирает эргономичные зонды компании "Маленький и Мягкий". "Спешите! Предложение ограниченно, уходя ухожу с минуты на минуту вот уже третий год! И всё никак не уйдусь! Мы всегда заботимся, чтобы дорогие рос-яне успели на последний вагон уходящего казино!"

Ответить | Правка | Наверх | Cообщить модератору

37. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Аноним (-), 29-Июл-24, 19:17 
> Никак не отвечает. Заглатываешь "AS{S,} IS". За свой счет. Ещё и настаивает, чтобы штаны спускал для установки зонда и ладошкой не прекрывался для своего же блага.

Ха, ты просто не видел контракты которые "не для плебса".
Там тебе будет и SLA где каждая девятка после запятов может увеличивать стоимость в 10 раз, и команда поддержки которая дежурит 24/7 и прочие вкусности.

Кроме того, если в проприетарный продук добавят лишний бекдор, то хотя бы есть с кем судиться.
Более того полиция получит все о сотруднике, начиная от паспортных данных, до ʼсколько пончиков он ел на ланчʼ.
А про анонимных опенсорсеров ты получишь кукишь с маслом,  Jia Tan может это подтвердить.

ps не то что мне было бы сильно интересно, так в рамках наблюдения за девиантами, почему у вашей братии постоянно речь про зонды? Причем исключительно которые в зад засовываются?
Это какая-то болезнь? Или неудовлетворенные фетиши?


Ответить | Правка | Наверх | Cообщить модератору

38. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Аноним (38), 29-Июл-24, 19:45 
> Ха, ты просто не видел контракты которые "не для плебса".

Ага, банкам что-то не сильно помогло. Наверное, недостаточно патрициальными оказались. Или плохо договор читали, спешили подписать, на радостях, что господин озарил их вниманием.

> Кроме того, если в проприетарный продук добавят лишний бекдор, то хотя бы есть с кем судиться.

Не бекдор, а непредумышленная ошибка. А теперь, будь добр, оплати-ка все судебные издержки всех сторон процесса, после третьего удара молотка. Продано!

> полиция получит

Отворот поворот с той стороны границы. Не факт, что добьешься даже внутреннего расследования. На усмотрение господина, если будет в настроении.

> почему у вашей братии постоянно речь про зонды?

Стараюсь говорить на понятном вашей корпоративной "семье" языке. С уважением к донам, их "семейным" ценностям и традициям.

> Причем исключительно которые в зад засовываются?

А что, теперь зонды ещё куда-то засовываются? Молодцы, расширяете ассортимент.

Ответить | Правка | Наверх | Cообщить модератору

40. Скрыто модератором  +/
Сообщение от Аноним (-), 29-Июл-24, 21:49 
Ответить | Правка | Наверх | Cообщить модератору

46. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от User (??), 30-Июл-24, 13:25 
Да-да, а "ответственность сторон" при этом - сюрприиз! Вот ровно тот же as is. Ну, еще обещание что "нипачинити - мы вам СЛЕДУЮЩИЙ РАЗ саппорт не купим!!!111 (на самом деле - все равно купим, но)".
Из того, что я реально видел - разве что вариант со страховкой, в которой вот явным образом прописан ущерб в том числе и от проблем с софтом - но к этому варианту разработчик софта отношения почитай что и не имеет.
Такие дела.

P.S. Что не отменяет in general значительно более высокого качества проприетарного софта.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

41. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от noc101 (ok), 29-Июл-24, 21:52 
По правде говоря, что те, что те, не несут прямой ответственности. Всё на свой страх и риск. О чем они пишут во всех лицензиях.
Единственное, проприетарщики отвечают баблом своим, если начнут гнать совсем пургу, то продажи упадут.
И в редких случаях, когда уж совсем совсем совсем совсем прям вот совсем в край офигели и целенаправленно творят дичь, тогда могут придти и по жопе дать.
такое бывает только если будет умысел, а не баг.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

42. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Аноним (-), 29-Июл-24, 22:18 
> Прошло пять лет и наконец-то тысячный глаз смог заметить что-то неладное!

Ну дык. А вон у той проприетарщины ntfs.sys как летал в бсод так и летает. Начиная с nt4 минимум.

> Неа. Проприетарь хоть как-то отвечает, за то что делает.

А почему тогда в EULA написано "as is" по жизни? Если почитать EULA, в 2 словах, там написано "мы - боги, вы - слизняки, [x] вы согласны, а если нет - не пользуйтесь нашим божественным софтом".

> Так к мелкомягким могут прийти люди в черном и спросить "какого собственно
> буя из-за вашего овнокода (сертифицированного кстати) у нас прон с сенатором в сеть утек?".

И как, много спрашивали то? Ну вон у msblast штук 5 реинкарнций было - в 1 и том же lsass несчастном. Так что это вообще в корпоративных сетях годами замочить не могли. Куда люди в черном смотрели, спрашивается? А, были заняты - пытались свои сети от него отчистить? :)

> Ну что ты возьмешь с васяна который закоммитил выход за пределы буфера?
> Уволишь? А он и так бесплатно работает как умеет.

А что с раджи в майкрософте возьмешь? Он генерил гамнокод под запросы манагера, и его вообще ничерта не интересует кроме как чеклист поставить да чтоб от него отъ... с этим поскорее. Ведь чем больше чеклистов тем больше шансов премию срубить. Ну и что что нагамнякал, кто там потом разберется, а даже если - он уже работу три раза сменит на более оплачиваемую.

> В некоторых случаях, как в примере с ХЗ, разработчики вообще хз с
> кем они работают. Паспорт же на входе не проверяют)

А что мне так по жизни даст знание что вон тот раджа насредин нагамнякал? Ну нагамнякал, и теперь чего?

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

50. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Онанимб (?), 31-Июл-24, 07:20 
>ntfs.sys как летал в бсод так и летает. Начиная с nt4 минимум.
>msblast

Познания в винде начала 2000-х годов.
Ни разу за десятки лет, ни в одной из версий винды не ловил бсод от драйвера ФС. Как вы это делаете?

Ответить | Правка | Наверх | Cообщить модератору

52. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Аноним (-), 31-Июл-24, 21:28 
> Познания в винде начала 2000-х годов.
>  Ни разу за десятки лет, ни в одной из версий винды
> не ловил бсод от драйвера ФС. Как вы это делаете?

Попробуйте зацепить рушеный том - после например битой RAM. У хомячков очень интересные морды когда на ДРУГОМ компе с виндой, даже другой версии - тоже не цепляется, и тоже улетает в бсод. Такая паника сразу прикольная. Ну а вот под линухом это обычно таки - читается. Во всяком случае, большая часть. Без откровенного out of bounds доступа в память в отличие от того кода махровой индусни.

А если еще попробовать ворочать иерархией размером с Linux Kernel - можно заметить что NTFS вместе с виндой так то довольно тормозные штуки в файловых операциях. Технологии ФС прямо из середины девяностых прошлого века, топчик и инновации, аж два раза.

Ответить | Правка | Наверх | Cообщить модератору

17. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  –2 +/
Сообщение от Аноним (-), 29-Июл-24, 13:50 
> не прокатила закладка, кто там авторы?

Вот конкретно сабж - очень странная штука для именно закладок. Это опциональный модуль, где программы могут добровольно (!!!) скинуть прва которые не считают нужными, для улучшения безопасности.

И пихать бэкдор в вот имнено такую штуку - вообще странная идея. Это дополнительное средство укрепления безопасности, не более. Автыри просто продолбались в сложных взаимодействиях, и уйдя в лес - заблудились, продолбав пару вариантов как это может быть, и оказалось что они несколько вариантов взаимодействий тупо не предусмотрели. И программа может получить сброшенные права назад. Заметьте: эти права у программы уже были. Просто "sandboxing fail" получился.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

21. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +4 +/
Сообщение от Аноним (4), 29-Июл-24, 14:32 
Не приходила в голову мысль что дополнительную безопасность будут делать только для очень специальных задач и иметь именно там дыру это лакомый кусочек?
Ответить | Правка | Наверх | Cообщить модератору

24. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  –1 +/
Сообщение от Аноним (-), 29-Июл-24, 15:12 
> Не приходила в голову мысль что дополнительную безопасность будут делать только для
> очень специальных задач и иметь именно там дыру это лакомый кусочек?

Нет, не приходило - сейчас это делают вообще все нормальные люди. Это уже давно - best practices. Даже какой-нибудь дебиан seccomp'ом и не только отпиливает системные сервисы - по дефолту. А это еще 1 приблуда на эту тему. Сейчас вам не 1990.

Ответить | Правка | Наверх | Cообщить модератору

44. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +1 +/
Сообщение от AKTEON (?), 30-Июл-24, 02:33 
Ну раз все делают, то и место для закладки удобное, популярное ...Хе-хе
Ответить | Правка | Наверх | Cообщить модератору

48. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Аноним (48), 31-Июл-24, 01:35 
> Ну раз все делают, то и место для закладки удобное, популярное ...Хе-хе

Landlock относительно нишевая штука, топовые дистры им по дефолту не пользуются. Хотя я так смотрю, у вас удобная позиция - какой вариант не выбери, а всегда только ваша точка зрения правильная. Так бэкдор - потому что попса. А так - потому что не попса. Вау.

Манипулятивные паттерны - это как-то так. И кстати как вы уже заметили, в эту игру могут играть и двое. Treason uncloaked :)

Ответить | Правка | Наверх | Cообщить модератору

23. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +1 +/
Сообщение от Аноним (23), 29-Июл-24, 15:11 
что-то объяснять местному анонимосу бесполезно, признавать ошибки, узнавать что-то новое, учится на конец, это не про них
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

5. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Аноним (4), 29-Июл-24, 09:14 
Что характерно исправлено, но не бекпортироапно, поче у? Опять случайность и никто на виноват?
Ответить | Правка | Наверх | Cообщить модератору

7. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +1 +/
Сообщение от Аноним (-), 29-Июл-24, 09:46 
Хм, а разве бекпортом не должны заниматься васяны, которые до сих пор сидят на некроверсии?
Ну типа "я у себя исправил, а если вам сильно надо - то вот код, сами сидите и бекпортите".
Потому что ну его, бекпортить во все древние версии.
Ответить | Правка | Наверх | Cообщить модератору

8. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Аноним (4), 29-Июл-24, 09:54 
Ну как тебе сказать. Если бы они действительно хотели безопасности то бекпортировали. Не по все, но хотябы в дом и туда где есть поддержка.
Ответить | Правка | Наверх | Cообщить модератору

11. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Аноним (11), 29-Июл-24, 10:43 
Ну такое.
Это же не просто нужно код перенести. Это надо еще протестировать.
И я думаю что этим должны заниматься все-таки создатели-мейнтенеры компонента.
Т.к их экспертиза скорее всего больше.
Ответить | Правка | Наверх | Cообщить модератору

28. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Аноним (23), 29-Июл-24, 15:29 
Кто они? Ян Хорн просто закоммитил исправление ошибки в дев ветку ядра.  Остальные пока не в курсе за “уязвистоть”, оно ещё за уязвимость ни кем кроме анонов с опеннета не признано. Замечу, исправление не критичных багов в старые ядра не бэкпортят.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

32. Скрыто модератором  +/
Сообщение от Аноним (4), 29-Июл-24, 16:13 
Ответить | Правка | Наверх | Cообщить модератору

54. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Dima (??), 02-Авг-24, 04:14 
а ты когда сразу в продакшен хреначешь? :)
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

6. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Анониим (?), 29-Июл-24, 09:33 
заново?
Ответить | Правка | Наверх | Cообщить модератору

9. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Аноним (4), 29-Июл-24, 09:56 
Я понял обнаружил один васян. А тот который вставил уязвимость для отчёта поправил в мейнлайне и все с его стороны пуля вылетела. Будет делать новый выход с прогибом.
Ответить | Правка | Наверх | Cообщить модератору

34. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +2 +/
Сообщение от дохтурЛол (?), 29-Июл-24, 17:58 
не нужны не только запятые но и точки и заглавные буквы просто пишешь всё как есть и пусть там сами разбираются кому где надо а кому не надо пусть не разбираются у нас же не принудиловка всё таки васян васяну рознь и всё такое мало ли кто насколько грамотен или не очень с той стороны то будет другой человек у него же тоже свой уровень грамотности
Ответить | Правка | Наверх | Cообщить модератору

10. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +1 +/
Сообщение от Соль земли (?), 29-Июл-24, 10:29 
Видимо так закладки и добавляют. Прикидываются плохими программистами. В OpenSource для этого раздолье.
Ответить | Правка | Наверх | Cообщить модератору

13. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +2 +/
Сообщение от AKTEON (?), 29-Июл-24, 12:13 
А это -идейа - строго спросить с создателей всякой  Astra Linux почему не предотвратили и провести большой процесс программистов-вредителей.
Ответить | Правка | Наверх | Cообщить модератору

14. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +1 +/
Сообщение от Аноним (-), 29-Июл-24, 12:59 
>  почему не предотвратили

Потому что были в сговоре с буржуинами-шпийонами!
Возможно это тянет как минимум на сотрудничество с иностранными агентами. А как максимум на госизмену!

Ответить | Правка | Наверх | Cообщить модератору

16. Скрыто модератором  +/
Сообщение от Аноним (4), 29-Июл-24, 13:48 
Ответить | Правка | Наверх | Cообщить модератору

47. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от User (??), 30-Июл-24, 13:28 
Как только касперский свой "большой полосатый мух" выпустит - вот так сразу и.
Ну или не касперский, а "любая-другая-альтернатива-не-на-вашем-линуксе". Ну, примерно как с VK и блокировкой тытрупа, ага.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

26. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +1 +/
Сообщение от Аноним (23), 29-Июл-24, 15:19 
да какая же это уязвимость! у неё да же CVE’гки нет! так, бага, не более.
Ответить | Правка | Наверх | Cообщить модератору

33. Скрыто модератором  +/
Сообщение от Аноним (4), 29-Июл-24, 16:14 
Ответить | Правка | Наверх | Cообщить модератору

29. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Аноним (29), 29-Июл-24, 15:48 
Это ещё что! Я вот обнаружил, что firejail сбрасывает apparmor-профиль на свой стандартный вместо того, чтобы накладывать свой стандартный поверх сконфигурированного в apparmor.d, усиливая защиту, как от неё ожидается (я крайне удивлён что она работает не таким образом).

Также:
1. якобы имеется поддержка landlock, но есть нюанс
2. вообще по идее firejail должна сама конвертировать свои профили в профили apparmor и landlock


Также прошу знающих товарищей объяснить объяснить, нафига вообще придумали отдельный landlock, если могли бы расширить apparmor всеми нужными фичами (в частности неотменяемостью) и позволить приложениям добавлять дополнительный профиль поверх системного для своего процесса и его детей?

Ответить | Правка | Наверх | Cообщить модератору

30. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +1 +/
Сообщение от Аноним (30), 29-Июл-24, 15:54 
apparmor - кривое поделие, применяется в таких убогих дистрибутивах Linux как Ubunru и SUSE

нафига нужен apparmor, когда есть божественный SELinux от американского правительства!

Ответить | Правка | Наверх | Cообщить модератору

35. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Секьюрити Сру Наулице (?), 29-Июл-24, 18:41 
Вот это открытие! Автомобиль в студию!

AppArmor работает с путями by design. (В отличие от SELinux, который использует compile-time метки.) Если программа запускается другим процессом, например, как через shell-скрипт или как аргумент для /bin/firejail, то и профиль применяется соответствующий -- этого процесса. Нужно в его apparmor-профиле явно указать смену профиля для дочерних процессов на их глобальные профили (Px) или дочерние (Cx), которые тут же определить.
Но в программах изоляции (firejail, bubblewrap) обычно явно блокируется смена привилегий для дочерних процессов (man 2const PR_SET_NO_NEW_PRIVS), иначе с MAC-профилем будет хуже, чем без. Если не ошибаюсь, у firejail nonewprivs отключаем в настройках, а в aa-профили можно насовать flags=(attach_disconnected). Но это всё одна большущая дырень. Уж лучше отключить в его настройках поддержку AppArmor, и позволить тому самостоятельно применять глобальные профили из /etc/apparmor.d к дочерним процессам песочницы. Тогда очень желательно брать firejail без SUID. Из-за чего отвалится большая часть его функций, и станет разумнее использовать bubblewrap (тоже без SUID), с меньшей кодовой базой и, следовательно, поверхностью атаки.

У Landlock нет профилей, он в исходниках каждой программы отдельно добавляется и настраивается её разработчиком. По сути, это механизм самоизоляции, самоцензуры. Вообще, это самый благоразумный (и дешёвый) способ изоляции, но он пока ещё в разработке, ограничен по возможностям, и применим лишь к программам с открытым исходным кодом. То есть заглотнуть у корпораций с лопаты не получится, а ведь так хочется.

Зачем всё это придумали? Когда коту делать нечего.. он придумывает SELinux, AppArmor, TOMOYO, Smack, Grsecurity RBAC, тысячу их. Наверное, во имя (ложного) чувства безопасности при запуске неведомой бинарной икс-игрек-ни от дорогих и любимых доброхотов-проприетарщиков. Вместо того, чтобы использовать, исследовать и улучшать открытое ПО. Ну и как-то же надо продать.., ну то есть чем-то занять новенький 100500-ядерный CPU. Планета сама себя не нагреет.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

43. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +1 +/
Сообщение от Аноним (29), 29-Июл-24, 23:23 
>В отличие от SELinux, который использует compile-time метки

Selinux использует метки в файловой системе, а не в бинарниках.

>Если программа запускается другим процессом, например, как через shell-скрипт или как аргумент для /bin/firejail, то и профиль применяется соответствующий -- этого процесса.
>Но в программах изоляции (firejail, bubblewrap) обычно явно блокируется смена привилегий для дочерних процессов (man 2const PR_SET_NO_NEW_PRIVS), иначе с MAC-профилем будет хуже, чем без.

