forum.opennet.ru

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для сортировки сообщений в нити по дате нажмите "Сортировка по времени, UBB".

. "Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"	+/–
Сообщение от пох. (?), 25-Фев-21, 13:05
Не забили, просто, вероятно, парочка из них еще знают, зачем этот механизм нужен и как его целесообразно применять, а ты - похоже, что нет. Программу, запускаемую от обычного юзера, нет смысла запускать в jail. Операционная система unix 1970го года издания и без того обеспечивает вполне достаточную изоляцию пользователей друг от друга. С дополнениями в виде ограничений видимости и прочим bsd hardening - даже более чем достаточную (часто уже в ущерб удобству). Единственное исключение это как раз пользователь с uid=0, для него дополнительная изоляция иногда бывает полезна, поскольку изначальная концепция такой не предусматривала. jail ее и обеспечивает, в достаточной степени и с минимумом накладных расходов.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений, opennews, 24-Фев-21, 12:02 [смотреть все]

Не только докер оказался решет0м, James Bond, 24-Фев-21, 12:02 (1) //
- с хрустом так не было бы , Аноним, 24-Фев-21, 12:03 (2) //
  - блдж когда уже 171 Не время умирать 187 выйдет , Аноним, 24-Фев-21, 12:05 (3)
  - С хрустом небыло бы вообще ничего Как ничего до сих пор и нет , Аноним, 24-Фев-21, 17:59 (73) //
    - Так это и есть высшая степень надёжности Если ничего нет, то ничего и не сломае, Аноним, 24-Фев-21, 19:12 (81)
  - Что за хруст Под капотом , Umata, 24-Фев-21, 19:09 (80)
- Главное, только дальше заголовка не читай --Делов-то - иметь рут, иметь монти, Аноним, 24-Фев-21, 13:20 (16) //
  - какая-то шутка понятная только единственному ее разработчику prs_new , так и ви, Аноним, 25-Фев-21, 11:29 (107) //
    - А глянуть в заголовочный файл sys proc h не позволяет обет комментатора опенне, Аноним, 25-Фев-21, 13:46 (114)
- Докер vs jail - это как теплое с мягким Jail vs cgroups тогда уж, Аноним, 24-Фев-21, 15:54 (56) //
  - Нет, это ты сравниваешь тёплое с мягким Механизм изоляции и контроль ресурсов , Аноним, 24-Фев-21, 16:09 (60) //
    - Он имел в виду linux namespaces, дополнением функциональности которого cgroups я, Аноним, 24-Фев-21, 18:20 (76)
    - Jail vs LXD LXCФря сдохла, мало людей, мало глаз и рук, дальше хуже В космос ле, Синдарин, 25-Фев-21, 17:00 (119)
- Offtop Для Jail есть что-то типа kubernetes , a, 24-Фев-21, 22:26 (94) //
  - https www nomadproject io https papers freebsd org 2020 fosdem pizzamig-orch, Аноним, 24-Фев-21, 22:38 (95) //
    - Thanks , a, 24-Фев-21, 22:40 (96)
  - А вы поезжайте в Питер и спросите , Аноним, 25-Фев-21, 11:30 (108) //
    - Спасибо, умный пескарь С , a, 25-Фев-21, 17:33 (120)
И все равно я считаю BSD хорошей операционной системой Да, бывают уязвимости, н, Аноним, 24-Фев-21, 12:10 (4) //
- А мне не очень понравилась FreeBSD Представляете, на тамошнем форуме нет срача , n00by, 24-Фев-21, 12:45 (10) //
  - Да ты просто не умеешь К тому же там довольно быстро банют, долго ходить по гран, пох., 24-Фев-21, 12:53 (11) //
    - Поэтому ты пришло сюда , Аноним, 24-Фев-21, 13:25 (18)
    - Это потому что у меня допуска к БД нет, и он мне даже в страшных снах не снится , n00by, 24-Фев-21, 14:36 (41)
      - Что это за бред и как логи апача, в которых максимум видно гет запросы к некому , Ananimasss, 24-Фев-21, 21:19 (93)
        
        Разжёвываю 1 содержание якобы моего сообщения было настолько тупо, что вызвало , n00by, 25-Фев-21, 08:07 (101)
        
        Оно и видно, потому как для подобных скриптов используется только пост и все, чт, Ананимас008, 25-Фев-21, 14:23 (115)
        
        Ну да У меня и написано, что поля никто и смотреть не стал Думал, что достаточ, n00by, 26-Фев-21, 12:20 (128)
  - Ты просто не застал bsd-срачи в ЖЖ , Аноним, 24-Фев-21, 13:03 (13) //
    - ЖЖ отличный пример исконно-бсдшного интернационального форума сарказм , Аноним, 24-Фев-21, 19:07 (79)
    - дааа интересно, куда подевался специалист слонегвдомене , наме, 25-Фев-21, 11:11 (106)
  - В них есть World of Tanks, Аноним, 24-Фев-21, 14:44 (44) //
    - Ну так то есть, но это Вам самостоятельно придётся возиться Тогда как баш-прогр, n00by, 24-Фев-21, 15:06 (49)
      - Случайно не по мотивам моего userinstall-helper, который лет пять назад накропал, Michael Shigorin, 25-Фев-21, 19:54 (121)
        
        К сожалению, я не созерцал сам процесс компиляции Помню лишь, что он был долог , n00by, 26-Фев-21, 13:07 (129)
  - Ужас-ужас, Аноньё, 24-Фев-21, 15:55 (57)
  - Там запрещено обсуждать FreeBSD Более того, есть высокий риск того, что в вашу т, Аноньимъ, 24-Фев-21, 19:50 (84)
- За наводку, конечно, спасибо Но рил Вы серьезно сравниваете ХрамОС с бздей , Аноним, 24-Фев-21, 13:09 (14) //
  - Можно подумать FreeBSD была для других целей написана , Аноним, 24-Фев-21, 14:34 (39) //
    - Ну не зря же маскот - чертёнок а у открытого форка UNIX-а название illumos Совп, Аноним, 24-Фев-21, 14:41 (42)
  - Что за ХрамОС это мем какой-то , Аноним, 24-Фев-21, 14:42 (43) //
    - https ru wikipedia org wiki TempleOS, Аноним, 24-Фев-21, 14:50 (45)
- В сравнении с ОСью от поехвашего что угодно выглядит выигрышно Но бзди действите, Аноним, 24-Фев-21, 13:09 (15) //
  - Я почему-то подумал про Бздю, но не про Ось Храма Есть варианты покруче Наприме, Аноним, 24-Фев-21, 13:29 (19) //
    - До коле Миникс - иллюстрация к учебному курсу Сам Танненбаум устал повторять, , Аноним, 24-Фев-21, 14:23 (36)
      - Их несколько, тех миниксов И третий миникс нифига не для обучения, а для 171 п, Lex, 24-Фев-21, 15:12 (51)
        
        Паскаль тоже в прод пошел Когда приставку Object прилепили Но не надолго и не , Аноним, 24-Фев-21, 17:39 (68)
        
        А интеловцы-то и не знали c ихним Intel ME, Аноним, 24-Фев-21, 18:32 (77)
        Дык ты про третий почитай все-таки для начала Его в некоторой встройщине вполне, Lex, 25-Фев-21, 08:43 (102)
    - Я не могу рассматривать MINIX3 как полноценную ОС А вот illumos вполне себе отк, Аноним, 24-Фев-21, 14:29 (38)
      - А вот интелогоблины как-то - вполне И поселили сие в своём ME , ryoken, 24-Фев-21, 15:03 (48)
        
        То есть для тебя нет разницы между Встроенное программное обеспечение и ОС Ты с, Аноним, 24-Фев-21, 16:19 (61)
- Всё относительно Вот я на одной из своих машин дуалбутаю фрибзду из гроба Оба , Аноним, 24-Фев-21, 13:23 (17) //
  - Ссылку на багрепорт или балабол или к пингвиняьему балабольству Почти нер, Аноним, 24-Фев-21, 13:44 (23) //
    - Блоб нвидиа ставите и как в линуксе видео, вообще никакой разницы, я и игры даже, Аноним, 24-Фев-21, 14:06 (26)
      - Так не мне это писать надо впрочем - тому кадру тоже не надо, ему это не инт, Аноним, 24-Фев-21, 14:17 (33)
      - Какие еще блобы невидии, человек сказал что у него i915 Ну не осилил он поставит, Ананимас008, 25-Фев-21, 14:27 (116)
  - Как может быть софта меньше чем под Линукс, если софт под Линукс открытый и порт, Аноним, 24-Фев-21, 14:34 (40) //
    - У местных пингвният в бсдшной новости еще и не такое бывает https repology org, анонн, 24-Фев-21, 14:59 (46)
  - Раньше так и было, работало много чего, в том числе реалтековские сетевушки А по, Аноньимъ, 24-Фев-21, 19:56 (85)
- Выявление уязвимостей это хорошо, это рабочий процесс Не понимаю почему кто-то , Аноним, 24-Фев-21, 14:26 (37) //
  - Тащемто я рад что уязвимость нашли и устранили , Аноньимъ, 24-Фев-21, 19:56 (86)
Ну контейнеры это совсем не про изоляцию Даже в linux рекомендуется отбирать у к, kvaps, 24-Фев-21, 12:27 (5) //
- Правильно говорить Но контейнеры это совсем не средство изоляции про здесь, Anonymouss, 24-Фев-21, 12:35 (7)
- это в ваших линуксах какие-то контейнеры, которые не про изоляцию jail это как р, пох., 24-Фев-21, 12:40 (9) //
  - Ну ты же понимаешь, что дальше заголовков пингвинята не читают, а там ясно напис, Аноним, 24-Фев-21, 13:36 (21) //
    - Школота может умничает , Аноним, 24-Фев-21, 14:12 (30)
- Джайл именно про изоляцию, прочие фичи вторичны , псевдонимус, 24-Фев-21, 17:53 (71)
Никогда на бзяшном десктопе ими не пользовался, хотя честно старался привыкнуть , Аноним, 24-Фев-21, 13:32 (20) //
- Что за набор случайных слов я сейчас прочитал , псевдонимус, 24-Фев-21, 17:55 (72) //
  - Ешё раз перечитайте и если повезёт, сумеете понять Пользуйтесь переводчиком есл, Аноним, 24-Фев-21, 19:39 (82) //
    - Я пока понял, что ты фрибсд не на десктопе ни на сервере не юзал Потыкал, увиде, псевдонимус, 24-Фев-21, 20:14 (91)
      - Да, примерно так и есть Со звуком сделать ничего не сумел Если же в остальном , Аноним, 25-Фев-21, 03:20 (99)
      - lenovo H530, Аноним, 25-Фев-21, 03:25 (100)
to enter a jail, the jailed root can attach to it using ptrace 2 beforethe curr, Аноним, 24-Фев-21, 14:01 (25) //
- Ну вот тоже заголовок новости удивил Желтизна какая-то По факту обладая даром, Аноним, 24-Фев-21, 14:08 (27)
- Ну типичный ж race, может повезти Осталось только уговорить подобное позапускат, пох., 24-Фев-21, 14:10 (29) //
  - Проделайте это хоть раз, везучий вы наш , Аноним, 24-Фев-21, 14:13 (31) //
    - Тут уже законы Мерфи сработают в лотерею фиг выиграешь, а вот против теья редка, Карабьян, 24-Фев-21, 18:05 (74)
  - сначала ведь нужно владеть рутом внутри джейла не , Sw00p aka Jerom, 24-Фев-21, 15:01 (47) //
    - Ты хорошо понимаешь, что такое jail Это ни разу не дыркер для донесения крошек , пох., 24-Фев-21, 15:24 (53)
      - рассмешили, 15 лет как юзаю, любой сторонний софт в собственном джейле, под собс, Sw00p aka Jerom, 24-Фев-21, 20:11 (90)
        
        То ли дело полноценная виртуализация, угу https www opennet ru opennews art, Аноним, 24-Фев-21, 21:11 (92)
        
        Изоляция и виртуализация - разные понятия , Sw00p aka Jerom, 24-Фев-21, 22:41 (97)
        
        то есть занимаешься совершенно бессмысленной херней Ок, вопрос снимается , пох., 25-Фев-21, 09:54 (105)
        
        Выходит так, теперь ясно почему сами разработчики болт забили на сей механизм из, Sw00p aka Jerom, 25-Фев-21, 11:54 (111)
        
        Не забили, просто, вероятно, парочка из них еще знают, зачем этот механизм нужен , пох., 25-Фев-21, 13:05 (113)
        
        ага изолировать рута от рутадля вас нетэто не изоляция, а разграниченияна стольк, Sw00p aka Jerom, 25-Фев-21, 16:08 (117)
        
        Бть они ж реально _непроходимо_ т-пые , пох., 25-Фев-21, 21:48 (127)
Оффтоп На выходных в очередной раз пытался водрузить сабж на PowerMacG5 В очер, ryoken, 24-Фев-21, 15:08 (50) //
- А я на выходных в баню ходил и пиво пил , Аноним, 24-Фев-21, 15:46 (54)
- Дефолтно это с ЗФС то там же джпт и сраный уефи Дальше руками ефибутмгр -с и т , Аноним, 24-Фев-21, 15:53 (55) //
  - Это вы сейчас кому и на что отвечали То, что архитектура ppc64, где APM OpenF, ryoken, 24-Фев-21, 16:00 (58) //
    - Вы про загрузчик писали Какая блин разница , Аноним, 24-Фев-21, 16:07 (59)
      - Специалисты впопеннета, какая, действительно, им разница Подумаешь, нет на G5, пох., 24-Фев-21, 17:05 (63)
        
        Сам я не тыкал и в глаза не видел, но вдруг поможет , Аноним, 24-Фев-21, 17:24 (65)
        Че-то ржу, Карабьян, 24-Фев-21, 18:08 (75)
Опять демоны вылазят из контейнеров , Какаянахренразница, 24-Фев-21, 16:50 (62) //
- Учитывая pid_max 99999 и pid_random - только в день равноденствия, если этот д, Аноним, 24-Фев-21, 17:17 (64)
Хоть я и пользую Фрибсд уже более 15 лет я к сожалению не получил их официальную, Аноним, 24-Фев-21, 17:37 (66) //
- Учите матчасть Скудоумные гуглерабы просто не знали, что бывают какие-то еще мэй, пох., 25-Фев-21, 09:50 (104) //
  - У настоящего админа на мейллистах дким не ломается Это просто показывает профес, Аноним, 25-Фев-21, 11:46 (110) //
    - потому что он во всосапе и сцайпе сидит только это просто показывает твой непроф, пох., 25-Фев-21, 12:54 (112)
      - Я как раз таки понимаю и мои мейл листы с коммерческими рассылками подписываются, Аноним, 25-Фев-21, 16:51 (118)
        
        Вам знакомо слово mailman , Michael Shigorin, 25-Фев-21, 19:59 (123)
        
        зачем ему, он же непригоден для спама , пох., 25-Фев-21, 21:46 (126)
        Админ любого уровня способен подправить mailman Но если даже мозгов нет, то это, Аноним, 26-Фев-21, 14:15 (130)
        
        Ну, все правильно - твой спам рассылается, как надо dkim работает ровно для тог, пох., 25-Фев-21, 21:43 (124)
  - А то и тупо через гугловые же MX , Michael Shigorin, 25-Фев-21, 19:58 (122) //
    - Можно через mx, а можно просто найти нажористый сервер во внутренней гуглевой се, пох., 25-Фев-21, 21:45 (125)
- Они могли хотя бы отключить дким для субдомена рассылки если руки из жопы , Аноним, 26-Фев-21, 14:16 (131)
Ну хоть какую-то уязвимость нашли , Аноним, 24-Фев-21, 20:05 (89)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру