The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимостей в ядре Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимостей в ядре Linux"  +/
Сообщение от opennews (??), 29-Дек-21, 13:23 
Проект Openwall опубликовал выпуск модуля ядра LKRG 0.9.2 (Linux Kernel Runtime Guard), предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от эксплоитов уже известных уязвимостей ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Код проекта распространяется под лицензией GPLv2. Об особенностях реализации LKRG можно прочитать в первом анонсе проекта...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56430

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –7 +/
Сообщение от Аноним (1), 29-Дек-21, 13:23 
есть ли защита такого уровня для BSD?
Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –12 +/
Сообщение от Аноним (-), 29-Дек-21, 14:26 
> есть ли защита такого уровня для BSD?

С разморозкой!

> Author: wollman <wollman@FreeBSD.org>
> Date:   Wed Aug 10 02:48:08 1994 +0000
>    If you have compiled a kernel from the latest sources, your kernel
>    security level is set to -1 by default

man securelevel


The kernel runs with five different security levels.  Any super-user
     process can raise the level, but no process can lower it.  The security
     levels are:

     -1    Permanently insecure mode - always run the system in insecure mode.
           This is the default initial value.

     0     Insecure mode - immutable and append-only flags may be turned off.
           All devices may be read or written subject to their permissions.

     1     Secure mode - the system immutable and system append-only flags may
           not be turned off; disks for mounted file systems, /dev/mem and
           /dev/kmem may not be opened for writing; /dev/io (if your platform
           has it) may not be opened at all; kernel modules (see kld(4)) may
           not be loaded or unloaded.  The kernel debugger may not be entered
           using the debug.kdb.enter sysctl.  A panic or trap cannot be forced
           using the debug.kdb.panic and other sysctl's.

     2     Highly secure mode - same as secure mode, plus disks may not be
           opened for writing (except by mount(2)) whether mounted or not.
           This level precludes tampering with file systems by unmounting
           them, but also inhibits running newfs(8) while the system is multi-
           user.

           In addition, kernel time changes are restricted to less than or
           equal to one second.  Attempts to change the time by more than this
           will log the message “Time adjustment clamped to +1 second”.

     3     Network secure mode - same as highly secure mode, plus IP packet
           filter rules (see ipfw(8), ipfirewall(4) and pfctl(8)) cannot be
           changed and dummynet(4) or pf(4) configuration cannot be adjusted

> sysctl -d security.bsd.suser_enabled
> security.bsd.suser_enabled: processes with uid 0 have privilege

Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +2 +/
Сообщение от Аноним (1), 29-Дек-21, 14:30 
Скопируй следующую страницу мана плиз.
Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –8 +/
Сообщение от Аноним (-), 29-Дек-21, 14:39 
>> sysctl -d security.bsd.suser_enabled
>> security.bsd.suser_enabled: processes with uid 0 have privilege

-
> Скопируй следующую страницу мана плиз.

Хорошо:


#
# The INVARIANT_SUPPORT option makes us compile in support for
# verifying some of the internal structures.  It is a prerequisite for
# 'INVARIANTS', as enabling 'INVARIANTS' will make these functions be
# called.  The intent is that you can set 'INVARIANTS' for single
# source files (by changing the source file or specifying it on the
# command line) if you have 'INVARIANT_SUPPORT' enabled.  Also, if you
# wish to build a kernel module with 'INVARIANTS', then adding
# 'INVARIANT_SUPPORT' to your kernel will provide all the necessary
# infrastructure without the added overhead.
#
> options         INVARIANT_SUPPORT

Но и ты начни уже читать глазами.

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –4 +/
Сообщение от Аноним (10), 29-Дек-21, 14:42 
А можно еще пару страниц, пожалуйста?
Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +2 +/
Сообщение от Аноним (-), 29-Дек-21, 14:57 
> А можно еще пару страниц, пожалуйста?

Твоих глупостей и прочего подгорания? Ну ладно, так и быть, разрешаю!

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 29-Дек-21, 15:21 
Троллей не кормить! Игнорируй.
Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 29-Дек-21, 17:08 
> Троллей не кормить! Игнорируй.

Ух ты, тролли оказывается манами питаются.

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (21), 29-Дек-21, 17:15 
Интересный у вас диалог с самим собой.
Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (-), 29-Дек-21, 18:09 
> Интересный у вас диалог с самим собой.

Анонимусов на опеннете чуть более одного. Странно что ты этого еще не заметил, анонимус :)

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Урри (ok), 29-Дек-21, 19:34 
Вот только они пронумерованы. Внезапно, да?
Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (40), 29-Дек-21, 19:45 
> Вот только они пронумерованы. Внезапно, да?

http://wiki.opennet.ru/ForumHelp#.D0.98.D0.BA.D0.BE.D0.BD.D0...
> (-) - анонимный аноним, например, использующий Tor.

Вот только ты опять не в курсе, но ценное мнение имеешь?


Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 29-Дек-21, 21:09 
> Вот только они пронумерованы. Внезапно, да?

Хаха, во ты кадр. Вообще, движок не нумерует анонимов. Но если активно постить с одного айпишника - в какой-то момент начинает нумеровать. Видимо, чтобы проще было спам сносить если спамбот всерьез разошелся.

Поэтому шиза у вас тут зачетная получилась. Наехали на каких-то разных анонимов, лолки. Аноним без номера может быть кто угодно.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

13. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +1 +/
Сообщение от Аноним (-), 29-Дек-21, 15:21 
Нельзя. Толлинг допускается только один раз. Ты же по второму кругу идёшь.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

19. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (21), 29-Дек-21, 17:06 
> Толлинг

Это что-то типа лизинга?

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +1 +/
Сообщение от Аноним (41), 29-Дек-21, 19:49 
Не, взымание платы за платную дорогу
Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +3 +/
Сообщение от Крок (?), 29-Дек-21, 14:54 
Именно такого нет, есть MAC фреймворк с модулями разными, они могут дополнительно всякое разноетпроверять.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

16. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –2 +/
Сообщение от Аноним (1), 29-Дек-21, 16:12 
Ну я так понял BSD-альтернативы для LKRG нет.

> MAC фреймворк с модулями разными

Ну так он в линуксе и до этого был. И не один.

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (21), 29-Дек-21, 17:01 
>  Ну я так понял BSD-альтернативы для LKRG нет.

Но зато есть man-страницы, которые можно скопипастить, а это уже что-то.
И говорящий сам с собой копипастер.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (1), 29-Дек-21, 17:22 
чем длиннее пасты, тем солиднее коммент. Можно еще для убедительности разбавить ссылками. Пофиг, что не по теме -- главное щоб були ссилкi.
Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (21), 29-Дек-21, 17:27 
Да я этого поехавшего помню ещё по фееричному доказательству, что "freebas НЕ переходила на zfsonlinux" ссылками на... новости о том, что freebsd переходит на zfsonlinux.
Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (26), 29-Дек-21, 17:26 
>>  Ну я так понял BSD-альтернативы для LKRG нет.
> Но зато есть man-страницы, которые можно скопипастить, а это уже что-то.

Ну да, глупые бздуны забыли что чтение мана - это не к лапчатым ...
> И говорящий сам с собой копипастер.

И очередной подгоревший недо-вбросчик метана, с сумбурными фантазиями.


Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

37. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +3 +/
Сообщение от Аноним (-), 29-Дек-21, 18:56 
> Ну да, глупые бздуны забыли что чтение мана - это не к лапчатым ...

Модно-молодежные выбирают ютуб же - просмотр полуторачасового видосика экономит 10 минут старперского чтения мана!

Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –2 +/
Сообщение от Аноним (-), 29-Дек-21, 21:15 
Наспамить бсдшными манами в теме про линуксный модуль, а потом еще и такие заявы выдавать? А вы красавчики, лол. Благодаря таким типам и складывается вмечатление что бсд пользуются только совсем ушибленые придурки.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

44. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (-), 29-Дек-21, 21:31 
> Наспамить бсдшными манами в теме про линуксный модуль, а потом еще и
> такие заявы выдавать?

Наспамить в теме про линуксовый модуль "В BSD нету LKRG! Воть!", спалиться анонимным номерком, нарваться на ответку, перейти на ad hominem и еще повозмущаться "а чей-то вы миня абижаите!" - красава!

> А вы красавчики, лол. Благодаря таким типам и
> складывается вмечатление что бсд пользуются только совсем ушибленые придурки.

Зато благодаря вам, "нетакимкакфсе", давно уже сложилось впечатление, что линухом пользуются только  истеричные тик-токеры-школота, постоянно ищущая, за счет чего бы самоутвердиться ...

Ответить | Правка | Наверх | Cообщить модератору

76. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 17:17 
> Наспамить в теме про линуксовый модуль "В BSD нету LKRG! Воть!", спалиться
> анонимным номерком, нарваться на ответку, перейти на ad hominem и еще
> повозмущаться "а чей-то вы миня абижаите!" - красава!

Во ты нарк. Там реально несколько разных анонимов.

> Зато благодаря вам, "нетакимкакфсе", давно уже сложилось впечатление, что линухом пользуются
> только  истеричные тик-токеры-школота, постоянно ищущая, за счет чего бы самоутвердиться...

Факин лол!

Ответить | Правка | Наверх | Cообщить модератору

83. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 18:10 
>> Наспамить в теме про линуксовый модуль "В BSD нету LKRG! Воть!", спалиться
>> анонимным номерком, нарваться на ответку, перейти на ad hominem и еще
>> повозмущаться "а чей-то вы миня абижаите!" - красава!
> Во ты нарк. Там реально несколько разных анонимов.

Эксперд294, попробуй читать глазами, а не опой
> Сообщение от Аноним (1), 29-Дек-21, 13:23
> есть ли защита такого уровня для BSD?

-
> Сообщение от Аноним (1), 29-Дек-21, 16:12
> Ну я так понял BSD-альтернативы для LKRG нет.

-
> Сообщение от Аноним (1), 29-Дек-21, 17:24
> уже было в линуксе до всяких LKRG. А вот где аналог LKRG в BSD?

А номерок анонима привязан либо к айпишнику, который не входит в список публичных тор-нод (и возможно, анонимных проксей), либо к введенному мылу. И получить совпадение теоретически (и практически) можно, но учитывая стилистику и тему - вероятность, что анонимы "реально разные" не физически, а из-за шизы - наверное повыше будет.

>> Зато благодаря вам, "нетакимкакфсе", давно уже сложилось впечатление, что линухом пользуются
>> только  истеричные тик-токеры-школота, постоянно ищущая, за счет чего бы самоутвердиться...
> этого поехавшего
> ушибленые придурки.
> Во ты нарк.
> Факин лол!

Какая наглядная демонстрация! Продолжайте, продолжайте!


Ответить | Правка | Наверх | Cообщить модератору

86. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 18:38 
> Эксперд294, попробуй читать глазами, а не опой

Чисто поржать, я где-то в середине втерся, подстебать чудика бросающегося на [i]разных[/i] анонимов. Это предсказуемо довершило срыв стэка и тому лолу и протупляющему урри заодно.

> А номерок анонима привязан либо к айпишнику, который не входит в список
> публичных тор-нод (и возможно, анонимных проксей), либо к введенному мылу.

Для тех кто не отпустил ручник, сообщаю:
1) мыло, если его указали, видно, значок появляется.
2) смысл укзания мыла анонимом загадка
3) движок имеет какое-то свое мнение о нумеровании, я не уверен что номер стабилен, он делает нечто типа инкремента по мере появления новых активных анонов, или типа того.

> И получить совпадение теоретически (и практически) можно, но учитывая стилистику и тему
> - вероятность, что анонимы "реально разные" не физически, а из-за шизы
> - наверное повыше будет.

Вот именно с одним номером, в одном треде - вроде бы да. Но цифра кажись может появиться не сразу, а только если несколько мсг с одного ип закинуть. До этого аноним может быть совсем-анонимным, с "-", и даже если ему потом номер дают, на сообщения с - это вроде не влияет.

> Какая наглядная демонстрация! Продолжайте, продолжайте!

Есчо я недавно в это шоу шЫзы вклинился, поугорать. Те аноны ко мне отношения не имеют. Но жгут знатно. Правда, имхо, их все-равно стоило бы стереть или скрыть, нафиг они с своим спамом манами? Хоть и угарно сорвали стэки, конечно :)

Ответить | Правка | Наверх | Cообщить модератору

91. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (91), 30-Дек-21, 19:34 
> Для тех кто не отпустил ручник, сообщаю:
> 1) мыло, если его указали, видно, значок появляется.

Я уже говорил - попробуй начать читать глазами:
>> Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).

Это прямо из формы ответа, если что. Смотри демку - я заношу "!!mail@mail.mail" перед отправкой.
Видишь значок мыла? А номер - вот он, несмотря на тор.

> 2) смысл укзания мыла анонимом загадка

Получать уведомления об ответе? Видеть "себя" по номеру (мыло не обязательно должно быть валидным)?

> Вот именно с одним номером, в одном треде - вроде бы да.
> Но цифра кажись может появиться не сразу, а только если несколько

Может да, может нет - но чаще всего сразу, как и в этом случае.
А вот именно что одинаковый номер у двух разных анонов (т.е. меня из под Tor и точно не мое сообщение с таким же номером) - я видел лишь один раз, да и то в теме с полтыщей сообщений, с разницев в несколько дней.


>> Какая наглядная демонстрация! Продолжайте, продолжайте!
> Есчо я недавно в это шоу шЫзы вклинился, поугорать. Те аноны ко
> мне отношения не имеют. Но жгут знатно.

Я в курсе, но так ведь даже лучше - демонстрируется более репрезентативная выборка :)


Ответить | Правка | Наверх | Cообщить модератору

96. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 31-Дек-21, 10:15 
> Видишь значок мыла? А номер - вот он,

Эвона как, можно быть анонимом Шредингера, одновременно с номером и без.

> несмотря на тор.

С ним номер может отсутствовать. Иногда появляться. Пропадать. Как-то засисит от смены exit'ов.

> Получать уведомления об ответе?

Лол, какой же это аноним, проще зарегаться наверное.

> Видеть "себя" по номеру (мыло не обязательно должно быть валидным)?

Ну это еще куда ни шло. Хоть и странная фича.

> Может да, может нет - но чаще всего сразу, как и в этом случае.

Во всяком случае через тор оно как-то так: первые сообщения с - а если быстро запостить несколько с одного exit, вроде бы номер появляется, потом может пропасть, наверное, когда exit другой.

> номером) - я видел лишь один раз, да и то в
> теме с полтыщей сообщений, с разницев в несколько дней.

Может айпишники экситов совпали, или типа того. Вот это полнейший рандом в таком случае :)

> Я в курсе, но так ведь даже лучше - демонстрируется более репрезентативная выборка :)

Ну тебе как эксперту виднее :P.

Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 29-Дек-21, 17:19 
>> MAC фреймворк с модулями разными
> Ну так он в линуксе и до этого был. И не один.

Т.е. не проблема показать вариант mac_portacl (которому почти 20 лет и который все еще поддерживается)
> # sysctl security.mac.portacl.rules=uid:1001:tcp:110,uid:1001:tcp:995
> Permit the user with the UID of 1001 to bind to the TCP ports 110 (“pop3”) and 995 (“pop3s”).
> This will permit this user to start a server that accepts connections on ports 110 and 995.

.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

24. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (1), 29-Дек-21, 17:24 
уже было в линуксе до всяких LKRG. А вот где аналог LKRG в BSD?
Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (26), 29-Дек-21, 17:31 
> уже было в линуксе до всяких LKRG.

Пруфы будут? Или как обычно?


Ответить | Правка | Наверх | Cообщить модератору

69. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Moomintroll (ok), 30-Дек-21, 10:22 
>> уже было в линуксе до всяких LKRG.
> Пруфы будут? Или как обычно?

SELinux же!

А ещё есть capabilities.

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (21), 29-Дек-21, 17:25 
>       setuid()  sets the effective user ID of the calling process.  If the calling process is privileged (more precisely: if the process has the CAP_SETUID capability in its user namespace), the real UID
>       and saved set-user-ID are also set.
>       Under Linux, setuid() is implemented like the POSIX version with the _POSIX_SAVED_IDS feature.  This allows a set-user-ID (other than root) program to drop all of its user privileges, do  some  un-
>       privileged work, and then reengage the original effective user ID in a secure manner.
>       If the user is root or the program is set-user-ID-root, special care must be taken: setuid() checks the effective user ID of the caller and if it is the superuser, all process-related user ID's are
>       set to uid.  After this has occurred, it is impossible for the program to regain root privileges.
>       Thus, a set-user-ID-root program wishing to temporarily drop root privileges, assume the identity of an unprivileged user, and then regain root privileges afterward cannot use  setuid().   You  can
>       accomplish this with seteuid(2).

.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

28. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (26), 29-Дек-21, 17:29 
>> Permit the user with the UID of 1001 to bind to the TCP ports 110
>>       setuid()  sets the effective user ID of the calling process.  If the calling process is privileged (more precisely: if the process has the CAP_SETUID capability

Умел бы читать - понял бы, что это совершенно не то.
Но увы, ты похоже даже скопипастить нормально не можешь, куда уж тебе до системных азов.

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (21), 29-Дек-21, 17:33 
> Умел бы читать - понял бы, что это совершенно не то.

Вот уже 20 лет демоны биндятся на нужный им порт, а потом сбрасывают привилегии.
Но это, конечно же, совсем не то.

Лучше расскажите нам, как все 65535 портов между UID-ами распределяете (а то граница в 1024 уже много лет не имеет особого физического смысла).

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (32), 29-Дек-21, 17:45 
>> Умел бы читать - понял бы, что это совершенно не то.
> Вот уже 20 лет демоны биндятся на нужный им порт, а потом сбрасывают привилегии.

Вот уже 20 лет с mac_portctl не нужен запуск с излишними привелегиями, а затем их же "сброс".
> Но это, конечно же, совсем не то.

Естественно. Рад, что и до вас дошло.

> Лучше расскажите нам, как все 65535 портов между UID-ами распределяете (а то
> граница в 1024 уже много лет не имеет особого физического смысла).

Сами придумали какую-то дичь, сами и рассказывайте о ней (лучше всего зеркалу, а не на форум) - мы-то причем?


Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 29-Дек-21, 18:07 
> Вот уже 20 лет демоны биндятся на нужный им порт, а потом
> сбрасывают привилегии.

А в линухе им можно вообще дать cap на это дело и больше никаких привилегий. Так что и сбрасывать особо нечего.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

62. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Ivan_83 (ok), 30-Дек-21, 02:00 
Да, прямой альтернативы нет, в том виде как это устроено/работает.

Но в MAC есть Biba, LOMAC и Multi-Level Security.
Ещё есть bsdextended - file system firewall policy.

Целостность структур ядра оно не проверяет, но оно следит за принадлежностью объектов и что они за рамки позволенного не выходят, те как раз от "изменения полномочий пользовательских процессов".

>     These rules prevent subjects of lower integrity from influencing the be-
>     havior of higher integrity subjects by preventing the flow of informa-
>     tion, and hence control, from allowing low integrity subjects to modify
>     either a high integrity object or high integrity subjects acting on those
>     objects.  Biba integrity policies may be appropriate in a number of envi-
>     ronments, both from the perspective of preventing corruption of the oper-
>     ating system, and corruption of user data if marked as higher integrity
>     than the attacker. In traditional    trusted    operating systems, the Biba
>     integrity model is used to protect the Trusted Code Base (TCB).

https://www.freebsd.org/cgi/man.cgi?query=mac&sektion=4

Те линуксойды опять сделали простую вещь с минимумом функционала а в бсд нашёлся древний фреймворк который это в том числе умеет делать.

К сожалению у фреймворков есть одна проблема: нужно время и мозги на их освоение, а хреновину из линуха можно включить не приходя в сознание.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

66. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (66), 30-Дек-21, 07:41 
> К сожалению у фреймворков есть одна проблема: нужно время и мозги на их освоение, а хреновину из линуха можно включить не приходя в сознание.

То есть ты намекаешь на то, что этот бздешный фреймворк настолько крив и недокументирован, что на него уйдёт уйма времени? Я о бздах был лучшего мнения если честно.
> а хреновину из линуха можно включить не приходя в сознание. Не вижу здесь ничего плохого. Я всегда ценил удобство, например. А приходить в сознание уже можно на более сложных вещах.

Ответить | Правка | Наверх | Cообщить модератору

67. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Ivan_83 (ok), 30-Дек-21, 08:03 
Нет, это так же как с BPF который в линукс утащили: мало просто загрузить модуль, надо бы ещё какую то программу/конфиг туда залить чтобы оно начало работать.
Ответить | Правка | Наверх | Cообщить модератору

84. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 18:14 
> Но в MAC есть Biba, LOMAC и Multi-Level Security.
> Ещё есть bsdextended - file system firewall policy.
> Целостность структур ядра оно не проверяет, но оно следит за принадлежностью объектов
> и что они за рамки позволенного не выходят, те как раз
> от "изменения полномочий пользовательских процессов".

Вы там что, в системном программировании вообще ни в зуб ногой?

С любезно закинутого анонимусом https://a13xp0p0v.github.io/2021/08/25/lkrg-bypass.html


It's a Linux kernel module that performs runtime integrity checking of the kernel and detects kernel vulnerability exploits. The aim of LKRG anti-exploit functionality is to detect specific kernel data corruption performed during vulnerability exploitation

Что из перечисленого является хоть каким-то аналогом упомянутого?

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

88. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 19:16 
>
 
> It's a Linux kernel module that performs runtime integrity checking of the
> kernel and detects kernel vulnerability exploits. The aim of LKRG anti-exploit
> functionality is to detect specific kernel data corruption performed during vulnerability
> exploitation
>

> Что из перечисленого является хоть каким-то аналогом упомянутого?

Вас, зубоногих уже вроде бы ткнули:
> A kernel compiled with the INVARIANTS configuration option attempts to
> detect memory corruption caused by such things as writing outside the
>  allocated area and imbalanced calls to the malloc() and free() functions

kern/kern_malloc.c


#ifdef INVARIANTS
...
        KASSERT(mtp->ks_magic == M_MAGIC, ("malloc: bad malloc type magic"));
        /*
         * Check that exactly one of M_WAITOK or M_NOWAIT is specified.
         */

...
#ifdef INVARIANTS
            mtrash_ctor, mtrash_dtor, mtrash_init, mtrash_fini,


kern/subr_sbuf.c

#if defined(_KERNEL) && defined(INVARIANTS)
static void
...
#define assert_sbuf_integrity(s) _assert_sbuf_integrity(__func__, (s))
#define assert_sbuf_state(s, i)  _assert_sbuf_state(__func__, (s), (i))

#else /* _KERNEL && INVARIANTS */

#define assert_sbuf_integrity(s) do { } while (0)
#define assert_sbuf_state(s, i)  do { } while (0)

#endif /* _KERNEL && INVARIANTS */


netpfil/pf/pf.c
#ifdef INVARIANTS
        struct pf_keyhash *kh = &V_pf_keyhash[pf_hashkey(sk)];        PF_HASHROW_ASSERT(kh);

net/bpf_buffer.c
#ifdef INVARIANTS
       d->bd_sbuf = d->bd_hbuf = d->bd_fbuf = (caddr_t)~0;

kern/uipc_socket.c

#ifdef INVARIANTS
     bzero(&so->so_rcv,
         sizeof(struct socket) - offsetof(struct socket, so_rcv));
#endif

и т.д.

Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Ivan_83 (ok), 30-Дек-21, 02:06 
Я не знаток линукса, знаю только selinux, который тоже всё метками метить умеет и какие то правила применять к ним.
Насколько оно аналог MAC мне судить трудно, потому что я и с MAC очень мало работал, а селинукс можно сказать что только видел пока в андройдах копаюсь.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

2. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +1 +/
Сообщение от Корец (?), 29-Дек-21, 13:42 
Ждём через некоторое время новости про cve в сабже.
Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 29-Дек-21, 22:54 
Посмотрите уже, кто пишет и чем известны.
Ответить | Правка | Наверх | Cообщить модератору

54. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 00:36 
Давите оппонента мнимым авторитетом (да ещё и чужим)? Дальше вам падать уже некуда.
По поводу сабжа: есть мнение, что если в ядре присутствует говнокод, то его нужно переписывать, а не городить по верх него охренелярд модулей безопасности.
Ответить | Правка | Наверх | Cообщить модератору

59. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 00:55 
> По поводу сабжа: есть мнение, что если в ядре присутствует говнокод, то
> его нужно переписывать, а не городить по верх него охренелярд модулей
> безопасности.

Есть мнение, что с этим - как в том анекдоте про слона "съесть то может и съест, да кто же ему даст!"
Платиновые спонсоры свой код переписывать не будут - оно ведь и так работает, выкинуть нельзя - денег в фундейшн заносить перестанут, Линусу на новый мак не хватит!
А энтузистам пролопатить ту гору корпоративного кода и при переписывании не сломать нигде совместимость с ним ... потянет на тринадцатый подвиг Геракла.

Ответить | Правка | Наверх | Cообщить модератору

68. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (68), 30-Дек-21, 09:15 
>тринадцатый подвиг Геракла

Самый лёгкий и самый приятный из его подвигов.

Ответить | Правка | Наверх | Cообщить модератору

72. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 30-Дек-21, 14:56 
Намекаем коллеге, что матчасть полезно хотя бы самую чуточку глянуть сперва.
Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

58. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +3 +/
Сообщение от Аноним (58), 30-Дек-21, 00:43 
Наркоман чтоли? Это Openwall Project, автор solar designer.
Они многие cve и находят, и мейлинг лист у них по уязвимостям ядра.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

73. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +1 +/
Сообщение от Аноним (-), 30-Дек-21, 15:59 
А прикинь, раз и на старуху как говорится.
Ответить | Правка | Наверх | Cообщить модератору

94. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +2 +/
Сообщение от solardiz (ok), 31-Дек-21, 06:11 
Один вариант моего ответа на подобную дежурную иронию см. в дискуссии о LKRG 0.8: https://www.opennet.ru/openforum/vsluhforumID3/121075.html#12

Другой в дискуссии о LKRG 0.9.0: https://www.opennet.ru/openforum/vsluhforumID3/123973.html#36

Повторяясь и резюмируя: да, уязвимости в средствах безопасности бывают и, вероятно, будут появляться и обнаруживаться и в LKRG. Но это не делает такие средства безусловно бессмысленными или нежелательными. В идеальном мире с, например, ядром Linux без уязвимостей, такие средства как LKRG были бы не нужны. В реальном мире же, они могут иметь смысл даже сами будучи не идеальными. Вопрос в соотношении неидеальностей. По некоторым данным, уязвимости в решениях для безопасности Windows могут составлять очень высокую долю, что коррелирует с объемом кода и поверхности атаки этих решений (см. доклад от Mudge https://www.youtube.com/watch?v=Czf24RXIAAw c 32:30) и зачастую делает их нежелательными. Мы знаем об этой проблеме и в LKRG стремимся удерживать разумный баланс между пользой и риском.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (3), 29-Дек-21, 13:42 
Когда из коробки? Достало уже вручную обновлять.
Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (10), 29-Дек-21, 14:41 
> Добавлен файл конфигурации dkms.conf для системы DKMS (Dynamic Kernel Module Support), используемой для сборки сторонних модулей после обновления ядра.

Будем обновляться само, если только API не поменяют.

Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (3), 29-Дек-21, 19:31 
Не будет, нужно ведь ещё из гита выкачивать и собирать. Вообще хорошо бы бинарный пакет.
Ответить | Правка | Наверх | Cообщить модератору

15. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –4 +/
Сообщение от Аноним (-), 29-Дек-21, 15:23 
Если достало, не ной, иди-ка ты лучше в OS Windows.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

18. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (21), 29-Дек-21, 17:02 
Или в ОС BSD. Там нет LKRG, но есть man-страницы!
Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +4 +/
Сообщение от Аноним (31), 29-Дек-21, 17:40 
> Или в ОС BSD. Там нет LKRG, но есть man-страницы!

Ты эта, глубоко вздохни, приложи лёд и успокойся - то, что в _BSD_ нет _Linux_ Kernel Runtime Guard, как бы, закономерно.

Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –7 +/
Сообщение от Michael Shigorinemail (ok), 29-Дек-21, 22:57 
Не знаю, User294 это забегал или кто другой -- но на такую резвость не могу себе отказать в напоминании того, чё там во фряке нынче с наскрозь самостийным графическим стеком.
Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 00:58 
> Не знаю, User294 это забегал или кто другой -- но на такую
> резвость не могу себе отказать в напоминании того, чё там во фряке нынче с наскрозь самостийным графическим стеком.

Че там с вашими фантазиями - не знаю, а за самостийным графическим стеком к опенку с его ксенокарой.


Ответить | Правка | Наверх | Cообщить модератору

65. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от а (?), 30-Дек-21, 06:58 
xenocara - это ж всего лишь система сборки стандартного xorg, чтобы юзеру не думать про взаимозависимости всех его 100500 модулей.
Ответить | Правка | Наверх | Cообщить модератору

71. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 13:49 
> xenocara - это ж всего лишь система сборки стандартного xorg, чтобы юзеру
> не думать про взаимозависимости всех его 100500 модулей.

Ну хз, что имелось в виду - я не Ванга.
В той же фре никто не объявлял о "самостийности", да и из всех изменений - запускать стали дрова штеуда для пингвина, в "обертке".
Только вот "гордиться" дровами (причем под пермиссивом) от корпов, которые еще и реализованы так, что их легче обернуть в NDIS^W костылемулятор, чем портировать ... ну, такое.
Разве что вспомнить несомненные "успехи" Красно-Шапки в прибивания иксов (изначально кросплатформеных) и вейланда (упорно отклонявших патчи для кросплатформы) к "единственно верной ОС"?


Ответить | Правка | Наверх | Cообщить модератору

82. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 18:01 
Изначально кроссплатформенные иксы изначально делали совершено адское ушлепанство, лазя в железо по поводам по которым юзермодова программа вообще в железо соваться не должна. Это вообще не было вменяемым интерфейсом и отстой по более чем 9000 системных поводов, начиная от того как это работало и заканчивая стабильностью и безопасностью.

Дофейхоа сложного кода с зверскими привилегиями - "рожа просит кирпича".

Ответить | Правка | Наверх | Cообщить модератору

85. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 18:16 
> Изначально кроссплатформенные иксы изначально делали совершено адское ушлепанство, лазя
> в железо по поводам по которым юзермодова программа вообще в железо
> соваться не должна. Это вообще не было вменяемым интерфейсом и отстой
> по более чем 9000 системных поводов, начиная от того как это
> работало и заканчивая стабильностью и безопасностью.

Да-да, а вот стоило прибить их к evdev/libinput - сразу ух как зажили!

Ответить | Правка | Наверх | Cообщить модератору

87. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 18:48 
> Да-да, а вот стоило прибить их к evdev/libinput - сразу ух как зажили!

Это какая-то ваша персональная травма? На фоне тех архитектурных изменений которые в линухе случились, это - мелкий закоулок планеты. В далекой галактике. Я не понимаю почему он так важен. В вон том было больше претензий к порнографии которую иксы с видяхой выполняли. В какой-то момент это стало совсем уж дичью. Я плохо представляю себе как можно делать что-то такое с современным GPU в нативном режиме из чего-то типа иксов чтобы это было чем-то вменяемым и хоть немного осмысленно работало.

Ну, может быть, кроме того что какой-то мышке кто-то написал в норку. Но это очень небольшое событие по сравнению с многими другими вещами которые произошли рядом.

Ответить | Правка | Наверх | Cообщить модератору

89. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 19:20 
>> Да-да, а вот стоило прибить их к evdev/libinput - сразу ух как зажили!
> Это какая-то ваша персональная травма? На фоне тех архитектурных изменений которые в
> линухе случились, это - мелкий закоулок планеты. В далекой галактике. Я
> не понимаю почему он так важен. В вон том было больше

...
> Ну, может быть, кроме того что какой-то мышке кто-то написал в норку.
> Но это очень небольшое событие по сравнению с многими другими вещами
> которые произошли рядом.

Нет, зато многократный спрыг с темы, растекание мысью по древу и приписывание оппонентам какой-то дичи - очень похоже на вашу, персональную травму.
В общем, не вижу смысла и далее отвечать на этот словесный пон^Hток сознания.

Ответить | Правка | Наверх | Cообщить модератору

105. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (-), 01-Янв-22, 14:13 
Я просто думал что переход на DRM/KMS и сопутствующее изменение всех системных парадигм и layering, когда иксы более не центр вселенной а всего лишь 1 клиентик к той подсистеме, довольно паршивенький, который вообще-то хотят прибить - значительно более крупная проблема/изменение чем какие-то 2 либы в иксах.

Понимаете, в линухе хорг уже довольно близок к стадии когда его отправят на покой. Это причастные не скрывают. На федористах это уже обкатывают во всю. А больше хорг никто майнтайнить и не может, что и где бы они там не вещали, гонором на форуме факапы не починишь...

Ответить | Правка | Наверх | Cообщить модератору

48. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 29-Дек-21, 22:55 
http://packages.altlinux.org/ru/search?branch=p10&name=lkrg
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от йцу (?), 29-Дек-21, 14:10 
Подскажите, чем принципиально это отличается от AppArmor или SeLinux?
Тем что исключительно в пространстве ядра?
Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +2 +/
Сообщение от йцу (?), 29-Дек-21, 14:13 
Т.е. оно скорее дополняет SeLinux-подобные системы?
Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +2 +/
Сообщение от Аноним (-), 29-Дек-21, 18:06 
> Подскажите, чем принципиально это отличается от AppArmor или SeLinux?
> Тем что исключительно в пространстве ядра?

Тем что оно делает несколько другие вещи. AppArmor и SELinux сами по себе урезают доступ юзерспейсным программам. Но вот именно ядро от атак это если и защищает как-то, то разве что как побочный эффект. А вон то целенаправленно укрепляет ядро, пытаясь сделать так чтобы даже неизвестные эксплойты скорее всего обломались бы. Вообще по своему годная идея, но отдельный модуль все же неудобно, да...

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

74. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 16:06 
это магия, понятно
Ответить | Правка | Наверх | Cообщить модератору

79. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 17:37 
> это магия, понятно

Типа того. Оно помогает эксплойту пролететь мимо не причиняя урона. Solardiz так то сам безопасник - и потому догадывается как испортить настроение себе подобным, не сработавший эксплойт и запал этой активности - хороший подарок атакующему на новый год.

Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 29-Дек-21, 23:15 
Кто нибудь это проверял
Kernel Self Protection Settings - https://github.com/Whonix/security-misc
Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 29-Дек-21, 23:40 
https://www.kicksecure.com/wiki/Main_Page

Linux Kernel Runtime
Guard (LKRG) - LKRG kills entire classes of kernel exploits and will be available in the next version.

Ответить | Правка | Наверх | Cообщить модератору

55. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Онаним (?), 30-Дек-21, 00:40 
А где модуль для защиты от уязвимостей в модуле защиты от уязвимостей?
Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +1 +/
Сообщение от Аноним (-), 30-Дек-21, 00:41 
Там же, только сверху
Ответить | Правка | Наверх | Cообщить модератору

78. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 17:33 
> А где модуль для защиты от уязвимостей в модуле защиты от уязвимостей?

Пропатчь: загружай модуль защиты из модуля защиты. Так все модули защиты будут защищены...

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

70. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +3 +/
Сообщение от Аноним (70), 30-Дек-21, 13:05 
"it was stated that LKRG is bypassable by design" это все что нужно знать о lkrg:

https://github.com/milabs/lkrg-bypass

https://a13xp0p0v.github.io/2021/08/25/lkrg-bypass.html

Ответить | Правка | Наверх | Cообщить модератору

75. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 30-Дек-21, 16:13 
Кортинге зочёдные !

https://a13xp0p0v.github.io/img/snowballs.jpg

И снова шигорин будет ворочацо по начам...

Ответить | Правка | Наверх | Cообщить модератору

81. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (81), 30-Дек-21, 17:54 
> И снова шигорин будет ворочацо по начам...

Этот анализ к его эль-полену не очень применим, где у него rax вообще? :). Понятно что не панацея, но как минимум кому-то придется еще раз с таким же анализом подолбаться, над относительным экзотом.

Ответить | Правка | Наверх | Cообщить модератору

80. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (-), 30-Дек-21, 17:50 
> "it was stated that LKRG is bypassable by design" это все что нужно знать о lkrg:

А ты сам это читал, чудак?

> The Linux Kernel Runtime Guard (LKRG) is an amazing project! It's a Linux kernel module that
> performs runtime integrity checking of the kernel and detects kernel vulnerability exploits.

Это вот оттуда :). Автор основательно подолбался с взломом, при том первые попытки обломались. А LKRG честно сообщает что да, так можно - но это много долботни и ненадежно.

Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

95. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (70), 31-Дек-21, 08:54 
ты не дочитал - он не долбался, а забил на них после безответных постов в их конфу о способах обхода. закопайте это
Ответить | Правка | Наверх | Cообщить модератору

97. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (97), 31-Дек-21, 10:24 
> ты не дочитал - он не долбался, а забил на них после
> безответных постов в их конфу о способах обхода.

Забил на кого? На LKRG или способы обхода? Ну, блин, мне x86 не нравится и я читал интимные подробности x86 кода по диагонали, простите великодушно.

> закопайте это

Да ну к черту перфекционизм. Сколько кидизов будет всерьез на наличие такой подляны вообше уповать? А то что один зубр может скроить сплойт обходящий это - ну, да, только то что он сработает на следующей версии этого, в следующем ядре - не факт. В чем мякотка и состоит. Не панацея, но так себе подарочек эксплойтерам. Сплойт делать сложнее, тот автырь ту еще порнографию с гаджетами развел. Интересно как все это vs FGKASLR и прочего, в разных сочетаниях.

Да и сам автор сплойта довольно позитивно о идее отозвался. А то что он всегда мечтал это раздолбать - ну, ок, нормальное желание, понимаемо, что может быть шикарнее чем вынести тулсу для улучшения секурити, это годно, да :)

Ответить | Правка | Наверх | Cообщить модератору

103. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +2 +/
Сообщение от solardiz (ok), 31-Дек-21, 15:49 
До всяких постов у нас с Александром Поповым была дискуссия в личной переписке. А публичный ответ вот: https://www.openwall.com/lists/lkrg-users/2021/08/26/3

Пока что для защиты от этого обхода можно использовать lkrg.hide=1 или/и kernel.kptr_restrict=2

Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

106. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +1 +/
Сообщение от Аноним (-), 01-Янв-22, 14:16 
Как интересно, про kptr я оказывается и до этой новости додумался, но спасибо что напомнили, перепроверил...
Ответить | Правка | Наверх | Cообщить модератору

93. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (93), 30-Дек-21, 23:20 
Да, LKRG - это костыль. Но в Линухе приходится довольствоваться и таким костылём.
И это в то время, когда в Вантузах части ядра уже работают в отдельных виртуалках под гипервизором.
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

98. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +1 +/
Сообщение от Аноним (-), 31-Дек-21, 10:35 
> Да, LKRG - это костыль.

Это в каком-то роде фича. Чем неожиданнее для атакующего, тем выше шанс что он обломается. А сделай все и вся стандартной фичой, в стабильном коде - каждый сплойт для ламокидисов учтет фичу и будет ее дежурно обходить. Типа как с selinux сейчас. В этом плане сабж имеет некий пойнт.

> Но в Линухе приходится довольствоваться и таким костылём.

Так, уже интереснее. Сейчас нам аноним расскажет где с безопасностью офигенно, и нет костылей, так? Это, например, где?

> И это в то время, когда в Вантузах части ядра уже работают
> в отдельных виртуалках под гипервизором.

(глядя на кучку виртуалок, user mode linux, контейнеры и проч) вообще так и без вантузов можно, вон там хоть все ядро там могут раздербанить если хотят, для непонятной хрени вообще есть пара особо жестких загонов, предусматривающих сдерживание "произвольных" вариантов самой злобной дряни с очень пессимистичными допущениями что оно вообще может.

Ну и это... доверять защиту моей тушки майкрософту это, гм, лол. Неверный выбор союзников, при этом не так важно какие именно технологии там будут.

Ответить | Правка | Наверх | Cообщить модератору

101. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (93), 31-Дек-21, 13:46 
> Это в каком-то роде фича. Чем неожиданнее для атакующего, тем выше шанс что он обломается.

Да костыль это, костыль. Ибо не защищает, а оповещает об уже свершившемся проникновении. Уже по факту!

> Сейчас нам аноним расскажет...
> ...
> (глядя на кучку виртуалок, user mode linux, контейнеры и проч) вообще так и без вантузов можно...

Аноним прогнулся и упал, глядя из-под Qubes на твой героический пердолинг.

В Вантузах все эти секьюрности не приводят к дикой просадке по производительности, ибо интеграция.

Ответить | Правка | Наверх | Cообщить модератору

107. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (-), 01-Янв-22, 14:21 
> Да костыль это, костыль. Ибо не защищает, а оповещает об уже свершившемся
> проникновении. Уже по факту!

Если при этом логика сплойта отвалится - не так уж и страшно, ведь свою цель он не достигнет. А откатить систему ... много времени не займет.

> Аноним прогнулся и упал, глядя из-под Qubes на твой героический пердолинг.

Ну, это что-то типа него по смыслу, просто самопальный вариант, мне просто нравится если атакующие влопавшись на нечто нестандартное лоханутся.

> В Вантузах все эти секьюрности не приводят к дикой просадке по производительности,

У меня тоже.

> ибо интеграция.

Это тот случай про который говорят "бессмысленно и беспощадно". Даже если изначальная идея имела некий пойнт. Ну то-есть как теоретический аспект что так можно - да. Как практический - ээ... какие там кейлоггеры и мс онлайн аккаунты надо выколупать грите? Или хли толку в такой системе от этой их безопасТности? Зачем мне безопасность мерзкософта от меня? :)

Ответить | Правка | Наверх | Cообщить модератору

109. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Саша Ал Александрemail (?), 03-Янв-22, 06:11 
>В Вантузах все эти секьюрности не приводят к дикой просадке по производительности, ибо интеграция.

Вантуз-это не Linux и с этим очень трудно спорить...

Ответить | Правка | К родителю #101 | Наверх | Cообщить модератору

112. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от n00by (ok), 08-Янв-22, 17:11 
>> Это в каком-то роде фича. Чем неожиданнее для атакующего, тем выше шанс что он обломается.
> Да костыль это, костыль. Ибо не защищает, а оповещает об уже свершившемся
> проникновении. Уже по факту!

"Проверка контекста состоит из двух этапов: сперва проверка структуры самого контекста, которая происходит на DPC-уровне, затем планируется work item, осуществляющий проверку защищаемых структур в системном потоке. Если проверка была удачной, старый контекст удаляется и вместо него создается новый, который будет запущен через случайный интервал времени. Если проверка не удалась, PatchGuard зачищает все свои следы, в том числе зануляя стек, и демонстрирует синий экран с кодом ошибки 0x109: CRITICAL_STRUCTURE_CORRUPTION."

Сообщите своё мнение в Микрософт.

Ответить | Правка | К родителю #101 | Наверх | Cообщить модератору

99. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от swabrostionnayaformapravleniya (?), 31-Дек-21, 10:55 
В финальной версии ядра каждая строчка кода будет в отдельной изоляции?
Ответить | Правка | Наверх | Cообщить модератору

111. "Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (111), 03-Янв-22, 10:49 
Лишь бы на rust не писать.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру