The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обход ограничений SELinux, связанных с загрузкой модулей ядра"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обход ограничений SELinux, связанных с загрузкой модулей ядра"  +/
Сообщение от opennews (??), 05-Июн-23, 10:32 
Выявлена возможность обхода запрета загрузки модулей ядра, реализуемого через SELinux. Блокировка модулей в SELinux основывалась на ограничении доступа к системному вызову finit_module, позволяющему загрузить модуль из файла и применяемому  в таких утилитах, как insmod. При этом правила SELinux не рассматривали системный вызов init_module, который также может применяться для загрузки модулей ядра напрямую из буфера в памяти...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59248

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  –3 +/
Сообщение от Аноним (1), 05-Июн-23, 10:32 
не понял, а нахрена это через селинукс запрещать? у ядра давно уже есть blacklist и install $module /bin/false. А также в том же самом ядре есть возможность сделать так, чтобы новые модули нельзя было загружать без перезагрузки.
Ответить | Правка | Наверх | Cообщить модератору

4. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +4 +/
Сообщение от n00by (ok), 05-Июн-23, 10:47 
Предлагаете все возможные имена занести в blacklist?
Ответить | Правка | Наверх | Cообщить модератору

6. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +4 +/
Сообщение от Аноним (1), 05-Июн-23, 10:57 
зачем все возможные имена, если можно держать белый список разрешенных, а при изменении белого списка требовать рестарт?
Ответить | Правка | Наверх | Cообщить модератору

15. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  –2 +/
Сообщение от Аноним (15), 05-Июн-23, 11:21 
Зачем тогда нужны модули если всё можно вкомпилировать в ядро?
Ответить | Правка | Наверх | Cообщить модератору

17. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Аноним (1), 05-Июн-23, 11:35 
потому что не у всех есть время/бюджет заниматься конфигурированием до компиляции и сопровождением всего этого при обновлении ядра.
Ответить | Правка | Наверх | Cообщить модератору

22. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Аноним (15), 05-Июн-23, 11:47 
На белые листы время есть, а на сборку нет. Как-то небезопасненько.
Ответить | Правка | Наверх | Cообщить модератору

26. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +2 +/
Сообщение от Аноним (1), 05-Июн-23, 11:54 
ну давай, расскажи мне, как получить ядро, в котором есть только то, что нужно на этом конкретном железе и для таких-то конкретных задач, и как при этом потратить хотя бы (хотя бы!) в сто раз больше (больше!) времени, чем прописывание белого списка. Подсказываю: стартовым конфигом будет tinyconfig.
Ответить | Правка | Наверх | Cообщить модератору

40. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Аноним (40), 05-Июн-23, 12:46 
Рассказываю по опыту генто@бства: полдня-день на систему на первую итерацию, при условии что в конфиге ядра ориентируешься хоть немного. Первая итерация означает как минимум загружается, делается быстро, если знаешь, что надо включить диски и фс под корень. Остальные несколько часов проверяешь нужные программы и ищешь, почему что отвалилось.

Совсем без опыта наверное ещё дольше, для меня такое слишком давно было, не помню.

Ответить | Правка | Наверх | Cообщить модератору

45. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (1), 05-Июн-23, 13:08 
если стартуешь с дефолтного конфига - может быть так и есть, при этом не решается проблема того, что получим ядро с кучей лишнего. Правильный ответ начинается со слов "грузимся в максимально полное ядро и исследуем /sys на предмет того, какие устройства имеются, далее для каждого устройства задаем себе вопрос, нужно ли оно на самом деле, или оно здесь появилось просто потому, что мы загрузились в максимальное ядро, далее каким-то макаром находим, какой драйвер отвечает за устройство, по имени драйвера находим имя модуля, по имени модуля находим имя опции, по опции находим его зависимые опции" и так далее и так далее. По пути нужно изучить, как именно ядро грузит модули: по идентификаторам PCI (обычно частичные), по идентификаторам USB (обычно частичные), по всем остальным шинам аналогично. Также вооружаемся lkddb (обычно дает неполную инфу), вооружаемся $EDITOR и grep исследовать исходники ядра, вооружаемся полными спеками железа и проходим по каждому пункту каждого спека и врубаем специфичные опции. Это я не рассказал и 10% того, что касается железа, а ведь есть еще "софт" - не менее сложная тема, ибо если прога не находит для себя достаточные возможности ядра, она молча выходит или выдает негуглящееся сообщение. Это работа на полгода-год, а не на полдня-день.
Ответить | Правка | Наверх | Cообщить модератору

85. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от ivan_erohin (?), 05-Июн-23, 20:17 
выше - краткое содержание чьей-то будущей книги "Как изнасиловать линукс и остаться в живых и на свободе".
Ответить | Правка | Наверх | Cообщить модератору

102. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 06-Июн-23, 06:38 
После слов "вооружаемся ... grep исследовать исходники ядра" у меня появились сомнения, кто кого насилует.
Ответить | Правка | Наверх | Cообщить модератору

126. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от ivan_erohin (?), 06-Июн-23, 14:05 
> После слов "вооружаемся ... grep исследовать исходники ядра" у меня появились сомнения,
> кто кого насилует.

года 4 назад я подбирал какой-то инструмент (не на go и не на rust)
для поиска по source tree, искал им в исходниках iMule несовместимости и их происхождение
для пересобрать под новый дебиан. но я забыл название. старость не радость.
но теоретически можно и грепом.

Ответить | Правка | Наверх | Cообщить модератору

130. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 06-Июн-23, 16:49 
Хороший инструмент сначала прогоняет исходник через препроцессор, что бы развернуть макросы, а потом переводит результат в упрощённый аналог синтаксического дерева, что бы можно было быстро посмотреть граф вызовов (в Eclipce CDT он называется Call Hierarchy) и выполнять контекстный поиск. Исходники Linux по объёму в разы больше iMule, для некоторых строк grep выдаст массу лишнего (например, одноимённые функции для разных архетектур). Гипотетически, наверное, найти что-то можно и grep-ом, но даже простой переход к месту определению функции окажется существенно дольше.
Ответить | Правка | Наверх | Cообщить модератору

166. Скрыто модератором  +/
Сообщение от ivan_erohin (?), 07-Июн-23, 19:53 
Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору

170. Скрыто модератором  +/
Сообщение от n00by (ok), 08-Июн-23, 09:03 
Ответить | Правка | К родителю #166 | Наверх | Cообщить модератору

41. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  –1 +/
Сообщение от Аноним (41), 05-Июн-23, 12:47 
Если у тебя нет времени на безопасность зачем ей заниматься?
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

50. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  –1 +/
Сообщение от Аноним (50), 05-Июн-23, 13:42 
Внезапно, принели вам сетевушку. Было бы модулем, udev сам бы необхомый(е) модуль(ли) нашёл и загрузил. Но вам придётся самому копать, какой модуль для данного девайса нужон, и ядро из-за одного модуля пересобирать.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

86. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  –3 +/
Сообщение от Атон (?), 05-Июн-23, 20:26 
> Внезапно, принели вам сетевушку.

Каким олигофреном нужно быть, что бы без раздумий пихать внезапно принесенное железо в доверенный комп обрабатываюший чувствительную конфиденциальную информацию.

Ответить | Правка | Наверх | Cообщить модератору

121. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (121), 06-Июн-23, 11:33 
> Каким олигофреном нужно быть, что бы...

Каким олигофреном нужно быть, чтобы так ответить на фразу "внезапно, принесли вам сетевушку". Вы, похоже, смогли представить только следующую картину: посреди тишины и благодати к Вам с улицы пришел какой-то неизвестный смурной мужик в шпионском плаще и протягивает вам со зловещей усмешкой какую-то непонятную железку непонятного производителя и непонятного назначения?

Ответить | Правка | Наверх | Cообщить модератору

123. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Атон (?), 06-Июн-23, 13:12 
>> Каким олигофреном нужно быть, что бы...
> Каким олигофреном нужно быть, чтобы так ответить на фразу "внезапно, принесли вам
> сетевушку". Вы, похоже, смогли представить только следующую картину: посреди тишины и
> благодати к Вам с улицы пришел какой-то неизвестный смурной мужик в
> шпионском плаще и протягивает вам со зловещей усмешкой какую-то непонятную железку
> непонятного производителя и непонятного назначения?

Представьте нам свою картину мира, в которой будет объяснена внезапность появления сетевушки хотя бы даже рядом с SElinux.  Скажем метрах в трёх.

Ответить | Правка | Наверх | Cообщить модератору

127. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от BeLord (ok), 06-Июн-23, 14:06 
Чего там объяснять - диверсия-)))
Ответить | Правка | Наверх | Cообщить модератору

128. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Атон (?), 06-Июн-23, 14:54 
> Чего там объяснять - диверсия-)))

Главный диверсант - HR принявший на работу техником mentality disabled персону, которое, внезапно завидев сетевушку, начинает впихивать её во все отверстия, серверу.

Ответить | Правка | Наверх | Cообщить модератору

28. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от n00by (ok), 05-Июн-23, 12:02 
А буфер памяти куда вписать?
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

51. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (50), 05-Июн-23, 13:45 
В пространство процесса, взявшего на себя обязанность загружать модули. Потом натравить системый вызов на этот буфер. Процес этот, конечно, должен соответствующими правами обладать.
Ответить | Правка | Наверх | Cообщить модератору

68. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 05-Июн-23, 16:07 
В адресное пространство каждого процесса, взявшего на себя обязанность загружать модули? А кто будет внедрять данные в пространство произвольного процесса, и что дальше с этими данными делать?
Ответить | Правка | Наверх | Cообщить модератору

72. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (50), 05-Июн-23, 16:28 
Системный вызов в пространство ядра скопирует, оформит уже как структуры модуля.
Ответить | Правка | Наверх | Cообщить модератору

103. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 06-Июн-23, 06:43 
Всё это сделает и загрузит драйвер? Так задача прямо противоположная - не пускать какой попало драйвер в ядро.
Ответить | Правка | Наверх | Cообщить модератору

99. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (-), 06-Июн-23, 01:16 
> В адресное пространство каждого процесса, взявшего на себя обязанность загружать модули?

Нуб, ты чего? Это работает так: читаешь файл с диска, грузишь модуль в память, ну и натравливаешь вон тот ядерный сискол на свой буфер -> модуль попадает в ядро, если это получилось. Хотел ли это изначально вообще процесс, или это эксплойт какой, или специальная хакерская прога - да в общем то возможны разные варианты. И то что САБЖ этот механизм пролюбил это полное ололо для wannabe-улучшителя безопасности в системе.

Правда как мне кажется SELINUX делался в основном потому что в таком топике как "информационная безопасность" - бывают, внезапно, характерные регламенты. О чем догадываются все у кого например был предмет "информационная безопасность", ну там в вузе, или по своему интересу. И если там написано "трава должна быть зеленой, а контроль доступа мандатным" - ну, вот вам банка с краской, а вот SELINUX, извольте. У официалов информационная безопасность достаточно бюрократизированный топик. А compliance не пустой звук в т.ч. и у амеров. Ну вот оно кажись больше инструмент комплайнса чем реальной защиты.

Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

104. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 06-Июн-23, 06:53 
>> В адресное пространство каждого процесса, взявшего на себя обязанность загружать модули?
> Нуб, ты чего? Это работает так: читаешь файл с диска, грузишь модуль
> в память, ну и натравливаешь вон тот ядерный сискол на свой
> буфер -> модуль попадает в ядро, если это получилось. Хотел ли
> это изначально вообще процесс, или это эксплойт какой, или специальная хакерская
> прога - да в общем то возможны разные варианты. И то
> что САБЖ этот механизм пролюбил это полное ололо для wannabe-улучшителя безопасности
> в системе.

Так а как ещё ему объяснить, что по условию задачи модуль попадать в ядро не должен?

> Правда как мне кажется SELINUX делался в основном потому что в таком
> топике как "информационная безопасность" - бывают, внезапно, характерные регламенты.
> О чем догадываются все у кого например был предмет "информационная безопасность",
> ну там в вузе, или по своему интересу. И если там
> написано "трава должна быть зеленой, а контроль доступа мандатным" - ну,
> вот вам банка с краской, а вот SELINUX, извольте. У официалов
> информационная безопасность достаточно бюрократизированный топик. А compliance не пустой
> звук в т.ч. и у амеров. Ну вот оно кажись больше
> инструмент комплайнса чем реальной защиты.

То есть в ТЗ в одном из пунктов указали "запретить загрузку модулей". Исполнитель это прочёл, для одного случая создал правило, а потом пошёл пить кофе и забыл? И за ним никто не проверил? :)

Ответить | Правка | Наверх | Cообщить модератору

145. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (-), 07-Июн-23, 04:01 
> Так а как ещё ему объяснить, что по условию задачи модуль попадать
> в ядро не должен?

В принципе и другие способы запрета этого есть, если оно реально надо. А забавно тут то что SElinux проявил несколько менее паранои в части Systems SEcurity чем от секурити-экспертов ожидается.

Для лично себя - я не запрещаю вгруз модулей, но там FORCE на проверку подписей и вот именно лично мой ключ. У меня то он есть. Хорошо когда система работает на меня. А если у вон тех нету, они и пролетают, соответственно.

Если хочется пожестче, есть /proc/sys/kernel/modules_disabled - если записать туда 1, загрузка новых модулей отвалится до ребута. При этом после старта системы когда все взлетело, можно быренько это дело врубать - обувая атакующих на это дело вообще. В цать раз проще SELinux и более эффективно. Но может потребовать ребут потом если нечто новое все же потребовалось.

А совсем злобный вариант - собрать ядро без поддержки модулей. Но это неудобно. Однако давно известно что чем удобнее тем хуже безопасность.

> То есть в ТЗ в одном из пунктов указали "запретить загрузку модулей".

Видимо да, иначе не понятно в чем прикол отрубить хвост именно наполовину.

> Исполнитель это прочёл, для одного случая создал правило, а потом пошёл
> пить кофе и забыл? И за ним никто не проверил? :)

А кто его знает. После юного д@лб@"№а сливающего секретные доки в дискорд я ничему такому не удивлюсь.

p.s. и кстати из-за непоседы Кента и его ФС как-то попало под внимание... то что модули априори нарушают W^X: это by design новые аллокации, выполняющие код. А кроме этого есть еще не менее 3 сценариев когда хотят динамически сгенерить код. И вот кент еще - для перфоманса файлухи.

В результате из-за Кента досталось и mm, и блокировкам (locks) и чему-то еще, например: https://lore.kernel.org/lkml/ZH0EseWI9F1n9yJx@moria.hom.../ - на правах хинта шишкину и ко как оно на самом деле надо было, если в майнлайн хочется. И в результате дискуссий, на самом деле, половина работы было спихана на айбиэмщика, еще кого-то и проч. А Кент приближается к желаемым точкам в своем квесте.

Ответить | Правка | Наверх | Cообщить модератору

20. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +2 +/
Сообщение от onanim (?), 05-Июн-23, 11:44 
скорее включить lsm=lockdown и установить https://github.com/lkrg-org/lkrg
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору
Часть нити удалена модератором

52. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (50), 05-Июн-23, 13:47 
Особенно, когда с кем-то по сети играешь, далеко-далеко так ;)
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

161. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от onanim (?), 07-Июн-23, 13:46 
> Часть нити удалена модератором
> В шахматах не подсказывают , !*! n00by (ok), 11:58 , 05-Июн-23 (27)
> УДАЛЕНО.Отмодерировано: mc, Время: Mon Jun 5 15:48:11 2023

на опеннете запрещено упоминание шахмат? лолшто?

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

180. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (180), 08-Июн-23, 15:41 
man оффтопик, вероятно... вот вы наглые стали, еще и возмущаетесь что совсем уж офтоп потерли
Ответить | Правка | Наверх | Cообщить модератору

183. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 09-Июн-23, 05:43 
Это было как раз по теме исходного сообщения. Его автор несколько плавал в вопросе, я начал задавать наводящие, что бы тот подумал. А onanim взял и сразу написал правильный овтет. ;(
Ответить | Правка | Наверх | Cообщить модератору

83. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Аноним (83), 05-Июн-23, 19:46 
Эпичный фейл однако.
> blacklist

Так загрузка идет помимо insmod

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

112. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 06-Июн-23, 09:21 
типичный опеннет, однако. Не пойму одного, почему еще тотальный кабздец инфраструктуры в РФ не наступил окончательно. Правда, каждый день где-то что-то горит, но это пока еще, по-моему, не оно.

Ответить | Правка | Наверх | Cообщить модератору

149. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (149), 07-Июн-23, 09:00 
> типичный опеннет, однако. Не пойму одного, почему еще тотальный кабздец инфраструктуры

(голосом оптимиста из анекдота про хуже уже не будет) coming soon!

Ответить | Правка | Наверх | Cообщить модератору

2. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +4 +/
Сообщение от n00by (ok), 05-Июн-23, 10:45 
> При этом правила SELinux не рассматривали системный вызов init_module,
> который также может применяться для загрузки модулей ядра
> напрямую из буфера в памяти.

Ну правильно, драйвер руткита как раз из памяти удобнее стартовать. При сохранении на ФС его чего доброго обнаружит антивирус (который в Линукс вообще не нужен, но не все слушают экспертов).

Ответить | Правка | Наверх | Cообщить модератору

5. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +3 +/
Сообщение от Аноним (5), 05-Июн-23, 10:48 
Настоящий антивирус, а не тот которого нет. Оперативную память тоже сканирует. Но опять же в чьих интересах и что он сканирует это прям очень большой вопрос.
Ответить | Правка | Наверх | Cообщить модератору

16. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 05-Июн-23, 11:32 
Файл с драйвером перед запуском придётся расшифровать. Плюс сам факт его появления уже звоночек для эвристика. А просканировать память... в какой момент антивирус это сделает?
Ответить | Правка | Наверх | Cообщить модератору

21. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  –1 +/
Сообщение от Аноним (15), 05-Июн-23, 11:46 
Если он не отловит момент загрузки модуля то по расписанию. И будет вирус пойманный в конечно счете.
Ответить | Правка | Наверх | Cообщить модератору

25. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +2 +/
Сообщение от n00by (ok), 05-Июн-23, 11:52 
Руткитом называют такую шутку, задача которой скрыть своё присутствие в системе. Для чего драйвер например перехватывает системные вызовы и фильтрует возвращаемые данные. Антивирус при активном рутките видит вместо вируса фигу. Если пропустил запуск модуля, уже поздно сканировать память.
Ответить | Правка | Наверх | Cообщить модератору

35. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (35), 05-Июн-23, 12:22 
При условии, что руткит покроет 100% потенциальных путей обнаружения. Что не факт.
Собственно, тут та же проблема, что и с защитой системы - все возможные пути обнаружить малореально.
Ответить | Правка | Наверх | Cообщить модератору

37. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 05-Июн-23, 12:39 
Чукча и геолог собирают камушки на берегу океана. Вдруг видят
направляющегося к ним голодного белого медведя. Ружья нет.
Чукча хватает лыжи и начинает их надевать. Геолог:
- Бесполезно. Все равно ты не сможешь бежать быстрее медведя.
- А мне и не надо бежать быстрее медведя. Мне надо бежать
быстрее тебя!

Мораль сей басни такова - автор протестирует своё творение совместно с антивирусами, а у другой стороны такой возможности нет, пока не поймают образец.

Ответить | Правка | Наверх | Cообщить модератору

191. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Tester (??), 15-Июн-23, 13:35 
ты нам пытаешься объяснить что чукча умнее геолога?
Ответить | Правка | Наверх | Cообщить модератору

42. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 05-Июн-23, 12:55 
Микрософт решила вопрос с руткитами следующим образом:
Придумали PatchGuard.
Через некоторое время PatchGuard разобрали и обошли.
Вышла следующая версия PatchGuard.
Опять разобрали.
И так далее.

В такой схеме Микрософт заведомо оказывается на шаг впереди, следующую версию они могут подготовить заранее и обновиться оперативно. У атакующих этой возможности нет, пока будут разбирать новую версию, боты помрут. Держится всё это на закрытости кода и обфускации PG. Для остальных мы включаем балладу «Я свободен!»

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

43. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 05-Июн-23, 12:58 
> включаем балладу «Я свободен!»

https://youtu.be/7iez8N_6i4I

Ответить | Правка | Наверх | Cообщить модератору

100. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (-), 06-Июн-23, 01:22 
> В такой схеме Микрософт заведомо оказывается на шаг впереди, следующую версию они
> могут подготовить заранее и обновиться оперативно.

Зато они апдейты по вторникам грузят. Как будто хакеры целый месяц ждать будут. Некоторые даже специально релизили сплойты в среду, чтобы почти месяц был :)))

А так - безопасность это процесс, а не результат.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

3. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +8 +/
Сообщение от Аноним (5), 05-Июн-23, 10:46 
1) Заходим в википедию и смотрим кто изначальный разработчик SELinux
2) Не удивляемся.
Ответить | Правка | Наверх | Cообщить модератору

7. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +2 +/
Сообщение от Аноним (7), 05-Июн-23, 11:01 
Покажи как нужно было сделать. Создай свой аналог и поделись им с нами. Посмотрим как с этим справишься)
Ответить | Правка | Наверх | Cообщить модератору

9. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  –1 +/
Сообщение от Аноним (9), 05-Июн-23, 11:07 
apparmor же
Ответить | Правка | Наверх | Cообщить модератору

10. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (10), 05-Июн-23, 11:17 
Ты задумывайся , когда копипастишь в ответы.
Ответить | Правка | Наверх | Cообщить модератору

14. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +3 +/
Сообщение от Аноним (15), 05-Июн-23, 11:20 
А ну всё конечно пусть всех прослушивают раз они такие молодцы. Любители зондов типа тебя подтянутся ещё.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

36. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +4 +/
Сообщение от Аноним (35), 05-Июн-23, 12:25 
Для некоторых людей зонд, при условии достаточно глубокого введения, выполняет функцию внутреннего стержня.
Ответить | Правка | Наверх | Cообщить модератору

53. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (50), 05-Июн-23, 13:58 
+стопиццот
Ответить | Правка | Наверх | Cообщить модератору

32. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Аноним (35), 05-Июн-23, 12:15 
> Покажи как нужно было сделать.

Разрабы Астры показали (PARSEC). Неплохо, по-моему.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

38. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 05-Июн-23, 12:42 
Вспоминается гениальный разработчик Росы Андрюша Григорьев, доказывающий техдиру Астры, что PARSEC фуфло, ему хватит и SELinux.
Ответить | Правка | Наверх | Cообщить модератору

192. Скрыто модератором  +/
Сообщение от Аноним (-), 19-Мрт-24, 23:44 
Ответить | Правка | Наверх | Cообщить модератору

55. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  –1 +/
Сообщение от Аноним (50), 05-Июн-23, 14:02 
А чем одна контора с названием из трёх букв лучше другой, с другим названием из трёх букв?
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

57. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +3 +/
Сообщение от anonymous (??), 05-Июн-23, 14:52 
ну да пили бы баварское, йа йа натюрлих. Крепитесь, заграница вам поможет. Надеюсь вас автоматом этот СОРМ в соответствующий список заносит после таких вбросов.
Ответить | Правка | Наверх | Cообщить модератору

74. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от oditynet (?), 05-Июн-23, 16:47 
Тем, что одна сертифицирована, а другая нет. А в РФ реалиях сертификация дает право жизни одному дистру,а другой останется посредственным
Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

81. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (81), 05-Июн-23, 19:41 
Ну это только в госсекторе и только для попила.
Ответить | Правка | Наверх | Cообщить модератору

129. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 06-Июн-23, 15:46 
И чо? Я тоже хочу из г-на на курорт!

Тем более что в виду явного расцвета экономики - других шансов озолотиться кроме попилов и не предвидится.

Ответить | Правка | Наверх | Cообщить модератору

159. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (149), 07-Июн-23, 11:27 
> И чо? Я тоже хочу из г-на на курорт!

Будьте осторожны в своих желаниях, однако...

Ответить | Правка | Наверх | Cообщить модератору

82. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Бывалый смузихлёб (?), 05-Июн-23, 19:42 
означает ли это, что в реалиях тех же сша или ведущих стран ес открыта возможность любому желающему поставить любое не сертифицированное хз что на ключевых объектах как ВПК, так и производства ?
Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

106. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 06-Июн-23, 06:59 
Осталось понять, почему Windows XP сертификация не спасла.
Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

47. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +5 +/
Сообщение от Аноним (47), 05-Июн-23, 13:13 
Ид иотии и конспирологии у анонимов не занимать.

* SeLinux успешно помог предотвратить взлом системы для тысяч уязвимостей различных программ.
* Разрабы SeLinux - то же люди.
* Это не похоже на back door ни одним местом.

Тучу upvotes для этого - показатель уровня интеллекта посетителей opennet. Печальная картина.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

48. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  –1 +/
Сообщение от Аноним (47), 05-Июн-23, 13:14 
Ах, да, на Android ядро собирают без модулей - все built-in.

Ужасная уязвимость что сказать.

Ответить | Правка | Наверх | Cообщить модератору

56. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (50), 05-Июн-23, 14:05 
А сколько помог взломать? Об этом вам не расскажут. Потому что, то взломы, кого надо взломы.
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

62. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +2 +/
Сообщение от Аноним (41), 05-Июн-23, 15:15 
Это глухо они не понимают простых вещей. У них есть только белое и черное. И все, действия белого по дефолту хорошие, а черного по дефолту плохие. Никакой анализ проводится не может это мыслепреступление.
Ответить | Правка | Наверх | Cообщить модератору

87. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Dima (??), 05-Июн-23, 21:08 
Иди хоть разок почитай что такое SELinux и как работает.
Ответить | Правка | Наверх | Cообщить модератору

61. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Аноним (41), 05-Июн-23, 15:14 
Поэтому они имеют право сами взламывать кого захотят, когда захотят? Из тех кто использует SELinux, а это примерно все.
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

69. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 05-Июн-23, 16:12 
> * Это не похоже на back door ни одним местом.

Пожалуй, поверю я вот этому Анониму, а не собственному опыту!!!111

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

84. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (83), 05-Июн-23, 19:50 
> 2) Не удивляемся.

Я бы пофиксил:
2) Если удивляемся, смотри пункт 1.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

89. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Адмирал Майкл Роджерс (?), 05-Июн-23, 21:59 
Позволю себе обратить Ваше внимание, сэр, на тот факт, что SELinux был опубликован в виде исходных кодов и прошёл все необходимые проверки перед включением в состав ядра Linux.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

96. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Иван Федорович Крузенштерн (?), 05-Июн-23, 22:40 
Прошел. Потом кривые targeted-правила подсунули.  
Ответить | Правка | Наверх | Cообщить модератору

108. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 06-Июн-23, 07:07 
Формально эти правила подпадают под определение "исходный код".
Ответить | Правка | Наверх | Cообщить модератору

107. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от n00by (ok), 06-Июн-23, 07:04 
Не соблаговолит ли достопочтенный сэр охарактеризовать действия находящихся в РФ агентов по продажам вышеупомянутых исходных кодов?
Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

125. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Адмирал Майкл Роджерс (?), 06-Июн-23, 13:33 
В данном случае я предпочёл бы воздержаться от каких-либо оценок.
Ответить | Правка | Наверх | Cообщить модератору

113. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Аноним (81), 06-Июн-23, 09:30 
Новость ты прочитать не смог в силу того что не умеешь читать?
Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

124. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Адмирал Майкл Роджерс (?), 06-Июн-23, 13:17 
Считаю уместным заметить, что я отвечал на комментарий мистера Анонима #1.3.
Ответить | Правка | Наверх | Cообщить модератору

11. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  –1 +/
Сообщение от пох. (?), 05-Июн-23, 11:17 
Уровень опеннета, как всегда пробил очередное днище.

То есть проблема не в конкретном правиле конкретного набора, а якобы в selinux?

Уровень самого "исследователя" судя по его копипастам примерно тот же.

Ответить | Правка | Наверх | Cообщить модератору

13. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +2 +/
Сообщение от Аноним (15), 05-Июн-23, 11:18 
Так это ты не него зашел вот он и пробил. Не заходи сюда больше.
Ответить | Правка | Наверх | Cообщить модератору

23. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 05-Июн-23, 11:48 
Although the policy wasn't nearly as strict as the standard policy that you might find on a typical Android device, it was strict enough to prevent me from doing a lot of useful things (e.g., mounting filesystems and accessing files in /etc/).
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

24. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (15), 05-Июн-23, 11:50 
Да не этому бесполезно что-то доказывать. Все всегда будет жить в мире розовых пони.
Ответить | Правка | Наверх | Cообщить модератору

34. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Аноним (35), 05-Июн-23, 12:20 
Поправочка, коричневых пони. Он из failed state.
Ответить | Правка | Наверх | Cообщить модератору

29. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 05-Июн-23, 12:03 
ну очевидно что речь о стандартной targeted. Которая действительно костыль, и прикрывает только от большинства тривиальных (но от этого не менее реальных) проблем, а не  всего что можно придумать.


Т.е. правильный заголовок новости - "недостаточный фильтр системных вызов selinux-targeted" и более ничего существенного.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

30. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 05-Июн-23, 12:09 
Это как бы самый очевидный вектор атаки, и оставлен открытым. Похоже, Андроид хотел рутануть, вот и нашёл случайно. А куда смотрел Тысячеглаз?
Ответить | Правка | Наверх | Cообщить модератору

49. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 05-Июн-23, 13:36 
> Это как бы самый очевидный вектор атаки, и оставлен открытым.

как бы не самый очевидный. Во-первых нужен рут. Во вторых, собственно, и приехали.
Можно уже никакие модули никуда не грузить.

> А куда смотрел Тысячеглаз?

targeted policy - это _набор_затычек_. Бесконечный. Вот он посмотрел и еще одну добавил - в комплект к предыдущим статыщам. Еще одну странную ситуацию (которая вообще-то вряд ли возникнет в реальности) закрыли.

Ответить | Правка | Наверх | Cообщить модератору

65. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +2 +/
Сообщение от Аноним (81), 05-Июн-23, 15:45 
И что из этого следуют? Пусть оставляют уязвимость? Или может хорошо что они специально сделали такой дизайн программного продукта, чтобы было удобнее подсаживают троянов это типа хорошо? У тебя давно с головой не лады, но твоё состояния явно ухудшается.
Ответить | Правка | Наверх | Cообщить модератору

66. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 05-Июн-23, 15:53 
> И что из этого следуют? Пусть оставляют уязвимость?

ничего не следует кроме того что ты не умеешь ни кодить ни хотя бы правила selinux читать.

Тот кто умел - исправил то что ему показалось важным.

> Или может хорошо что они специально сделали

иди голову лечи.

Ответить | Правка | Наверх | Cообщить модератору

114. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (81), 06-Июн-23, 09:31 
Состояние поха быстра деградирует.
Ответить | Правка | Наверх | Cообщить модератору

70. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +2 +/
Сообщение от n00by (ok), 05-Июн-23, 16:20 
>> Это как бы самый очевидный вектор атаки, и оставлен открытым.
> как бы не самый очевидный. Во-первых нужен рут. Во вторых, собственно, и
> приехали.

Когда рут нужен - его покупают у специально обученных людей. Это уже следующий шаг, закрепление в системе.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

94. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +2 +/
Сообщение от Аноним (94), 05-Июн-23, 22:19 
> как бы не самый очевидный. Во-первых нужен рут.

Рут бывает разный. Скажем lockdown ядра пытаются ограничивать в уроне для системы и его. И возможность грузить ядерный код там может быть и не в тему.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

39. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +2 +/
Сообщение от Аноним (41), 05-Июн-23, 12:44 
Ничего существенного, ничего существенного, Карл!

пох ты неисправим.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

71. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (50), 05-Июн-23, 16:25 
>Т.е. правильный заголовок новости - "недостаточный фильтр системных вызов selinux-targeted" и более ничего существенного.

Yes, sir Major!

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

46. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Аноним (47), 05-Июн-23, 13:10 
Уже исправлено.

Касается всех 1 человек, которые нашли это.

Ответить | Правка | Наверх | Cообщить модератору

60. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (41), 05-Июн-23, 15:10 
Всех сотрудников, которые использовали по назначению.
Ответить | Правка | Наверх | Cообщить модератору

63. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Kuromi (ok), 05-Июн-23, 15:22 
То есть закрыв дверь на замок они тупо забыли закрыть окно которое тут же рядом?
Ответить | Правка | Наверх | Cообщить модератору

64. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Аноним (41), 05-Июн-23, 15:29 
Они оставили для себя незакрепленную дощечку, про которую никто не знает, через которую, если что, можно просунуть руку и открыть замок.
Ответить | Правка | Наверх | Cообщить модератору

67. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от пох. (?), 05-Июн-23, 15:55 
> То есть закрыв дверь на замок они тупо забыли закрыть окно которое
> тут же рядом?

там нет двери. Там лес с миллионом тропинок. На некоторых стоит шлагбаум. В надежде что т-пые упрутся в него и дальше не пройдут.

В принципе - помогает.
Потому что вы именно такие и есть.

Знать о том что targeted policy не единственно возможная вам незачем.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

75. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +2 +/
Сообщение от Аноним (81), 05-Июн-23, 16:49 
Типа что исполнитель оставил для себя окошко в виде тропинок, это его как-то оправдывает? Зачем ты эту чушь пишешь, объясни?
Ответить | Правка | Наверх | Cообщить модератору

77. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  –3 +/
Сообщение от 1 (??), 05-Июн-23, 17:58 
Госсподи именно такие и оставляют "пароль по умолчанию", или запуск БД без пароля вообще.

А виноват в этом да, разработчик.

Ответить | Правка | Наверх | Cообщить модератору

115. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Аноним (81), 06-Июн-23, 09:33 
Пароля по умолчанию быть вообще не может. Посмотри как сделаны нормальные продукт ты или его или сам создаёшь или никакой возможности войти у тебя нет.
Ответить | Правка | Наверх | Cообщить модератору

92. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +2 +/
Сообщение от Аноним (94), 05-Июн-23, 22:11 
> То есть закрыв дверь на замок они тупо забыли закрыть окно которое тут же рядом?

Они с церемониями повесили золоченый замок на парадную дверь. Про еще пять дверей в этом же доме они благополучно забыли, увлекшись церемонией и расписыванием свойств шикарного замка. Пришел хаксор, почесал репу глядя на замок, рещил что за болторезом ему бегать и то лениво - просто зашел в боковую дверь. В которой вообще никакого замка не было. Ну вот не предусматривали его при строительстве дома там. Этим хаксор от церемониалов с протоколами из анб и отличался.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

97. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Kuromi (ok), 05-Июн-23, 22:46 
>> То есть закрыв дверь на замок они тупо забыли закрыть окно которое тут же рядом?
> Они с церемониями повесили золоченый замок на парадную дверь. Про еще пять
> дверей в этом же доме они благополучно забыли, увлекшись церемонией и
> расписыванием свойств шикарного замка. Пришел хаксор, почесал репу глядя на замок,
> рещил что за болторезом ему бегать и то лениво - просто
> зашел в боковую дверь. В которой вообще никакого замка не было.
> Ну вот не предусматривали его при строительстве дома там. Этим хаксор
> от церемониалов с протоколами из анб и отличался.

Напомнило мне забавный момент из Двух сорванных башен (в переводие Гоблина), когда орки атакуют крепость, но дломятся исключительно в укрепленный главный вход. Гимли с Арагорном тихонько выходят в незащищенную никак боковую дверь и Гимли спрашивает Арагорна, "Ара, а поцчему они ломятся в ту двер, а в эту - нед?". Арагорн отвечает, "А потому что там Вход, а здесь Выход".

Ответить | Правка | Наверх | Cообщить модератору

78. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  –1 +/
Сообщение от Аноним (78), 05-Июн-23, 18:35 
Мне одному кажется, что SELinux - лютое ненужно.
Ответить | Правка | Наверх | Cообщить модератору

80. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (81), 05-Июн-23, 19:39 
Ты от начала и до конца полностью прав.
Ответить | Правка | Наверх | Cообщить модератору

88. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Dima (??), 05-Июн-23, 21:13 
Потому что ты ни чего не знаешь про него, ни чего с ним не можешь настроить?
Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

93. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (94), 05-Июн-23, 22:13 
Возни с его настройкой - во, а потом атакующий вот так парой сисколов грузит код в ядро. Ну и зачем такие соотношения надо?! Сложно должно быть атакующим а не админам, имхо.
Ответить | Правка | Наверх | Cообщить модератору

189. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Пряник (?), 09-Июн-23, 16:15 
Всё нужно. Просто не всегда.
Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

98. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +3 +/
Сообщение от Аноним (98), 05-Июн-23, 23:43 
Опять нужен рут, чтобы систему скомпрометировать. Ну что ж ты будешь делать!

Комментаторы, не раздупляющие ни что такое targeted набор правил, ни принципы работы SELinux, но в голос верещащие про бэкдоры особенно смешат. Опеннет — мой любимый комедийный ресурс.

Ответить | Правка | Наверх | Cообщить модератору

109. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  –1 +/
Сообщение от n00by (ok), 06-Июн-23, 07:14 
Тебе бы самому "раздуплить" отличия  finit_module от init_module, а потом попробовать подумать, зачем одно закрыли, а другое нет.
Ответить | Правка | Наверх | Cообщить модератору

131. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Аноним (98), 06-Июн-23, 17:10 
Ну естественно для того, чтобы взломать хосты опеннетных анонимов. А нет, погодите, опеннетные анонимы про SELinux знают только setenforce 0 и echo "SELINUX=disabled" > /etc/sysconfig/selinux. Значит чтобы взломать злобные корпорации. А нет, погодите, злобыне корпорации и сами всё сливают в NSA, потому что они злобные. Стало быть чтобы взломать самих себя. Да. NSA — они такие, сами себе уши отморозят назло всем, чтобы все боялись. Мысль о том, что писавшие targeted полиси проморгали этот и ещё массу других способов нагнуть ядро мы думать не будем. Слишком просто и нет заговора. Нам такое на опеннете не подходит.
Ответить | Правка | Наверх | Cообщить модератору

133. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 06-Июн-23, 17:25 
Раздупляю за тебя: сискола два, а вектор атаки один. Пиши не мне, а авторам правил, пусть откроют закрытый правилами шлюз - ты так хорошо объясняешь, почему это лишнее.
Ответить | Правка | Наверх | Cообщить модератору

135. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Аноним (98), 06-Июн-23, 17:40 
Ну вот один в strace засветился и был включён в полиси, а про другой писавший не знал. Какая печаль, подай на него в суд.
Ответить | Правка | Наверх | Cообщить модератору

147. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 07-Июн-23, 06:31 
> подай на него в суд.

А, так ты юрист, консультирующий забесплатно по вопросам безопасности. С этого и начинал бы свою проекцию о спосбностях "раздуплять".

Ответить | Правка | Наверх | Cообщить модератору

110. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от пох. (?), 06-Июн-23, 09:16 
это было смешно, пока их таких были десятки процентов на общем сравнительно приличном интеллектуальном фоне.

Сейчас, глядя на этот е6анариум истово верующих в происки проклятой NSA - хочется только съ...ся от свихнувшейся страны куда подальше.

А кто уже - вымарать из резюме все упоминания о ней. Потому что потенциальные коллеги именно таким е6анашкой и будут тебя воспринимать, и наймут индуса. Лучше уж пусть думают что ты джун с "трогательным несоответствием набора скиллов прошлому опыту", чем подозревают что ты один из отключателей обновлений винды сразу после установки (а то там проклятая NSA!)

P.S. но обрати внимание - автор исходной статьи тоже ничего не слышал ни про targeted, ни про то как это вообще работает (см. как он "проверяет" что у него selinux вообще есть). Т.е. идиотизм и повсеместная некомпетентность - они, увы, распространяются по планете.

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

116. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (81), 06-Июн-23, 09:36 
Ты ни программировать не умеешь ни думать. Поэтому ты и находишься там где находишься, а не в нормальном месте. Собственно так тебе и надо.
Ответить | Правка | Наверх | Cообщить модератору

134. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (98), 06-Июн-23, 17:29 
С твоей нелюбовью к е6анариуму я нахожу весьма странным, что ты не уплыл из него первым же пароходом. И не надо опять заливать про собак, я лично знаком с людьми вывезшими на другой континент весь свой персональный зоопарк — собак, кошек, хомяков и канареек, — вместе с детьми и престарелыми родителями.

А то, что тебе кажется, мол, идиотизм и повсеместная некомпетентность распространяются по планете, так это старческое брюзжание. Средний уровень интеллекта на планете растёт с тех самых пор, как его придумали мерять. Неравномерно, нелинейно, не везде, но неуклонно. Поэтому скорее всего проблема как раз в тебе: ты не понимаешь почему так, а не иначе и как результат всё вокруг кажется тупым. И это нормальный ход жизни, мы стареем, слабеем телом, духом и разумом, и в какой-то момент нам пора на покой, растить помидоры в удовольствие и баловать внуков. Долго тебе до пенсии осталось-то?

Ответить | Правка | К родителю #110 | Наверх | Cообщить модератору

139. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от пох. (?), 06-Июн-23, 22:41 
> И не надо опять заливать про собак, я лично знаком с людьми вывезшими на другой континент весь
> свой персональный зоопарк — собак, кошек, хомяков и канареек

я тоже. Обычно эти люди вовремя голосовали за кого надо, неплохо отхватили жирных кусков, своевременно их вывели куда подальше и теперь намерены не скучать и кстати "к сожалению в настоящее время мы не можем принимать оплату от российских пользователей" (и ведь этот был еще из лучших, действительно одна из самых светлых голов в бывшероссийском IT...)

А у меня, увы, престарелых родителей не осталось, самому пенсия не положена, а собак надо кормить и лечить, поэтому я остаюсь там где мне платят зарплату.

> Долго тебе до пенсии осталось-то?

в моей семье до нее ни один мужчина не дожил. По инвалидности не в счет.

Ответить | Правка | Наверх | Cообщить модератору

141. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (98), 06-Июн-23, 23:21 
> неплохо отхватили жирных кусков

Инженер с одной фабрики по производству телевизоров и медсестра. Его родители на стройке познакомились, где оба работали после войны. Её родители из деревни. Отхватил жирный кусок с продажи трёшки в городе-миллионнике и подержаного пассата. Такие дела. Да и сам я когда-то с 900$ в кармане приехал, чего уж там.

> в моей семье до нее ни один мужчина не дожил

Стань первым.

Ответить | Правка | Наверх | Cообщить модератору

142. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 06-Июн-23, 23:37 
> Отхватил жирный кусок с продажи трёшки в городе-миллионнике и подержаного пассата.

тоже неплохо- сейчас бы уже не получилось. К сожалению, у меня никогда не было трешки в миллионнике, а то бы и правда хрен бы меня там больше видели.
А что планирует жрать когда эти кончатся? Фабрик по производству телевизоров кроме как в китае не осталось, медсестре подтверждать диплом или вообще учиться с нуля.

> Да и сам я когда-то с 900$ в кармане приехал, чего уж там.

так ты был один и, полагаю, сравнительно молодой. Плюс была дикая недостача грамотных айтишников.
А сейчас... "если в магазине продается специальная бумага для резюме - значит работы в этой стране на самом деле - нет" (с)

Ответить | Правка | Наверх | Cообщить модератору

146. Скрыто модератором  +/
Сообщение от Аноним (-), 07-Июн-23, 05:14 
Ответить | Правка | Наверх | Cообщить модератору

151. Скрыто модератором  +/
Сообщение от пох. (?), 07-Июн-23, 09:07 
Ответить | Правка | Наверх | Cообщить модератору

156. Скрыто модератором  +/
Сообщение от Аноним (149), 07-Июн-23, 10:42 
Ответить | Правка | Наверх | Cообщить модератору

167. Скрыто модератором  +/
Сообщение от пох. (?), 07-Июн-23, 20:26 
Ответить | Правка | Наверх | Cообщить модератору

179. Скрыто модератором  +/
Сообщение от Аноним (180), 08-Июн-23, 15:22 
Ответить | Правка | Наверх | Cообщить модератору

101. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Quad Romb (ok), 06-Июн-23, 02:12 
У автора RSBAC когда-то была статья, что все механизмы которые используют ядерный механизм хуков LSM - принципиально не могут хоть какую-то консистентность применения правил этой самой безопасности обеспечить.
А механизм этого самого ядерного LSM изначально затачивался именно на SELinux.
Хотя потом его начали использовать и Smack, и Tomoyo, и прочие немногие.

Если у кого-то из комментаторов есть ссылка на эту статью, или нечто подобное-подробное - буду признателен такому комментатору, если он эту ссылку здесь приведёт.

Ответить | Правка | Наверх | Cообщить модератору

111. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 06-Июн-23, 09:19 
тем не менее - частенько оно - работает. Потому что очень маловероятно что проклятая nsa озаботилась персонально тобой, а вот троянец написанный таким же как местные комментаторы - запросто обломится, потому что автор "всегда отключаю этот selinux, там бэкдооооры!" и думает что все кругом такие же. В целом не очень и ошибается, конечно.

Ответить | Правка | Наверх | Cообщить модератору

117. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от Аноним (81), 06-Июн-23, 09:37 
Частенько работает. Карл!
Ответить | Правка | Наверх | Cообщить модератору

119. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 06-Июн-23, 09:53 
Мне пару раз вполне себе помогло. Причем первый раз оно вообще добыло рута в долю секунды (скачав какой-то зеродей прямо с метасплойта) и... сфейлилось, попытавшись спрятаться под видом dhcpcd. Ой, ну надо же так неудачно - а ему запрещен доступ к почти всей фс и сеть тоже жестко порезана - в результате полный лог ошибок, которые естственно заметили сразу же, и облом с попытками перейти к следующему этапу распространения.

А не было бы selinux - оно на этом всеми забытом хосте резвилось бы может месяцами.

Ответить | Правка | Наверх | Cообщить модератору

122. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Quad Romb (ok), 06-Июн-23, 12:51 
> тем не менее - частенько оно - работает. Потому что очень маловероятно
> что проклятая nsa озаботилась персонально тобой, а вот троянец написанный таким
> же как местные комментаторы - запросто обломится, потому что автор "всегда
> отключаю этот selinux, там бэкдооооры!" и думает что все кругом такие
> же. В целом не очень и ошибается, конечно.

Запасной парашют, который частенько работает - крайне сомнительный по качеству товар.
А внедряемые таким образом бэкдоры никогда не занимаются персонально кем-то.
Это всегда стрельба по площадям.
Спасибо за содержательно неприведённую ссылку на нечто подробное-толковое по данной теме.

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

136. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (98), 06-Июн-23, 18:11 
А стопроцентную безопасность никто не может гарантировать. ИБ оно всё про менеджмент рисков, а не про какое-то мифическое состояние безопасности, которое можно достичь и там наслаждаться. И запасной парашют именно что «частенько работает», так как имеет большие риски, чем основной хотя бы потому, что используется значительно реже.
Ответить | Правка | Наверх | Cообщить модератору

137. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Quad Romb (ok), 06-Июн-23, 18:32 
> А стопроцентную безопасность никто не может гарантировать. ИБ оно всё про менеджмент
> рисков, а не про какое-то мифическое состояние безопасности, которое можно достичь
> и там наслаждаться. И запасной парашют именно что «частенько работает», так
> как имеет большие риски, чем основной хотя бы потому, что используется
> значительно реже.

Никто.
Надо бежать от того кто её гарантирует.

Но использовать систему безопасности, которая, якобы, позволяет равноправное автоматическое стекирование нескольких (больше одного) различных механизмов безопасности на одном уровне - разговор в пользу сирых и убогих с самого старта.
Тут будут обсуждать - хорош SELinux, или плох, но вот то, что он использует, в качестве базы, механизм стекирования хуков LSM - никто говорить не будет.

А ведь по сути, LSM, и был введён в ядро, как бы с благими намерениями поддержки универсальности.
Но - по инициативе как раз ребят из дворца загадок.
Западный блок никуда не денется - будет SELinux пользовать, потому что без него, например в их нефтянке, сертификации им не видать.
Местные шутники видимо никогда не читали юридически обязывающие соглашения об аттестации комплексов ТЭК того же "Шелл".

Но у нас своя песочница, и брать их лопатку нам в неё совершенно не с руки.
У нас МРОСЛ-ДП есть, и от хуков LSM он уходит всё дальше и дальше.

SELinux, чисто теоретически можно хорошо настроить.
И даже убедить себя, что сделан он на совесть.
Только что толку, если этот люк с подлодки вставлен в деревянную раму?
Пусть даже и крепкую.

Ответить | Правка | Наверх | Cообщить модератору

143. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 06-Июн-23, 23:39 
> Запасной парашют, который частенько работает - крайне сомнительный по качеству товар.

он еще и погасить основной может, если не успеть его заблокировать, и в его стропы запутаться. Тем не менее, желающих прыгать без запасок почему-то мало.

Ответить | Правка | К родителю #122 | Наверх | Cообщить модератору

144. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Quad Romb (ok), 06-Июн-23, 23:54 
>> Запасной парашют, который частенько работает - крайне сомнительный по качеству товар.
> он еще и погасить основной может, если не успеть его заблокировать, и
> в его стропы запутаться. Тем не менее, желающих прыгать без запасок
> почему-то мало.

Не так.
Желающих прыгать без надёжных запасок - мало.
Но, поскольку большинство не прыгает, а просто подпрыгивает на земле - это не так заметно.

SELinux Вас устраивает, и ссылок Вы на что-либо содержательное давать не желаете.
И на то, и на другое - имеете полное право.
Ну, тогда и приподнимем шляпы - ибо содержательная часть разговора, похоже, себя исчерпала.

Ответить | Правка | Наверх | Cообщить модератору

152. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 07-Июн-23, 09:16 
> Желающих прыгать без надёжных запасок - мало.

еще раз - парашутные запаски - ненадежны и могут вообще убить при совершенно нормальном раскрытии основного. Тем не менее - те кто прыгают - прыгают с запасками. Потому что без них еще хуже. (Кроме бейсеров, те все равно одноразовые, зачем еще хорошую вещь портить)

> SELinux Вас устраивает, и ссылок Вы на что-либо содержательное давать не желаете.

Не все устраивает, главный минус - фееричная бесполезность чего-либо отличного от targeted в реальном применении, но лучшего нет. В конспирологические бредни я, разумеется, не верю.

В рукож..пие соотечественников вот верю вполне, поэтому что там у атcpы и насколько оно лучше механизма хуков - мне неинтересно совсем - оно сдохнет вместе со страной и будет всеми забыто, никаких шансов у этого проекта нет ни внутри ни снаружи, незачем тратить время.

Ответить | Правка | Наверх | Cообщить модератору

158. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (149), 07-Июн-23, 10:53 
> Не все устраивает, главный минус - фееричная бесполезность чего-либо отличного
> от targeted в реальном применении, но лучшего нет.

Да вообще-то есть, виртуалки и контейнеры называется. Эффект даже лучше - а долботни с настройкой и менеджментом сильно меньше. Так что если над тобой нет регламента что трава должна быть зеленой а акцесконтроль мандатным - то и хрен с ним с SELinux'ом!

Ответить | Правка | Наверх | Cообщить модератору

164. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 07-Июн-23, 16:54 
>> Не все устраивает, главный минус - фееричная бесполезность чего-либо отличного
>> от targeted в реальном применении, но лучшего нет.
> Да вообще-то есть, виртуалки и контейнеры называется. Эффект даже лучше - а

это где s in docker stands for "security"? Ага, есть. Жаль что придумано совершенно не для безопасности.

Для той придуман jail, и всю дорогу его главный недостаток был ровно тот же что у selinux targeted - по сути он состоит из миллиона проверок в миллионе мест ядра вида if(а не в джейле ли мы)?

- естественно, они не могут быть консистентны by design. И периодически тропка в обход очередного шлагбаума таки находилась.

Ответить | Правка | Наверх | Cообщить модератору

176. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  –1 +/
Сообщение от Аноним (180), 08-Июн-23, 11:39 
> это где s in docker stands for "security"? Ага, есть. Жаль что
> придумано совершенно не для безопасности.

Совершенно не обязательно использовать самое хайпожорское решение, есть и другие. И да, т.к. ядро никогда не делалось для контейнеров, в неймспейсах бывают достаточно дурные отвалы. Если надо более серьезно - есть виртуалки или хотя-бы UML, чтоб ядро гасили все же отдельное и не в основном кернелспейсе. Но даже это лучше чем нифига и уж точно не хуже сабжа, стандартно отключаемого каждым первым сплойтом.

> Для той придуман jail, и всю дорогу его главный недостаток был ровно
> тот же что у selinux targeted - по сути он состоит

...что он решает хзкакие задачи, абы как, как и вся bsd вообще, поэтому нафиг надо. Они даже просто виртуализацию сети нормальную научились только недавно IIRC.

> из миллиона проверок в миллионе мест ядра вида if(а не в > джейле ли мы)?
> - естественно, они не могут быть консистентны by design. И периодически тропка
> в обход очередного шлагбаума таки находилась.

Ну вот и namespaces в линухе как-то так же. При том в них ищут в миллион раз больше чем вон там. А когда мне реально надо... я даже и еще сильно более прочные варианты юзаю.

Ответить | Правка | Наверх | Cообщить модератору

178. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (178), 08-Июн-23, 12:32 
> ...что он решает хзкакие задачи, абы как, как и вся bsd вообще,
> поэтому нафиг надо. Они даже просто виртуализацию сети нормальную научились только
> недавно IIRC.

Встретились два "знатока". У одного - "мильен мест проверок"


grep -Rc prison0 /usr/src/sys/kern|grep -v ":0"                                
/usr/src/sys/kern/init_main.c:2
/usr/src/sys/kern/kern_descrip.c:4
/usr/src/sys/kern/kern_jail.c:48
/usr/src/sys/kern/kern_linker.c:2
/usr/src/sys/kern/kern_mib.c:2
/usr/src/sys/kern/kern_priv.c:1
/usr/src/sys/kern/kern_racct.c:1
/usr/src/sys/kern/kern_shutdown.c:1
/usr/src/sys/kern/sysv_msg.c:4
/usr/src/sys/kern/sysv_sem.c:4
/usr/src/sys/kern/sysv_shm.c:4
/usr/src/sys/kern/vfs_export.c:3
/usr/src/sys/kern/vfs_mountroot.c:5

(да-да, сам хост уже давненько стал "prison0", (т.е. jail с JID 0), поэтому проверка на джейлность - на самом деле проверка, не в "нулевом" ли джейле мы)

У другого - 15 лет "только недавно".

Ответить | Правка | Наверх | Cообщить модератору

181. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (180), 08-Июн-23, 15:51 
Ну да, ну да, в теории бзды как бы неплохая штука. На практике - гимора кусок и дохреналион "нюансов" всех мастей и направлений, не от мира сего.

Пример: себе контейнеры и VM делаю чем-то типа cp --reflink. Это просто, быстро и эффективно. Но у вас такого ж просто нет.

Или bhyve vs kvm... эээ, чочо, "virtio driver is slow, ... known issue" (c) чувак бенчивший сетевой стек относительно более-менее свежего линуха? Ну офигенная операционка, и совсем не факап. Глядя на пачку виртуалок обвешаных virtio от и до, ога...

Ответить | Правка | Наверх | Cообщить модератору

182. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (178), 08-Июн-23, 15:57 
> Ну да, ну да, в теории бзды как бы неплохая штука. На практике - гимора кусок и дохреналион "нюансов" всех мастей и направлений, не от мира сего.

Как же ты любишь пафосную и пустопорожнюю болтовню и спрыги с темы ...

> Пример: себе контейнеры и VM делаю чем-то типа cp --reflink. Это просто, быстро и эффективно. Но у вас такого ж просто нет.

Отличный пример, как с умным и уверенным видом нести чушь.

Ответить | Правка | Наверх | Cообщить модератору

184. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  –1 +/
Сообщение от Аноним (149), 09-Июн-23, 10:16 
> Как же ты любишь пафосную и пустопорожнюю болтовню и спрыги с темы

Рассказы фанов бсд про ОС мне напоминают посты с али про китайские ватты: всегда обещания оказываются лучше чем то что на самом деле будет. Сэр пох, между прочим, в перерывах между злопыханиями на другие темы - виндочку хвалит. Так что его сказки на тему ЗБС недорого стоят.

А мне из чисто практических соображений сильно удобно ворочать 1 набором технологий на десктопе, серваках, одноплатниках и проч. Вот просто для реюза знаний и core технологии. Я так могу добиться большего. Пох и остальные фаны виндочки отлично иллюстрируют почему мне это кажется бенефитом относительно них. Вертикальное масштабирование и универсальность это хорошо, ниипет.

> Отличный пример, как с умным и уверенным видом нести чушь.

Дык у вас файлух умеющих этот трюк чисто технически нету. Это требует CoW семантику + хинт оной что мы хотим "копию" которая изначально 100% дедуп относительно вон того. Но вы конечно можете блеснуть эрудицией и рассказать как вы это делаете. Не, онлайн дедуп это вообще совсем не то уже по жрачу CPU и RAM. Вон то вообще совсем халявная и быстрая операция. Оно не создает проблему вместо того чтобы потом героически ее решать.

Ответить | Правка | Наверх | Cообщить модератору

185. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (178), 09-Июн-23, 10:56 
>> Как же ты любишь пафосную и пустопорожнюю болтовню и спрыги с темы
> Рассказы фанов бсд про ОС мне напоминают посты с али про китайские
> ватты: всегда обещания оказываются лучше [...] Пох и остальные
> фаны виндочки отлично иллюстрируют почему мне это кажется бенефитом относительно них.
> Вертикальное масштабирование и универсальность это хорошо, ниипет.

Сам опять что-то придумал, сам оспорил. Как тетерев на току, ей-ей.


> Дык у вас файлух умеющих этот трюк чисто технически нету. Это требует
> CoW семантику + хинт оной что мы хотим "копию" которая изначально
> 100% дедуп относительно вон того. Но вы конечно можете блеснуть эрудицией
> и рассказать как вы это делаете. Не, онлайн дедуп это вообще совсем не то уже по жрачу CPU и RAM. Вон то вообще совсем халявная и быстрая операция. Оно не создает проблему вместо того чтобы потом героически ее решать.

Умный и уверенный вид ...
ZFS: snapshot -> clone делает именно то самое, "совсем халявная и быстрая операция" как раз из-за CoW семантики, о Великий Гуру По Всему294


Ответить | Правка | К родителю #184 | Наверх | Cообщить модератору

186. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  –1 +/
Сообщение от Аноним (149), 09-Июн-23, 13:05 
> Сам опять что-то придумал, сам оспорил. Как тетерев на току, ей-ей.

А таки, пох деятельно иллюстрировал фу каким именно быть и почему. Да и бсдюки забавные ребята. Когда было реально актуально (в эпоху тормозных виртуализаторов) - в лине полноценная виртуализация сетевого стека (с своим независимым роутингом, фаером и проч) на годы раньше появилась. А потом виртуалки, видите ли, virtio научились, кому секурити важнее - смогли ими пользоваться с минимумом потерь, потому что это шустро (правда как обычно, не у вас).

С точки зрения сабжа, давать доступ в системный кернел совсем untrusted - так себе идея. Вы настолько уверены в своем ядре что fuzz-тесты прямо на вас - не парят? В этом аспекте виртуализаторы лучше: untrusted не может fuzz'ить сисколы. Мне это больше нравится, если секурити в приоритете.

> ZFS: snapshot -> clone делает именно то самое, "совсем халявная и быстрая
> операция" как раз из-за CoW семантики, о Великий Гуру По Всему294

reflink имеет жирный плюс: это все менеджить вообше не надо. Оно не отсвечивает на уровень менеджмента совсем никак. При этом однако делая создание инстансов VM или контейнеров шустрым и эффективным. В этом его пойнт и состоит. И я буду за вот такой менеджмент систем. Туда же и системд кстати. Мне вот он вполне себе упрощает жизнь по дофига системным апспектам. Если у вас это не так, ну, оки-доки, удачи показать как там для вас ваши вэйности работают, желательно не путем ребутов в виндочку и рассказов про "серверные" системы.

Ответить | Правка | К родителю #185 | Наверх | Cообщить модератору

160. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Quad Romb (ok), 07-Июн-23, 11:56 
> В рукож..пие соотечественников вот верю вполне, поэтому что там у атcpы и
> насколько оно лучше механизма хуков - мне неинтересно совсем - оно
> сдохнет вместе со страной и будет всеми забыто, никаких шансов у
> этого проекта нет ни внутри ни снаружи, незачем тратить время.

Вы предпочли не приподнять свою шляпу, а наложить в неё?
Ну, оно, конечно негигиенично - но, дело хозяйское.

Ответить | Правка | К родителю #152 | Наверх | Cообщить модератору

118. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (118), 06-Июн-23, 09:46 
На большинстве систем можно сделать проще и эксплоит не нужен:
setenforce 0 && modprobe blabla
Eстественно модуль работает в контексе ядра и может там практически что угодно перезаписать, на то он модуль ядра, эксплоит на 3ку. Таким же макаром можно написать драйвер в Windows, который может там наворотить. Новость на 2ку, сделали сенсацию, будь-то все сервера в интернете будут взломаны.
Ответить | Правка | Наверх | Cообщить модератору

120. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 06-Июн-23, 10:00 
> На большинстве систем можно сделать проще и эксплоит не нужен:
> setenforce 0

вот ты хакер, блин!

(обрати внимание - автор суперэксплойта и про getenforce-то не в курсе ;-)


> Таким же макаром можно написать драйвер в Windows, который может там наворотить.

а вот хрен тебе, таким же. Драйвер должен быть подписан, иначе ничегошеньки не получится.

Посмотри на какие мучения пришлось пойти авторам conti, чтобы обойти эту проблему и денег никому не платить.
(Они таскают за собой легальный подписанный драйвер, написанный какими-то м-ками, которые додумались внутри драйвера подгружать внешние бинарники.)

> Новость на 2ку, сделали сенсацию, будь-то все сервера в интернете будут взломаны.

а контингент опеннета воспринял на ура. Так что ачивка получена.

Ответить | Правка | Наверх | Cообщить модератору

132. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 06-Июн-23, 17:17 
> Посмотри на какие мучения пришлось пойти авторам conti, чтобы обойти эту проблему
> и денег никому не платить.
> (Они таскают за собой легальный подписанный драйвер, написанный какими-то м-ками, которые
> додумались внутри драйвера подгружать внешние бинарники.)

Этот драйвер точно по дизайну грузит, или же эксплуатируют в нём уязвимость? Просто такой прокси-драйвер уже был сразу после ввода подписей, его достаточно быстро занесли в ЧС. Странно, если Микрософт всё подряд и сейчас подписывает.

Ответить | Правка | Наверх | Cообщить модератору

140. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +1 +/
Сообщение от пох. (?), 06-Июн-23, 22:50 
> Этот драйвер точно по дизайну грузит, или же эксплуатируют в нём уязвимость?

точно. То есть он подписанный и (по крайней мере в каком там... прошлом, видимо, году) - ни разу не был в блэклистах.

Какое-то г-но типа rs432 портов или что-то столь же распространенное - поэтому драйверописателями наняли особо работящую стаю макак прямо с ветки.

> быстро занесли в ЧС. Странно, если Микрософт всё подряд и сейчас
> подписывает.

она сама ничего не подписывает, она подписывает серты разработчиков. За деньги. Считается, видимо (и правильно) что большинству это достаточная мера чтобы с сертификатом обращались с осторожностью, потому что забанить его действительно могут влегкую и новый хрен дадут (это по сути EV).

Но всегда находятся особо одаренные (в основном как раз из сферы промышленных процессов и тому подобных) которые сделают вот так потому шта могут.

Ответить | Правка | Наверх | Cообщить модератору

148. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 07-Июн-23, 06:50 
>> Этот драйвер точно по дизайну грузит, или же эксплуатируют в нём уязвимость?
> точно. То есть он подписанный и (по крайней мере в каком там...
> прошлом, видимо, году) - ни разу не был в блэклистах.
> Какое-то г-но типа rs432 портов или что-то столь же распространенное - поэтому
> драйверописателями наняли особо работящую стаю макак прямо с ветки.

Как conti нашли это драйвер? Качали скриптом всё подряд с сайта-файлопомойки с драйверми и анализировали импортируемые драйвером функции в наивной надежде? Там небось и нет этого драйвера.

>> быстро занесли в ЧС. Странно, если Микрософт всё подряд и сейчас
>> подписывает.
> она сама ничего не подписывает, она подписывает серты разработчиков. За деньги. Считается,
> видимо (и правильно) что большинству это достаточная мера чтобы с сертификатом
> обращались с осторожностью, потому что забанить его действительно могут влегкую и
> новый хрен дадут (это по сути EV).

Под разработчиком надо понимать не частное лицо, а компанию. К которой выдвигается ряд требований. Насколько помню, надо было показывать, что не просто какие-то левые васяны, у которых есть 500 долларов, а вот имеются вполне конкретные программные продукты. Если какая-то компания из старых клиентов МС такое допустила, не знаю, что и думать. :) Может conti не стали им шифровать архивы и просить "оплатить пентест", а просто вставили в исходники нужное?)

Ответить | Правка | Наверх | Cообщить модератору

153. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 07-Июн-23, 09:26 
> Как conti нашли это драйвер? Качали скриптом всё подряд с сайта-файлопомойки с

может фича была в определенных кругах (например пользователей того странного оборудования) известна, может сами имели косвенное отношение к производителю, а может случайно наткнулись хакнув заводишко где оно применялось - мильен с тыщами вариантов, совершенно не требующих конспирологии.

> Там небось и нет этого драйвера.

конечно нет, те проходят отдельную сертификацию (проходили, тут я застрял на уровне 95й, да, были когда-то и мы рысаками...давнооо - но вряд ли поменялось в сторону упрощения, скорее наоборот) и вряд ли туда такое допустят.

Это какое-то лютое 3d party причем совсем не для юзеров. Поэтому и сделано тяп-ляп - кто бы мог подумать что его могут использовать не только там, и было ли этим мартышкам, чем?

> Под разработчиком надо понимать не частное лицо, а компанию. К которой выдвигается

можно и частное. dokany подписан. Пользуйся (прикольно ж пошифровать дуалбутчику его линoopsовый раздел). Но да, EV - то есть ни разу не автоматически и не левому васяну с улицы.

> допустила, не знаю, что и думать. :) Может conti не стали
> им шифровать архивы и просить "оплатить пентест", а просто вставили в
> исходники нужное?)

заодно и поправили чтоб работал и по прямому назначению, а те и рады - неработающий драйвер сам починился? ;-)Но нет, вряд ли, не те ребята, им не нужны такие лишние сложности, они деньгов зарабатывают.

Ответить | Правка | Наверх | Cообщить модератору

155. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 07-Июн-23, 09:59 
>> Как conti нашли это драйвер? Качали скриптом всё подряд с сайта-файлопомойки с
> может фича была в определенных кругах (например пользователей того странного оборудования)
> известна, может сами имели косвенное отношение к производителю, а может случайно
> наткнулись хакнув заводишко где оно применялось - мильен с тыщами вариантов,
> совершенно не требующих конспирологии.

Заводики точно шифровали, а о мелких информация не расходится.

>> Под разработчиком надо понимать не частное лицо, а компанию. К которой выдвигается
> можно и частное. dokany подписан. Пользуйся (прикольно ж пошифровать дуалбутчику его линoopsовый
> раздел). Но да, EV - то есть ни разу не автоматически
> и не левому васяну с улицы.

Не самоподписан? Вот что у них сходу нашёл.

if ($securebootUEFI)
{
    write-Host "Secureboot is enabled. This needs to be disabled so that the driver signed with a self signed certificate can be loaded." -ForegroundColor Red
    write-host "See https://docs.microsoft.com/en-us/windows-hardware/manufactur... for instructions to disable it" -ForegroundColor Red
    return;
}

>> допустила, не знаю, что и думать. :) Может conti не стали
>> им шифровать архивы и просить "оплатить пентест", а просто вставили в
>> исходники нужное?)
> заодно и поправили чтоб работал и по прямому назначению, а те и
> рады - неработающий драйвер сам починился? ;-)Но нет, вряд ли, не
> те ребята, им не нужны такие лишние сложности, они деньгов зарабатывают.

Ну ключи для подписи драйверов могли оказаться в слитых перед шифрованием дампах. Вот как раз это наверняка целенаправленно ищут, и не одни conti. Я только сейчас начал подозревать о масштабах проблемы... :)

Ответить | Правка | Наверх | Cообщить модератору

162. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от onanim (?), 07-Июн-23, 13:54 
> Я только сейчас начал подозревать о масштабах проблемы... :)

на широко известном в узких кругах форуме один криптовымогатель написал, что взломал большинство крупных компаний через забытый аккаунт test:test на пограничном фаерволе.

Ответить | Правка | Наверх | Cообщить модератору

163. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 07-Июн-23, 15:27 
С паролями и без этих ваших иксэксэсэв понятно, хотя данная формулировка скорее фигура речи. С подписями получается, что Микрософт сидит в луже-океане с лицом игрока в покер, и по факту ограничили они систему от энтузиастов, а не от атак.
Ответить | Правка | Наверх | Cообщить модератору

171. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от onanim (?), 08-Июн-23, 09:09 
> ограничили они систему от энтузиастов, а не от атак.

что тут такого удивительного? мировая практика.

Ответить | Правка | Наверх | Cообщить модератору

175. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 08-Июн-23, 10:46 
>> ограничили они систему от энтузиастов, а не от атак.
> что тут такого удивительного? мировая практика.

В первой части - ничего. Вторая ИМХО не входила в их планы, когда они подминали под себя антивирусы и удаляли с рынка слишком перспективных, типа OSSS Спорова.

Ответить | Правка | Наверх | Cообщить модератору

168. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 07-Июн-23, 20:34 
> на широко известном в узких кругах форуме один криптовымогатель написал, что взломал
> большинство крупных компаний через забытый аккаунт test:test на пограничном фаерволе.

ну вот ко мне лет двадцать назад такое запорхнуло. Причем, с-ка, ни разу не test там был пароль, но да, словарное слово с простой пермутацией, на один раз зайти и удалить, и почему-то его там забыли, сервис хирел и умирал, поэтому файрвол тоже пускал ssh уже отовсюду, поскольку штатных работников уже не осталось давно а нештатные вечно оказывались в странных местах.
Через секунду оно было рут. И... позорно обломалось о политику, и дальше не прошло, и в логах так все загадило что ежу было ясно что происходит.


Ответить | Правка | К родителю #162 | Наверх | Cообщить модератору

187. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (149), 09-Июн-23, 15:40 
Ко мне тоже что-то недавно залетало, только пароли оно совсем не крякало. Трахнуло сервис, эксплойтом, я даже знаю какой. Вскоре оно не мелочась попыталось эскалироваться от души. И вот тут что-то пошло не так. Ядро упало в панику. Фигня случается, у меня ж не стоковые кернелы. Да еще...

...еще даже если бы оно в него смогло - ох, круто, только это была ARMовская виртуалка на x86 хосте. И я не в курсе архидемонов способных пересекать скрещенные силовые поля таким манером. Да и данных в сугубо тестовом сетапе - брать нечего. Смысл этого действа остался некоторой загадкой, возможно, законы Мерфи прикалываются и над атакуюшими тоже. Надо ж попытаться разъ...ть самую зубодробильную из всех конфиг да еще и без полезных данных, лол.

Ответить | Правка | Наверх | Cообщить модератору

165. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 07-Июн-23, 16:59 
>> можно и частное. dokany подписан. Пользуйся (прикольно ж пошифровать дуалбутчику его
> Не самоподписан? Вот что у них сходу нашёл.

не. Просто качай бинарник.
> if ($securebootUEFI)
> {
>  write-Host "Secureboot is enabled. This needs to be disabled so that
> the driver signed with a self signed certificate can be loaded."

это чтоб ты мог из исходников сам собрать. Но релизные бинари - подписаны.

Тебе осталось оформить троянца в виде fuse-модуля. Ну и том не должен быть claimed by windows.
Т.е. передашь привет дуалбутерам.

> Вот как раз это наверняка целенаправленно ищут, и не одни conti.

тогда могли бы и просто свой подписать, но нет, не прокатило.

Ответить | Правка | К родителю #155 | Наверх | Cообщить модератору

172. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 08-Июн-23, 09:17 
>> Вот как раз это наверняка целенаправленно ищут, и не одни conti.
> тогда могли бы и просто свой подписать, но нет, не прокатило.

Подписать могли бы, но зачем раскрывать сразу все карты? Да и если моя версия верна - то подписанное не нашли, либо не афишируют.

Ответить | Правка | Наверх | Cообщить модератору

173. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 08-Июн-23, 09:22 
> Тебе осталось оформить троянца в виде fuse-модуля.

Если там по уму сделано, модуль выполняется в пространстве пользователя без каких-либо прав.

Ответить | Правка | К родителю #165 | Наверх | Cообщить модератору

150. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (149), 07-Июн-23, 09:07 
> Драйвер должен быть подписан, иначе ничегошеньки не получится.

Ога, и как оказалось на своей мине можно самому же и - того, вот прям так: https://3dnews.ru/1087288/vladeltsi-planshetov-microsoft-sur...

Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

154. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 07-Июн-23, 09:28 
>> Драйвер должен быть подписан, иначе ничегошеньки не получится.
> Ога, и как оказалось на своей мине можно самому же и -
> того, вот прям так: https://3dnews.ru/1087288/vladeltsi-planshetov-microsoft-sur...

а то бы ты быстро-быстро попатчил чужой драйвер сам?

Что-то вот сомневаюсь...

Ответить | Правка | Наверх | Cообщить модератору

157. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (149), 07-Июн-23, 10:44 
> а то бы ты быстро-быстро попатчил чужой драйвер сам?
> Что-то вот сомневаюсь...

(поглядывая на абсолютно аморальный патч ath9k, который я тебе не дам) а напрасно, иногда и такое вот случается :-)

Ответить | Правка | Наверх | Cообщить модератору

169. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от пох. (?), 07-Июн-23, 20:37 
>> а то бы ты быстро-быстро попатчил чужой драйвер сам?
>> Что-то вот сомневаюсь...

напоминаю - там драйвер виндовый, исходников тебе не дали (были б у тебя исходники - ты бы мог своим ключом подписать). Найти переполняющийся счетчик наверное можно и так, но это ни разу не ath9k.

Ответить | Правка | Наверх | Cообщить модератору

174. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от n00by (ok), 08-Июн-23, 09:25 
Ныне в драйверах могут и отладочный вывод оставить, сразу с именами функций.
Ответить | Правка | Наверх | Cообщить модератору

177. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (180), 08-Июн-23, 11:50 
> напоминаю - там драйвер виндовый, исходников тебе не дали
> (были б у тебя исходники - ты бы мог своим ключом подписать).

Ты так хорошо расписал почему я маздаем не пользуюсь, спасибо. Как раз в том числе и потому что там поразвлекаться с системщиной жуткий гимор, и баги мешающие жить - не чинябельны. А сказки про мир розовых пони где дрова и софт без багов ты кому-нибудь другому, имхо, оставь. Потому что виндой я пользовался и как оно там "без багов", "лучше" и "обгоняет линукс" я на своей шкурке прямо и убедился.

> Найти переполняющийся счетчик наверное можно и так, но это ни разу не ath9k.

Ну да, поэтому и линукс, вот. И копание в его внутренностях. Это проще, эффективнее и кайфовее. А винды - как там грится? "Contact your support", во.

Ответить | Правка | К родителю #169 | Наверх | Cообщить модератору

188. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Пряник (?), 09-Июн-23, 16:14 
Ага, ограничивать root - ловить муху в поле. Удачки!
Ответить | Правка | Наверх | Cообщить модератору

190. "Обход ограничений SELinux, связанных с загрузкой модулей ядр..."  +/
Сообщение от Аноним (149), 10-Июн-23, 18:24 
> Ага, ограничивать root - ловить муху в поле. Удачки!

Вообще lockdown что-то такое попытается. И на каждую муху найдется свой дрон^W ласточка, или что там.

Ответить | Правка | Наверх | Cообщить модератору

193. Скрыто модератором  +/
Сообщение от Аноним (-), 19-Мрт-24, 23:50 
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру