Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Проект по портированию механизма изоляции pledge для Linux, opennews (??), 15-Июл-22, (0) [смотреть все] FreeBSD обгадили pledge , хотя работа там уже большая проделана, думаю этот про, Аноним (4), 14:39 , 15-Июл-22, (4) –13 // Сабжу похрен будет его кто ревьюить или нет У них там своя либа и свой враппер,, Аноним (-), 10:56 , 18-Июл-22, (78) Оно не будет адски тормозить со всеми этими проверками , Аноним (6), 14:42 , 15-Июл-22, (6) +1 // Будет но что ты называешь адски Это зависит от твоего самоощущения , Аноним (8), 14:43 , 15-Июл-22, (8) +4 // Юзера пускают с BPF в ядро, чтобы фильтровать этого самого юзера , Аноним (54), 12:32 , 16-Июл-22, (54) +4 // P S И вообще, что значит модифицированного приложения Огораживаемое приложен, Аноним (54), 12:39 , 16-Июл-22, (56) +1 Это может иметь смысл для компонентов системы Хэккер обнаружил технологическое , n00by (ok), 13:04 , 16-Июл-22, (58) –2 Значит, псевдо-защита уже не сработала, если прошла удалённая атака , Аноним (54), 13:37 , 16-Июл-22, (60) Подменять ошибка в программе на защита - так себе приём риторики Складывает, n00by (ok), 14:31 , 16-Июл-22, (62) Хорошо Хэккер ошибочно попал на твой комп Он не хотел, но попал , Аноним (54), 17:02 , 16-Июл-22, (66) Ну вот, попал он и пишет привычно perl exe --skompilirovat-sploetа тот ему в отв, n00by (ok), 19:39 , 16-Июл-22, (67) +1 По такой же технологии некто тигар на freebsd вырусы на хостинге тролил, мол, п, Аноним (-), 11:13 , 18-Июл-22, (81) Так то да Но в условном банке есть СБ, камеры, сигнализация, сейф с ключами А , n00by (ok), 11:34 , 18-Июл-22, (86) Да, необычное окружение - может поломать вредителю планы, демаскировать его и пр, Аноним (91), 01:14 , 19-Июл-22, (91) Ну конечно, многоступенчатые системы защиты, несколько линий обороны и прочие не, Аноним (-), 11:01 , 18-Июл-22, (79) Если твой Хэккер уже в системе, сдались ему системные компоненты, он будет сво, Аноним (54), 13:40 , 16-Июл-22, (61) Боюсь, это слишком сложный сценарий атаки, что бы я мог его понять , n00by (ok), 14:37 , 16-Июл-22, (63) Учись, студент с , Аноним (54), 17:00 , 16-Июл-22, (65) Я и так могу с ещё более меньшим содержанием смысла произвольные слова скомбинир, n00by (ok), 19:49 , 16-Июл-22, (68) На mirai позырь Делает такой себе libc-типа минимальный прямо из сисколов ядр, Аноним (-), 11:12 , 18-Июл-22, (80) Так тут вызовы в ядре фильтруются, какая разница, если ли связывание с libc Как, n00by (ok), 11:25 , 18-Июл-22, (85) Если вот именно в ядре, и мы в его контексте - тогда по идее упс Mirai линуксный, Аноним (89), 13:54 , 18-Июл-22, (89) 1 предлагаю вам уточнить - что значит проник в систему иначе разговор ни о ч, john_erohin (?), 19:31 , 17-Июл-22, (73) Предлагаю оставлять при цитировании контекст Это может иметь смысл для компоне, n00by (ok), 08:44 , 18-Июл-22, (76) ок вот что значит проник в систему пусть так будет а далее произвольный код, john_erohin (?), 20:10 , 24-Июл-22, (104) Код никуда на ходит, а располагается в памяти Исполняет его процессор При этом, n00by (ok), 07:03 , 26-Июл-22, (106) это были данные они сперва оказались в памяти ядра,а потом почему-то выполнилис, john_erohin (?), 13:17 , 26-Июл-22, (107) Это сценарий с отличной от нуля вероятностью Полная вероятность события 171 п, n00by (ok), 14:43 , 27-Июл-22, (108) Всего лишь до уровня первопня на i9-11xxx, Жироватт (ok), 15:04 , 15-Июл-22, (12) +1 Это как бы от программы сильно зависит Скажем чтобы активно считать вообще не н, Аноним (-), 00:42 , 16-Июл-22, (36) +2 Если программа которую Вы используете лезет туда, куда не следует, то ИМХО нео, Аноним (42), 07:47 , 16-Июл-22, (42) +2 // Уже дырища в системе, поздно лечить , Аноним (54), 16:58 , 16-Июл-22, (64) чой-та не понял можно ли этой штуковиной скрыть для приложения системный файл, кофейник (?), 16:37 , 15-Июл-22, (16) // firejail --blacklist etc --noprofile --net none bash, Аноним (25), 19:51 , 15-Июл-22, (25) +2 // Чем это лучше unshare -n Он же про другое спрашивает Вот как в венде, пока про, Аноним (26), 20:45 , 15-Июл-22, (26) +1   // Тем, что firejail точно имеет SUID флаг в любом дистрибутиве Человек спросил пр, Аноним (25), 20:52 , 15-Июл-22, (27)   Но ведь в винде только входящие порты запрещены, Аноним (32), 22:18 , 15-Июл-22, (32)   Если галочку поставить , Аноним (35), 23:42 , 15-Июл-22, (35)   Умеет в довольно продвинутые профайлы Которые для популярных штук написаны не в, Аноним (-), 00:45 , 16-Июл-22, (37) +1   и даже сервер DNS не сможет запросить и получить ответ ps стандартный бикон , john_erohin (?), 19:37 , 17-Июл-22, (74) +1   Еще половина малвари просто просит браузер сходить на урлу Предполагая что брау, Аноним (-), 02:40 , 19-Июл-22, (94)   кстати если от имени текущий юзер , и этот юзер - я, то uMatrix, настроенный , john_erohin (?), 20:34 , 24-Июл-22, (105)   он SUIDный и проблемный по безопасности https www opennet ru opennews art s, кофейник (?), 09:36 , 16-Июл-22, (44) // Прекратите сами себя накручивать - использование firejail вполне безопасно Даже, Аноним (25), 11:22 , 16-Июл-22, (47) +3 Так приведённое выше --net none не запретит программе никуда не идти , Аноним (48), 11:29 , 16-Июл-22, (48) // Всё запущенное внутри изоляции, тупо не увидит сетевой интерфейс , Аноним (25), 12:24 , 16-Июл-22, (53) Куда ж ты пойдешь на машине без сети В новом namespace сети - тупо интерфейсов , Аноним (82), 11:17 , 18-Июл-22, (82) +1 локалхост там есть, но он не связан с интерфейсом реальной системы, Аноним (25), 11:41 , 18-Июл-22, (87) По-моему, lo создавать надо самому, если это на уровне именно создания namespace, Аноним (92), 01:29 , 19-Июл-22, (92) Да, в описании написано, что можно указать списки директорий для чтения, записи , freehck (ok), 11:04 , 16-Июл-22, (46) Т е ещё нужно активировать BPF в котором будет работать вирусня имеющая привиле, Аноним (17), 16:41 , 15-Июл-22, (17) +6 // Привилегии - в процессоре Привилегированный режим процессора, или режим ядра, о, n00by (ok), 12:57 , 16-Июл-22, (57) // Уже давно придумали, называется SELinux Логинишься рутом, а тебе даже в tmp пи, Аноним (72), 18:34 , 17-Июл-22, (72) Кхе Отсталые и вечнодогоняющие бзды и тут утянули инновации себе code security, Аноним (-), 20:31 , 17-Июл-22, (75) +1 Они даже CAPs-ы вроде не смогли , Аноним (82), 11:18 , 18-Июл-22, (83) Еще и машину времени угнали, чтобы точно никто не догадался , Аноним (-), 20:04 , 27-Июл-22, (109) Надо отметить, что утилита-обёртка не может полностью заменить явный вызов pledg, Аноним (-), 17:43 , 15-Июл-22, (20) +1 // Сразу видно человека не разбирающегося в теме, Аноним (24), 19:40 , 15-Июл-22, (24) +1 // Буду рад развёрнутому ответу , Аноним (-), 21:32 , 15-Июл-22, (29) +5 По-моему, проблема в том, что тому же браузеру, самой уязвимой программе на моём, Аноним (21), 18:07 , 15-Июл-22, (21) +8 // Но вы же можете скачивать страницы через wget, а просматривать через less Немно, Аноним (32), 19:23 , 15-Июл-22, (23) +1 // в которых ничего нет, кроме адресов скриптов , Аноним (28), 21:03 , 15-Июл-22, (28) +4 // Такие страницы не индексируются Скачать скрипты, скачать json ответы Смотреть и, Аноним (32), 22:12 , 15-Июл-22, (30) +1 Нормальный такой unix-way уровня tar gz где для получения списка файлов нужно ве, Аноним (32), 22:15 , 15-Июл-22, (31) Ты в опаснасте Тебя злая дядя такать пистолет и заставлять использовать тара-гз, gogo (?), 01:35 , 16-Июл-22, (39) +3 Начала 80х годов прошлого века , _kp (ok), 10:49 , 18-Июл-22, (77) Проиграл с клоуна , Аноним (95), 08:53 , 19-Июл-22, (95) Ну оно их и получает Вопрос только где и почему Так что вот тут оно видит D, Аноним (-), 00:48 , 16-Июл-22, (38) +1 Отнюдь не все Вот пример использования pledge и unveil для разных процессов огн, Аноним (-), 11:31 , 16-Июл-22, (49) –1 https justine lolВот что скажу это прекрасный хакер в лучшем смысле этого сло, freehck (ok), 23:03 , 15-Июл-22, (34) +3 Модератор freehck опять мое сообщение удалил, про добавление этого механизма изо, Аноним (69), 20:00 , 16-Июл-22, (69) –1 // Дело в том, что интегрировать в systemd -- это здесь такая дежурная шутка Пот, n00by (ok), 20:09 , 16-Июл-22, (70) // disclaimer я другой анон но разделяю взгляды того анона, поэтому При том 9, Аноним (-), 12:11 , 18-Июл-22, (88) –1 // В том случае Михаил Шигорин кого-то озадачил вопросом предложите что-то конкрет, n00by (ok), 15:24 , 18-Июл-22, (90) Тут что угодно может быть Он периодически пытается допустим дебианщиков подъ , Аноним (-), 02:24 , 19-Июл-22, (93) Пакетник тоже может дать отлуп - он знает, что вот эти файлы именно такой верс, n00by (ok), 09:33 , 19-Июл-22, (96) Это что, на каждый сискол мнение пакетника спрашивать И сколько MIOPS core полу, Аноним (-), 10:40 , 19-Июл-22, (97) Нет Самый очевидный вариант - нотификации ФС Касаемо pledge эти вопросы ведь ни, n00by (ok), 11:22 , 19-Июл-22, (98) Нотификации приходят постфактум, в этот момент уже поздно отлуп возвращать К то, Аноним (99), 14:14 , 19-Июл-22, (99) ИМХО позорно другое Для Виндоса, где как бы нет исходников ОС, одних только ант, n00by (ok), 16:12 , 19-Июл-22, (100) Ну-ну https github com freebsd pkg blob master mk static-lib mk code ldd -f, Аноним (-), 23:06 , 19-Июл-22, (101) +1 Как я успел понять из недавней темы про руткит с LD_PRELOAD, в GNU Linux сформир, n00by (ok), 06:14 , 20-Июл-22, (102) хорошим дополнением именно за счет простоты настройки, Аноним (69), 21:16 , 16-Июл-22, (71) Космополитан, лол 3, Аноним (-), 11:21 , 18-Июл-22, (84) +3 Угадайте, кто в первую очередь будет использовать этот pledge Гугля , Аноним (-), 15:13 , 22-Июл-22, (103) 4,6,16,17,20,21,34,69,84,103

Сообщения

[Сортировка по времени | RSS]

	26. "Проект по портированию механизма изоляции pledge для Linux"	+1 +/–
	Сообщение от Аноним (26), 15-Июл-22, 20:45
	Чем это лучше unshare -n? Он же про другое спрашивает. Вот как в венде, пока программе не разрешишь доступ в сеть, она никуда не пойдёт.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Проект по портированию механизма изоляции pledge для Linux"	+/–
	Сообщение от Аноним (25), 15-Июл-22, 20:52
	Тем, что firejail точно имеет SUID флаг в любом дистрибутиве. Человек спросил про изоляцию, я ответил, а от куда ты это всё домыслил, я хз.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Проект по портированию механизма изоляции pledge для Linux"	+/–
	Сообщение от Аноним (32), 15-Июл-22, 22:18
	Но ведь в винде только входящие порты запрещены
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	35. "Проект по портированию механизма изоляции pledge для Linux"	+/–
	Сообщение от Аноним (35), 15-Июл-22, 23:42
	Если галочку поставить?
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Проект по портированию механизма изоляции pledge для Linux"	+1 +/–
	Сообщение от Аноним (-), 16-Июл-22, 00:45
	> Чем это лучше unshare -n? Умеет в довольно продвинутые профайлы. Которые для популярных штук написаны не вами. И кроме unsharing'а умеет и в ограничения SECCOMP и т.п.. Пикантный нюанс состоит в том что чтобы непривилегированый юзер мог в такие вещи, права сперва надо подбросить (если такое разрешить в произвольном виде всем юзеры смогут создавать в системе хаос). И на этом бывало парочку стебных вулнов :)
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	74. "Проект по портированию механизма изоляции pledge для Linux"	+1 +/–
	Сообщение от john_erohin (?), 17-Июл-22, 19:37
	> Вот как в венде, пока программе не разрешишь доступ в сеть, она никуда не пойдёт. и даже сервер DNS не сможет запросить (и получить ответ) ? ps: стандартный бикон из кобальта умеет DNS туннель. виндовые локальные фаерволщики, вы бесполезны и не нужны.
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	94. "Проект по портированию механизма изоляции pledge для Linux"	+/–
	Сообщение от Аноним (-), 19-Июл-22, 02:40
	Еще половина малвари просто просит браузер сходить на урлу. Предполагая что браузеру это скорее всего можно. Почему-то.
	Ответить | Правка | Наверх | Cообщить модератору

	105. "Проект по портированию механизма изоляции pledge для Linux"	+/–
	Сообщение от john_erohin (?), 24-Июл-22, 20:34
	> просит браузер сходить на урлу кстати ! если от имени "текущий юзер", и этот юзер - я, то uMatrix, настроенный на паранойю, даст интересный эффект ("новый" урл просто не откроется). но это не для всех решение.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема