forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимостей в ядре Linux, opennews (??), 29-Дек-21, (0) [смотреть все]

есть ли защита такого уровня для BSD , Аноним (1), 13:23 , 29-Дек-21, (1) –7 //

С разморозкой man securelevel code The kernel runs with five different security , Аноним (-), 14:26 , 29-Дек-21, (6) –12 //

Скопируй следующую страницу мана плиз , Аноним (1), 14:30 , 29-Дек-21, (7) +2 //

-Хорошо The INVARIANT_SUPPORT option makes us compile in support for verifyi, Аноним (-), 14:39 , 29-Дек-21, (8) –8

А можно еще пару страниц, пожалуйста , Аноним (10), 14:42 , 29-Дек-21, (10) –4

Твоих глупостей и прочего подгорания Ну ладно, так и быть, разрешаю , Аноним (-), 14:57 , 29-Дек-21, (12) +2

Троллей не кормить Игнорируй , Аноним (-), 15:21 , 29-Дек-21, (14)

Ух ты, тролли оказывается манами питаются , Аноним (-), 17:08 , 29-Дек-21, (20)

Интересный у вас диалог с самим собой , Аноним (21), 17:15 , 29-Дек-21, (21)

Анонимусов на опеннете чуть более одного Странно что ты этого еще не заметил, а, Аноним (-), 18:09 , 29-Дек-21, (35) –1

Вот только они пронумерованы Внезапно, да , Урри (ok), 19:34 , 29-Дек-21, (39)

http wiki opennet ru ForumHelp D0 98 D0 BA D0 BE D0 BD D0 BA D0 B8_ D1 80 D1 , Аноним (40), 19:45 , 29-Дек-21, (40) –1
Хаха, во ты кадр Вообще, движок не нумерует анонимов Но если активно постить с, Аноним (-), 21:09 , 29-Дек-21, (42)

Нельзя Толлинг допускается только один раз Ты же по второму кругу идёшь , Аноним (-), 15:21 , 29-Дек-21, (13) +1

Это что-то типа лизинга , Аноним (21), 17:06 , 29-Дек-21, (19)

Не, взымание платы за платную дорогу, Аноним (41), 19:49 , 29-Дек-21, (41) +1

Именно такого нет, есть MAC фреймворк с модулями разными, они могут дополнительн, Крок (?), 14:54 , 29-Дек-21, (11) +3 //

Ну я так понял BSD-альтернативы для LKRG нет Ну так он в линуксе и до этого был , Аноним (1), 16:12 , 29-Дек-21, (16) –2 //

Но зато есть man-страницы, которые можно скопипастить, а это уже что-то И говоря, Аноним (21), 17:01 , 29-Дек-21, (17) –1

чем длиннее пасты, тем солиднее коммент Можно еще для убедительности разбавить , Аноним (1), 17:22 , 29-Дек-21, (23) –1

Да я этого поехавшего помню ещё по фееричному доказательству, что freebas НЕ пе, Аноним (21), 17:27 , 29-Дек-21, (27) –1

Ну да, глупые бздуны забыли что чтение мана - это не к лапчатым И очередной п, Аноним (26), 17:26 , 29-Дек-21, (26)

Модно-молодежные выбирают ютуб же - просмотр полуторачасового видосика экономит , Аноним (-), 18:56 , 29-Дек-21, (37) +3
Наспамить бсдшными манами в теме про линуксный модуль, а потом еще и такие заявы, Аноним (-), 21:15 , 29-Дек-21, (43) –2

Наспамить в теме про линуксовый модуль В BSD нету LKRG Воть , спалиться анони, Аноним (-), 21:31 , 29-Дек-21, (44) –1

Во ты нарк Там реально несколько разных анонимов Факин лол , Аноним (-), 17:17 , 30-Дек-21, (76)

Эксперд294, попробуй читать глазами, а не опой--А номерок анонима привязан либо , Аноним (-), 18:10 , 30-Дек-21, (83)

Чисто поржать, я где-то в середине втерся, подстебать чудика бросающегося на i , Аноним (-), 18:38 , 30-Дек-21, (86)

Я уже говорил - попробуй начать читать глазами Это прямо из формы ответа, если ч, Аноним (91), 19:34 , 30-Дек-21, (91)

Эвона как, можно быть анонимом Шредингера, одновременно с номером и без С ним но, Аноним (-), 10:15 , 31-Дек-21, (96)

Т е не проблема показать вариант mac_portacl которому почти 20 лет и который в, Аноним (-), 17:19 , 29-Дек-21, (22)

уже было в линуксе до всяких LKRG А вот где аналог LKRG в BSD , Аноним (1), 17:24 , 29-Дек-21, (24)

Пруфы будут Или как обычно , Аноним (26), 17:31 , 29-Дек-21, (29)

SELinux же А ещё есть capabilities , Moomintroll (ok), 10:22 , 30-Дек-21, (69)

, Аноним (21), 17:25 , 29-Дек-21, (25)

Умел бы читать - понял бы, что это совершенно не то Но увы, ты похоже даже скоп, Аноним (26), 17:29 , 29-Дек-21, (28)

Вот уже 20 лет демоны биндятся на нужный им порт, а потом сбрасывают привилегии , Аноним (21), 17:33 , 29-Дек-21, (30) –1

Вот уже 20 лет с mac_portctl не нужен запуск с излишними привелегиями, а затем и, Аноним (32), 17:45 , 29-Дек-21, (32)
А в линухе им можно вообще дать cap на это дело и больше никаких привилегий Так, Аноним (-), 18:07 , 29-Дек-21, (34)

Да, прямой альтернативы нет, в том виде как это устроено работает Но в MAC есть , Ivan_83 (ok), 02:00 , 30-Дек-21, (62) –1

То есть ты намекаешь на то, что этот бздешный фреймворк настолько крив и недокум, Аноним (66), 07:41 , 30-Дек-21, (66)

Нет, это так же как с BPF который в линукс утащили мало просто загрузить модуль, Ivan_83 (ok), 08:03 , 30-Дек-21, (67)

Вы там что, в системном программировании вообще ни в зуб ногой С любезно закинут, Аноним (-), 18:14 , 30-Дек-21, (84)

Вас, зубоногих уже вроде бы ткнули kern kern_malloc c code ifdef INVARIANTS , Аноним (-), 19:16 , 30-Дек-21, (88)

Я не знаток линукса, знаю только selinux, который тоже всё метками метить умеет , Ivan_83 (ok), 02:06 , 30-Дек-21, (63)

Ждём через некоторое время новости про cve в сабже , Корец (?), 13:42 , 29-Дек-21, (2) +1 //

Посмотрите уже, кто пишет и чем известны , Michael Shigorin (ok), 22:54 , 29-Дек-21, (47) –1 //

Давите оппонента мнимым авторитетом да ещё и чужим Дальше вам падать уже неку, Аноним (-), 00:36 , 30-Дек-21, (54) //

Есть мнение, что с этим - как в том анекдоте про слона съесть то может и съест,, Аноним (-), 00:55 , 30-Дек-21, (59)

Самый лёгкий и самый приятный из его подвигов , Аноним (68), 09:15 , 30-Дек-21, (68)

Намекаем коллеге, что матчасть полезно хотя бы самую чуточку глянуть сперва , Michael Shigorin (ok), 14:56 , 30-Дек-21, (72) –1

Наркоман чтоли Это Openwall Project, автор solar designer Они многие cve и нахо, Аноним (58), 00:43 , 30-Дек-21, (58) +3 //

А прикинь, раз и на старуху как говорится , Аноним (-), 15:59 , 30-Дек-21, (73) +1

Один вариант моего ответа на подобную дежурную иронию см в дискуссии о LKRG 0 8, solardiz (ok), 06:11 , 31-Дек-21, (94) +2

Когда из коробки Достало уже вручную обновлять , Аноним (3), 13:42 , 29-Дек-21, (3) //

Будем обновляться само, если только API не поменяют , Аноним (10), 14:41 , 29-Дек-21, (9) //

Не будет, нужно ведь ещё из гита выкачивать и собирать Вообще хорошо бы бинарны, Аноним (3), 19:31 , 29-Дек-21, (38)

Если достало, не ной, иди-ка ты лучше в OS Windows , Аноним (-), 15:23 , 29-Дек-21, (15) –4 //

Или в ОС BSD Там нет LKRG, но есть man-страницы , Аноним (21), 17:02 , 29-Дек-21, (18) –1 //

Ты эта, глубоко вздохни, приложи лёд и успокойся - то, что в _BSD_ нет _Linux_ K, Аноним (31), 17:40 , 29-Дек-21, (31) +4

Не знаю, User294 это забегал или кто другой -- но на такую резвость не могу себе, Michael Shigorin (ok), 22:57 , 29-Дек-21, (49) –7

Че там с вашими фантазиями - не знаю, а за самостийным графическим стеком к опен, Аноним (-), 00:58 , 30-Дек-21, (60)

xenocara - это ж всего лишь система сборки стандартного xorg, чтобы юзеру не дум, а (?), 06:58 , 30-Дек-21, (65)

Ну хз, что имелось в виду - я не Ванга В той же фре никто не объявлял о самост, Аноним (-), 13:49 , 30-Дек-21, (71)

Изначально кроссплатформенные иксы изначально делали совершено адское ушлепанств, Аноним (-), 18:01 , 30-Дек-21, (82)

Да-да, а вот стоило прибить их к evdev libinput - сразу ух как зажили , Аноним (-), 18:16 , 30-Дек-21, (85)

Это какая-то ваша персональная травма На фоне тех архитектурных изменений котор, Аноним (-), 18:48 , 30-Дек-21, (87)

Нет, зато многократный спрыг с темы, растекание мысью по древу и приписывание, Аноним (-), 19:20 , 30-Дек-21, (89)
Я просто думал что переход на DRM KMS и сопутствующее изменение всех системных п, Аноним (-), 14:13 , 01-Янв-22, (105) –1

http packages altlinux org ru search branch p10 name lkrg, Michael Shigorin (ok), 22:55 , 29-Дек-21, (48) –1

Подскажите, чем принципиально это отличается от AppArmor или SeLinux Тем что иск, йцу (?), 14:10 , 29-Дек-21, (4) –1 //

Т е оно скорее дополняет SeLinux-подобные системы , йцу (?), 14:13 , 29-Дек-21, (5) +2
Тем что оно делает несколько другие вещи AppArmor и SELinux сами по себе урезаю, Аноним (-), 18:06 , 29-Дек-21, (33) +2 //

это магия, понятно, Аноним (-), 16:06 , 30-Дек-21, (74) //

Типа того Оно помогает эксплойту пролететь мимо не причиняя урона Solardiz так, Аноним (-), 17:37 , 30-Дек-21, (79)

Кто нибудь это проверялKernel Self Protection Settings - https github com Whon, Аноним (-), 23:15 , 29-Дек-21, (50)
https www kicksecure com wiki Main_PageLinux Kernel RuntimeGuard LKRG - LKRG, Аноним (-), 23:40 , 29-Дек-21, (51)
А где модуль для защиты от уязвимостей в модуле защиты от уязвимостей , Онаним (?), 00:40 , 30-Дек-21, (55) //

Там же, только сверху, Аноним (-), 00:41 , 30-Дек-21, (57) +1
Пропатчь загружай модуль защиты из модуля защиты Так все модули защиты будут з, Аноним (-), 17:33 , 30-Дек-21, (78)

it was stated that LKRG is bypassable by design это все что нужно знать о lkrg, Аноним (70), 13:05 , 30-Дек-21, (70) +3 //

Кортинге зочёдные https a13xp0p0v github io img snowballs jpgИ снова шигорин , Аноним (-), 16:13 , 30-Дек-21, (75) //

Этот анализ к его эль-полену не очень применим, где у него rax вообще Понят, Аноним (81), 17:54 , 30-Дек-21, (81)

А ты сам это читал, чудак Это вот оттуда Автор основательно подолбался с взл, Аноним (-), 17:50 , 30-Дек-21, (80) –1 //

ты не дочитал - он не долбался, а забил на них после безответных постов в их кон, Аноним (70), 08:54 , 31-Дек-21, (95) –1 //

Забил на кого На LKRG или способы обхода Ну, блин, мне x86 не нравится и я чит, Аноним (97), 10:24 , 31-Дек-21, (97)
До всяких постов у нас с Александром Поповым была дискуссия в личной переписке , solardiz (ok), 15:49 , 31-Дек-21, (103) +2

Как интересно, про kptr я оказывается и до этой новости додумался, но спасибо чт, Аноним (-), 14:16 , 01-Янв-22, (106) +1

Да, LKRG - это костыль Но в Линухе приходится довольствоваться и таким костылём, Аноним (93), 23:20 , 30-Дек-21, (93) –1 //

Это в каком-то роде фича Чем неожиданнее для атакующего, тем выше шанс что он о, Аноним (-), 10:35 , 31-Дек-21, (98) +1 //

Да костыль это, костыль Ибо не защищает, а оповещает об уже свершившемся проник, Аноним (93), 13:46 , 31-Дек-21, (101)

Если при этом логика сплойта отвалится - не так уж и страшно, ведь свою цель он , Аноним (-), 14:21 , 01-Янв-22, (107)
Вантуз-это не Linux и с этим очень трудно спорить , Саша Ал Александр (?), 06:11 , 03-Янв-22, (109)
Проверка контекста состоит из двух этапов сперва проверка структуры самого кон, n00by (ok), 17:11 , 08-Янв-22, (112)

В финальной версии ядра каждая строчка кода будет в отдельной изоляции , swabrostionnayaformapravleniya (?), 10:55 , 31-Дек-21, (99) //

Лишь бы на rust не писать , Аноним (111), 10:49 , 03-Янв-22, (111)

Сообщения [Сортировка по времени | RSS]

16. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." –2 +/–

Сообщение от Аноним (1), 29-Дек-21, 16:12

Ну я так понял BSD-альтернативы для LKRG нет.
> MAC фреймворк с модулями разными
Ну так он в линуксе и до этого был. И не один.

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." –1 +/–

Сообщение от Аноним (21), 29-Дек-21, 17:01

>  Ну я так понял BSD-альтернативы для LKRG нет.
Но зато есть man-страницы, которые можно скопипастить, а это уже что-то.
И говорящий сам с собой копипастер.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." –1 +/–

Сообщение от Аноним (1), 29-Дек-21, 17:22

чем длиннее пасты, тем солиднее коммент. Можно еще для убедительности разбавить ссылками. Пофиг, что не по теме -- главное щоб були ссилкi.

Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." –1 +/–

Сообщение от Аноним (21), 29-Дек-21, 17:27

Да я этого поехавшего помню ещё по фееричному доказательству, что "freebas НЕ переходила на zfsonlinux" ссылками на... новости о том, что freebsd переходит на zfsonlinux.

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Аноним (26), 29-Дек-21, 17:26

>>  Ну я так понял BSD-альтернативы для LKRG нет.
> Но зато есть man-страницы, которые можно скопипастить, а это уже что-то.
Ну да, глупые бздуны забыли что чтение мана - это не к лапчатым ...
> И говорящий сам с собой копипастер.
И очередной подгоревший недо-вбросчик метана, с сумбурными фантазиями.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

37. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +3 +/–

Сообщение от Аноним (-), 29-Дек-21, 18:56

> Ну да, глупые бздуны забыли что чтение мана - это не к лапчатым ...
Модно-молодежные выбирают ютуб же - просмотр полуторачасового видосика экономит 10 минут старперского чтения мана!

Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." –2 +/–

Сообщение от Аноним (-), 29-Дек-21, 21:15

Наспамить бсдшными манами в теме про линуксный модуль, а потом еще и такие заявы выдавать? А вы красавчики, лол. Благодаря таким типам и складывается вмечатление что бсд пользуются только совсем ушибленые придурки.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

44. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." –1 +/–

Сообщение от Аноним (-), 29-Дек-21, 21:31

> Наспамить бсдшными манами в теме про линуксный модуль, а потом еще и
> такие заявы выдавать?
Наспамить в теме про линуксовый модуль "В BSD нету LKRG! Воть!", спалиться анонимным номерком, нарваться на ответку, перейти на ad hominem и еще повозмущаться "а чей-то вы миня абижаите!" - красава!
> А вы красавчики, лол. Благодаря таким типам и
> складывается вмечатление что бсд пользуются только совсем ушибленые придурки.
Зато благодаря вам, "нетакимкакфсе", давно уже сложилось впечатление, что линухом пользуются только  истеричные тик-токеры-школота, постоянно ищущая, за счет чего бы самоутвердиться ...

Ответить | Правка | Наверх | Cообщить модератору

76. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Аноним (-), 30-Дек-21, 17:17

> Наспамить в теме про линуксовый модуль "В BSD нету LKRG! Воть!", спалиться
> анонимным номерком, нарваться на ответку, перейти на ad hominem и еще
> повозмущаться "а чей-то вы миня абижаите!" - красава!
Во ты нарк. Там реально несколько разных анонимов.
> Зато благодаря вам, "нетакимкакфсе", давно уже сложилось впечатление, что линухом пользуются
> только  истеричные тик-токеры-школота, постоянно ищущая, за счет чего бы самоутвердиться...
Факин лол!

Ответить | Правка | Наверх | Cообщить модератору

83. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Аноним (-), 30-Дек-21, 18:10

>> Наспамить в теме про линуксовый модуль "В BSD нету LKRG! Воть!", спалиться
>> анонимным номерком, нарваться на ответку, перейти на ad hominem и еще
>> повозмущаться "а чей-то вы миня абижаите!" - красава!
> Во ты нарк. Там реально несколько разных анонимов.
Эксперд294, попробуй читать глазами, а не опой
> Сообщение от Аноним (1), 29-Дек-21, 13:23
> есть ли защита такого уровня для BSD?
-
> Сообщение от Аноним (1), 29-Дек-21, 16:12
> Ну я так понял BSD-альтернативы для LKRG нет.
-
> Сообщение от Аноним (1), 29-Дек-21, 17:24
> уже было в линуксе до всяких LKRG. А вот где аналог LKRG в BSD?
А номерок анонима привязан либо к айпишнику, который не входит в список публичных тор-нод (и возможно, анонимных проксей), либо к введенному мылу. И получить совпадение теоретически (и практически) можно, но учитывая стилистику и тему - вероятность, что анонимы "реально разные" не физически, а из-за шизы - наверное повыше будет.
>> Зато благодаря вам, "нетакимкакфсе", давно уже сложилось впечатление, что линухом пользуются
>> только  истеричные тик-токеры-школота, постоянно ищущая, за счет чего бы самоутвердиться...
> этого поехавшего
> ушибленые придурки.
> Во ты нарк.
> Факин лол!
Какая наглядная демонстрация! Продолжайте, продолжайте!

Ответить | Правка | Наверх | Cообщить модератору

86. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Аноним (-), 30-Дек-21, 18:38

> Эксперд294, попробуй читать глазами, а не опой
Чисто поржать, я где-то в середине втерся, подстебать чудика бросающегося на [i]разных[/i] анонимов. Это предсказуемо довершило срыв стэка и тому лолу и протупляющему урри заодно.
> А номерок анонима привязан либо к айпишнику, который не входит в список
> публичных тор-нод (и возможно, анонимных проксей), либо к введенному мылу.
Для тех кто не отпустил ручник, сообщаю:
1) мыло, если его указали, видно, значок появляется.
2) смысл укзания мыла анонимом загадка
3) движок имеет какое-то свое мнение о нумеровании, я не уверен что номер стабилен, он делает нечто типа инкремента по мере появления новых активных анонов, или типа того.
> И получить совпадение теоретически (и практически) можно, но учитывая стилистику и тему
> - вероятность, что анонимы "реально разные" не физически, а из-за шизы
> - наверное повыше будет.
Вот именно с одним номером, в одном треде - вроде бы да. Но цифра кажись может появиться не сразу, а только если несколько мсг с одного ип закинуть. До этого аноним может быть совсем-анонимным, с "-", и даже если ему потом номер дают, на сообщения с - это вроде не влияет.
> Какая наглядная демонстрация! Продолжайте, продолжайте!
Есчо я недавно в это шоу шЫзы вклинился, поугорать. Те аноны ко мне отношения не имеют. Но жгут знатно. Правда, имхо, их все-равно стоило бы стереть или скрыть, нафиг они с своим спамом манами? Хоть и угарно сорвали стэки, конечно :)

Ответить | Правка | Наверх | Cообщить модератору

91. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Аноним (91), 30-Дек-21, 19:34

> Для тех кто не отпустил ручник, сообщаю:
> 1) мыло, если его указали, видно, значок появляется.
Я уже говорил - попробуй начать читать глазами:
>> Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Это прямо из формы ответа, если что. Смотри демку - я заношу "!!mail@mail.mail" перед отправкой.
Видишь значок мыла? А номер - вот он, несмотря на тор.
> 2) смысл укзания мыла анонимом загадка
Получать уведомления об ответе? Видеть "себя" по номеру (мыло не обязательно должно быть валидным)?
> Вот именно с одним номером, в одном треде - вроде бы да.
> Но цифра кажись может появиться не сразу, а только если несколько
Может да, может нет - но чаще всего сразу, как и в этом случае.
А вот именно что одинаковый номер у двух разных анонов (т.е. меня из под Tor и точно не мое сообщение с таким же номером) - я видел лишь один раз, да и то в теме с полтыщей сообщений, с разницев в несколько дней.

>> Какая наглядная демонстрация! Продолжайте, продолжайте!
> Есчо я недавно в это шоу шЫзы вклинился, поугорать. Те аноны ко
> мне отношения не имеют. Но жгут знатно.
Я в курсе, но так ведь даже лучше - демонстрируется более репрезентативная выборка :)

Ответить | Правка | Наверх | Cообщить модератору

96. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Аноним (-), 31-Дек-21, 10:15

> Видишь значок мыла? А номер - вот он,
Эвона как, можно быть анонимом Шредингера, одновременно с номером и без.
> несмотря на тор.
С ним номер может отсутствовать. Иногда появляться. Пропадать. Как-то засисит от смены exit'ов.
> Получать уведомления об ответе?
Лол, какой же это аноним, проще зарегаться наверное.
> Видеть "себя" по номеру (мыло не обязательно должно быть валидным)?
Ну это еще куда ни шло. Хоть и странная фича.
> Может да, может нет - но чаще всего сразу, как и в этом случае.
Во всяком случае через тор оно как-то так: первые сообщения с - а если быстро запостить несколько с одного exit, вроде бы номер появляется, потом может пропасть, наверное, когда exit другой.
> номером) - я видел лишь один раз, да и то в
> теме с полтыщей сообщений, с разницев в несколько дней.
Может айпишники экситов совпали, или типа того. Вот это полнейший рандом в таком случае :)
> Я в курсе, но так ведь даже лучше - демонстрируется более репрезентативная выборка :)
Ну тебе как эксперту виднее :P.

Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Аноним (-), 29-Дек-21, 17:19

>> MAC фреймворк с модулями разными
> Ну так он в линуксе и до этого был. И не один.
Т.е. не проблема показать вариант mac_portacl (которому почти 20 лет и который все еще поддерживается)
> # sysctl security.mac.portacl.rules=uid:1001:tcp:110,uid:1001:tcp:995
> Permit the user with the UID of 1001 to bind to the TCP ports 110 (“pop3”) and 995 (“pop3s”).
> This will permit this user to start a server that accepts connections on ports 110 and 995.
.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

24. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Аноним (1), 29-Дек-21, 17:24

уже было в линуксе до всяких LKRG. А вот где аналог LKRG в BSD?

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Аноним (26), 29-Дек-21, 17:31

> уже было в линуксе до всяких LKRG.
Пруфы будут? Или как обычно?

Ответить | Правка | Наверх | Cообщить модератору

69. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Moomintroll (ok), 30-Дек-21, 10:22

>> уже было в линуксе до всяких LKRG.
> Пруфы будут? Или как обычно?
SELinux же!
А ещё есть capabilities.

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Аноним (21), 29-Дек-21, 17:25

>       setuid()  sets the effective user ID of the calling process.  If the calling process is privileged (more precisely: if the process has the CAP_SETUID capability in its user namespace), the real UID
>       and saved set-user-ID are also set.
>       Under Linux, setuid() is implemented like the POSIX version with the _POSIX_SAVED_IDS feature.  This allows a set-user-ID (other than root) program to drop all of its user privileges, do  some  un-
>       privileged work, and then reengage the original effective user ID in a secure manner.
>       If the user is root or the program is set-user-ID-root, special care must be taken: setuid() checks the effective user ID of the caller and if it is the superuser, all process-related user ID's are
>       set to uid.  After this has occurred, it is impossible for the program to regain root privileges.
>       Thus, a set-user-ID-root program wishing to temporarily drop root privileges, assume the identity of an unprivileged user, and then regain root privileges afterward cannot use  setuid().   You  can
>       accomplish this with seteuid(2).
.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

28. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Аноним (26), 29-Дек-21, 17:29

>> Permit the user with the UID of 1001 to bind to the TCP ports 110
>>       setuid()  sets the effective user ID of the calling process.  If the calling process is privileged (more precisely: if the process has the CAP_SETUID capability
Умел бы читать - понял бы, что это совершенно не то.
Но увы, ты похоже даже скопипастить нормально не можешь, куда уж тебе до системных азов.

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." –1 +/–

Сообщение от Аноним (21), 29-Дек-21, 17:33

> Умел бы читать - понял бы, что это совершенно не то.
Вот уже 20 лет демоны биндятся на нужный им порт, а потом сбрасывают привилегии.
Но это, конечно же, совсем не то.
Лучше расскажите нам, как все 65535 портов между UID-ами распределяете (а то граница в 1024 уже много лет не имеет особого физического смысла).

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Аноним (32), 29-Дек-21, 17:45

>> Умел бы читать - понял бы, что это совершенно не то.
> Вот уже 20 лет демоны биндятся на нужный им порт, а потом сбрасывают привилегии.
Вот уже 20 лет с mac_portctl не нужен запуск с излишними привелегиями, а затем их же "сброс".
> Но это, конечно же, совсем не то.
Естественно. Рад, что и до вас дошло.
> Лучше расскажите нам, как все 65535 портов между UID-ами распределяете (а то
> граница в 1024 уже много лет не имеет особого физического смысла).
Сами придумали какую-то дичь, сами и рассказывайте о ней (лучше всего зеркалу, а не на форум) - мы-то причем?

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Аноним (-), 29-Дек-21, 18:07

> Вот уже 20 лет демоны биндятся на нужный им порт, а потом
> сбрасывают привилегии.
А в линухе им можно вообще дать cap на это дело и больше никаких привилегий. Так что и сбрасывать особо нечего.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

62. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." –1 +/–

Сообщение от Ivan_83 (ok), 30-Дек-21, 02:00

Да, прямой альтернативы нет, в том виде как это устроено/работает.
Но в MAC есть Biba, LOMAC и Multi-Level Security.
Ещё есть bsdextended - file system firewall policy.
Целостность структур ядра оно не проверяет, но оно следит за принадлежностью объектов и что они за рамки позволенного не выходят, те как раз от "изменения полномочий пользовательских процессов".
>     These rules prevent subjects of lower integrity from influencing the be-
>     havior of higher integrity subjects by preventing the flow of informa-
>     tion, and hence control, from allowing low integrity subjects to modify
>     either a high integrity object or high integrity subjects acting on those
>     objects.  Biba integrity policies may be appropriate in a number of envi-
>     ronments, both from the perspective of preventing corruption of the oper-
>     ating system, and corruption of user data if marked as higher integrity
>     than the attacker. In traditional    trusted    operating systems, the Biba
>     integrity model is used to protect the Trusted Code Base (TCB).
https://www.freebsd.org/cgi/man.cgi?query=mac&sektion=4
Те линуксойды опять сделали простую вещь с минимумом функционала а в бсд нашёлся древний фреймворк который это в том числе умеет делать.
К сожалению у фреймворков есть одна проблема: нужно время и мозги на их освоение, а хреновину из линуха можно включить не приходя в сознание.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

66. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Аноним (66), 30-Дек-21, 07:41

> К сожалению у фреймворков есть одна проблема: нужно время и мозги на их освоение, а хреновину из линуха можно включить не приходя в сознание.
То есть ты намекаешь на то, что этот бздешный фреймворк настолько крив и недокументирован, что на него уйдёт уйма времени? Я о бздах был лучшего мнения если честно.
> а хреновину из линуха можно включить не приходя в сознание. Не вижу здесь ничего плохого. Я всегда ценил удобство, например. А приходить в сознание уже можно на более сложных вещах.

Ответить | Правка | Наверх | Cообщить модератору

67. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Ivan_83 (ok), 30-Дек-21, 08:03

Нет, это так же как с BPF который в линукс утащили: мало просто загрузить модуль, надо бы ещё какую то программу/конфиг туда залить чтобы оно начало работать.

Ответить | Правка | Наверх | Cообщить модератору

84. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Аноним (-), 30-Дек-21, 18:14

> Но в MAC есть Biba, LOMAC и Multi-Level Security.
> Ещё есть bsdextended - file system firewall policy.
> Целостность структур ядра оно не проверяет, но оно следит за принадлежностью объектов
> и что они за рамки позволенного не выходят, те как раз
> от "изменения полномочий пользовательских процессов".
Вы там что, в системном программировании вообще ни в зуб ногой?
С любезно закинутого анонимусом https://a13xp0p0v.github.io/2021/08/25/lkrg-bypass.html

It's a Linux kernel module that performs runtime integrity checking of the kernel and detects kernel vulnerability exploits. The aim of LKRG anti-exploit functionality is to detect specific kernel data corruption performed during vulnerability exploitation
Что из перечисленого является хоть каким-то аналогом упомянутого?

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

88. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Аноним (-), 30-Дек-21, 19:16

>

> It's a Linux kernel module that performs runtime integrity checking of the
> kernel and detects kernel vulnerability exploits. The aim of LKRG anti-exploit
> functionality is to detect specific kernel data corruption performed during vulnerability
> exploitation
>

> Что из перечисленого является хоть каким-то аналогом упомянутого?
Вас, зубоногих уже вроде бы ткнули:
> A kernel compiled with the INVARIANTS configuration option attempts to
> detect memory corruption caused by such things as writing outside the
>  allocated area and imbalanced calls to the malloc() and free() functions
kern/kern_malloc.c

#ifdef INVARIANTS
...
        KASSERT(mtp->ks_magic == M_MAGIC, ("malloc: bad malloc type magic"));
        /*
         * Check that exactly one of M_WAITOK or M_NOWAIT is specified.
         */
...
#ifdef INVARIANTS
            mtrash_ctor, mtrash_dtor, mtrash_init, mtrash_fini,

kern/subr_sbuf.c

#if defined(_KERNEL) && defined(INVARIANTS)
static void
...
#define assert_sbuf_integrity(s) _assert_sbuf_integrity(__func__, (s))
#define assert_sbuf_state(s, i)  _assert_sbuf_state(__func__, (s), (i))
#else /* _KERNEL && INVARIANTS */
#define assert_sbuf_integrity(s) do { } while (0)
#define assert_sbuf_state(s, i)  do { } while (0)
#endif /* _KERNEL && INVARIANTS */

netpfil/pf/pf.c
#ifdef INVARIANTS
        struct pf_keyhash *kh = &V_pf_keyhash[pf_hashkey(sk)];        PF_HASHROW_ASSERT(kh);

net/bpf_buffer.c
#ifdef INVARIANTS
       d->bd_sbuf = d->bd_hbuf = d->bd_fbuf = (caddr_t)~0;

kern/uipc_socket.c

#ifdef INVARIANTS
     bzero(&so->so_rcv,
         sizeof(struct socket) - offsetof(struct socket, so_rcv));
#endif
и т.д.

Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..." +/–

Сообщение от Ivan_83 (ok), 30-Дек-21, 02:06

Я не знаток линукса, знаю только selinux, который тоже всё метками метить умеет и какие то правила применять к ним.
Насколько оно аналог MAC мне судить трудно, потому что я и с MAC очень мало работал, а селинукс можно сказать что только видел пока в андройдах копаюсь.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	16. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	–2 +/–
	Сообщение от Аноним (1), 29-Дек-21, 16:12
	Ну я так понял BSD-альтернативы для LKRG нет. > MAC фреймворк с модулями разными Ну так он в линуксе и до этого был. И не один.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	–1 +/–
	Сообщение от Аноним (21), 29-Дек-21, 17:01
	> Ну я так понял BSD-альтернативы для LKRG нет. Но зато есть man-страницы, которые можно скопипастить, а это уже что-то. И говорящий сам с собой копипастер.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	–1 +/–
	Сообщение от Аноним (1), 29-Дек-21, 17:22
	чем длиннее пасты, тем солиднее коммент. Можно еще для убедительности разбавить ссылками. Пофиг, что не по теме -- главное щоб були ссилкi.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	–1 +/–
	Сообщение от Аноним (21), 29-Дек-21, 17:27
	Да я этого поехавшего помню ещё по фееричному доказательству, что "freebas НЕ переходила на zfsonlinux" ссылками на... новости о том, что freebsd переходит на zfsonlinux.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Аноним (26), 29-Дек-21, 17:26
	>> Ну я так понял BSD-альтернативы для LKRG нет. > Но зато есть man-страницы, которые можно скопипастить, а это уже что-то. Ну да, глупые бздуны забыли что чтение мана - это не к лапчатым ... > И говорящий сам с собой копипастер. И очередной подгоревший недо-вбросчик метана, с сумбурными фантазиями.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	37. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+3 +/–
	Сообщение от Аноним (-), 29-Дек-21, 18:56
	> Ну да, глупые бздуны забыли что чтение мана - это не к лапчатым ... Модно-молодежные выбирают ютуб же - просмотр полуторачасового видосика экономит 10 минут старперского чтения мана!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	–2 +/–
	Сообщение от Аноним (-), 29-Дек-21, 21:15
	Наспамить бсдшными манами в теме про линуксный модуль, а потом еще и такие заявы выдавать? А вы красавчики, лол. Благодаря таким типам и складывается вмечатление что бсд пользуются только совсем ушибленые придурки.
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору


	44. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	–1 +/–
	Сообщение от Аноним (-), 29-Дек-21, 21:31
	> Наспамить бсдшными манами в теме про линуксный модуль, а потом еще и > такие заявы выдавать? Наспамить в теме про линуксовый модуль "В BSD нету LKRG! Воть!", спалиться анонимным номерком, нарваться на ответку, перейти на ad hominem и еще повозмущаться "а чей-то вы миня абижаите!" - красава! > А вы красавчики, лол. Благодаря таким типам и > складывается вмечатление что бсд пользуются только совсем ушибленые придурки. Зато благодаря вам, "нетакимкакфсе", давно уже сложилось впечатление, что линухом пользуются только истеричные тик-токеры-школота, постоянно ищущая, за счет чего бы самоутвердиться ...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	76. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Аноним (-), 30-Дек-21, 17:17
	> Наспамить в теме про линуксовый модуль "В BSD нету LKRG! Воть!", спалиться > анонимным номерком, нарваться на ответку, перейти на ad hominem и еще > повозмущаться "а чей-то вы миня абижаите!" - красава! Во ты нарк. Там реально несколько разных анонимов. > Зато благодаря вам, "нетакимкакфсе", давно уже сложилось впечатление, что линухом пользуются > только истеричные тик-токеры-школота, постоянно ищущая, за счет чего бы самоутвердиться... Факин лол!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	83. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Аноним (-), 30-Дек-21, 18:10
	>> Наспамить в теме про линуксовый модуль "В BSD нету LKRG! Воть!", спалиться >> анонимным номерком, нарваться на ответку, перейти на ad hominem и еще >> повозмущаться "а чей-то вы миня абижаите!" - красава! > Во ты нарк. Там реально несколько разных анонимов. Эксперд294, попробуй читать глазами, а не опой > Сообщение от Аноним (1), 29-Дек-21, 13:23 > есть ли защита такого уровня для BSD? - > Сообщение от Аноним (1), 29-Дек-21, 16:12 > Ну я так понял BSD-альтернативы для LKRG нет. - > Сообщение от Аноним (1), 29-Дек-21, 17:24 > уже было в линуксе до всяких LKRG. А вот где аналог LKRG в BSD? А номерок анонима привязан либо к айпишнику, который не входит в список публичных тор-нод (и возможно, анонимных проксей), либо к введенному мылу. И получить совпадение теоретически (и практически) можно, но учитывая стилистику и тему - вероятность, что анонимы "реально разные" не физически, а из-за шизы - наверное повыше будет. >> Зато благодаря вам, "нетакимкакфсе", давно уже сложилось впечатление, что линухом пользуются >> только истеричные тик-токеры-школота, постоянно ищущая, за счет чего бы самоутвердиться... > этого поехавшего > ушибленые придурки. > Во ты нарк. > Факин лол! Какая наглядная демонстрация! Продолжайте, продолжайте!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	86. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Аноним (-), 30-Дек-21, 18:38
	> Эксперд294, попробуй читать глазами, а не опой Чисто поржать, я где-то в середине втерся, подстебать чудика бросающегося на [i]разных[/i] анонимов. Это предсказуемо довершило срыв стэка и тому лолу и протупляющему урри заодно. > А номерок анонима привязан либо к айпишнику, который не входит в список > публичных тор-нод (и возможно, анонимных проксей), либо к введенному мылу. Для тех кто не отпустил ручник, сообщаю: 1) мыло, если его указали, видно, значок появляется. 2) смысл укзания мыла анонимом загадка 3) движок имеет какое-то свое мнение о нумеровании, я не уверен что номер стабилен, он делает нечто типа инкремента по мере появления новых активных анонов, или типа того. > И получить совпадение теоретически (и практически) можно, но учитывая стилистику и тему > - вероятность, что анонимы "реально разные" не физически, а из-за шизы > - наверное повыше будет. Вот именно с одним номером, в одном треде - вроде бы да. Но цифра кажись может появиться не сразу, а только если несколько мсг с одного ип закинуть. До этого аноним может быть совсем-анонимным, с "-", и даже если ему потом номер дают, на сообщения с - это вроде не влияет. > Какая наглядная демонстрация! Продолжайте, продолжайте! Есчо я недавно в это шоу шЫзы вклинился, поугорать. Те аноны ко мне отношения не имеют. Но жгут знатно. Правда, имхо, их все-равно стоило бы стереть или скрыть, нафиг они с своим спамом манами? Хоть и угарно сорвали стэки, конечно :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	91. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Аноним (91), 30-Дек-21, 19:34
	> Для тех кто не отпустил ручник, сообщаю: > 1) мыло, если его указали, видно, значок появляется. Я уже говорил - попробуй начать читать глазами: >> Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Это прямо из формы ответа, если что. Смотри демку - я заношу "!!mail@mail.mail" перед отправкой. Видишь значок мыла? А номер - вот он, несмотря на тор. > 2) смысл укзания мыла анонимом загадка Получать уведомления об ответе? Видеть "себя" по номеру (мыло не обязательно должно быть валидным)? > Вот именно с одним номером, в одном треде - вроде бы да. > Но цифра кажись может появиться не сразу, а только если несколько Может да, может нет - но чаще всего сразу, как и в этом случае. А вот именно что одинаковый номер у двух разных анонов (т.е. меня из под Tor и точно не мое сообщение с таким же номером) - я видел лишь один раз, да и то в теме с полтыщей сообщений, с разницев в несколько дней. >> Какая наглядная демонстрация! Продолжайте, продолжайте! > Есчо я недавно в это шоу шЫзы вклинился, поугорать. Те аноны ко > мне отношения не имеют. Но жгут знатно. Я в курсе, но так ведь даже лучше - демонстрируется более репрезентативная выборка :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	96. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Аноним (-), 31-Дек-21, 10:15
	> Видишь значок мыла? А номер - вот он, Эвона как, можно быть анонимом Шредингера, одновременно с номером и без. > несмотря на тор. С ним номер может отсутствовать. Иногда появляться. Пропадать. Как-то засисит от смены exit'ов. > Получать уведомления об ответе? Лол, какой же это аноним, проще зарегаться наверное. > Видеть "себя" по номеру (мыло не обязательно должно быть валидным)? Ну это еще куда ни шло. Хоть и странная фича. > Может да, может нет - но чаще всего сразу, как и в этом случае. Во всяком случае через тор оно как-то так: первые сообщения с - а если быстро запостить несколько с одного exit, вроде бы номер появляется, потом может пропасть, наверное, когда exit другой. > номером) - я видел лишь один раз, да и то в > теме с полтыщей сообщений, с разницев в несколько дней. Может айпишники экситов совпали, или типа того. Вот это полнейший рандом в таком случае :) > Я в курсе, но так ведь даже лучше - демонстрируется более репрезентативная выборка :) Ну тебе как эксперту виднее :P.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Аноним (-), 29-Дек-21, 17:19
	>> MAC фреймворк с модулями разными > Ну так он в линуксе и до этого был. И не один. Т.е. не проблема показать вариант mac_portacl (которому почти 20 лет и который все еще поддерживается) > # sysctl security.mac.portacl.rules=uid:1001:tcp:110,uid:1001:tcp:995 > Permit the user with the UID of 1001 to bind to the TCP ports 110 (“pop3”) and 995 (“pop3s”). > This will permit this user to start a server that accepts connections on ports 110 and 995. .
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	24. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Аноним (1), 29-Дек-21, 17:24
	уже было в линуксе до всяких LKRG. А вот где аналог LKRG в BSD?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Аноним (26), 29-Дек-21, 17:31
	> уже было в линуксе до всяких LKRG. Пруфы будут? Или как обычно?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	69. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Moomintroll (ok), 30-Дек-21, 10:22
	>> уже было в линуксе до всяких LKRG. > Пруфы будут? Или как обычно? SELinux же! А ещё есть capabilities.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Аноним (21), 29-Дек-21, 17:25
	> setuid() sets the effective user ID of the calling process. If the calling process is privileged (more precisely: if the process has the CAP_SETUID capability in its user namespace), the real UID > and saved set-user-ID are also set. > Under Linux, setuid() is implemented like the POSIX version with the _POSIX_SAVED_IDS feature. This allows a set-user-ID (other than root) program to drop all of its user privileges, do some un- > privileged work, and then reengage the original effective user ID in a secure manner. > If the user is root or the program is set-user-ID-root, special care must be taken: setuid() checks the effective user ID of the caller and if it is the superuser, all process-related user ID's are > set to uid. After this has occurred, it is impossible for the program to regain root privileges. > Thus, a set-user-ID-root program wishing to temporarily drop root privileges, assume the identity of an unprivileged user, and then regain root privileges afterward cannot use setuid(). You can > accomplish this with seteuid(2). .
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	28. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Аноним (26), 29-Дек-21, 17:29
	>> Permit the user with the UID of 1001 to bind to the TCP ports 110 >> setuid() sets the effective user ID of the calling process. If the calling process is privileged (more precisely: if the process has the CAP_SETUID capability Умел бы читать - понял бы, что это совершенно не то. Но увы, ты похоже даже скопипастить нормально не можешь, куда уж тебе до системных азов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	–1 +/–
	Сообщение от Аноним (21), 29-Дек-21, 17:33
	> Умел бы читать - понял бы, что это совершенно не то. Вот уже 20 лет демоны биндятся на нужный им порт, а потом сбрасывают привилегии. Но это, конечно же, совсем не то. Лучше расскажите нам, как все 65535 портов между UID-ами распределяете (а то граница в 1024 уже много лет не имеет особого физического смысла).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Аноним (32), 29-Дек-21, 17:45
	>> Умел бы читать - понял бы, что это совершенно не то. > Вот уже 20 лет демоны биндятся на нужный им порт, а потом сбрасывают привилегии. Вот уже 20 лет с mac_portctl не нужен запуск с излишними привелегиями, а затем их же "сброс". > Но это, конечно же, совсем не то. Естественно. Рад, что и до вас дошло. > Лучше расскажите нам, как все 65535 портов между UID-ами распределяете (а то > граница в 1024 уже много лет не имеет особого физического смысла). Сами придумали какую-то дичь, сами и рассказывайте о ней (лучше всего зеркалу, а не на форум) - мы-то причем?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Аноним (-), 29-Дек-21, 18:07
	> Вот уже 20 лет демоны биндятся на нужный им порт, а потом > сбрасывают привилегии. А в линухе им можно вообще дать cap на это дело и больше никаких привилегий. Так что и сбрасывать особо нечего.
	Ответить \| Правка \| К родителю #30 \| Наверх \| Cообщить модератору


	62. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	–1 +/–
	Сообщение от Ivan_83 (ok), 30-Дек-21, 02:00
	Да, прямой альтернативы нет, в том виде как это устроено/работает. Но в MAC есть Biba, LOMAC и Multi-Level Security. Ещё есть bsdextended - file system firewall policy. Целостность структур ядра оно не проверяет, но оно следит за принадлежностью объектов и что они за рамки позволенного не выходят, те как раз от "изменения полномочий пользовательских процессов". > These rules prevent subjects of lower integrity from influencing the be- > havior of higher integrity subjects by preventing the flow of informa- > tion, and hence control, from allowing low integrity subjects to modify > either a high integrity object or high integrity subjects acting on those > objects. Biba integrity policies may be appropriate in a number of envi- > ronments, both from the perspective of preventing corruption of the oper- > ating system, and corruption of user data if marked as higher integrity > than the attacker. In traditional trusted operating systems, the Biba > integrity model is used to protect the Trusted Code Base (TCB). https://www.freebsd.org/cgi/man.cgi?query=mac&sektion=4 Те линуксойды опять сделали простую вещь с минимумом функционала а в бсд нашёлся древний фреймворк который это в том числе умеет делать. К сожалению у фреймворков есть одна проблема: нужно время и мозги на их освоение, а хреновину из линуха можно включить не приходя в сознание.
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	66. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Аноним (66), 30-Дек-21, 07:41
	> К сожалению у фреймворков есть одна проблема: нужно время и мозги на их освоение, а хреновину из линуха можно включить не приходя в сознание. То есть ты намекаешь на то, что этот бздешный фреймворк настолько крив и недокументирован, что на него уйдёт уйма времени? Я о бздах был лучшего мнения если честно. > а хреновину из линуха можно включить не приходя в сознание. Не вижу здесь ничего плохого. Я всегда ценил удобство, например. А приходить в сознание уже можно на более сложных вещах.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	67. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Ivan_83 (ok), 30-Дек-21, 08:03
	Нет, это так же как с BPF который в линукс утащили: мало просто загрузить модуль, надо бы ещё какую то программу/конфиг туда залить чтобы оно начало работать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	84. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Аноним (-), 30-Дек-21, 18:14
	> Но в MAC есть Biba, LOMAC и Multi-Level Security. > Ещё есть bsdextended - file system firewall policy. > Целостность структур ядра оно не проверяет, но оно следит за принадлежностью объектов > и что они за рамки позволенного не выходят, те как раз > от "изменения полномочий пользовательских процессов". Вы там что, в системном программировании вообще ни в зуб ногой? С любезно закинутого анонимусом https://a13xp0p0v.github.io/2021/08/25/lkrg-bypass.html It's a Linux kernel module that performs runtime integrity checking of the kernel and detects kernel vulnerability exploits. The aim of LKRG anti-exploit functionality is to detect specific kernel data corruption performed during vulnerability exploitation Что из перечисленого является хоть каким-то аналогом упомянутого?
	Ответить \| Правка \| К родителю #62 \| Наверх \| Cообщить модератору


	88. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Аноним (-), 30-Дек-21, 19:16
	> > It's a Linux kernel module that performs runtime integrity checking of the > kernel and detects kernel vulnerability exploits. The aim of LKRG anti-exploit > functionality is to detect specific kernel data corruption performed during vulnerability > exploitation > > Что из перечисленого является хоть каким-то аналогом упомянутого? Вас, зубоногих уже вроде бы ткнули: > A kernel compiled with the INVARIANTS configuration option attempts to > detect memory corruption caused by such things as writing outside the > allocated area and imbalanced calls to the malloc() and free() functions kern/kern_malloc.c #ifdef INVARIANTS ... KASSERT(mtp->ks_magic == M_MAGIC, ("malloc: bad malloc type magic")); /* * Check that exactly one of M_WAITOK or M_NOWAIT is specified. / ... #ifdef INVARIANTS mtrash_ctor, mtrash_dtor, mtrash_init, mtrash_fini, kern/subr_sbuf.c #if defined(_KERNEL) && defined(INVARIANTS) static void ... #define assert_sbuf_integrity(s) _assert_sbuf_integrity(__func__, (s)) #define assert_sbuf_state(s, i) _assert_sbuf_state(__func__, (s), (i)) #else / _KERNEL && INVARIANTS / #define assert_sbuf_integrity(s) do { } while (0) #define assert_sbuf_state(s, i) do { } while (0) #endif / _KERNEL && INVARIANTS / netpfil/pf/pf.c #ifdef INVARIANTS struct pf_keyhash kh = &V_pf_keyhash[pf_hashkey(sk)]; PF_HASHROW_ASSERT(kh); net/bpf_buffer.c #ifdef INVARIANTS d->bd_sbuf = d->bd_hbuf = d->bd_fbuf = (caddr_t)~0; kern/uipc_socket.c #ifdef INVARIANTS bzero(&so->so_rcv, sizeof(struct socket) - offsetof(struct socket, so_rcv)); #endif и т.д.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	63. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."	+/–
	Сообщение от Ivan_83 (ok), 30-Дек-21, 02:06
	Я не знаток линукса, знаю только selinux, который тоже всё метками метить умеет и какие то правила применять к ним. Насколько оно аналог MAC мне судить трудно, потому что я и с MAC очень мало работал, а селинукс можно сказать что только видел пока в андройдах копаюсь.
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору