Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск модуля LKRG 0.9.0 для защиты от эксплуатации уязвимостей в ядре Linux"	+/–
Сообщение от opennews (??), 15-Апр-21, 22:37
Проект Openwall опубликовал выпуск модуля ядра LKRG 0.9.0 (Linux Kernel Runtime Guard), предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от эксплоитов уже известных уязвимостей ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Код проекта распространяется под лицензией GPLv2... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54974
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 15-Апр-21, 22:37	+/–
А если атаковать будут сабж вместо ведра? Опять защита уровня Неуловимого Джо?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #6

2. Сообщение от онанимус (?), 15-Апр-21, 22:39	+1 +/–
модуль ругается на bpfilter, что он выполняет какой-то говнокод в контексте ядра. одобряю!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

3. Сообщение от онанимус (?), 15-Апр-21, 22:42	+4 +/–
естественно, будут! вон в firejail стабильно рутовые уязвимости находят. но чем больше их найдут, тем меньше их останется и тем более безопасным в целом станет Линукс, благо онтопик (как и firejail) весьма небольшого размeра. в отличие от.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от Онаним (?), 15-Апр-21, 23:13	+/–
Ждём CVE в LKRG...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

5. Сообщение от Wilem82 (ok), 15-Апр-21, 23:22	–6 +/–
> для противостояния эксплоитам для ещё неизвестных уязвимостей На линуксе антивирусы не нужны, в отличие от этой вашей ненавистной винды.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #66

6. Сообщение от Michael Shigorin (ok), 15-Апр-21, 23:59	+1 +/–
Приступайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #12

7. Сообщение от Аноним (23), 16-Апр-21, 00:00	+5 +/–
>Дополнительно можно отметить недавнюю публикацию от разработчиков ОС Аврора (российской модификации Sailfish OS) о возможном усилении LKRG с помощью ARM TrustZone. Осталось только разработать свой процессор, лицензировать все патенты, построить свою фабрику, лицензировать все патенты, нанять квалифицированный персонал, при этом отсеяв агентов, произвести свой процессор, прошить в него свои ключи, предоставить ключи всем спецслужбам, убедить вендоров, что ваш процессор лучше их собственного ... Конечно, очень полезная вещь - TrustZone. Держит руки быдла подальше от штатных отверстий. У кого нет 100 лишних миллиардов - тот может идти на ***.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #26, #30

8. Сообщение от Аноним (8), 16-Апр-21, 00:01	–1 +/–
> В данную версию LKRG непосредственный вклад (через pull requests на GitHub) внесло несколько разработчиков, ранее не принимавших участие в проекте. В частности, так Борисом Лукашевым была добавлена возможность сборки в составе дерева ядра Linux, а Виталием Чикуновым из ALT Linux - интеграция с mkosi и GitHub Actions. А изменения в .gitignore ещё не считаются?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42

9. Сообщение от Аноним (23), 16-Апр-21, 00:01	+1 +/–
solardiz, а сколько когда ждать штатрых пакетов для дистров и openwrt?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

10. Сообщение от solardiz (ok), 16-Апр-21, 00:14	+1 +/–
Возможно, речь об этой недоделке в LKRG поддержки bpfilter на свежих ядрах: https://github.com/openwall/lkrg/issues/19 (ложные срабатывания).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #22

11. Сообщение от solardiz (ok), 16-Апр-21, 00:16	+3 +/–
Это вопрос к разработчикам дистрибутивов. Пока что LKRG есть в ALT Linux, Arch Linux, Astra Linux, Pentoo и Whonix.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #24

12. Сообщение от Аноним (1), 16-Апр-21, 00:18	+1 +/–
Какая это статья УК РФ? У меня пунктик на тему не нарушать законы страны, резидентом которой я являюсь. Да и много на "неуловимых" не заработаешь. А подстрекать нехорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #15, #25, #28

13. Сообщение от Аноним (13), 16-Апр-21, 01:22	–1 +/–
Есть что-то подобное в *BSD системах?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #33

14. Сообщение от Олонимуз (?), 16-Апр-21, 01:42	–2 +/–
Что за несвязный бред
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #21

15. Сообщение от Аноним (15), 16-Апр-21, 02:03	+4 +/–
Статья 242 УК РФ - Взлом ядра Linux с особо тяжкимм последствиями
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #23

16. Сообщение от Аноним (15), 16-Апр-21, 02:05	+2 +/–
А смысл? Там нет уязвимостей в ядре.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #32, #58

17. Сообщение от Аноним (17), 16-Апр-21, 02:22	–2 +/–
В составе монолитного ядра как и многие другие патчи вроде планировщика ставить стоит. Стандартные ядра это для девочек ссущихся от вероятности не абсолютро стабильнохй работы.
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от Аноним (18), 16-Апр-21, 02:28	–2 +/–
Чемпионат по обфускации ядра
Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от onanim (?), 16-Апр-21, 06:01	+3 +/–
мсье намекает на то, что ARM TrustZone - такой же бэкдор, как Intel ME и AMD PSP. разве что без удалённого доступа к вашему компьютеру. но и локально "правильный" софт получит нужные ему права.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #55

22. Сообщение от onanim (?), 16-Апр-21, 06:08	+1 +/–
наверное. > [327045.342864] [p_lkrg] LKRG initialized successfully! > . . . > [422488.049526] [p_lkrg] <Exploit Detection> UMH is executing file from memory... в принципе, я не против, что LKRG блокирует bpfilter (если блокирует).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #71

23. Сообщение от Аноним (23), 16-Апр-21, 08:54	+/–
Тогда уж 228.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

24. Сообщение от Аноним (24), 16-Апр-21, 10:39	+/–
Pentoo - щаз заплачу. Кали линукс курит бамбук или это содержит бесплатное закаленное ядро?? Вообще же спасибо, даже не знал о его существовании.))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #27

25. Сообщение от Michael Shigorin (ok), 16-Апр-21, 10:42	+/–
> Какая это статья УК РФ? Могу спросить юристов и друзей из Positive Technologies (кстати, как раз напомнили про phdays/standoff), но в исследовательских целях на собственном оборудовании -- не вижу, какая бы и с чего бы. > Да и много на "неуловимых" не заработаешь. Ну почему, тут вполне себе есть варианты: например, http://xakep.ru/2004/09/30/24085/ -- ещё один достойный участник ALT Security Team -- это очень неслабый плюс (не в деньгах, в возможностях).  Жаль только, бравшиеся так и не сломали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #63

26. Сообщение от Michael Shigorin (ok), 16-Апр-21, 10:45	+/–
> Осталось только > разработать свой процессор > лицензировать все патенты > построить свою фабрику > лицензировать все патенты > нанять квалифицированный персонал > при этом отсеяв агентов > произвести свой процессор Это всё в необходимом объёме уже сделано, если что.  В работе следующая итерация.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #56

27. Сообщение от Аноним (24), 16-Апр-21, 10:48	–2 +/–
Свое ядро есть, но от gentoo-sources отличается лишь названием.((( Хотю усиленное и на шару...Жизня фуфло, кругом мамкины хакиры, надоели уязимости! Бздя жди меня.)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

28. Сообщение от Аноним (28), 16-Апр-21, 11:31	–1 +/–
Судьба резидлента. А в какой стране резидентишь для своей страны? ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

30. Сообщение от InuYasha (??), 16-Апр-21, 11:53	–1 +/–
Верно. А пока сабж только собирается использовать, Del и Lenivo уже вовсю исопльзуют https://www.servethehome.com/lenovo-is-using-amd-psb-to-vend.../ За что им лучи ненависти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

31. Сообщение от Аноним (28), 16-Апр-21, 12:07	+4 +/–
Действительно, не нужны. Нужна защита от эксплойтов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #37

32. Сообщение от Аноним (13), 16-Апр-21, 12:52	–2 +/–
А почему в Linux есть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #38, #39

33. Сообщение от Аноним (33), 16-Апр-21, 12:54	–2 +/–
В OpenBSD вроде есть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

36. Сообщение от solardiz (ok), 16-Апр-21, 13:49	+/–
Вероятно, CVE в LKRG будут. Весьма неприятные ошибки уже были. Может быть, вместо того чтобы просто ждать с попкорном, поможете найти уязвимости в LKRG? Поможете подчистить и упростить код? Кстати, Адам - основной разработчик LKRG - за недавнее время нашел 8 багов в ядре, 5 из которых имеют CVE. Другой вариант моего ответа на подобную дежурную иронию см. в дискуссии о LKRG 0.8: https://www.opennet.ru/openforum/vsluhforumID3/121075.html#12
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #40

37. Сообщение от Wilem82 (ok), 16-Апр-21, 13:59	–3 +/–
> Действительно, не нужны. Нужна защита от эксплойтов. А чем по-твоему занимаются антивирусы на винде? Вот ровно тем, что описано в статье. А не "вирусами", как эксперты опеннета могли бы подумать. Но на линуксе конечно такое не нужно, это же линукс. Или нужно? Одни вон модуль выпускают, другие говорят что он не нужен - очень сложно разобраться в такой путанице.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #65

38. Сообщение от Аноним (-), 16-Апр-21, 14:08	+1 +/–
> А почему в Linux есть? Потому что здесь опять собрание местных Петросянов? https://docs.freebsd.org/en_US.ISO8859-1/books/developers-ha... options INVARIANTS: compile into the kernel a large number of run-time assertion checks and tests, which constantly test the integrity of kernel data structures and the invariants of kernel algorithms. These tests can be expensive, so are not compiled in by default, but help provide useful "fail stop" behavior, in which certain classes of undesired behavior enter the debugger before kernel data corruption occurs, making them easier to debug. обязательная опция для сборки HardenedBSD.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

39. Сообщение от Аноним (39), 16-Апр-21, 14:11	+1 +/–
Потому что Linux - не де Раадтом деланный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

40. Сообщение от Онаним (?), 16-Апр-21, 14:23	–1 +/–
> Может быть, вместо того чтобы просто ждать с попкорном, поможете найти уязвимости в LKRG? Поможете подчистить и упростить код? Всё зависит от оплаты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #41, #45

41. Сообщение от solardiz (ok), 16-Апр-21, 14:36	+1 +/–
На данный момент, оплаты такой работы нами нет. Мы и сами добровольцы. Но, может быть, ваш работодатель или клиент ее вам оплатит, если ему она в тему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #51

42. Сообщение от solardiz (ok), 16-Апр-21, 15:43	+2 +/–
Упомянутые изменения нетривиальны как минимум по приносимой ими пользе проекту и пользователям.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

43. Сообщение от Michael Shigorin (ok), 16-Апр-21, 17:41	+/–
http://git.altlinux.org/tasks/archive/done/_263/270067/logs/...
Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от Wladmis (ok), 16-Апр-21, 17:48	+1 +/–
> через pull requests на GitHub К слову, иных штатных способов законтрибьютить в этот проект не очень предусмотрено.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46

45. Сообщение от Michael Shigorin (ok), 16-Апр-21, 18:13	+/–
Один из людей, которые лет двадцать назад меня учили управлению, как-то упоминал, как его работодатель решил поиграть в честные конкурсы (это ещё в Киеве было).  При том, что люди, которые могут сделать в срок и деньги, в общем-то были заказчику известны и понятны. Конкурс на разработку очередной части корпоративного портала выиграла какая-то неизвестная шарага, сроки сорвала, в бюджет не вписалась. Работодатель выводы сделал, а мой знакомый счёл нужным показательно ту шарагу обанкротить. PS: это к тому, что про оплату не всегда стоит заикаться, будучи незнамо кем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #50, #67

46. Сообщение от онанимус (?), 16-Апр-21, 18:23	+1 +/–
есть личная почта разработчиков и даже целый мейллист, можешь писать туда. думаю, грамотный контрибьюшон не проигнорят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #47

47. Сообщение от Wladmis (ok), 16-Апр-21, 19:07	+/–
> есть личная почта разработчиков Я писал на "личную почту" Адама. Пришёл отлуп, что такого поштового сервера не существует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #48

48. Сообщение от solardiz (ok), 16-Апр-21, 19:36	+/–
Это очень странно. Я без проблем с ним переписываюсь по тому адресу, что указан в git commit'ах и что он использует в lkrg-users.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #49

49. Сообщение от Wladmis (ok), 16-Апр-21, 19:58	+1 +/–
Похоже, я что-то путаю. Ага, нашёл письмо, проблема была на моей стороне: Message rejected due to: SPF fail - not authorized
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

50. Сообщение от Онаним (?), 16-Апр-21, 21:04	–1 +/–
Не переживайте, в вашу сторону я точно про оплату даже заикаться не буду. Потому что всё равно ничего путного не предложите.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #53

51. Сообщение от Онаним (?), 16-Апр-21, 21:05	+/–
Ну, на нет - и дела нет. Если станется вдруг что нужно - да, возможно так и выйдет. Но пока и близко не нужно, да и слишком рисково непроверенное в ядро пихать - отсюда и шутки про CVE.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

52. Сообщение от Аноним (52), 17-Апр-21, 10:06	+1 +/–
> Добавлена возможность сборки LKRG не только как внешнего модуля, но и в составе дерева ядра Linux, в том числе его включения в образ ядра; > Борисом Лукашевым была добавлена возможность сборки в составе дерева ядра Linux Благодарствую.
Ответить | Правка | Наверх | Cообщить модератору

53. Сообщение от Michael Shigorin (ok), 17-Апр-21, 10:08	+/–
> Не переживайте, в вашу сторону я точно про оплату даже заикаться не буду. > Потому что всё равно ничего путного не предложите. Путное, мальчик, я предлагаю толковым людям -- пока не жалуются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #54

54. Сообщение от Онаним (?), 17-Апр-21, 10:21	+2 +/–
Пока что кроме пустых понтов, никаких предложений от тебя не видно, дядя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

55. Сообщение от Аноним (55), 17-Апр-21, 10:23	+/–
1. Технически таки это совсем другая штука. Отдельный привилегированый режим процессора, который может себе некоторые железки и регионы памяти от системы отпилить, а не отдельное процессорное ядро. 2. Как сие работает все же документировано фирмой ARM. 3. На ряде чипов вы таки можете запускать в ATF именно свой код, в отличие от ME и PSP, тогда оно таки именно секурити фича. 4. Кстати ATF (ARM Trusted Firmware) - таки опенсорсное. По поводу чего народ запилил себе на его основе вполне себе доверябельные компилябельные и запускабельные варианты "trustzone software". А вот с ME и PSP все упомянутое разумеется не светит. Но да, на чужой железке мутноблоб может доставить проблем и в trustzone. Это уже смотря кого и за что в той или иной железке держат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

56. Сообщение от Аноним (55), 17-Апр-21, 10:24	+2 +/–
Прямо какой-то ссср с 70 лет побед коммунизма.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

57. Сообщение от Аноним (58), 17-Апр-21, 11:02	–5 +/–
Идея хорошая, но реализация какой-то зашквар. Не майнлайновое и еще аврорами бряцает, с trustzone. Небось еще и с блоботой которой надо на слово верить?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #59, #60, #61

58. Сообщение от Аноним (58), 17-Апр-21, 11:04	+/–
> А смысл? Там нет уязвимостей в ядре. Особенно в вон том халтурном вайргаде от гангстера Маси. Или в вон той виртуализации от опенбсдшников.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

59. Сообщение от solardiz (ok), 17-Апр-21, 13:29	+1 +/–
В LKRG никаких блобов нет. Насчет Авроры, они одни из проявивших интерес к проекту. Вот, написали статью на русском. Я решил, что здешнему сообществу это будет интересно - и, в каком-то смысле, оказался прав. С нами - авторами LKRG - они пока что абсолютно никак не взаимодействовали. Об их публикации на Хабре мы узнали случайно. Что они реально сделали или собираются сделать, мы не знаем. Может, всё так и останется на словах - что-то вроде "вот как можно было бы сделать" - а может, они реализуют описанное. Не удивлюсь, если у них будет блоб и, возможно, нарушение GPL, что нас не порадует. Буду рад если они выложат код под GPL. Не имею возражений против возможного сотрудничества с ними, как и с большинством других проектов и компаний, если такой интерес будет и злоупотреблений не будет. Насчет "не майнлайновое", тому есть причины, в том числе концепция security through diversity и несоответствие стиля кода (это хотим исправить в любом случае). TrustZone сам по себе не плох и вполне может быть использован на благо. Адам с самого начала проекта рассматривал возможный вынос LKRG на более привилегированный уровень - в гипервизор, а может быть и в TrustZone - у чего есть свои проблемы, достоинства и недостатки. Это вполне нормальная тема для обсуждения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #70

60. Сообщение от Michael Shigorin (ok), 17-Апр-21, 14:19	–5 +/–
> Идея хорошая, но реализация какой-то зашквар. > Не майнлайновое и еще аврорами бряцает Не учитесь у гульфикоппозиционфюрера, не сломаете себе направление причинно-следственных связей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #68, #73

61. Сообщение от Wladmis (ok), 17-Апр-21, 18:25	+/–
> Небось еще и с блоботой которой надо на слово верить? > Код проекта распространяется под лицензией GPLv2. Казалось бы, исходники есть, нет ничего сложного посмотреть и убедиться, что никакая блобота там не принимает участие. Нет, надо построить гипотезу и озвучить её.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #69

62. Сообщение от Аноним (62), 17-Апр-21, 21:17	+/–
языки пректа: C 97.8% Makefile 1.1% проект здорового человека, а не курильщика-растамана.
Ответить | Правка | Наверх | Cообщить модератору

63. Сообщение от СеменСеменыч777 (?), 17-Апр-21, 22:17	+/–
> это очень неслабый плюс (не в деньгах, в возможностях). и какие там "возможности" ? ps: "победителю, если таковой найдется, будет вручена коробка с ALT Linux 2.3 SOHO Server" - по-моему это очень смешно. даже в 2004 году.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #64

64. Сообщение от Michael Shigorin (ok), 17-Апр-21, 22:23	+/–
>> это очень неслабый плюс (не в деньгах, в возможностях). > и какие там "возможности" ? Например, три человека вместо двух (ldv@ и inger@). :-) > ps: "победителю, если таковой найдется, будет вручена коробка с ALT > Linux 2.3 SOHO Server" - по-моему это очень смешно. даже в 2004 году. Это не главное, просто ощутимое (было тогда). PS: сдаётся мне, Вы немного сбились с нити обсуждения... я на "не заработаешь" отвечал, если что.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

65. Сообщение от Аноним (67), 18-Апр-21, 08:20	+1 +/–
Удалением файлов вирусов они занимаются, а не защитой от эксплуатации уязвимостей
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #74

66. Сообщение от Аноним (67), 18-Апр-21, 08:24	–1 +/–
Любому нормальному пользователю антивирусов в виндовс ясно что всё это  линуксячье вранье. На самом деле вирусов для Линукс ещё больше чем в винде, просто линуксоиды не могут это понять!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

67. Сообщение от Аноним (67), 18-Апр-21, 08:29	+/–
Очевидно что не один уважающий себя анонимный эксперт не станет ничего делать без достойной оплаты. А разработчик из альт линукс достойную анонимного эксперта оплату предложить не может
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #78

68. Сообщение от Аноним (-), 18-Апр-21, 14:50	+/–
У него по-моему можно многому поучиться. Например, храбрости и готовности за свою точку зрения крепко пострадать. Разительный контраст с флюгерющими на ветру господами, прогибающимися под сиюминутчину. А еще это выглядит сильно выигрышнее фюреров ныкающихся в бункеры. Ну вот так вот бывает, что один половодец из замка других на смерть отправляет. А другой впереди своей армии идет. Такая вот разница. За второго, кстати, помирать как-то сильно менее западло...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

69. Сообщение от Аноним (-), 18-Апр-21, 14:51	+/–
А в trustzone? Если кто-то говорит A - пусть скажет и B.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #72

70. Сообщение от Аноним (-), 18-Апр-21, 14:53	+/–
Я знаю что есть TrustZone. Просто в него пускают не так уж повместно, особенно в юзеровских девайсах. Откуда и подозрения на зашкварную реализацию с мутноблобами. Пардон если вы к этому отношения не имеете - значит это не к вам вопрос.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

71. Сообщение от onanim (?), 18-Апр-21, 15:38	+/–
CVE-2021-29155 > An issue has been discovered in the Linux kernel mechanism to mitigate speculatively out-of-bounds loads (Spectre mitigation). > Unprivileged BPF programs running on affected systems can bypass the protection and execute speculatively out-of-bounds loads from the kernel memory. This can be abused to extract contents of kernel memory via side-channel. > a PoC allows unprivileged local users to extract contents of 31 KByte window within the kernel memory непонятно, при чём тут защита от Spectre и BPF, но я всё ещё не против, что LKRG блокирует bpfilter :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

72. Сообщение от Wladmis (ok), 18-Апр-21, 20:57	+/–
> А в trustzone? Если кто-то говорит A - пусть скажет и B. Проект LKRG не имеет никакого отношения к ARM TrustZone и не использует его. Мысль добавить поддержку ARM TrustZone в LKRG была у разработчиков ОС Аврора, но никакого кода по этому поводу пока не было опубликовано. Даже если в LKRG появится в будущем поддержка, это не ухудшит ситуацию, и будет ручка (не) использовать его.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

73. Сообщение от Иноагент (?), 19-Апр-21, 10:55	+/–
>Не учитесь ... Михаил, я то думал Вы умней, очень жаль... Или все дело в: суббота, солнышко, дача, пивасик?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

74. Сообщение от Аноним (-), 19-Апр-21, 22:06	+/–
Так вроде модуль HIPS за что то там отвечает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

75. Сообщение от onanim (?), 21-Апр-21, 10:20	+/–
модуль ломает загрузку системы, т.к. грузится перед другими модулями и блокирует их вставку в ядро. пришлось убрать его из автозагрузки, и при ребуте ждать полной загрузки системы, а потом уже insmod /path/to/p_lkrg.ko а так хорошая штука, рекомендую.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #76

76. Сообщение от solardiz (ok), 21-Апр-21, 11:26	+/–
Странно. По умолчанию, LKRG не должен блокировать загрузку других модулей. Может быть, вы вручную включили его опцию block_modules (по умолчанию выключена)? В таком случае, включайте ее позже (через sysctl), а модуль загружайте рано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #77

77. Сообщение от onanim (?), 21-Апр-21, 13:08	+/–
> Странно. По умолчанию, LKRG не должен блокировать загрузку других модулей. Может быть, > вы вручную включили его опцию block_modules (по умолчанию выключена)? В таком > случае, включайте ее позже (через sysctl), а модуль загружайте рано. блин, точно $ grep lkrg /etc/sysctl.conf lkrg.timestamp=60 lkrg.block_modules=1
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #79

78. Сообщение от Аноним (78), 24-Апр-21, 08:11	+/–
Естественно. Потому как 10-копеечных монет у него не завалялось, а на большую зарплату анонимные эксперты, увы, не спрособны. В массе своей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

79. Сообщение от onanim (?), 05-Июн-21, 14:51	+/–
а вот и вышел LKRG 0.9.1 с обновлённым README:   Please note that enabling this setting (too) early (e.g., using the module   parameter or /etc/sysctl.*) may cause the system to fail to complete bootup   (if required modules are still being loaded in later stages of bootup, which   varies between distributions and system configurations).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема