>> Последствия-то какие будут, если пакет какое-то время пробудет без PaX-флагов? Давай, думай, рассуждай.
> А это уже как повезёт. Может быть и никаких.Рассуждать отказался. Ну, кто бы сомневался.
> Само по себе позднее выключение prot_exec тоже не приводит ни к каким последствиям.
И это твоё замечание могло бы иметь смысл, если б меры защиты существовали сами по себе.
> Это один из возможных векторов атаки, безусловно, не факт, что он будет использован.
Отрицание реальных рисков безопасности и моделей угроз, основанных на давно известных практиках эксплуатации уязвимостей. Или ты опять что-то другое имел ввиду?
> Но если его не будет - лучше.
А лучше или хуже - какими факторами и критериями определяется?
> Я понимаю, что также как и некоторые решение в pledge (делающие его неидеальным, которые ты приводил в пример, например), pax(ctl)?d - это компромис.
Неидеальный - это бессодержательная характеристика, потому как ни что не идеально. Решения в pledge, как они есть сейчас, не учитывают совершенно конкретные юз-кейсы из самой широкой практики. Это факт.
> По озвученным мной причинам - неудачный и является костылём, т.е. конструкцией сбоку от основной.
А знаешь, какие ещё конструкции находятся "сбоку от основной"? DAC, включая umask, MAC, пакетные фильтры, rlimits, контейнеризация и сэнбоксинг. То есть, почти всё, кроме твоего любимого pledge, SECCOMP, set*id, set*cap, и т.п.. Тебе, видимо, очень понравился pledge, ты им по-детски очарован, как идеалом, и всё что не укладывается в его рамки, у тебя является костылём. Причём - и главное! - объетивным костылём. По объективному, как тебе кажется, критерию.
>> Доказательств чего? Что у grsecurity по совокупности и качеству реализаций защитных функций нет аналогов?
> Нет, про "секурити-фичи" я и не пытался спорить.
Вижу, ты и не в состоянии воспринять "секурити-фичи" не как набор фич, а как систему, с системными же свойствами, и существующую в каких-то объективных рамках. Продолжай повторять про фичи. Это, по сути, от тебя и требуется.
> Доказательства - про повсеместность использования этого в соответствующих нишах.
А я и не писал про повсеместность. Я присал про безальтернативность. Если кто-то в соответствующей нише использует другую ОС общего назначения не в силу ограничений и специфики (например, прикладное ПО под линуксом не работает, не удалось заключить контракт на доступ к grsec, или модель угроз, бюджет и архитектура позволяет, например, изолировать все компоненты воздушной подушкой) - так это говорит о его квалификации, и только. Но главное здесь не мои личные сомнения в чьей-то квалификации, а твоя неспособность понимать прочитанное.
>> Это где такие цели задекларированы, покажи? Мало того, что твои выводы остаются сугубо твоими, не имеют веса и статуса, так ещё и на ложных фактах основаны.
> Ну так я и потому "например" написал. Так или иначе, на сайте того же grsec нет ни слова про соответствие стандартам, зато очень много про то, какие защиты он реализует.
То есть, у тебя снова нет ничего, кроме домыслов, выдуманного примера и вольной интерпретации факта закрытия доступа к патчам, причины которого были озвучены публично и к назначению патчей отношения не имеют.
> Сопоставив это с фактами, можно сделать вывод. Можно, безусловно, притворяться, что grsec позиционируется как общее решение.
Выводы можешь делать любые. Грош им цена. Я уточнил у автора PaX, как позиционируются патчи, и получил однозначный ответ: для широкого применения. Поэтому и домыслы свои, и изначальный тезис о том, что специализированный характер ОС определяется декларируемыми целями - можешь распечатать и употребить по назначению.
>> Ага. И даже не попытался разобраться, почему херню написал. Я это сделал за тебя выше, не благодари.
>> Из контекста нашей беседы, который, представь себе, включает и те аспекты, которые здесь затронуты не были, следует как раз то, что ты не понимаешь, что делает PAX_MPROTECT.
> Давай без лишнего словоблудия.
Ты не умеешь без словоблудия, не льсти себе. И упрекаешь в нём меня, потому что тебе не понятны мои доводы, ведь для их понимания нужны знания и опыт, которых у тебя нет, а вопросы задавать ты не привык, потому что чужое мнение тебя не интересует - хочешь только, чтобы все выслушивали и прислушивались к твоему.
> Я писал про то, что PAX MPROTECT "ломает" mprotect, подразумевая (уже не помню, писал я это явно или нет) что на попытку сделать w+x он возвращает ошибку.
> Ты отметил, что я написал про убийство процесса и это моя ошибка - я её признал.
Этим принципы работы и детали реализации PAX_MPROTECT не исчерпываются. Из того, что ты тут в комментах писал, стало ясно, что ничего, кроме "запрета PROT_EXEC", ты в нём не видишь и разобраться не пытаешься.
>> Пытался оспорить тезис о трудозатратах, например.
> Я не пытался оспорить, что внедрение pledge требует трудозатрат. Это написано в моём первом же сообщении в этом треде.
Правильно, ты пытался и пытаешься оспорить _мой_ тезис о трудозатратах для _пользователя_.
> Трудозатраты (по задумке) перекладываются на разработчика ПО/мэйнтейнера. В редком случае - пользователя.
Снова противопоставляешь свои фантазии о том, как должно быть, фактическому положению дел.
> Настройка PaX - забота пользователя.
Не обязательно, но тебе удобно подчёркивать и преувеличивать издержки по настройке PaX, которое пользовтель несёт, и риски, связанные с ошибками. Издержки PaX преувеличиваешь, издержки pledge преуменьшаешь. Так же картина - с недостатками. И обратная картина - с достоинствами. Двойные стандарты, на которые я и указал в ответе на твой первый коммент.
> Да, я помню, что приложений под pledge не так много, а PaX давно и успешно используется на практике.
Да мало ли, что ты там по отдельности понмимаешь, если уложить всё в систему и сделать согласованные выводы ты не в состоянии.
> Я про перспективность решений. И да, я могу быть не прав. Почему я думаю, что прав - я написал.
Твои рассуждения про перспективность тоже насквозь пропитаны двойными стандартами. Я тебе указал на опыт Hardened Gentoo, где флаги выставлялись пакетным менеджером - ты мне возразил, что это не дистрибутив общего назначения и что он прекратил своё существование в прежнем виде. То, что в перспективе этот опыт можно повторить - для тебя не аргумент. А как расписывать достоинства pledge, которые по большей части пока только в перспективе - так это ты рад стараться. И всё это в контексте претензий на объективные оценки в субъективных категориях.
>> не аргумент ни в пользу чего-либо, кроме утверждений, которые меня не интересуют. Вроде отсутствия дистрибутива с PaX "для масс".
> Да это как раз аргумент. Причём, самый сильный из возможных, потому что это не пустое теоретизирование, а срез реальности.
И срез реальности у тебя только такой, какой удобен тебе. Это, мой юный друг, называется иначе: произвольная интерпретация фактов в отрыве от контекста. То, что нет дистрибутива с PaX "для масс" - это факт. А вот всё, что из этого следует, в том числе неявные допущения о квалификации масс и разработчиков дистрибутивов в области безопасности - это твои домыслы. Которые можно сопоставить с более полным срезом реальности, на котором, как я уже говорил, мы увидим, что решения из PaX приходят и в ОС, включая OpenBSD, и в железо. И происходит это с отставанием во многие годы, в течение которых в публичном доступе регулярно появляются эксплойты на базе всё тех же техник эксплуатации и показывающие плачевное отставание средств защиты от средств нападения.
> А приватное решение для N людей не равнозначно общему для эксплуатации in the wild. Что, конечно же, не значит, что оно плохое.
Плохое или хорошее
>> Тут случай, когда осознание ошибки отнюдь не говорит о том, что она будет осмыслена.
> А что я должен осознать? Статью, на которую ты сослался я когда-то читал. Будет время - освежу в памяти.
Не осознать, а осмыслить. То есть, попытаться понять причины и следствия. Внимательный и ответственный человек после такой ошибки поставил бы под сомнение собственную компетентность и обоснованность суждений. Но тебя не заставил задуматься даже тот факт, что статью-то ты когда-то читал, но вот забыл и всё напутал. Напротив, в факте прочтения ты ищешь оправдание: мол, не так уж и узок твой кругозор, ну забыл, ну с кем не бывает.
> Я привёл неверный пример про grsec и kaslr и констатировал, что ты меня поправил.
Ты и про KARL неверный пример привёл. Но поскольку осознание, в чём он неверный, требует не просто принятия очевидного фатка, а проведения некоторой умственной работы, ты и дальше будешь юлить. И не только потому, что не привык думать, но и потому, что цели у тебя - не разобраться, а во мнении утвердиться, навязав его окружающим.
>> Глупое утверждение. Вот я сижу сейчас на дистрибутиве общего назначения, но ядро с grsecurty. Могу измерить призводительность, загрузиться со штатным дистрибутивным ядром, снова измерить.
> Молодец. А вот когда мне по работе приходится сталкиваться с тем, как продакшен просаживается по производительности/ломается/глючит и т.п. даже от обычных релизов обычного ядра linux совсем не до шуток про то, как хорошо мне на локалхосте, где я уже не помню сколько лет обновляю ядро и не замечаю никаких проблем, ни с grsec, ни без.
Снова подмена тезиса. Ты сказал о недоступности grsec для накопления опыта, теперь за источник опыта пытаешься выдать какую-то абстрактную практику его накопления в абстрактном продакшене. Накопление его другими способами тебя не устраивает. Чужой опыт работы с grsec в продакшене - тоже. Тебя устраивает ровно одно: что сославшись на отсутствие возможности накопления опыта можно продвигать FUD о возможных проблемах с производительностью. При этом сам же признаёшь, что проблемы с производительностью присутствуют и в обычном линуксе. Ну и на каких основаниях ты выпячиваешь именно риски и неудобства, связанные с применением grsec?
> Когда число инсталляций приближается к нескольким тысячам (десяткам тысяч) начинает стрелять даже палка.
И рассказываешь мне сказки про тысячи и тысячи инсталляций, чтобы придать значимость своим домыслам и двойные стандарты обосновать.
> А на ноуте у меня всё хорошо, да. И на том, что linux, и на том, что OpenBSD. И даже с условной Haiku, почти уверен, нормально будет.
У меня с grsec и в продакшене всё хорошо. Несоизмеримо больше проблем получаю от апстримного кода ядра. И то, что у тебя нет и не было контактов с людьми, у которых действительно тысячи инсталляций на grsec в продакшене - это чьи проблемы, grsec или твои?
>> Ты же его в пример привёл, как в OpenBSD производительность берегут: что вот KARL позволяет какихт-то накладных расходов избежать. Так выходит, и пример у тебя копеечный.
> Это пример того, что предпочтение отдаётся пассивным мерам защиты.
Это сейчас он у тебя стал примером того, как предпочтение отдаётся пассивным мерам защиты. А в изначальном тезисе ты делал упор на избегание издержек. Когда стало ясно, что копеечной экономией можно обосновать только копеечный же пример, ты спрыгнул на следующий тезис, о пассивных мерах.
> Рандомизация libc - из той же серии. И я в курсе, что _всех_ возможных проблем это не решает.
И теперь подкидываешь мне какие-то вторичные тезисы, о чём ты там в курсе. Уводишь разговор в сторону. Да, можно увести разговор в сторону, а вот от формата разговора ты никуда не убежишь, как от наглядного подтверждения факта, что на большее ты и не способен.
>> Для классификации ОС на общего назначения и специального я выдвинул свои критерии, _на базе общепринятых_. Согласно моим критериям, дистрибутив общего назначения с grsec-ядром является ОС общего назначения.
> При всём уважении (кроме шуток, и да, да, я знаю, что тебе моё уважение не требуется), ты не прав.
Тебе-то откуда знать, прав я или нет? Ты даже обосновать своё утверждение не потрудился и просто отверг все аргументы. Но продолжай. Это, в принципе, от тебя и тербуется. Про уважение можешь даже не заикаться, ты ему не обучен.
>> А OpenBSD не является ОС общего назначения
> Является.
Ты говоришь, что я вляется, а я говорю, что нет, она нишевая. Спорить о декларируемых целях не вижу смысла. Согласно заделкарированным целям и MS DOS является ОС общего назначения, даже когда-то являлся таковой в действительности. Но давно и безнадёэно морально устарел и фактически перешёл в разряд ОС специального назначения. OpenBSD движется по тому же пути.
>> Приложений под линукс всё больше, приложений под OpenBSD - всё меньше.
> Их число тоже растёт. Но под линукс приложений больше и было бы очень тупо с моей стороны с этим спорить.
Абсолютное число растёт, а относительное число падает, в купе с другими ограничениями делая OpenBSD по факту всё более и более нишевой.
>> Эмуляция линукса работает всё хуже (если ещё работает - не уточнял),
> Её достаточно давно выпилили, в OpenBSD больше ничего такого нет.
Тем более.
>> Да и проблемы [с] параллелизмом у ядра OpenBSD на современных многоядерных многопоточных процессорах выводят её из группы ОС общего назначения, существенно сужая область применения.
> Над многопоточностью работают, и работают активно.
Уже лет 20 работают, а воз и ныне там. И в течение всех этих 20 лет применимость OpenBSD существенно ограничивается характером нагрузок. И чем больше ядер и потоков в процессорах, тем существеннее эти ограничения. То есть, с годами только увеличиваются.
> Но в целом, ты обозначил реально имеющиеся проблемы. Только эти проблемы никак не связаны с назначением ОС и безопасностью.
С твоей точки зрения не связаны, а с моей - связаны. Чем твоё мнение лучше моего?
> Линукс - ОС общего назначения, и более успешная по очень многим критериям, чем OpenBSD. Я с этим не спорю, доказывать обратное - игнорировать реальность.
Ты мне пытаешься доказать, что линукс с grsec-ядром - это уже не ОС общего назначения, потому что твои критерии, основанные на домыслах и фактических ошибках, лучше моих, основанных на реальных процессах и обстоятельствах.
>> А у тебя критерий один: патчи, а не ядро, которых в стандартной поставке нет.
> Потому что из этого следует очень многое.
Ну так покажи путём построения логических умозаключений на основе фактов, что и каким образом из этого следует. Пока что я вижу только претензии на то, что очень многое следует сугубо из твоих ощущений, домыслов и ложных фактов.
> Обрати внимание: я не утверждаю (и не утверждал), что grsec не решает проблем и/или бесполезен. Или что там меньше "секурити-фич", или что они хуже.
Про хуже/лучше - утверждал, противопоставляя PAX_MPROTECT с флагами своему любимому pledge.
> Я увтерждаю, что применение grsec as-is по-умолчанию затруднено и никто, в итоге, не захотел делать дистрибутив общего назначения на базе grsec.
Применение любого дистрибутива общего назначения чем-то, да затруднено. У каждого - своя специфика. Из факта существования каких-то затруднений не следует никаких выводов о том, по каким причинам не появился дистрибутив общего назначения с grsec.
> Что автоматически лишает нас возможности сравнить опыт эксплуатации.
Ты пытаешься подсунуть мне свои критерии оценки. И очередной FUD, что вот если б опыт был, то вскрылась какая-то неприятная правда о grsec.
>> И вспомнил, потому что это действительно важно. Это существенно ограничивает область применения на практике. Ты не согласен с этим?
> Конечно важно. Конечно ограничивает. Только масштабируется она хуже не из-за "секурити-фич" или их отсутствия. Т.е. всё правда, но причём тут это?
А это ты у голосов в голове спроси, при чём тут "секурити-фичи". Речь шла о критериях классификации ОС на специализированные, синонимично с нишевыми, и общего назначения. Я считаю, что OpenBSD - нишевая ОС, чья ниша в силу озвученных мной фактов с годами только уменьшается.
> Если не понятна логика
Снова путаешь непонимание с непринятием твоего мнения. Тебе-то моя логика понятна? Патчи сами по себе в ваккуме не работают, а в купе с основным кодом ядра и дистрибутивом образуют ОС. По моим критериям и согласно целям разработчиков grsec - ОС общего назначения. То, что она при этом обладает бОльшей защищённостью, не делает её специализированной. Как установка антивируса, файрвола и связанные с ними неудобства не превращают винду в специализированную ОС.
>> Ну, про декларируемые цели ты мне ещё расскажешь, где ты их для PaX/grsecurity вычитал. А про реализуемые по факту решения я тебе уже всё сказал.
> Ну вот, с их сайта:
> Ни слова про стандарты.
Ни слова про стандарты, да. Так где декларируемые цели-то? Разработчики grsec их не делкарируют, я - тоже. Получается, ты в лужу сел. Соврал и пытаешься отвертеться.
>> А вот как в твои критерии укладываются дистрибутивы, вроде RHEL, где политики SELinux включены по умолчанию?
> Никак. Если бы там были PaX патчи и всё было бы сделано для того, чтобы этим можно было пользоваться с эквивалентными возможностями не замечая их наличия (условно), то это тоже была бы ОС общего назначения.
Так ведь там есть SELinux, не замечать который пользователю очень сложно - ты сам говорил про setenforce 0. Получается, что ОС общего назначения с интрузивными, создающими неудобства мерами безопасности - остаётся ОС общего назначения. А аналогичная по функциональности ОС с PaX, создающая _меньшие_ неудобства - уже специализированная. Получается, что ты сам себе противоречишь и старательно делаешь вид, как этого противоречия не замечаешь.
> Проблема не в реализованных механизмах, а в целеполагании.
Про целеполагание ты уже расписался, что кроме домыслов и ложных фактов (откровенной лжи) у тебя ничего нет. А разработчик PaX уточнил, что имеет и имел изначально целью именно повсеместное использование. Так что свою чушь про целеполагания можешь распечатать на одном рулоне туалетной бумаги с остальным бредом, из которого твои особо ценные мнения состоят.
>> Это ОС общего назначения или специального?
> Заявляется, что общего. По факту, насколько я могу судить, это так.
По какому факту? Потому что тебе так захотелось.
> В винде тоже есть какие-то ACL и какие-то "продвинутые" механизмы защиты, это не делает её специализированной ОС.
Тогда почему наличие PaX в ядре линукса автоматически делает его специализированной ОС?
>>> Тогда у меня нет адеватных идей, зачем могли перейти на xattr.
>> За тем, что это более универсальный способ.
> Само по себе это не преимущество.
Откуда тебе знать, что для других людей в их опыте работы с системой является преимуществом, а что нет? Ты кто такой, чтобы за других-то решать, не-эксперт апломбовый?
>> чтобы работала проприетарщина вроде скайпа
> Аргумент. Но вот в OpenBSD считают
В OpenBSD могут считать всё что угодно. По факту скайп работает в линуксе с PaX после перехода с PT_PAX на xattr. Конечно, тебе не нравится, когда в PaX что-то сделано для того, чтобы приложения работали, а не наоборот, "ломались". Тебе ведь и PaX не нравится, потому что он не OpenBSD и доступа к нему у тебя нет.
> Ты можешь сказать, что они никогда этого не будут делать - может и так. Под опенбисиди скайпа вообще нет :)
А даже не важно, будут они так делать или нет. Запрет на выполнение произвольного машинного кода в grsec может устанавливаться в качестве обязательной политики по умолчанию, для каждого непривилегированного пользователя или всех вместе. Для всех приложений или только для большинства, за исключениями, указанными суперпользователем. PaX-флаги, DAC и TPE позволяют это сделать. То есть, назначение PaX-флагов, не важно, в xattr или ELF-заголовках - шире, чем тот узкий набор кейсов, который помещается у тебя в голове, когда ты строчишь свои авторитетные мнения.
>> Сравнивал тёплоё с мягким. Сам же мне пишешь про различия в назначении MAC и pledge, и сам же их в лоб сравниваешь, впрочем как и с PaX-флагами.
> Да, отчасти я сравниваю тёплоё с мягиким, всё верно.
ЧТД. И даже не понимаешь в достаточной мере, как оно работает и какие области применения имеет.
>> что все эти инструменты, включая твой любимый pledge, позволяют получить результат с _разными_ свойствами.
> Я изначально придерживался именно такой позиции.
Это тебе кажется, что ты её придерживался. На самом деле акцент "с _разными_" для тебя - пустой звук. Для тебя они не разные, а лучше-хуже, костыльнее-некостыльнее, уродливее-красивее, слишком громоздкие и так далее, далее.
>> Это не про лучше-хуже, это про факт наличия/отсутствия выбора. Каковое отуствие в данном случае является следствием политики разработчиков OpenBSD. И вот о наличии/отсутствии уже можно говорить в категориях лучше/хуже - для тебя отсутствие лучше, для меня хуже.
> SElinux и MAC в контексте нашего спора это не лучше-хуже, а подходит для решения проблемы или не подходит.
Это пустые слова, которые противоречат тому, что ты уже сказал о PaX, и за которые ты по факту ответить не в состоянии.
> Это не значит, что что-то одно "не нужно", это разные цели и разные инструменты.
Вот только PaX-флаги для тебя - это костыль, а не часть DAC. И демон, который их устанавливает, не инструмент управления частью DAC, а тоже костыль.
> И да, я считаю, и, как мне кажется, я это обосновал, что для _своих_задач_ pledge лучше подходит, нежели selinux для этих же задач.
SELinux по определению решает не эти же задачи, а другие, в чём-то перескающиеся. Поэтому сравнение лучше/хуже инзачально нелепо. Я указал на SELinux как инструмент, который предоставляет пользователю право выбора в конкрентно взятом случае, а именно, запрете PROT_EXEC. Тебе это не понравилось и ты стал настаивать, что право выбора не нужно, и что pledge лучше, потому что позволяет сделать больше. А теперь попробуй, укажи мне хотя бы часть в этом резюме, которую я не смогу подтвердить цитатой из твоих реплик.
>> В линуксе задачи, аналогичные pledge, решает SECCOMP BPF. Не PaX-флаги, не SELinux, не другие LSM-модули, а именно SECCOMP BPF. И вот с ним можно было бы посравнивать pledge напрямую.
> Всё так. Но всё началось с prot_exec, в OpenBSD он отзывается через pledge.
Вот именно.
> Только поэтому разговор у нас про сравнение сортов тёплого с сортами мягкого.
Сравнивать тёплое с мягким начал ты, пустившись в рассуждения о том, что такое MAC, для чего он предназначен и не предназначен. Я же сравнивал и сравниваю только в пересечении, по конкретно озвученным критериям, и с указанием разницы в свойствах результата.
> И я не могу ограничивать себя только подмножеством функций связанных с prot_exec, когда мы сравниваем pledge и pax mprotect.
Я заметил. И это очень харатерно и показательно.
> Просто потому что и то и другое сорт privilege revocation, пусть в pax это делается снаружи и принудительно.
Потому что ты не видишь реального смысла в обсуждении. Ты же пришёл сюда выставить на показ своё особо ценное мнение. Для тебя, как для пустого теоретика, реальные модели угроз, техники эксплуатации, риски, реальные меры защиты, их достоинства, изъяны, области применения, издержки, комплементарность, многоуровневость, полнота, обязательность - всё это пустые слова. Которые тебе знакомы и по отдельности даже как-то понятны, но в целостную картину как взаимосвязанные понятия не укладываются в твоей голове.