Программа изоляции может блокировать смену привилегий для детей. Но уже после того, как на них навешен нужный apparmor-профиль.

>У Landlock нет профилей, он в исходниках каждой программы отдельно добавляется и настраивается её разработчиком.

Что значит нет? Он просто обычно не в файле на диске хранится, а в виде структуры данных в памяти, вот и всё. Это не значит, что его нет. Хоть структура и удобнее для программного редактирования - но нафига отдельный огород городить?

Ответить | Правка | Наверх | Cообщить модератору

51. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Аноним (51), 31-Июл-24, 20:31 
> Selinux использует метки в файловой системе, а не в бинарниках.

Ну, ок. Мой дистр не поддерживает, почему-то был уверен, что программы пересборку требуют для работы с SELinux.
Тогда, в AppArmor можно похожий метод использовать на раcширенных атрибутах (man 7 apparmor_xattrs). Только очень острожно. Там труднопредсказуемый механизм разрешения глобов в метках, особенно в связке с разрешением путей. И пространство меток (xattr namespace) нужно выбирать так, чтобы их не смог сбросить кто попало.

> Программа изоляции может блокировать смену привилегий для детей. Но уже после того, как на них навешен нужный apparmor-профиль.

Так она сама под aa-профилем запущена, смена профиля будет после, как она установит атрибут и породит дочь.

> Что значит нет? Он просто обычно не в файле на диске хранится, а в виде структуры данных в памяти, вот и всё.

Под профилем обычно понимают отдельный файл, управляющий поведением программы для каждого особого случая. Например, команда `bwrap --args 33 -- bash` профилем (для bash) не является, а /dev/fd/33 - да.


Ответить | Правка | Наверх | Cообщить модератору

53. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Аноним (53), 01-Авг-24, 02:00 
>Так она сама под aa-профилем запущена, смена профиля будет после, как она установит атрибут и породит дочь.

Ну допустим да, и что? Запуск программы и назначение ей её прифиля из apparmor.d - это абсолютно обыденное событие.

>Под профилем обычно понимают отдельный файл, управляющий поведением программы для каждого особого случая. Например, команда `bwrap --args 33 -- bash` профилем (для bash) не является, а /dev/fd/33 - да.

Ну профили firejail эквивалентны аргументам командной строки напр. Я под профилем подразумеваю любой набор данных, который указывает средствам разграничения доступа как ограничить программу.

Ответить | Правка | Наверх | Cообщить модератору

45. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от n00by (ok), 30-Июл-24, 11:56 
Ошибка не в модуле, а в самом подходе. Вместо белого списка применяется чёрный, да ещё и с самостоятельным занесением. Но кого это волнует, когда настала эпоха замены блэк на блок.
Ответить | Правка | Наверх | Cообщить модератору

49. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от Аноним (-), 31-Июл-24, 01:40 
> Ошибка не в модуле, а в самом подходе. Вместо белого списка применяется
> чёрный, да ещё и с самостоятельным занесением. Но кого это волнует,
> когда настала эпоха замены блэк на блок.

Дык выкатите свои модули - покажите как надо было. Заодно посмотрим найдется ли хоть 1 мазохист который это еще и использовать в таком виде будет.

Простите, но если для когфигурации для пары программ надо тр@хаться неделю - на такую секурити все просто забьют. Ибо можно например виртуалку скроить - и ломайте ее наздоровье хоть целиком со всеми ее сисколами, у нее доступа в вон ту систему - мизер. А зачем тогда ваша секурити нужна, если можно - вот так?

Те кто поумнее уже это поняли - и сделали вещи типа Qube OS. Куда как лучше соотношения в этом плане.

Ответить | Правка | Наверх | Cообщить модератору

55. "Ошибка в LSM-модуле Landlock позволяла заново получить сброш..."  +/
Сообщение от n00by (ok), 02-Авг-24, 12:30 
>> Ошибка не в модуле, а в самом подходе. Вместо белого списка применяется
>> чёрный, да ещё и с самостоятельным занесением. Но кого это волнует,
>> когда настала эпоха замены блэк на блок.
> Дык выкатите свои модули - покажите как надо было. Заодно посмотрим найдется
> ли хоть 1 мазохист который это еще и использовать в таком
> виде будет.

Кому выкатить и зачем это надо мне? Да, нашлись те, кто сам нашёл и развивал мои "модули".

> Те кто поумнее уже это поняли - и сделали вещи типа Qube
> OS. Куда как лучше соотношения в этом плане.

Для меня показательно, что создатель "пилюль" не захотел принимать участие в этой деятельности.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру