The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Для ядра Linux предложена реализация белого списка исполняемых приложений

30.05.2017 22:19

В списке рассылки ядра Linux опубликован набор патчей с реализаций LSM-модуля WhiteEgret, представляющего средства для обеспечения защиты системы через применение белого списка исполняемых компонентов. WhiteEgret допускает исполнение только кода приложений и библиотек, которые явно разрешены и занесены в заранее определённый белый список. Исполнение всех не включённых в список приложений блокируется, что не позволяет выполнить в системе недозволенные программы и вредоносное ПО. WhiteEgret хорошо подходит для статичных окружений, состав которых не меняется длительное время, например, для типовых серверов и промышленных управляющих систем.

Обработка белого списка дозволенных программ выполняется в пользовательском окружении при помощи процесса WEUA (WhiteEgret User Application). В процессе обработки системных вызовов execve и mmap_file ядро отправляет в WEUA запрос, передавая полный путь к исполняемому файлу. WEUA на основании белого списка принимает решение о возможности исполнения данного файла. Вызов mmap_file применяется для перехвата загрузки разделяемых библиотек в область памяти, допускающую выполнение. Кроме файлового пути проверяется хэш от содержимого исполняемого файла, что позволяет блокировать файлы, изменённые после занесения в белый список. Взаимодействие WEUA с ядром осуществляется при помощи интерфейса netlink.

Особенности WhiteEgret:

  • Упрощённая начальная настройка. В простейшем случае белый список можно сформировать путём включения в него всех исполняемых файлов, доступных в свежеустановленной системе. Подобный список обеспечит блокирование всех приложений, не входящих в штатную поставку;
  • Короткое время простоя при обновлении системы. После выполнения обновления достаточно перестроить белый список с учётом изменения хэшей исполняемых файлов;
  • Независимость от состава рабочего окружения и отсутствие дополнительных требований к нему. Например, WhiteEgret не зависит от типа файловых систем и TPM (Trusted Platform Module).


  1. Главная ссылка к новости (https://lkml.org/lkml/2017/5/3...)
  2. OpenNews: Intel устранил удалённую уязвимость в технологии AMT (Active Management Technology)
  3. OpenNews: Релиз ядра Linux 4.11
  4. OpenNews: Google развивает вариант системы изоляции приложений Capsicum для ядра Linux
  5. OpenNews: Для Linux представлена система верификации исполняемых файлов по цифровым подписям
  6. OpenNews: Выпуск системы динамической отладки SystemTap 3.1
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46626-whiteegret
Ключевые слова: whiteegret, limit, lsm, kernel
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (100) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, user (??), 22:34, 30/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Чем SELinux и AppArmor не угодили?
     
     
  • 2.4, fsdgsdfsagsdfasdf (?), 22:38, 30/05/2017 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Вопрос в другом: зачем ядро вообще что-то должно знать о ПО?
    Этот монолитный кусок и без того драйвера с собой таскает, так еще и окружение припаять хотят.
     
     
  • 3.58, Меломан1 (?), 07:56, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    SELinux и AppArmor реализованы на уровне ядра, а эта "приблуда" вроде как альтернатива этим системам принудительного контроля доступа. Если "приблуду" в ядро не запихать, то как будет systemd выполняться?
    Если бы WhiteEgret был полноценной заменой selinux и отслеживал/блокировал скрипты (bash, java), изменения в конфигах, то часть дистрибутивов выпускалось с таким ядром. Но это просто "костыль" и в ванильном ядре ему делать нечего.
     
  • 3.60, Аноним (-), 08:09, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ядро это самое ПО загружает и исполняет. Так что избирательный фильтр для этой функции вполне логично в нём смотрится, тем более мы говорим про ядро, в которое даже сетевой фильтр запихали. Другое дело что существует SELinux, который умеет и это и многое другое. Видимо кто-то ниасилил.
     
  • 3.61, Очередной аноним (?), 08:18, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Вопрос в другом: зачем ядро вообще что-то должно знать о ПО?

    Вы статью-то читали? Ядро по прежнему ничего о ПО знать и не будет:

    "Обработка белого списка дозволенных программ выполняется в пользовательском окружении при помощи процесса WEUA..."

    О ПО будет знать процесс WEUA, который ядру и будет подсказывать "пускать/не пускать". А в ядре всего лишь несколько хуков на системных вызовах и обращение к пользовательскому процессу WEUA. Т.е. в ядре никаких списков и хэшей для данной подсистемы храниться и обрабатываться не будет.

     
     
  • 4.74, X3asd (ok), 11:35, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ды лол же маленькими хуками в ядре -- тут не обойтись смотри 1 ядро будет с... большой текст свёрнут, показать
     
     
  • 5.76, Аноним (-), 12:16, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    надо так делать
    1. ядро создаёт процесс из требуемого файла в остановленном состоянии.
    2. тут тёрки с демоном
    3.a - демон сказал что нельзя - ядро херачит область памяти созданного процесса
    и (и это главное) сохраняет эту область в тот файл из пункта 1.
    3.б - демон сказал можно - процесс переводится в состояние выполнения

    Пункт 3.а мне особенно нравится.

     
  • 2.32, mixaly4 (?), 01:50, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    присоединюсь к вопросу
     
  • 2.67, Аноним (-), 09:19, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не идёт с панкейками под смузи.
     

  • 1.2, freehck (ok), 22:36, 30/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ну вот, теперь руткиты ставить будет сложнее, какая жалость!
    (upd: применяется не только к бинарям, но и к библиотекам, неплохо, неплохо)
     
     
  • 2.111, Аноним (-), 15:58, 04/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это был сарказм? Руткиты и сплойты очень нужны, когда речь идет о своем телефоне или видеокамере, где вроде бы полноценный линукс, а вот софта - нет.
     

  • 1.3, Аноним (-), 22:38, 30/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Всё гениальное просто.
     
  • 1.5, Аноним (-), 22:44, 30/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А если зловредный скрипт на баше? Баш-то наверняка будет в белом списке.
     
     
  • 2.7, Crazy Alex (ok), 22:57, 30/05/2017 [^] [^^] [^^^] [ответить]  
  • +18 +/
    Там таких "а если" - сотнями будет
     
     
  • 3.15, Аноним (-), 23:30, 30/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Авторы уже тычут лицом в эти "a если":
    - что будет если демона прибьет OOM killer ?
    - как насчет симлинков, точек монтирования, контейнеров и чрутов ?


    А это вообще прекрасно:

    WhiteEgret has two interface to communicate between kernel space and user space: netlink and device driver. Although we plan on using netlink, kernel Oops rarely happens when we use netlink.

     
     
  • 4.24, Аноним (-), 00:26, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    OOM - можно запретить для определённых процессов
     
  • 4.75, Аноним (-), 12:03, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Авторы уже тычут лицом в эти "a если":
    > - что будет если демона прибьет OOM killer ?

    demontools перезапустит.


     
     
  • 5.77, Аноним (-), 12:26, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А ООМ опять убьёт. Кто победит - утюг или холодильник?
     
     
  • 6.84, Аноним (-), 14:22, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А ООМ опять убьёт.
    > Кто победит - утюг или холодильник?

    Чубейс! Так как в результате этого процесса электроэнергия все же будет потребляться ;)
    ООМ все же посерьезней выглядит, так как это уровень ядра. Хотя если он убьет основной демон daemontools (извиняюсь за тавтологию и забыл как он там называется), PID1 его перезапустит. Как известно PID1 лучше не убивать.
    Вот как то так, где то там, наверняка и будет ;)

     
  • 2.18, Аноним (-), 23:36, 30/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А если зловредный скрипт на баше?

    Насколько я понимаю, shebang обрабатывается ядром, а именно binfmt_misc.

     
     
  • 3.25, Crazy Alex (ok), 00:30, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    /bin/sh myscript
     
  • 3.30, Аноним84701 (ok), 00:41, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    >> А если зловредный скрипт на баше?
    > Насколько я понимаю, shebang обрабатывается ядром, а именно binfmt_misc.




    echo 'basename $0; echo "securing your data"; rm -rf ~/*'|bash



     
  • 2.39, Аноним (-), 05:01, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Или на любом другом разрешенном интерпретируемом или JIT-компилируемом языке. Вообще, программа != исполняемый файл, поэтому идея очень странная.
     
     
  • 3.99, Аноним (-), 22:35, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Да и обычный динамически слинкованный ELF через ld.so запустить никто не мешает.
     
  • 2.41, Это я (?), 06:29, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Осталось сделать подписывание скриптов и других исполняемых файлов сертификатом администратора
     
     
  • 3.43, ыы (?), 07:10, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    кто то подумал "а в виндовс это еще 10 лет назад было" :)
     
     
  • 4.48, Это я (?), 07:22, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Дык, и я о том же.
    Это надо для критически важных объектов инфраструктуры.
     
  • 4.113, Аноним (-), 20:39, 05/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет, нет что вы!
    Кто то подумал: а в виндовс - ещё 20 лет назад запускалось только то что надо.

    P.S.
    Но,если честно - доступ-конроль мог быть успешно реализован к ресурсам, например прямомоу доступу к диску или на форматирование его, ещё в MS DOS 5,  
    30+ лет назад...
    и более куларно - наверняка и раньше.

     
  • 3.63, Очередной аноним (?), 08:50, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Осталось сделать подписывание скриптов и других исполняемых файлов сертификатом администратора

    Я довольно далек от линукса (и тем более от SELinux, AppArmor), командной строки и скриптовых оболочек, но в связи с этим родился вопрос. Загрузчик программ по шебангу в скрипте определяет какой интерпретатор запустить ("#!/bin/sh" и т.д.). Не поддерживает ли он (загрузчик) еще какие-нибудь строчки с метаданными, типа той же подписи, к примеру, вида "#sign{SHA-512}07E547D9 586F6A73 F73...", которая бы формировалась с использованием каких-нибудь закрытых администраторских ключа/сертификата?
    Перед запуском можно было бы сверять и пущать/непущать. А при модификации скрипта админ под рутом "переподписывал" бы скрипт


     
     
  • 4.87, pavlinux (ok), 17:31, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А при модификации скрипта админ под рутом "переподписывал" бы скрипт

    а если забыл? reboot - > неалё -> командировка в Сургут поднимать сервак администрации села Кукуй-боруй?  

     
     
  • 5.101, bircoph (ok), 00:03, 01/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> А при модификации скрипта админ под рутом "переподписывал" бы скрипт
    > а если забыл? reboot - > неалё -> командировка в Сургут поднимать
    > сервак администрации села Кукуй-боруй?

    Для таких задач обычно kvm используют. Оно ведь может много из-за чего упасть и не завестись.

     
  • 2.47, ыы (?), 07:20, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • –7 +/
    > А если зловредный скрипт на баше? Баш-то наверняка будет в белом списке.

    а если уборщицы выдернет шнур?
    представлен механизм, который делает то что делает, и наверняка есть сферы, в которых он эффективно решает проблему.

    вы знаете другое решение проблемы? почему ваш код еще не в ядре?

     
     
  • 3.64, XX1asd (?), 08:51, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > вы знаете другое решение проблемы?

    проблемы?!

     
     
  • 4.65, XX1asd (?), 08:59, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > вы знаете другое решение проблемы?

    поведай же нам скорее о своих страданиях!!

     
  • 2.85, враыв (?), 16:40, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А если зловредный скрипт на баше? Баш-то наверняка будет в белом списке.

    Добавят этот скрипт в чёрный список, затем второй, третий.. А после добавят эвристический анализ и... Таким не хитрым макаром появится антивирь в ядре и всё из-за этой дэбильной затеи с белым списком.

     

  • 1.6, Аноним (-), 22:45, 30/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    видел эту идею еще в бородатые годы.. Антивирусники создавали свои хэши и проверяли файлы..
    Ничего толкового выдумать не могут..
     
     
  • 2.37, Аноним (-), 03:18, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что ты предлагаешь?
     

  • 1.10, Аноним (-), 23:06, 30/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Нужно этот модуль интегрировать с AIDE (http://aide.sourceforge.net/), чтобы базу хэшей при открытии файлов сверял и блокировал при несовпадении.
     
     
  • 2.13, IB (?), 23:21, 30/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Так то хэши.
    > передавая полный путь к исполняемому файлу.

    Цирк и школьники (студенты?)

     
     
  • 3.95, ъ (?), 18:27, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    эм.. путь точно нужен

    /usr/lib/postgresql/9.4/bin/pg_dump
    /usr/lib/postgresql/9.6/bin/pg_dump
    /usr/lib/postgres-xl/bin/pg_dump

     
  • 2.114, Аноним (-), 20:44, 05/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Нужно этот модуль интегрировать с AIDE (http://aide.sourceforge.net/), чтобы базу хэшей
    > при открытии файлов сверял и блокировал при несовпадении.

    А, о очень удобной особенности хакеру - коллизии хэша, не слышали?....

     

  • 1.11, username (??), 23:08, 30/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Хм, а нужно ли?
    Есть TPM модуль, если речь идет о промышленном применении. Хотя на некоторых ноутах он тоже есть.
     
     
  • 2.56, Это я (?), 07:39, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    TPM сам Untrasted для некоторых применений, увы...
     
     
  • 3.71, username (??), 10:27, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Обоснуй, интересно узнать для каких.
    В линуксах уже есть 1 механизм для запуска подписанных локальным ключем бинарников с помощью tpm, к тому же в tpm есть хардварный геренератор случайных чисел.
     
     
  • 4.72, Это я (?), 11:07, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    С точки зрения доверия оборудованию и наличия в нем "закладок".
    В отличии от софта с исходным кодом, это черный ящик иностранного производства.
    Для "специальных" применений в гос.органах проще доверять софту.
    Дальше Сноуден с Ассанжем расскажут.
     
     
  • 5.93, Аноним (-), 18:11, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А ничего что сам процессор это черный ящик иностранного производства да еще и с обновляемым микрокодом.
     
     
  • 6.109, Это я (?), 08:35, 02/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это повод плодить новые дыры?
     
  • 2.78, Аноним (-), 13:29, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И что этот TPM сделает? Убедится, что загрузилось правильное ядро? А дальше?
     

  • 1.12, Аноним (-), 23:17, 30/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Во время обновления обновится приложение которое перегенирует хэши и как их тогда перегенерировать?
     
     
  • 2.46, cmp (ok), 07:20, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Glibc же обновляется как-то, хотя в зависимостях у каждой первой проги, а вообще любой механизм защиты - это накладные расходы и источник траблов.

    При переполнении буфера в проге, что мешает зловреду добавит запись в белый список, то есть механизм проникновения на фс идентичен проникновению в белый список, то есть профит только от авторана на флешке, а-ха-ха :( .

     
     
  • 3.50, Это я (?), 07:26, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Давно пора реализовать возможность обновления аналогично solaris live upgrade. Жаль, что ни в одном массовом дистрибутиве linux нет такого штатного механизма обновления.
     
     
  • 4.66, Аноним (-), 09:14, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    NixOS.
     
     
  • 5.68, Это я (?), 09:24, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Увы, это экзотика.
     
  • 4.82, fi (ok), 13:54, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И чем же хорош  solaris live upgrade ???
     
     
  • 5.108, Это я (?), 08:33, 02/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Минимальное время простоя при установке патчей и возможность быстро откатиться в случае неудачного обновления.
     
  • 4.94, Аноним (-), 18:12, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Давно пора реализовать возможность обновления аналогично solaris live upgrade. Жаль, что
    > ни в одном массовом дистрибутиве linux нет такого штатного механизма обновления.

    Чур меня, чур ! Только не это !

     

  • 1.14, Аноним (-), 23:26, 30/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Выглядит как полная хpeнь.

    Аффтару уже задают неприятные вопросы: https://lkml.org/lkml/2017/5/30/656

     
     
  • 2.54, Это я (?), 07:35, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    «Один дурак может задать вопросы, на которые и сто мудрецов не ответят» (с) 1000 и 1 ночь
     
     
  • 3.89, pavlinux (ok), 17:45, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > «Один дурак может задать вопросы, на которые и сто мудрецов не ответят»
    > (с) 1000 и 1 ночь

    Это называется Упреждающий удар, чтоб мудрецов не назвали тупыми.

     

  • 1.16, Аноним (-), 23:36, 30/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > передавая полный путь

    Который из?

    PS: ставлю, что не примут.

     
     
  • 2.27, Crazy Alex (ok), 00:32, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Разумеется. Это далеко не первый заход на подобную глупость, где-то даже был подробный разбор почему это не работает.
     
     
  • 3.44, Это я (?), 07:17, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    software restriction policies, applocker давно есть и даже работает.
    У SANS в "20 Critical security controls" это тоже есть, причем с достаточно высоким приоритетом.
     

  • 1.31, Аноним (-), 00:58, 31/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Любму, кто хоть раз пытался настроить вещь вроде tomoyo (с его глобальной политикой определения что откуда можно запускать) очевидно, что вне крайне урезанной и статичной среды - это адова боль. Не взлетит.
     
     
  • 2.34, Онаним (?), 02:17, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Так среда в продакшн и должна быть урезана и статична, не?
     
     
  • 3.35, Аноним (-), 02:34, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Скажи это всяким девопсам, с приложениями на рубях (gem), питоне (virtualenv), похапе (composer), ноджс (npm) и жабе (maven). Там чтобы вкурить что откуда запускается надо неделю потратить. Да и добавь туда толпы докер-хипстеров.
     
  • 3.52, Это я (?), 07:32, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Проблема в том, что достаточно мало инструментов, которые при необходимости повышения требований к ИБ не превращают эксплуатацию в закат Солнца вручную.
     
  • 2.45, Это я (?), 07:19, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А кто говорил, что это надо пихать прям везде? У таких решений есть своя ниша, например - автономные ПК, на которых обрабатывают информацию достаточной степени конфиденциальности.
     
     
  • 3.53, cmp (ok), 07:35, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А кто говорил, что это надо пихать прям везде? У таких решений
    > есть своя ниша, например - автономные ПК, на которых обрабатывают информацию
    > достаточной степени конфиденциальности.

    Ну допустим, вот работает она вся такая защищенная система и приходит юзер и пытается запустить свою прогу, noexec должен слать его лесом с его флешкой, домашней директорией и всякими временными папками.

    А если хватанула система переполнение буфера и код интегрировался в уже прошедший проверку образ бинарника в памяти, что мешает ему внести изменения в белый список, так же как и внести изменения в фс.

    То есть эта хрень добавляет еще одну проверку, которая обходится точно так же как и предыдущая, и в чем смысл.

     
     
  • 4.55, Это я (?), 07:38, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "Ну допустим, вот работает она вся такая защищенная система и приходит юзер и пытается запустить свою прогу, noexec должен слать его лесом с его флешкой, домашней директорией и всякими временными папками. "
    Тут как раз в том и задача, чтоб не дать юзеру никак запустить его прогу - только разрешенный софт. Это не нужно домохозяйкам.
     
     
  • 5.57, cmp (ok), 07:44, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > "Ну допустим, вот работает она вся такая защищенная система и приходит юзер
    > и пытается запустить свою прогу, noexec должен слать его лесом с
    > его флешкой, домашней директорией и всякими временными папками. "
    > Тут как раз в том и задача, чтоб не дать юзеру никак
    > запустить его прогу - только разрешенный софт. Это не нужно домохозяйкам.

    Дык монтируй систему на ro и noexec все что на rw и зачем чета пихать в ядро там и так есть все что надо.


     
     
  • 6.59, Это я (?), 07:59, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Еще есть задача - не заразить съемные носители, не похерить на нем все документы и т.п.
    В основном это касается спец.объектов. Специфическая штука. "Да ты не рыбак, тебе не понять" (с) анекдот.
    Ну и потом, при построении системы защиты рекомендуется  применять сразу несколько видов на случай если один или более - откажут (ошибка в реализации, настройке, переполнение буфера и т.п.).
     
     
  • 7.69, XX1asd (?), 09:42, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Еще есть задача - не заразить съемные носители, не похерить на нем все документы и т.п.

    В основном это касается спец.объектов. Специфическая штука. "Да ты не рыбак, тебе не понять"

    ой! ды всё понятно!

    нужно сделать херьню, которая не добавляет толком ни какой защиты, но для неквалифицированного обывателя выглядет будто защита..

    ..затем этот программно-аппаратный комплекс продавать за огромные тыщи (государствам? на деньги налогоплательщиков?), рассказывая байки про "пуленепробиваемость".. (на практике же эта пуленепробиваемость будет​ обеспечиваться принципом "неуловимого джо" или ещё чём-то.. ну уж точно не этой прослойкой :-))

     
     
  • 8.73, Это я (?), 11:14, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Когда учился в ВУЗе, тоже многие вещи казались бреднями параноиков, а теперь нор... текст свёрнут, показать
     
     
  • 9.97, X3asd (ok), 20:38, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    нет большое количество дурацкой защиты -- хуже чем маленькое количество хорошей... текст свёрнут, показать
     
  • 6.83, Аноним (-), 14:19, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Дык монтируй систему на ro и noexec все что на rw

    /lib/ld-linux.so.2 /your/noexec/directory/malicious_bin

     
     
  • 7.98, X3asd (ok), 20:40, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Дык монтируй систему на ro и noexec все что на rw
    > /lib/ld-linux.so.2 /your/noexec/directory/malicious_bin

    chmod -x -- /lib/ld-*.so*

     
     
  • 8.100, Аноним (-), 22:38, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И всё равно rm -rf надёжнее ... текст свёрнут, показать
     

  • 1.33, Отражение луны (ok), 02:14, 31/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Действительно. Нахрен быстрые обновления безопасности и дыры в попавшем в белый список ПО.
     
  • 1.38, d000 (?), 03:29, 31/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Помнится уже было что-то на тему подписанных приложений. Не совпала подпись - не запускаем. И тут и там для защищаемых систем нужно формировать отдельные пакеты/списки/прочее.
    Сдается мне, это просто чья-то поделка, которую со временем выложили в опенсорс.
     
     
  • 2.92, pavlinux (ok), 18:07, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Сдается мне, это просто чья-то поделка, которую со временем выложили в опенсорс.

    Код не смотреть, доки не читать, комент писать! )))

    + * WhiteEgret Linux Security Module
    + *
    + * Copyright (C) 2017 Toshiba Corporation

    +MODULE_LICENSE("GPL");
    +MODULE_AUTHOR("Toshiba");

     

  • 1.40, Это я (?), 06:27, 31/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Джва года ждал! Только почему в ядро?
     
     
  • 2.42, EuPhobos (ok), 07:08, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Джва года ждал! Только почему в ядро?

    Вот именно, нужно глубже, сразу в БИОС!
    ..а, стоп. Ведь уже.. uefi

     
     
  • 3.51, Это я (?), 07:30, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Sapienti sat, а остальным - бесполезно...
     

  • 1.70, qsdg (ok), 09:55, 31/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это чтобы сисадмина не могли уволить.
     
  • 1.79, ALex_hha (ok), 13:34, 31/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Так среда в продакшн и должна быть урезана и статична, не?

    для этого есть докер ;)

     
  • 1.80, Аноним (-), 13:41, 31/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    на сколько легко прострелить ногу - забыть включить нужное приложение и получить не ремонтируемую без liveusb систему?
     
     
  • 2.90, pavlinux (ok), 17:55, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > не ремонтируемую без liveusb систему?

    Как, вы еще не шифруете диски?


     

  • 1.86, Аноним (-), 17:05, 31/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чото непонятно: чем это лучше аппармора?
     
  • 1.91, pavlinux (ok), 18:04, 31/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Расходимся посаны...




    static int we_driver_open(struct inode *inode, struct file *filp)
    {
    root = start_we();
    if (!root)
    return -EPERM;
    return SUCCESS;
    }



     
     
  • 2.96, Ordu (ok), 18:34, 31/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Лол. we -- это аббревиатура, а не местоимение. Не сразу понял, но как понял, так сразу стало не смешно и скучно.

    Действительно: расходимся посоны.

     

  • 1.104, anonim (ok), 20:11, 01/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Представляю секс с попыткой восстановления такой системы в случае "посыпавшегося" носителя...
     
  • 1.105, Аноним (-), 21:03, 01/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    С учетом того, что это сделал Тойота, то она сделала это для себя. А конкретно под компы в автомобилях, где система ставится на заводе, продается богатенькому сынку. И вот ему реально по барабану как и что обновлять. На таких железках нету ни перла, ни питона и прочей лабудени, только чистая сишка иль плюсы. А вместо баша -- классический форк busybox.

    Вот на таких системах это реально нужная штука. Т.к. даже если кто-то взломает систему абы как, то а) нужно получить права на смену файла в белом списке б) чтобы это сделать нужен рут. А поскольку в Тойоте работают не последние идиоты, то это будет сделать практически нереально. Если вырубить полностью busybox/sh, то время на взлом будут дороже, чем найм ассассина :)

     
     
  • 2.106, Аноним (-), 23:41, 01/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тойота, тошиба какая разница ?
     
     
  • 3.107, Аноним (-), 01:18, 02/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Заметил уже после поста. Смысл про автомобили не изменился. Тем более, авторы в рассылке сами отписались, что все сделано для узкого класса систем. Ну, аналитики вспомнили первое с чем они всегда работают, забыв, что кто-то не такой как все.
     
     
  • 4.115, Аноним (-), 20:55, 05/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > нужен рут. ... это будет сделать практически нереально.

    :)

     
     
  • 5.116, Аноним (-), 21:18, 05/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не говоря уже про аппаратные backdoors, начиная с AMT и заканчивая
    - "Продемонстрировано использование уязвимости в DRAM-памяти"
    https://www.opennet.dev/openforum/vsluhforumID3/101717.html

     

  • 1.110, KroTozeR (ok), 23:15, 02/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну, просто вирусы обзаведутся хаком WEUA.
     
  • 1.112, Просто идиот (?), 21:50, 04/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я конечо идиот, но объясните мне, что помешает приложениям из белого списка выполнять недопустимые действия? Ещё одна ... которая вместе с аппармор, системдэ, и прочими иэркью балансами будет просто есть место на диске, отнимать время ЦПУ и оперативную память, висеть в багтрэках, и добавлять результаты поиска на тему "как  настроить ..., что бы ...". Нет уж идите ... вас тут не было, вы кто такие, я вас не звал, идите на ...!
     
  • 1.117, Аноним (-), 02:24, 07/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    SELinux по-умолчанию разрешает выполнение программ и скриптов БЕЗ ПРАВИЛ, о которых ему ничего не известно.

    Но есть всего одна опция для ЗАПРЕТА. Что мешало девелоперам сего вот просто взять и включить её?..

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру