| |
| 2.3, CHERTS (ok), 09:52, 03/07/2020 [^] [^^] [^^^] [ответить]
| +16 +/– |
 Да вообще запретить доступ в /var/log ибо нефиг логи смотреть.
| | |
| |
| |
| 4.29, Аноним (29), 17:42, 03/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ничего не знаю, у меня и сейчас получается. Разве что по умолчанию /dev/dsp отсутствует, надо загружать модуль ядра snd-pcm-oss. Я это даже на практике использую, т.к. через /dev/dsp пердёж получается более резкий (с меньшим лагом), нежели через libasound, даже при настройке последнего на использование прямого вывода в hw.
| | |
| 4.48, Аноним (48), 00:14, 07/07/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Удачи в дудении, что с правами, что без:
$ ls /dev/dsp
ls: cannot access '/dev/dsp': No such file or directory
| | |
|
| 3.11, Аноним (11), 11:12, 03/07/2020 [^] [^^] [^^^] [ответить]
| +17 +/– |
Неправильно мыслишь. Доступ к логам и дмесгу должен быть по ежемесячной подписке хотя бы за 5$.
Вот тогда это будет серьезно (и хорошая модель монетизации для дистрибутива!).
| | |
| |
| 4.16, zshfan (ok), 11:55, 03/07/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Ты совсем что ли? Ты зачем им бизнес-модель подсказываешь? Вот окажется тут один из них и всё виндекапец 20.10 станет непопулярным у домохозяек и тогда они попрут на родные генты, арчи и слаки.
| | |
| |
| 5.21, siu77 (ok), 13:45, 03/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
 Ну, так, а зачем dmesg домохозяйкам? Наоборот, станет популярным.
| | |
|
|
| 3.15, Аноним (15), 11:48, 03/07/2020 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> запретить доступ в /var/log
Там и так давно уже ничего нет.
| | |
|
| 2.23, Аноним (23), 14:58, 03/07/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Надо сразу kernel.dmesg_restrict = 1
Надо сразу все опции безопамности включить, а не по одной обсуждать.
Тянут время.
| | |
| 2.47, Аноним (47), 00:13, 07/07/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Надо сразу kernel.dmesg_restrict = 1
Еще можно так:
CONFIG_SECURITY_LOCKDOWN_LSM=y
CONFIG_LSM="lockdown, ...
| | |
|
| 1.5, Аноним (5), 10:16, 03/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
Идиотия жёсткая, ибо пользователи в итоге начнут на каждый чих писать sudo.
// b.
| | |
| |
| 2.9, iPony129412 (?), 10:47, 03/07/2020 [^] [^^] [^^^] [ответить]
| –4 +/– |
И что с того?
Кто не понимая, что попало делает, тот и с этим и без этого что попало будет делать.
А такие на линуксах не выживают.
| | |
| 2.22, Вейланд (?), 13:46, 03/07/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
Если ты можешь написать sudo, то ты уже в этой группе и тебе не надо писать sudo.
| | |
| |
| 3.33, Аноним (33), 18:51, 03/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нет, в убунте в sudoers разрешена группа admin (которой из коробки в системе нет).
В новости речь идёт о группе adm (которой традиционно принадлежат системные логи в дебиане).
| | |
|
| 2.34, Bdfybec (?), 19:43, 03/07/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> начнут на каждый чих писать sudo
Потом, с помпой, отменят sudo за ненадобностью
| | |
|
| 1.7, Аноним (-), 10:23, 03/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Догнали наконец FreeBSD, где давно можно доступ отключить прям из инсталлера.
| | |
| |
| |
| 3.13, Мимикус Пипикус Онанимус (?), 11:26, 03/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Уже сто лет как есть возможность показывать только те процессы, которыми владеет текущий юзер ( если он не рут).
mount -o remount,hidepid=2 none /proc
И все, среднестатистический Васян видит только то, что сам наспавнил в системе. Все остальное можно через AppArmor/SELinux зарезать, и вроде как в старых GRSecurity вроде была такая фича.
| | |
| |
| 4.17, OpenEcho (?), 12:17, 03/07/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Уже сто лет как есть возможность показывать только те процессы, которыми владеет
> текущий юзер
Мы же про настройки из каробки, нет?
А если закручивать гайки, то имхо админам(не рутам) наверное все таки полезно смотреть /proc
echo '
proc /proc proc rw,nosuid,nodev,noexec,relatime,hidepid=2,gid=adm 0 0
' >> /etc/fstab
| | |
|
| |
| |
| 5.35, Bdfybec (?), 19:46, 03/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Почти нет кроме пары ретроградов, но у них 286-й комп и монитор 640x480.
| | |
|
|
|
|
| 1.14, Аноним (14), 11:27, 03/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вместо того, чтобы сделать привилегии для ядерных событий (каждое событие имеет свой дескриптор, каждый пользователь тоже, программы под пользователем видят только события, которые пользователю разрешено видеть), они ограничили доступ к ним совсем.
| | |
| |
| 2.19, Аноним (19), 12:46, 03/07/2020 [^] [^^] [^^^] [ответить]
| +/– | |
У меня обычный пользователь логи читать не может вообще, кроме wtmp
А на dmesg матюк:
dmesg: read kernel buffer failed: Operation not permitted
Все что ты пишешь это MAC, очень дорогая штука. В рядовых Linux дистрах сначала надо заняться DAC.
| | |
|
| 1.30, Иваня (?), 17:48, 03/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Подскажите пожалуйста, где найти и скачать исходные коды утилиты /bin/dmesg 🤔
| | |
| 1.37, Аноним (37), 19:56, 03/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
С ума сойти... кто-то начал всерьёз задумываться о безопасности десктопных юзкейсов на Linux. А я думал там одни иллюзии на тему неуловимого Джо...
| | |
| |
| 2.38, kai3341 (ok), 00:49, 04/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > С ума сойти... кто-то начал всерьёз задумываться о безопасности десктопных юзкейсов на Linux. А я думал там одни иллюзии на тему неуловимого Джо...
Всё чаще Ubuntu используется на сервере. Там оно вполне оправдано
| | |
| 2.40, iPony129412 (?), 05:24, 04/07/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
А десктоп....
Там десятилетний баг с отображением рабочего стола после спячки, а потом уже скрин-локера исправили?
ЗЫ: а если бы такой Windows или macOS вытворяли — их бы запинали же.
| | |
|
| 1.42, AntonAlekseevich (ok), 07:59, 04/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Например, в dmesg в случае сбоев отображается дамп стека и имеется возможность определения адресов структур в ядре, которые могут способствовать обходу механизма KASLR. Атакующий может использовать dmesg в качестве обратной связи, постепенно приводя эксплоит к должному виду, наблюдая за oops-сообщениями в логе после неудачных попыток атаки.
Как говорится "Давайте ослепнем и все будет хорошо". А тем временем KASLR будут ломать все кому не лень и будут новые эксплоиты.
| | |
| 1.43, zg_nico (ok), 18:32, 04/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Мдя... Придется-таки осваивать другой дистрибутив, похоже... Не, я всё понимаю, но вот dmesg через sudo - вот этого я ну никак не понимаю :(
У них там обострение какое-то, в Canonical. Сначала новость про насильно устанавливаемый snap с chromium, теперь dmesg для пользователя запретить... Так чего доброго все подряд начнут гвоздями приколачивать. Эх... Хороший был дистрибутив на момент знакомства. Жаль расставаться.
| | |
| |
| 2.45, srgazh (?), 22:42, 04/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Да пара уже) Собери свой. И вообще хороший совет оставь Linux для серверов. Установи Windows 10 и радуйся жизни.
| | |
| 2.49, iPony129412 (?), 05:30, 07/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Нашёл проблему...
Насколько помню в инсталяторе создаётся сразу пользователь как около админмтратор, тоесть включенный в группу adm
| | |
|
|
