forum.opennet.ru

Составление сообщения

Исходное сообщение

"Обход ограничений SELinux, связанных с загрузкой модулей ядр..."
Отправлено Аноним, 07-Июн-23 04:01

> Так а как ещё ему объяснить, что по условию задачи модуль попадать
> в ядро не должен?
В принципе и другие способы запрета этого есть, если оно реально надо. А забавно тут то что SElinux проявил несколько менее паранои в части Systems SEcurity чем от секурити-экспертов ожидается.
Для лично себя - я не запрещаю вгруз модулей, но там FORCE на проверку подписей и вот именно лично мой ключ. У меня то он есть. Хорошо когда система работает на меня. А если у вон тех нету, они и пролетают, соответственно.
Если хочется пожестче, есть /proc/sys/kernel/modules_disabled - если записать туда 1, загрузка новых модулей отвалится до ребута. При этом после старта системы когда все взлетело, можно быренько это дело врубать - обувая атакующих на это дело вообще. В цать раз проще SELinux и более эффективно. Но может потребовать ребут потом если нечто новое все же потребовалось.
А совсем злобный вариант - собрать ядро без поддержки модулей. Но это неудобно. Однако давно известно что чем удобнее тем хуже безопасность.
> То есть в ТЗ в одном из пунктов указали "запретить загрузку модулей".
Видимо да, иначе не понятно в чем прикол отрубить хвост именно наполовину.
> Исполнитель это прочёл, для одного случая создал правило, а потом пошёл
> пить кофе и забыл? И за ним никто не проверил? :)
А кто его знает. После юного д@лб@"№а сливающего секретные доки в дискорд я ничему такому не удивлюсь.
p.s. и кстати из-за непоседы Кента и его ФС как-то попало под внимание... то что модули априори нарушают W^X: это by design новые аллокации, выполняющие код. А кроме этого есть еще не менее 3 сценариев когда хотят динамически сгенерить код. И вот кент еще - для перфоманса файлухи.
В результате из-за Кента досталось и mm, и блокировкам (locks) и чему-то еще, например: https://lore.kernel.org/lkml/ZH0EseWI9F1n9yJx@moria.hom.../ - на правах хинта шишкину и ко как оно на самом деле надо было, если в майнлайн хочется. И в результате дискуссий, на самом деле, половина работы было спихана на айбиэмщика, еще кого-то и проч. А Кент приближается к желаемым точкам в своем квесте.

Исходное сообщение
"Обход ограничений SELinux, связанных с загрузкой модулей ядр..." Отправлено Аноним, 07-Июн-23 04:01
> Так а как ещё ему объяснить, что по условию задачи модуль попадать > в ядро не должен? В принципе и другие способы запрета этого есть, если оно реально надо. А забавно тут то что SElinux проявил несколько менее паранои в части Systems SEcurity чем от секурити-экспертов ожидается. Для лично себя - я не запрещаю вгруз модулей, но там FORCE на проверку подписей и вот именно лично мой ключ. У меня то он есть. Хорошо когда система работает на меня. А если у вон тех нету, они и пролетают, соответственно. Если хочется пожестче, есть /proc/sys/kernel/modules_disabled - если записать туда 1, загрузка новых модулей отвалится до ребута. При этом после старта системы когда все взлетело, можно быренько это дело врубать - обувая атакующих на это дело вообще. В цать раз проще SELinux и более эффективно. Но может потребовать ребут потом если нечто новое все же потребовалось. А совсем злобный вариант - собрать ядро без поддержки модулей. Но это неудобно. Однако давно известно что чем удобнее тем хуже безопасность. > То есть в ТЗ в одном из пунктов указали "запретить загрузку модулей". Видимо да, иначе не понятно в чем прикол отрубить хвост именно наполовину. > Исполнитель это прочёл, для одного случая создал правило, а потом пошёл > пить кофе и забыл? И за ним никто не проверил? :) А кто его знает. После юного д@лб@"№а сливающего секретные доки в дискорд я ничему такому не удивлюсь. p.s. и кстати из-за непоседы Кента и его ФС как-то попало под внимание... то что модули априори нарушают W^X: это by design новые аллокации, выполняющие код. А кроме этого есть еще не менее 3 сценариев когда хотят динамически сгенерить код. И вот кент еще - для перфоманса файлухи. В результате из-за Кента досталось и mm, и блокировкам (locks) и чему-то еще, например: https://lore.kernel.org/lkml/ZH0EseWI9F1n9yJx@moria.hom.../ - на правах хинта шишкину и ко как оно на самом деле надо было, если в майнлайн хочется. И в результате дискуссий, на самом деле, половина работы было спихана на айбиэмщика, еще кого-то и проч. А Кент приближается к желаемым точкам в своем квесте.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Так а как ещё ему объяснить, что по условию задачи модуль попадать >> в ядро не должен? > В принципе и другие способы запрета этого есть, если оно реально надо. > А забавно тут то что SElinux проявил несколько менее паранои в > части Systems SEcurity чем от секурити-экспертов ожидается. > Для лично себя - я не запрещаю вгруз модулей, но там FORCE > на проверку подписей и вот именно лично мой ключ. У меня > то он есть. Хорошо когда система работает на меня. А если > у вон тех нету, они и пролетают, соответственно. > Если хочется пожестче, есть /proc/sys/kernel/modules_disabled - если записать туда 1, > загрузка новых модулей отвалится до ребута. При этом после старта системы > когда все взлетело, можно быренько это дело врубать - обувая атакующих > на это дело вообще. В цать раз проще SELinux и более > эффективно. Но может потребовать ребут потом если нечто новое все же > потребовалось. > А совсем злобный вариант - собрать ядро без поддержки модулей. Но это > неудобно. Однако давно известно что чем удобнее тем хуже безопасность. >> То есть в ТЗ в одном из пунктов указали "запретить загрузку модулей". > Видимо да, иначе не понятно в чем прикол отрубить хвост именно наполовину. >> Исполнитель это прочёл, для одного случая создал правило, а потом пошёл >> пить кофе и забыл? И за ним никто не проверил? :) > А кто его знает. После юного д@лб@"№а сливающего секретные доки в дискорд > я ничему такому не удивлюсь. > p.s. и кстати из-за непоседы Кента и его ФС как-то попало под > внимание... то что модули априори нарушают W^X: это by design новые > аллокации, выполняющие код. А кроме этого есть еще не менее 3 > сценариев когда хотят динамически сгенерить код. И вот кент еще - > для перфоманса файлухи. > В результате из-за Кента досталось и mm, и блокировкам (locks) и чему-то > еще, например: https://lore.kernel.org/lkml/ZH0EseWI9F1n9yJx@moria.home.lan/T/ > - на правах хинта шишкину и ко как оно на самом > деле надо было, если в майнлайн хочется. И в результате дискуссий, > на самом деле, половина работы было спихана на айбиэмщика, еще кого-то > и проч. А Кент приближается к желаемым точкам в своем квесте.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру