| 1.1, Аноним (-), 21:34, 07/09/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
> Первый уровень защиты обеспечивает setuid-sandbox, блокирующий доступ к файловой системе, сети и сторонним процессам (процесс помещается через CLONE_NEWPID в отдельный PID namespace, выполняется chroot в пустую директорию и блокируется сеть через CLONE_NEWNET).
Правильнее назвать это namespace-sandbox, или LXC-sanbox, т.к. он использует технологии Linux namespaces (PID NS, FS NS, Net NS), разработанные в рамках проекта LXC.
| | |
| |
| 2.3, pavlinux (ok), 22:08, 07/09/2012 [^] [^^] [^^^] [ответить]
| –21 +/– |
 > разработанные в рамках проекта LXC.
Угу, говна самовар! Namespaces в Plan9 точно были, может в OS/390
Linux - это вообще, сборище костылей со всей планеты! Инноваций в ядре, чуть меньше нуля! :)
Они есть, но я вот так, с разбегу и не вспомню...
| | |
| |
| 3.4, Аноним (-), 22:11, 07/09/2012 [^] [^^] [^^^] [ответить]
| +7 +/– | |
> Угу, гoвна самовар, Namespaces в Plan9 точно были, может в OS/390
Но только в Linux их реализация оказалась пригодна для чего-то полезного :)
> Linux - это сборище костылей со всей планеты! Инноваций в ядре, чуть меньше нуля! :)
Щас лопнешь и всех забрызгаешь :)
| | |
| |
| 4.7, pavlinux (ok), 22:33, 07/09/2012 [^] [^^] [^^^] [ответить]
| –4 +/– |
>> Угу, гoвна самовар, Namespaces в Plan9 точно были, может в OS/390
> Но только в Linux их реализация оказалась пригодна для чего-то полезного
Только с момента изобретения сие чудо посчитали избыточным,
от чего теперече в ядре пытаются избавится включая те же древние костыли
(Samepage Merging, ДеДупликация, и тыр и пыр.)
>> Linux - это сборище костылей со всей планеты! Инноваций в ядре, чуть меньше нуля! :)
> Щас лопнешь и всех забрызгаешь :)
А ты налей и отойди.
| | |
| |
| 5.10, Аноним (-), 23:03, 07/09/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Только с момента изобретения сие чудо посчитали избыточным,
Ты про кого?
> от чего теперече в ядре пытаются избавится включая те же древние костыли
а то из контекста непонятно.
> А ты налей и отойди.
Ок, отбежал за угол :)
| | |
|
|
| 3.17, Led (ok), 02:32, 08/09/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >Они есть, но я вот так, с разбегу и не вспомню...
Фосфора похавай, то так скоро не вспомнишь как зовут.
| | |
| 3.20, Аноним (-), 02:59, 08/09/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Угу, гoвна самовар! Namespaces в Plan9 точно были, может в OS/390
> Linux - это вообще, сборище костылей со всей планеты!
И тем не менее, это вполне себе нэймспэйсы. И вообще, лично мне этот костыль нравится. Всего несколько флагов в clone() а такая полезняшка получается.
| | |
| |
| 4.23, pavlinux (ok), 04:47, 08/09/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да, с виду красиво, и вселяет чувство "защищённости".
Но любой СПЕЦИАЛИСТ по информационной безопастности,
пошлёт эти неймспейсы в детский сад, - пластелин охранять,
чтоб дети не сгрызли.
Лекции читать не буду, пару аксиом:
Два и более процесса имеющие единое ОЗУ - не защещены от взаимодействия!
Два и более процесса имеющие единое ЦПУ - не защещены от взаимодействия!
Процесс использующий алгоритмы динамической памяти - не защещен сам от себя!
Процесс использующий входные/вводимые данные - это жопа. :)
| | |
| |
| 5.27, zhuk (?), 09:44, 08/09/2012 [^] [^^] [^^^] [ответить]
| +/– |
Собери класстер из 8080, водрузи на них dos. Обмен между ячейками сделай через перфокарту и бумажную почту:)
| | |
| |
| 6.32, Аноним (-), 10:32, 08/09/2012 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>Обмен между ячейками сделай через перфокарту и бумажную почту
М-де? С каких пор носитель данных может повлиять на их неверную последующую обработку?
| | |
| |
| 7.39, Аноним (-), 14:35, 08/09/2012 [^] [^^] [^^^] [ответить]
| +/– |
>>Обмен между ячейками сделай через перфокарту и бумажную почту
> М-де? С каких пор носитель данных может повлиять на их неверную последующую
> обработку?
Со времен машины Тьюринга, чувак.
| | |
|
|
| 5.30, Аноним (-), 10:30, 08/09/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Два и более процесса имеющие единое ОЗУ - не защещены от взаимодействия! Два и более процесса имеющие единое ЦПУ - не защещены от взаимодействия! Процесс использующий алгоритмы динамической памяти - не защещен сам от себя! Процесс использующий входные/вводимые данные - это жопа. :)
Не у всех есть возможность запускать по компьютеру на каждую программу, а работать надо. Специалисту по безопасности отправится обратно в вакуум из которого он вылез.
| | |
| |
| 6.41, pavlinux (ok), 16:04, 08/09/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Специалисту по безопасности отправится обратно в вакуум из которого он вылез.
Кури требования к оборудованию и ПО на сертификацию по грифам ОВ и СС.
| | |
|
| 5.35, saNdro (?), 13:15, 08/09/2012 [^] [^^] [^^^] [ответить]
| +/– |
Это всё сферический конь в вакууме.
На первые два пункта как-раз и существует операционная система и "защищённый" режим процессора. Что б OS могла указывать "кому, куда и сколько" без ограничений, а все прочие только в рамках указанного.
На вторые - всё определятся тем, каким местом программист-автор предпочитает думать.
| | |
| |
| 6.50, pavlinux (ok), 00:49, 09/09/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Это всё сферический конь в вакууме.
> На первые два пункта как-раз и существует операционная система и "защищённый" режим
> процессора. Что б OS могла указывать "кому, куда и сколько" без
> ограничений, а все прочие только в рамках указанного.
А вот появляется программа которая не хочет работать в рамках указанного.
Вроде алгоритм написан академиками, проверен 10-ю институтами, 20 комиссиями,
утвержден на пленуме ЦК КПСС,... А вот она херакс и залезла не туда и слила
в свое пространство, пароль от пусковой установки и заслала на gmail.com.
А почему? А вот хрен её знает, - переполнение кэша, конфликт прерываний,
race condition, SMM-дыры, а засрать GTD в x86, как два байта об асфальт.
| | |
| 6.54, XDA (?), 17:23, 10/09/2012 [^] [^^] [^^^] [ответить]
| +/– |
чувак недоговорил, а от того и проблемы.
правильное утверждение выглядит так:
если две задачи исполняются на одном физическом процессоре и/или на одной физической памяти, то средства защиты ПОТЕНЦИАЛЬНО могут быть взломаны и задачи могут получить данные друг друга.
это всё равно, что у меня есть пистолет, то ПОТЕНЦИАЛЬНО я могу кого-то застрелить.
или если у меня есть х.. то ПОТЕНЦИАЛЬНО я могу кого-то изнасиловать. продолжать можно до бесконечности :)
| | |
| |
| 7.57, pavlinux (ok), 15:30, 12/09/2012 [^] [^^] [^^^] [ответить]
| +/– |
> это всё равно, что у меня есть пистолет, то ПОТЕНЦИАЛЬНО я могу
> кого-то застрелить.
> или если у меня есть х.. то ПОТЕНЦИАЛЬНО я могу кого-то изнасиловать.
> продолжать можно до бесконечности :)
Когда взведён курок, или "стоит", в одной бане с девками, то вероятность стремится к 1.0.
Пистолет в сейфе или мужик на диване приравниваются к отключенному компьютеру. :D
| | |
|
|
|
|
| 3.28, cema (ok), 10:00, 08/09/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
 >Linux - это вообще, сборище костылей со всей планеты!
Железная дорога второй век на костылях держится
| | |
| |
| 4.47, Аноним (-), 20:36, 08/09/2012 [^] [^^] [^^^] [ответить]
| +3 +/– | |
А вот и хрен там, костыли для рельсошпального скрепления применяются в основном для старых деревянных шпал, для ж/б шпал и для цельной ж/б подушки чаще применяют болты и армированные бетонные пробки. А уж тем более в случае с композитными и пластиковыми шпалами.
The_more_you_know.jpg
| | |
|
|
|
| 1.2, Я (??), 21:41, 07/09/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
И назовут потом всё это ChromeCubes-os, и та польская хакерша возглавит это всё
| | |
| 1.6, Crazy Alex (ok), 22:15, 07/09/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Вся суть нынешнего веба - сначала берём неподходящий механизм а потом пытаемся его подкрутить до приемлемого состояния. Как здесь - сначала начинаем гонять недоверенный код на своей машине а потом заворачиваем его в десяток слоёв безопасности. Гугл съел всем мозг...
| | |
| |
| 2.19, Led (ok), 02:35, 08/09/2012 [^] [^^] [^^^] [ответить]
| +/– | |
>сначала начинаем гонять недоверенный код на своей машине а потом заворачиваем его в десяток слоёв безопасности.
Это ты сейчас про изначально позиционирование Java?
>Гугл съел всем мозг...
Гугла тогда ещё не было. Бабушка с дедушкой тебе этого не рассказывали?
| | |
| |
| 3.21, Crazy Alex (ok), 03:32, 08/09/2012 [^] [^^] [^^^] [ответить]
| –1 +/– | |
К вам белка пришла и джавой пугает? Где вы в новости увидели хоть слово о джаве?
Нет, я о джаваскрипте и веб-приложениях. И гугл здесь понятно к чему - он умудрился всё это веселье чуть ли не в одиночку раскрутить.
| | |
| |
| 4.22, Led (ok), 04:31, 08/09/2012 [^] [^^] [^^^] [ответить]
| +/– |
> К вам белка пришла и джавой пугает? Где вы в новости увидели
> хоть слово о джаве?
> Нет, я о джаваскрипте и веб-приложениях. И гугл здесь понятно к чему
> - он умудрился всё это веселье чуть ли не в одиночку
> раскрутить.
Ты почитай историю: для чего изначально Java позиционировалась.
> И гугл здесь понятно к чему - он умудрился всё это веселье чуть ли не в одиночку раскрутить.
А Sun - не смог.
| | |
| |
| 5.24, Crazy Alex (ok), 05:22, 08/09/2012 [^] [^^] [^^^] [ответить]
| +/– |
Ну да, "сетевые компьютеры" и всё такое. Плевать - мало ли у кого какие больные фантазии. Тем более что в нынешнем HTML это делается в куда более уродливом виде - ни тебе пакетов подписанных, ни байткода...
| | |
| |
| 6.26, Led (ok), 06:50, 08/09/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну да, "сетевые компьютеры" и всё такое.
Нет. Читай дальше.
| | |
|
| 5.48, Аноним (-), 21:10, 08/09/2012 [^] [^^] [^^^] [ответить]
| +/– |
Жава изначально предназначалась для эмбеддовки, потом просочилась всюду. Но причем тут она ваще? Выражайся яснее.
| | |
|
|
|
|
| |
| |
| |
| 4.43, другой аноним (?), 17:04, 08/09/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
и через "и" (если хотели сказать в смысле "ничего не требуется", а не "немного более двух штук")
| | |
| |
| 5.44, Аноним (-), 17:26, 08/09/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
отличный пример, как безграмотность может в корне изменить смысл фразы
| | |
|
|
|
|
| 1.29, Zenitur (ok), 10:29, 08/09/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Состояние песочницы
Песочница SUID Да
Пространства имен PID Да
Сетевые пространства имен Да
Seccomp-legacy sandbox Нет
Seccomp-BPF sandbox Нет
Вы находитесь в корректной тестовой среде
Я пошёл обновлять ведро.
| | |
| 1.33, re (?), 12:46, 08/09/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Песочница SUID Да
Пространства имен PID Да
Сетевые пространства имен Да
Seccomp-legacy sandbox Нет
Seccomp-BPF sandbox Да
| | |
| |
| 2.38, Anonim (??), 14:32, 08/09/2012 [^] [^^] [^^^] [ответить]
| +/– |
Песочница SUID Да
Пространства имен PID Да
Сетевые пространства имен Да
Seccomp-legacy sandbox Да
Seccomp-godmode sandbox Да
Seccomp-BPF sandbox Да
| | |
| |
| 3.42, anonymous (??), 16:34, 08/09/2012 [^] [^^] [^^^] [ответить]
| +/– |
Песочница SUID Да
Пространства имен PID Да
Сетевые пространства имен Да
Seccomp-legacy sandbox Да
Seccomp-godmode sandbox Да
Seccomp-BPF sandbox Да
Seccomp-GTFO sandbox Да
| | |
|
|
| |
| |
| 3.53, re (?), 13:32, 10/09/2012 [^] [^^] [^^^] [ответить]
| +/– | |
--enable-seccomp-sandbox
не работает
Состояние песочницы
Песочница SUID Да
Пространства имен PID Да
Сетевые пространства имен Да
Seccomp-legacy sandbox Нет
Seccomp-BPF sandbox Да
Вы находитесь в корректной тестовой среде
| | |
|
|
| 1.45, kurokaze (ok), 20:19, 08/09/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 >выполняется chroot в пустую директорию
А ежели он там файло создаст под завязку? Руту то будет доступно больше (если при создании фс не химичил, или после), а что насчет других юзеров?
| | |
| 1.51, Аноним (-), 08:10, 09/09/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я буду больше уверен в своей безопасности если буду использовать за место "дырявых комбайнов" uzbl или surf.
| | |
| 1.52, Bvz (?), 09:28, 09/09/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А чо вот взять и просто написать профиль для AppArmor уже не кошерно да?
| | |
|
