Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обход ограничений SELinux, связанных с загрузкой модулей ядра"	+/–
Сообщение от opennews (??), 05-Июн-23, 10:32
Выявлена возможность обхода запрета загрузки модулей ядра, реализуемого через SELinux. Блокировка модулей в SELinux основывалась на ограничении доступа к системному вызову finit_module, позволяющему загрузить модуль из файла и применяемому  в таких утилитах, как insmod. При этом правила SELinux не рассматривали системный вызов init_module, который также может применяться для загрузки модулей ядра напрямую из буфера в памяти... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59248
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 05-Июн-23, 10:32	–3 +/–
не понял, а нахрена это через селинукс запрещать? у ядра давно уже есть blacklist и install $module /bin/false. А также в том же самом ядре есть возможность сделать так, чтобы новые модули нельзя было загружать без перезагрузки.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #83

2. Сообщение от n00by (ok), 05-Июн-23, 10:45	+4 +/–
> При этом правила SELinux не рассматривали системный вызов init_module, > который также может применяться для загрузки модулей ядра > напрямую из буфера в памяти. Ну правильно, драйвер руткита как раз из памяти удобнее стартовать. При сохранении на ФС его чего доброго обнаружит антивирус (который в Линукс вообще не нужен, но не все слушают экспертов).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

3. Сообщение от Аноним (5), 05-Июн-23, 10:46	+8 +/–
1) Заходим в википедию и смотрим кто изначальный разработчик SELinux 2) Не удивляемся.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #47, #84, #89

4. Сообщение от n00by (ok), 05-Июн-23, 10:47	+4 +/–
Предлагаете все возможные имена занести в blacklist?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6, #20

5. Сообщение от Аноним (5), 05-Июн-23, 10:48	+3 +/–
Настоящий антивирус, а не тот которого нет. Оперативную память тоже сканирует. Но опять же в чьих интересах и что он сканирует это прям очень большой вопрос.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #16

6. Сообщение от Аноним (1), 05-Июн-23, 10:57	+4 +/–
зачем все возможные имена, если можно держать белый список разрешенных, а при изменении белого списка требовать рестарт?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #15, #28

7. Сообщение от Аноним (7), 05-Июн-23, 11:01	+2 +/–
Покажи как нужно было сделать. Создай свой аналог и поделись им с нами. Посмотрим как с этим справишься)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #9, #14, #32

9. Сообщение от Аноним (9), 05-Июн-23, 11:07	–1 +/–
apparmor же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #10

10. Сообщение от Аноним (10), 05-Июн-23, 11:17	+/–
Ты задумывайся , когда копипастишь в ответы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

11. Сообщение от пох. (?), 05-Июн-23, 11:17	–1 +/–
Уровень опеннета, как всегда пробил очередное днище. То есть проблема не в конкретном правиле конкретного набора, а якобы в selinux? Уровень самого "исследователя" судя по его копипастам примерно тот же.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #23

13. Сообщение от Аноним (15), 05-Июн-23, 11:18	+2 +/–
Так это ты не него зашел вот он и пробил. Не заходи сюда больше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

14. Сообщение от Аноним (15), 05-Июн-23, 11:20	+3 +/–
А ну всё конечно пусть всех прослушивают раз они такие молодцы. Любители зондов типа тебя подтянутся ещё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #36

15. Сообщение от Аноним (15), 05-Июн-23, 11:21	–2 +/–
Зачем тогда нужны модули если всё можно вкомпилировать в ядро?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #17, #50

16. Сообщение от n00by (ok), 05-Июн-23, 11:32	+/–
Файл с драйвером перед запуском придётся расшифровать. Плюс сам факт его появления уже звоночек для эвристика. А просканировать память... в какой момент антивирус это сделает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #21

17. Сообщение от Аноним (1), 05-Июн-23, 11:35	+1 +/–
потому что не у всех есть время/бюджет заниматься конфигурированием до компиляции и сопровождением всего этого при обновлении ядра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #22

20. Сообщение от onanim (?), 05-Июн-23, 11:44	+2 +/–
скорее включить lsm=lockdown и установить https://github.com/lkrg-org/lkrg
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #161

21. Сообщение от Аноним (15), 05-Июн-23, 11:46	–1 +/–
Если он не отловит момент загрузки модуля то по расписанию. И будет вирус пойманный в конечно счете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #25

22. Сообщение от Аноним (15), 05-Июн-23, 11:47	+1 +/–
На белые листы время есть, а на сборку нет. Как-то небезопасненько.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #26

23. Сообщение от n00by (ok), 05-Июн-23, 11:48	+/–
Although the policy wasn't nearly as strict as the standard policy that you might find on a typical Android device, it was strict enough to prevent me from doing a lot of useful things (e.g., mounting filesystems and accessing files in /etc/).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #24, #29

24. Сообщение от Аноним (15), 05-Июн-23, 11:50	+/–
Да не этому бесполезно что-то доказывать. Все всегда будет жить в мире розовых пони.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #34

25. Сообщение от n00by (ok), 05-Июн-23, 11:52	+2 +/–
Руткитом называют такую шутку, задача которой скрыть своё присутствие в системе. Для чего драйвер например перехватывает системные вызовы и фильтрует возвращаемые данные. Антивирус при активном рутките видит вместо вируса фигу. Если пропустил запуск модуля, уже поздно сканировать память.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #35

26. Сообщение от Аноним (1), 05-Июн-23, 11:54	+2 +/–
ну давай, расскажи мне, как получить ядро, в котором есть только то, что нужно на этом конкретном железе и для таких-то конкретных задач, и как при этом потратить хотя бы (хотя бы!) в сто раз больше (больше!) времени, чем прописывание белого списка. Подсказываю: стартовым конфигом будет tinyconfig.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #40, #41

28. Сообщение от n00by (ok), 05-Июн-23, 12:02	+1 +/–
А буфер памяти куда вписать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #51, #52

29. Сообщение от пох. (?), 05-Июн-23, 12:03	+/–
ну очевидно что речь о стандартной targeted. Которая действительно костыль, и прикрывает только от большинства тривиальных (но от этого не менее реальных) проблем, а не  всего что можно придумать. Т.е. правильный заголовок новости - "недостаточный фильтр системных вызов selinux-targeted" и более ничего существенного.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #30, #39, #71

30. Сообщение от n00by (ok), 05-Июн-23, 12:09	+/–
Это как бы самый очевидный вектор атаки, и оставлен открытым. Похоже, Андроид хотел рутануть, вот и нашёл случайно. А куда смотрел Тысячеглаз?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #49

32. Сообщение от Аноним (35), 05-Июн-23, 12:15	+1 +/–
> Покажи как нужно было сделать. Разрабы Астры показали (PARSEC). Неплохо, по-моему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #38, #55

34. Сообщение от Аноним (35), 05-Июн-23, 12:20	+1 +/–
Поправочка, коричневых пони. Он из failed state.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

35. Сообщение от Аноним (35), 05-Июн-23, 12:22	+/–
При условии, что руткит покроет 100% потенциальных путей обнаружения. Что не факт. Собственно, тут та же проблема, что и с защитой системы - все возможные пути обнаружить малореально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #37, #42

36. Сообщение от Аноним (35), 05-Июн-23, 12:25	+4 +/–
Для некоторых людей зонд, при условии достаточно глубокого введения, выполняет функцию внутреннего стержня.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #53

37. Сообщение от n00by (ok), 05-Июн-23, 12:39	+/–
Чукча и геолог собирают камушки на берегу океана. Вдруг видят направляющегося к ним голодного белого медведя. Ружья нет. Чукча хватает лыжи и начинает их надевать. Геолог: - Бесполезно. Все равно ты не сможешь бежать быстрее медведя. - А мне и не надо бежать быстрее медведя. Мне надо бежать быстрее тебя! Мораль сей басни такова - автор протестирует своё творение совместно с антивирусами, а у другой стороны такой возможности нет, пока не поймают образец.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #191

38. Сообщение от n00by (ok), 05-Июн-23, 12:42	+/–
Вспоминается гениальный разработчик Росы Андрюша Григорьев, доказывающий техдиру Астры, что PARSEC фуфло, ему хватит и SELinux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #192

39. Сообщение от Аноним (41), 05-Июн-23, 12:44	+2 +/–
Ничего существенного, ничего существенного, Карл! пох ты неисправим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

40. Сообщение от Аноним (40), 05-Июн-23, 12:46	+1 +/–
Рассказываю по опыту генто@бства: полдня-день на систему на первую итерацию, при условии что в конфиге ядра ориентируешься хоть немного. Первая итерация означает как минимум загружается, делается быстро, если знаешь, что надо включить диски и фс под корень. Остальные несколько часов проверяешь нужные программы и ищешь, почему что отвалилось. Совсем без опыта наверное ещё дольше, для меня такое слишком давно было, не помню.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #45

41. Сообщение от Аноним (41), 05-Июн-23, 12:47	–1 +/–
Если у тебя нет времени на безопасность зачем ей заниматься?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

42. Сообщение от n00by (ok), 05-Июн-23, 12:55	+/–
Микрософт решила вопрос с руткитами следующим образом: Придумали PatchGuard. Через некоторое время PatchGuard разобрали и обошли. Вышла следующая версия PatchGuard. Опять разобрали. И так далее. В такой схеме Микрософт заведомо оказывается на шаг впереди, следующую версию они могут подготовить заранее и обновиться оперативно. У атакующих этой возможности нет, пока будут разбирать новую версию, боты помрут. Держится всё это на закрытости кода и обфускации PG. Для остальных мы включаем балладу «Я свободен!»
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #43, #100

43. Сообщение от n00by (ok), 05-Июн-23, 12:58	+/–
> включаем балладу «Я свободен!» https://youtu.be/7iez8N_6i4I
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

45. Сообщение от Аноним (1), 05-Июн-23, 13:08	+/–
если стартуешь с дефолтного конфига - может быть так и есть, при этом не решается проблема того, что получим ядро с кучей лишнего. Правильный ответ начинается со слов "грузимся в максимально полное ядро и исследуем /sys на предмет того, какие устройства имеются, далее для каждого устройства задаем себе вопрос, нужно ли оно на самом деле, или оно здесь появилось просто потому, что мы загрузились в максимальное ядро, далее каким-то макаром находим, какой драйвер отвечает за устройство, по имени драйвера находим имя модуля, по имени модуля находим имя опции, по опции находим его зависимые опции" и так далее и так далее. По пути нужно изучить, как именно ядро грузит модули: по идентификаторам PCI (обычно частичные), по идентификаторам USB (обычно частичные), по всем остальным шинам аналогично. Также вооружаемся lkddb (обычно дает неполную инфу), вооружаемся $EDITOR и grep исследовать исходники ядра, вооружаемся полными спеками железа и проходим по каждому пункту каждого спека и врубаем специфичные опции. Это я не рассказал и 10% того, что касается железа, а ведь есть еще "софт" - не менее сложная тема, ибо если прога не находит для себя достаточные возможности ядра, она молча выходит или выдает негуглящееся сообщение. Это работа на полгода-год, а не на полдня-день.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #85

46. Сообщение от Аноним (47), 05-Июн-23, 13:10	+1 +/–
Уже исправлено. Касается всех 1 человек, которые нашли это.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #60

47. Сообщение от Аноним (47), 05-Июн-23, 13:13	+5 +/–
Ид иотии и конспирологии у анонимов не занимать. * SeLinux успешно помог предотвратить взлом системы для тысяч уязвимостей различных программ. * Разрабы SeLinux - то же люди. * Это не похоже на back door ни одним местом. Тучу upvotes для этого - показатель уровня интеллекта посетителей opennet. Печальная картина.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #48, #56, #61, #69

48. Сообщение от Аноним (47), 05-Июн-23, 13:14	–1 +/–
Ах, да, на Android ядро собирают без модулей - все built-in. Ужасная уязвимость что сказать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

49. Сообщение от пох. (?), 05-Июн-23, 13:36	+/–
> Это как бы самый очевидный вектор атаки, и оставлен открытым. как бы не самый очевидный. Во-первых нужен рут. Во вторых, собственно, и приехали. Можно уже никакие модули никуда не грузить. > А куда смотрел Тысячеглаз? targeted policy - это _набор_затычек_. Бесконечный. Вот он посмотрел и еще одну добавил - в комплект к предыдущим статыщам. Еще одну странную ситуацию (которая вообще-то вряд ли возникнет в реальности) закрыли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #65, #70, #94

50. Сообщение от Аноним (50), 05-Июн-23, 13:42	–1 +/–
Внезапно, принели вам сетевушку. Было бы модулем, udev сам бы необхомый(е) модуль(ли) нашёл и загрузил. Но вам придётся самому копать, какой модуль для данного девайса нужон, и ядро из-за одного модуля пересобирать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #86

51. Сообщение от Аноним (50), 05-Июн-23, 13:45	+/–
В пространство процесса, взявшего на себя обязанность загружать модули. Потом натравить системый вызов на этот буфер. Процес этот, конечно, должен соответствующими правами обладать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #68

52. Сообщение от Аноним (50), 05-Июн-23, 13:47	+/–
Особенно, когда с кем-то по сети играешь, далеко-далеко так ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

53. Сообщение от Аноним (50), 05-Июн-23, 13:58	+/–
+стопиццот
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

55. Сообщение от Аноним (50), 05-Июн-23, 14:02	–1 +/–
А чем одна контора с названием из трёх букв лучше другой, с другим названием из трёх букв?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #57, #74

56. Сообщение от Аноним (50), 05-Июн-23, 14:05	+/–
А сколько помог взломать? Об этом вам не расскажут. Потому что, то взломы, кого надо взломы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #62

57. Сообщение от anonymous (??), 05-Июн-23, 14:52	+3 +/–
ну да пили бы баварское, йа йа натюрлих. Крепитесь, заграница вам поможет. Надеюсь вас автоматом этот СОРМ в соответствующий список заносит после таких вбросов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

60. Сообщение от Аноним (41), 05-Июн-23, 15:10	+/–
Всех сотрудников, которые использовали по назначению.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

61. Сообщение от Аноним (41), 05-Июн-23, 15:14	+1 +/–
Поэтому они имеют право сами взламывать кого захотят, когда захотят? Из тех кто использует SELinux, а это примерно все.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

62. Сообщение от Аноним (41), 05-Июн-23, 15:15	+2 +/–
Это глухо они не понимают простых вещей. У них есть только белое и черное. И все, действия белого по дефолту хорошие, а черного по дефолту плохие. Никакой анализ проводится не может это мыслепреступление.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #87

63. Сообщение от Kuromi (ok), 05-Июн-23, 15:22	+1 +/–
То есть закрыв дверь на замок они тупо забыли закрыть окно которое тут же рядом?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #64, #67, #92

64. Сообщение от Аноним (41), 05-Июн-23, 15:29	+1 +/–
Они оставили для себя незакрепленную дощечку, про которую никто не знает, через которую, если что, можно просунуть руку и открыть замок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

65. Сообщение от Аноним (81), 05-Июн-23, 15:45	+2 +/–
И что из этого следуют? Пусть оставляют уязвимость? Или может хорошо что они специально сделали такой дизайн программного продукта, чтобы было удобнее подсаживают троянов это типа хорошо? У тебя давно с головой не лады, но твоё состояния явно ухудшается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #66

66. Сообщение от пох. (?), 05-Июн-23, 15:53	+/–
> И что из этого следуют? Пусть оставляют уязвимость? ничего не следует кроме того что ты не умеешь ни кодить ни хотя бы правила selinux читать. Тот кто умел - исправил то что ему показалось важным. > Или может хорошо что они специально сделали иди голову лечи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #114

67. Сообщение от пох. (?), 05-Июн-23, 15:55	+1 +/–
> То есть закрыв дверь на замок они тупо забыли закрыть окно которое > тут же рядом? там нет двери. Там лес с миллионом тропинок. На некоторых стоит шлагбаум. В надежде что т-пые упрутся в него и дальше не пройдут. В принципе - помогает. Потому что вы именно такие и есть. Знать о том что targeted policy не единственно возможная вам незачем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #75

68. Сообщение от n00by (ok), 05-Июн-23, 16:07	+/–
В адресное пространство каждого процесса, взявшего на себя обязанность загружать модули? А кто будет внедрять данные в пространство произвольного процесса, и что дальше с этими данными делать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #72, #99

69. Сообщение от n00by (ok), 05-Июн-23, 16:12	+/–
> * Это не похоже на back door ни одним местом. Пожалуй, поверю я вот этому Анониму, а не собственному опыту!!!111
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

70. Сообщение от n00by (ok), 05-Июн-23, 16:20	+2 +/–
>> Это как бы самый очевидный вектор атаки, и оставлен открытым. > как бы не самый очевидный. Во-первых нужен рут. Во вторых, собственно, и > приехали. Когда рут нужен - его покупают у специально обученных людей. Это уже следующий шаг, закрепление в системе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

71. Сообщение от Аноним (50), 05-Июн-23, 16:25	+/–
>Т.е. правильный заголовок новости - "недостаточный фильтр системных вызов selinux-targeted" и более ничего существенного. Yes, sir Major!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

72. Сообщение от Аноним (50), 05-Июн-23, 16:28	+/–
Системный вызов в пространство ядра скопирует, оформит уже как структуры модуля.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #103

74. Сообщение от oditynet (?), 05-Июн-23, 16:47	+/–
Тем, что одна сертифицирована, а другая нет. А в РФ реалиях сертификация дает право жизни одному дистру,а другой останется посредственным
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #81, #82, #106

75. Сообщение от Аноним (81), 05-Июн-23, 16:49	+2 +/–
Типа что исполнитель оставил для себя окошко в виде тропинок, это его как-то оправдывает? Зачем ты эту чушь пишешь, объясни?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #77

77. Сообщение от 1 (??), 05-Июн-23, 17:58	–3 +/–
Госсподи именно такие и оставляют "пароль по умолчанию", или запуск БД без пароля вообще. А виноват в этом да, разработчик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #115

78. Сообщение от Аноним (78), 05-Июн-23, 18:35	–1 +/–
Мне одному кажется, что SELinux - лютое ненужно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #80, #88, #189

80. Сообщение от Аноним (81), 05-Июн-23, 19:39	+/–
Ты от начала и до конца полностью прав.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

81. Сообщение от Аноним (81), 05-Июн-23, 19:41	+/–
Ну это только в госсекторе и только для попила.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #129

82. Сообщение от Бывалый смузихлёб (?), 05-Июн-23, 19:42	+1 +/–
означает ли это, что в реалиях тех же сша или ведущих стран ес открыта возможность любому желающему поставить любое не сертифицированное хз что на ключевых объектах как ВПК, так и производства ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

83. Сообщение от Аноним (83), 05-Июн-23, 19:46	+1 +/–
Эпичный фейл однако. > blacklist Так загрузка идет помимо insmod
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #112

84. Сообщение от Аноним (83), 05-Июн-23, 19:50	+/–
> 2) Не удивляемся. Я бы пофиксил: 2) Если удивляемся, смотри пункт 1.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

85. Сообщение от ivan_erohin (?), 05-Июн-23, 20:17	+/–
выше - краткое содержание чьей-то будущей книги "Как изнасиловать линукс и остаться в живых и на свободе".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #102

86. Сообщение от Атон (?), 05-Июн-23, 20:26	–3 +/–
> Внезапно, принели вам сетевушку. Каким олигофреном нужно быть, что бы без раздумий пихать внезапно принесенное железо в доверенный комп обрабатываюший чувствительную конфиденциальную информацию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #121

87. Сообщение от Dima (??), 05-Июн-23, 21:08	+/–
Иди хоть разок почитай что такое SELinux и как работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

88. Сообщение от Dima (??), 05-Июн-23, 21:13	+/–
Потому что ты ни чего не знаешь про него, ни чего с ним не можешь настроить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #93

89. Сообщение от Адмирал Майкл Роджерс (?), 05-Июн-23, 21:59	+/–
Позволю себе обратить Ваше внимание, сэр, на тот факт, что SELinux был опубликован в виде исходных кодов и прошёл все необходимые проверки перед включением в состав ядра Linux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #96, #107, #113

92. Сообщение от Аноним (94), 05-Июн-23, 22:11	+2 +/–
> То есть закрыв дверь на замок они тупо забыли закрыть окно которое тут же рядом? Они с церемониями повесили золоченый замок на парадную дверь. Про еще пять дверей в этом же доме они благополучно забыли, увлекшись церемонией и расписыванием свойств шикарного замка. Пришел хаксор, почесал репу глядя на замок, рещил что за болторезом ему бегать и то лениво - просто зашел в боковую дверь. В которой вообще никакого замка не было. Ну вот не предусматривали его при строительстве дома там. Этим хаксор от церемониалов с протоколами из анб и отличался.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #97

93. Сообщение от Аноним (94), 05-Июн-23, 22:13	+/–
Возни с его настройкой - во, а потом атакующий вот так парой сисколов грузит код в ядро. Ну и зачем такие соотношения надо?! Сложно должно быть атакующим а не админам, имхо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

94. Сообщение от Аноним (94), 05-Июн-23, 22:19	+2 +/–
> как бы не самый очевидный. Во-первых нужен рут. Рут бывает разный. Скажем lockdown ядра пытаются ограничивать в уроне для системы и его. И возможность грузить ядерный код там может быть и не в тему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

96. Сообщение от Иван Федорович Крузенштерн (?), 05-Июн-23, 22:40	+/–
Прошел. Потом кривые targeted-правила подсунули.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #108

97. Сообщение от Kuromi (ok), 05-Июн-23, 22:46	+1 +/–
>> То есть закрыв дверь на замок они тупо забыли закрыть окно которое тут же рядом? > Они с церемониями повесили золоченый замок на парадную дверь. Про еще пять > дверей в этом же доме они благополучно забыли, увлекшись церемонией и > расписыванием свойств шикарного замка. Пришел хаксор, почесал репу глядя на замок, > рещил что за болторезом ему бегать и то лениво - просто > зашел в боковую дверь. В которой вообще никакого замка не было. > Ну вот не предусматривали его при строительстве дома там. Этим хаксор > от церемониалов с протоколами из анб и отличался. Напомнило мне забавный момент из Двух сорванных башен (в переводие Гоблина), когда орки атакуют крепость, но дломятся исключительно в укрепленный главный вход. Гимли с Арагорном тихонько выходят в незащищенную никак боковую дверь и Гимли спрашивает Арагорна, "Ара, а поцчему они ломятся в ту двер, а в эту - нед?". Арагорн отвечает, "А потому что там Вход, а здесь Выход".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

98. Сообщение от Аноним (98), 05-Июн-23, 23:43	+3 +/–
Опять нужен рут, чтобы систему скомпрометировать. Ну что ж ты будешь делать! Комментаторы, не раздупляющие ни что такое targeted набор правил, ни принципы работы SELinux, но в голос верещащие про бэкдоры особенно смешат. Опеннет — мой любимый комедийный ресурс.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #109, #110

99. Сообщение от Аноним (-), 06-Июн-23, 01:16	+/–
> В адресное пространство каждого процесса, взявшего на себя обязанность загружать модули? Нуб, ты чего? Это работает так: читаешь файл с диска, грузишь модуль в память, ну и натравливаешь вон тот ядерный сискол на свой буфер -> модуль попадает в ядро, если это получилось. Хотел ли это изначально вообще процесс, или это эксплойт какой, или специальная хакерская прога - да в общем то возможны разные варианты. И то что САБЖ этот механизм пролюбил это полное ололо для wannabe-улучшителя безопасности в системе. Правда как мне кажется SELINUX делался в основном потому что в таком топике как "информационная безопасность" - бывают, внезапно, характерные регламенты. О чем догадываются все у кого например был предмет "информационная безопасность", ну там в вузе, или по своему интересу. И если там написано "трава должна быть зеленой, а контроль доступа мандатным" - ну, вот вам банка с краской, а вот SELINUX, извольте. У официалов информационная безопасность достаточно бюрократизированный топик. А compliance не пустой звук в т.ч. и у амеров. Ну вот оно кажись больше инструмент комплайнса чем реальной защиты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #104

100. Сообщение от Аноним (-), 06-Июн-23, 01:22	+/–
> В такой схеме Микрософт заведомо оказывается на шаг впереди, следующую версию они > могут подготовить заранее и обновиться оперативно. Зато они апдейты по вторникам грузят. Как будто хакеры целый месяц ждать будут. Некоторые даже специально релизили сплойты в среду, чтобы почти месяц был :))) А так - безопасность это процесс, а не результат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

101. Сообщение от Quad Romb (ok), 06-Июн-23, 02:12	+1 +/–
У автора RSBAC когда-то была статья, что все механизмы которые используют ядерный механизм хуков LSM - принципиально не могут хоть какую-то консистентность применения правил этой самой безопасности обеспечить. А механизм этого самого ядерного LSM изначально затачивался именно на SELinux. Хотя потом его начали использовать и Smack, и Tomoyo, и прочие немногие. Если у кого-то из комментаторов есть ссылка на эту статью, или нечто подобное-подробное - буду признателен такому комментатору, если он эту ссылку здесь приведёт.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #111

102. Сообщение от n00by (ok), 06-Июн-23, 06:38	+/–
После слов "вооружаемся ... grep исследовать исходники ядра" у меня появились сомнения, кто кого насилует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #126

103. Сообщение от n00by (ok), 06-Июн-23, 06:43	+/–
Всё это сделает и загрузит драйвер? Так задача прямо противоположная - не пускать какой попало драйвер в ядро.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

104. Сообщение от n00by (ok), 06-Июн-23, 06:53	+/–
>> В адресное пространство каждого процесса, взявшего на себя обязанность загружать модули? > Нуб, ты чего? Это работает так: читаешь файл с диска, грузишь модуль > в память, ну и натравливаешь вон тот ядерный сискол на свой > буфер -> модуль попадает в ядро, если это получилось. Хотел ли > это изначально вообще процесс, или это эксплойт какой, или специальная хакерская > прога - да в общем то возможны разные варианты. И то > что САБЖ этот механизм пролюбил это полное ололо для wannabe-улучшителя безопасности > в системе. Так а как ещё ему объяснить, что по условию задачи модуль попадать в ядро не должен? > Правда как мне кажется SELINUX делался в основном потому что в таком > топике как "информационная безопасность" - бывают, внезапно, характерные регламенты. > О чем догадываются все у кого например был предмет "информационная безопасность", > ну там в вузе, или по своему интересу. И если там > написано "трава должна быть зеленой, а контроль доступа мандатным" - ну, > вот вам банка с краской, а вот SELINUX, извольте. У официалов > информационная безопасность достаточно бюрократизированный топик. А compliance не пустой > звук в т.ч. и у амеров. Ну вот оно кажись больше > инструмент комплайнса чем реальной защиты. То есть в ТЗ в одном из пунктов указали "запретить загрузку модулей". Исполнитель это прочёл, для одного случая создал правило, а потом пошёл пить кофе и забыл? И за ним никто не проверил? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #145

106. Сообщение от n00by (ok), 06-Июн-23, 06:59	+/–
Осталось понять, почему Windows XP сертификация не спасла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

107. Сообщение от n00by (ok), 06-Июн-23, 07:04	+1 +/–
Не соблаговолит ли достопочтенный сэр охарактеризовать действия находящихся в РФ агентов по продажам вышеупомянутых исходных кодов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #125

108. Сообщение от n00by (ok), 06-Июн-23, 07:07	+/–
Формально эти правила подпадают под определение "исходный код".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

109. Сообщение от n00by (ok), 06-Июн-23, 07:14	–1 +/–
Тебе бы самому "раздуплить" отличия  finit_module от init_module, а потом попробовать подумать, зачем одно закрыли, а другое нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #131

110. Сообщение от пох. (?), 06-Июн-23, 09:16	+1 +/–
это было смешно, пока их таких были десятки процентов на общем сравнительно приличном интеллектуальном фоне. Сейчас, глядя на этот е6анариум истово верующих в происки проклятой NSA - хочется только съ...ся от свихнувшейся страны куда подальше. А кто уже - вымарать из резюме все упоминания о ней. Потому что потенциальные коллеги именно таким е6анашкой и будут тебя воспринимать, и наймут индуса. Лучше уж пусть думают что ты джун с "трогательным несоответствием набора скиллов прошлому опыту", чем подозревают что ты один из отключателей обновлений винды сразу после установки (а то там проклятая NSA!) P.S. но обрати внимание - автор исходной статьи тоже ничего не слышал ни про targeted, ни про то как это вообще работает (см. как он "проверяет" что у него selinux вообще есть). Т.е. идиотизм и повсеместная некомпетентность - они, увы, распространяются по планете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #116, #134

111. Сообщение от пох. (?), 06-Июн-23, 09:19	+/–
тем не менее - частенько оно - работает. Потому что очень маловероятно что проклятая nsa озаботилась персонально тобой, а вот троянец написанный таким же как местные комментаторы - запросто обломится, потому что автор "всегда отключаю этот selinux, там бэкдооооры!" и думает что все кругом такие же. В целом не очень и ошибается, конечно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #117, #122

112. Сообщение от пох. (?), 06-Июн-23, 09:21	+/–
типичный опеннет, однако. Не пойму одного, почему еще тотальный кабздец инфраструктуры в РФ не наступил окончательно. Правда, каждый день где-то что-то горит, но это пока еще, по-моему, не оно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #149

113. Сообщение от Аноним (81), 06-Июн-23, 09:30	+1 +/–
Новость ты прочитать не смог в силу того что не умеешь читать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #124

114. Сообщение от Аноним (81), 06-Июн-23, 09:31	+/–
Состояние поха быстра деградирует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

115. Сообщение от Аноним (81), 06-Июн-23, 09:33	+1 +/–
Пароля по умолчанию быть вообще не может. Посмотри как сделаны нормальные продукт ты или его или сам создаёшь или никакой возможности войти у тебя нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

116. Сообщение от Аноним (81), 06-Июн-23, 09:36	+/–
Ты ни программировать не умеешь ни думать. Поэтому ты и находишься там где находишься, а не в нормальном месте. Собственно так тебе и надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110

117. Сообщение от Аноним (81), 06-Июн-23, 09:37	+1 +/–
Частенько работает. Карл!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #119

118. Сообщение от Аноним (118), 06-Июн-23, 09:46	+/–
На большинстве систем можно сделать проще и эксплоит не нужен: setenforce 0 && modprobe blabla Eстественно модуль работает в контексе ядра и может там практически что угодно перезаписать, на то он модуль ядра, эксплоит на 3ку. Таким же макаром можно написать драйвер в Windows, который может там наворотить. Новость на 2ку, сделали сенсацию, будь-то все сервера в интернете будут взломаны.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #120

119. Сообщение от пох. (?), 06-Июн-23, 09:53	+/–
Мне пару раз вполне себе помогло. Причем первый раз оно вообще добыло рута в долю секунды (скачав какой-то зеродей прямо с метасплойта) и... сфейлилось, попытавшись спрятаться под видом dhcpcd. Ой, ну надо же так неудачно - а ему запрещен доступ к почти всей фс и сеть тоже жестко порезана - в результате полный лог ошибок, которые естственно заметили сразу же, и облом с попытками перейти к следующему этапу распространения. А не было бы selinux - оно на этом всеми забытом хосте резвилось бы может месяцами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

120. Сообщение от пох. (?), 06-Июн-23, 10:00	+/–
> На большинстве систем можно сделать проще и эксплоит не нужен: > setenforce 0 вот ты хакер, блин! (обрати внимание - автор суперэксплойта и про getenforce-то не в курсе ;-) > Таким же макаром можно написать драйвер в Windows, который может там наворотить. а вот хрен тебе, таким же. Драйвер должен быть подписан, иначе ничегошеньки не получится. Посмотри на какие мучения пришлось пойти авторам conti, чтобы обойти эту проблему и денег никому не платить. (Они таскают за собой легальный подписанный драйвер, написанный какими-то м-ками, которые додумались внутри драйвера подгружать внешние бинарники.) > Новость на 2ку, сделали сенсацию, будь-то все сервера в интернете будут взломаны. а контингент опеннета воспринял на ура. Так что ачивка получена.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118 Ответы: #132, #150

121. Сообщение от Аноним (121), 06-Июн-23, 11:33	+/–
> Каким олигофреном нужно быть, что бы... Каким олигофреном нужно быть, чтобы так ответить на фразу "внезапно, принесли вам сетевушку". Вы, похоже, смогли представить только следующую картину: посреди тишины и благодати к Вам с улицы пришел какой-то неизвестный смурной мужик в шпионском плаще и протягивает вам со зловещей усмешкой какую-то непонятную железку непонятного производителя и непонятного назначения?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #123

122. Сообщение от Quad Romb (ok), 06-Июн-23, 12:51	+/–
> тем не менее - частенько оно - работает. Потому что очень маловероятно > что проклятая nsa озаботилась персонально тобой, а вот троянец написанный таким > же как местные комментаторы - запросто обломится, потому что автор "всегда > отключаю этот selinux, там бэкдооооры!" и думает что все кругом такие > же. В целом не очень и ошибается, конечно. Запасной парашют, который частенько работает - крайне сомнительный по качеству товар. А внедряемые таким образом бэкдоры никогда не занимаются персонально кем-то. Это всегда стрельба по площадям. Спасибо за содержательно неприведённую ссылку на нечто подробное-толковое по данной теме.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #136, #143

123. Сообщение от Атон (?), 06-Июн-23, 13:12	+/–
>> Каким олигофреном нужно быть, что бы... > Каким олигофреном нужно быть, чтобы так ответить на фразу "внезапно, принесли вам > сетевушку". Вы, похоже, смогли представить только следующую картину: посреди тишины и > благодати к Вам с улицы пришел какой-то неизвестный смурной мужик в > шпионском плаще и протягивает вам со зловещей усмешкой какую-то непонятную железку > непонятного производителя и непонятного назначения? Представьте нам свою картину мира, в которой будет объяснена внезапность появления сетевушки хотя бы даже рядом с SElinux.  Скажем метрах в трёх.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #127

124. Сообщение от Адмирал Майкл Роджерс (?), 06-Июн-23, 13:17	+/–
Считаю уместным заметить, что я отвечал на комментарий мистера Анонима #1.3.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

125. Сообщение от Адмирал Майкл Роджерс (?), 06-Июн-23, 13:33	+1 +/–
В данном случае я предпочёл бы воздержаться от каких-либо оценок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

126. Сообщение от ivan_erohin (?), 06-Июн-23, 14:05	+/–
> После слов "вооружаемся ... grep исследовать исходники ядра" у меня появились сомнения, > кто кого насилует. года 4 назад я подбирал какой-то инструмент (не на go и не на rust) для поиска по source tree, искал им в исходниках iMule несовместимости и их происхождение для пересобрать под новый дебиан. но я забыл название. старость не радость. но теоретически можно и грепом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #130

127. Сообщение от BeLord (ok), 06-Июн-23, 14:06	+/–
Чего там объяснять - диверсия-)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123 Ответы: #128

128. Сообщение от Атон (?), 06-Июн-23, 14:54	+/–
> Чего там объяснять - диверсия-))) Главный диверсант - HR принявший на работу техником mentality disabled персону, которое, внезапно завидев сетевушку, начинает впихивать её во все отверстия, серверу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

129. Сообщение от пох. (?), 06-Июн-23, 15:46	+/–
И чо? Я тоже хочу из г-на на курорт! Тем более что в виду явного расцвета экономики - других шансов озолотиться кроме попилов и не предвидится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #159

130. Сообщение от n00by (ok), 06-Июн-23, 16:49	+/–
Хороший инструмент сначала прогоняет исходник через препроцессор, что бы развернуть макросы, а потом переводит результат в упрощённый аналог синтаксического дерева, что бы можно было быстро посмотреть граф вызовов (в Eclipce CDT он называется Call Hierarchy) и выполнять контекстный поиск. Исходники Linux по объёму в разы больше iMule, для некоторых строк grep выдаст массу лишнего (например, одноимённые функции для разных архетектур). Гипотетически, наверное, найти что-то можно и grep-ом, но даже простой переход к месту определению функции окажется существенно дольше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126 Ответы: #166

131. Сообщение от Аноним (98), 06-Июн-23, 17:10	+1 +/–
Ну естественно для того, чтобы взломать хосты опеннетных анонимов. А нет, погодите, опеннетные анонимы про SELinux знают только setenforce 0 и echo "SELINUX=disabled" > /etc/sysconfig/selinux. Значит чтобы взломать злобные корпорации. А нет, погодите, злобыне корпорации и сами всё сливают в NSA, потому что они злобные. Стало быть чтобы взломать самих себя. Да. NSA — они такие, сами себе уши отморозят назло всем, чтобы все боялись. Мысль о том, что писавшие targeted полиси проморгали этот и ещё массу других способов нагнуть ядро мы думать не будем. Слишком просто и нет заговора. Нам такое на опеннете не подходит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #133

132. Сообщение от n00by (ok), 06-Июн-23, 17:17	+/–
> Посмотри на какие мучения пришлось пойти авторам conti, чтобы обойти эту проблему > и денег никому не платить. > (Они таскают за собой легальный подписанный драйвер, написанный какими-то м-ками, которые > додумались внутри драйвера подгружать внешние бинарники.) Этот драйвер точно по дизайну грузит, или же эксплуатируют в нём уязвимость? Просто такой прокси-драйвер уже был сразу после ввода подписей, его достаточно быстро занесли в ЧС. Странно, если Микрософт всё подряд и сейчас подписывает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #140

133. Сообщение от n00by (ok), 06-Июн-23, 17:25	+/–
Раздупляю за тебя: сискола два, а вектор атаки один. Пиши не мне, а авторам правил, пусть откроют закрытый правилами шлюз - ты так хорошо объясняешь, почему это лишнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131 Ответы: #135

134. Сообщение от Аноним (98), 06-Июн-23, 17:29	+/–
С твоей нелюбовью к е6анариуму я нахожу весьма странным, что ты не уплыл из него первым же пароходом. И не надо опять заливать про собак, я лично знаком с людьми вывезшими на другой континент весь свой персональный зоопарк — собак, кошек, хомяков и канареек, — вместе с детьми и престарелыми родителями. А то, что тебе кажется, мол, идиотизм и повсеместная некомпетентность распространяются по планете, так это старческое брюзжание. Средний уровень интеллекта на планете растёт с тех самых пор, как его придумали мерять. Неравномерно, нелинейно, не везде, но неуклонно. Поэтому скорее всего проблема как раз в тебе: ты не понимаешь почему так, а не иначе и как результат всё вокруг кажется тупым. И это нормальный ход жизни, мы стареем, слабеем телом, духом и разумом, и в какой-то момент нам пора на покой, растить помидоры в удовольствие и баловать внуков. Долго тебе до пенсии осталось-то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #139

135. Сообщение от Аноним (98), 06-Июн-23, 17:40	+1 +/–
Ну вот один в strace засветился и был включён в полиси, а про другой писавший не знал. Какая печаль, подай на него в суд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133 Ответы: #147

136. Сообщение от Аноним (98), 06-Июн-23, 18:11	+/–
А стопроцентную безопасность никто не может гарантировать. ИБ оно всё про менеджмент рисков, а не про какое-то мифическое состояние безопасности, которое можно достичь и там наслаждаться. И запасной парашют именно что «частенько работает», так как имеет большие риски, чем основной хотя бы потому, что используется значительно реже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #137

137. Сообщение от Quad Romb (ok), 06-Июн-23, 18:32	+/–
> А стопроцентную безопасность никто не может гарантировать. ИБ оно всё про менеджмент > рисков, а не про какое-то мифическое состояние безопасности, которое можно достичь > и там наслаждаться. И запасной парашют именно что «частенько работает», так > как имеет большие риски, чем основной хотя бы потому, что используется > значительно реже. Никто. Надо бежать от того кто её гарантирует. Но использовать систему безопасности, которая, якобы, позволяет равноправное автоматическое стекирование нескольких (больше одного) различных механизмов безопасности на одном уровне - разговор в пользу сирых и убогих с самого старта. Тут будут обсуждать - хорош SELinux, или плох, но вот то, что он использует, в качестве базы, механизм стекирования хуков LSM - никто говорить не будет. А ведь по сути, LSM, и был введён в ядро, как бы с благими намерениями поддержки универсальности. Но - по инициативе как раз ребят из дворца загадок. Западный блок никуда не денется - будет SELinux пользовать, потому что без него, например в их нефтянке, сертификации им не видать. Местные шутники видимо никогда не читали юридически обязывающие соглашения об аттестации комплексов ТЭК того же "Шелл". Но у нас своя песочница, и брать их лопатку нам в неё совершенно не с руки. У нас МРОСЛ-ДП есть, и от хуков LSM он уходит всё дальше и дальше. SELinux, чисто теоретически можно хорошо настроить. И даже убедить себя, что сделан он на совесть. Только что толку, если этот люк с подлодки вставлен в деревянную раму? Пусть даже и крепкую.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136

139. Сообщение от пох. (?), 06-Июн-23, 22:41	+1 +/–
> И не надо опять заливать про собак, я лично знаком с людьми вывезшими на другой континент весь > свой персональный зоопарк — собак, кошек, хомяков и канареек я тоже. Обычно эти люди вовремя голосовали за кого надо, неплохо отхватили жирных кусков, своевременно их вывели куда подальше и теперь намерены не скучать и кстати "к сожалению в настоящее время мы не можем принимать оплату от российских пользователей" (и ведь этот был еще из лучших, действительно одна из самых светлых голов в бывшероссийском IT...) А у меня, увы, престарелых родителей не осталось, самому пенсия не положена, а собак надо кормить и лечить, поэтому я остаюсь там где мне платят зарплату. > Долго тебе до пенсии осталось-то? в моей семье до нее ни один мужчина не дожил. По инвалидности не в счет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134 Ответы: #141

140. Сообщение от пох. (?), 06-Июн-23, 22:50	+1 +/–
> Этот драйвер точно по дизайну грузит, или же эксплуатируют в нём уязвимость? точно. То есть он подписанный и (по крайней мере в каком там... прошлом, видимо, году) - ни разу не был в блэклистах. Какое-то г-но типа rs432 портов или что-то столь же распространенное - поэтому драйверописателями наняли особо работящую стаю макак прямо с ветки. > быстро занесли в ЧС. Странно, если Микрософт всё подряд и сейчас > подписывает. она сама ничего не подписывает, она подписывает серты разработчиков. За деньги. Считается, видимо (и правильно) что большинству это достаточная мера чтобы с сертификатом обращались с осторожностью, потому что забанить его действительно могут влегкую и новый хрен дадут (это по сути EV). Но всегда находятся особо одаренные (в основном как раз из сферы промышленных процессов и тому подобных) которые сделают вот так потому шта могут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132 Ответы: #148

141. Сообщение от Аноним (98), 06-Июн-23, 23:21	+/–
> неплохо отхватили жирных кусков Инженер с одной фабрики по производству телевизоров и медсестра. Его родители на стройке познакомились, где оба работали после войны. Её родители из деревни. Отхватил жирный кусок с продажи трёшки в городе-миллионнике и подержаного пассата. Такие дела. Да и сам я когда-то с 900$ в кармане приехал, чего уж там. > в моей семье до нее ни один мужчина не дожил Стань первым.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139 Ответы: #142

142. Сообщение от пох. (?), 06-Июн-23, 23:37	+/–
> Отхватил жирный кусок с продажи трёшки в городе-миллионнике и подержаного пассата. тоже неплохо- сейчас бы уже не получилось. К сожалению, у меня никогда не было трешки в миллионнике, а то бы и правда хрен бы меня там больше видели. А что планирует жрать когда эти кончатся? Фабрик по производству телевизоров кроме как в китае не осталось, медсестре подтверждать диплом или вообще учиться с нуля. > Да и сам я когда-то с 900$ в кармане приехал, чего уж там. так ты был один и, полагаю, сравнительно молодой. Плюс была дикая недостача грамотных айтишников. А сейчас... "если в магазине продается специальная бумага для резюме - значит работы в этой стране на самом деле - нет" (с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141 Ответы: #146

143. Сообщение от пох. (?), 06-Июн-23, 23:39	+/–
> Запасной парашют, который частенько работает - крайне сомнительный по качеству товар. он еще и погасить основной может, если не успеть его заблокировать, и в его стропы запутаться. Тем не менее, желающих прыгать без запасок почему-то мало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #144

144. Сообщение от Quad Romb (ok), 06-Июн-23, 23:54	+/–
>> Запасной парашют, который частенько работает - крайне сомнительный по качеству товар. > он еще и погасить основной может, если не успеть его заблокировать, и > в его стропы запутаться. Тем не менее, желающих прыгать без запасок > почему-то мало. Не так. Желающих прыгать без надёжных запасок - мало. Но, поскольку большинство не прыгает, а просто подпрыгивает на земле - это не так заметно. SELinux Вас устраивает, и ссылок Вы на что-либо содержательное давать не желаете. И на то, и на другое - имеете полное право. Ну, тогда и приподнимем шляпы - ибо содержательная часть разговора, похоже, себя исчерпала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143 Ответы: #152

145. Сообщение от Аноним (-), 07-Июн-23, 04:01	+/–
> Так а как ещё ему объяснить, что по условию задачи модуль попадать > в ядро не должен? В принципе и другие способы запрета этого есть, если оно реально надо. А забавно тут то что SElinux проявил несколько менее паранои в части Systems SEcurity чем от секурити-экспертов ожидается. Для лично себя - я не запрещаю вгруз модулей, но там FORCE на проверку подписей и вот именно лично мой ключ. У меня то он есть. Хорошо когда система работает на меня. А если у вон тех нету, они и пролетают, соответственно. Если хочется пожестче, есть /proc/sys/kernel/modules_disabled - если записать туда 1, загрузка новых модулей отвалится до ребута. При этом после старта системы когда все взлетело, можно быренько это дело врубать - обувая атакующих на это дело вообще. В цать раз проще SELinux и более эффективно. Но может потребовать ребут потом если нечто новое все же потребовалось. А совсем злобный вариант - собрать ядро без поддержки модулей. Но это неудобно. Однако давно известно что чем удобнее тем хуже безопасность. > То есть в ТЗ в одном из пунктов указали "запретить загрузку модулей". Видимо да, иначе не понятно в чем прикол отрубить хвост именно наполовину. > Исполнитель это прочёл, для одного случая создал правило, а потом пошёл > пить кофе и забыл? И за ним никто не проверил? :) А кто его знает. После юного д@лб@"№а сливающего секретные доки в дискорд я ничему такому не удивлюсь. p.s. и кстати из-за непоседы Кента и его ФС как-то попало под внимание... то что модули априори нарушают W^X: это by design новые аллокации, выполняющие код. А кроме этого есть еще не менее 3 сценариев когда хотят динамически сгенерить код. И вот кент еще - для перфоманса файлухи. В результате из-за Кента досталось и mm, и блокировкам (locks) и чему-то еще, например: https://lore.kernel.org/lkml/ZH0EseWI9F1n9yJx@moria.hom.../ - на правах хинта шишкину и ко как оно на самом деле надо было, если в майнлайн хочется. И в результате дискуссий, на самом деле, половина работы было спихана на айбиэмщика, еще кого-то и проч. А Кент приближается к желаемым точкам в своем квесте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

146. Сообщение от Аноним (-), 07-Июн-23, 05:14    Скрыто ботом-модератором	+/–
Да, пох, ты все правильно понял - с квалификацией как у тебя ты врядли кому нужен. А в чем ты собственно спец? В нытье как все плохо и отмазках? За это имхо денег не платят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142 Ответы: #151

147. Сообщение от n00by (ok), 07-Июн-23, 06:31	+/–
> подай на него в суд. А, так ты юрист, консультирующий забесплатно по вопросам безопасности. С этого и начинал бы свою проекцию о спосбностях "раздуплять".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135

148. Сообщение от n00by (ok), 07-Июн-23, 06:50	+/–
>> Этот драйвер точно по дизайну грузит, или же эксплуатируют в нём уязвимость? > точно. То есть он подписанный и (по крайней мере в каком там... > прошлом, видимо, году) - ни разу не был в блэклистах. > Какое-то г-но типа rs432 портов или что-то столь же распространенное - поэтому > драйверописателями наняли особо работящую стаю макак прямо с ветки. Как conti нашли это драйвер? Качали скриптом всё подряд с сайта-файлопомойки с драйверми и анализировали импортируемые драйвером функции в наивной надежде? Там небось и нет этого драйвера. >> быстро занесли в ЧС. Странно, если Микрософт всё подряд и сейчас >> подписывает. > она сама ничего не подписывает, она подписывает серты разработчиков. За деньги. Считается, > видимо (и правильно) что большинству это достаточная мера чтобы с сертификатом > обращались с осторожностью, потому что забанить его действительно могут влегкую и > новый хрен дадут (это по сути EV). Под разработчиком надо понимать не частное лицо, а компанию. К которой выдвигается ряд требований. Насколько помню, надо было показывать, что не просто какие-то левые васяны, у которых есть 500 долларов, а вот имеются вполне конкретные программные продукты. Если какая-то компания из старых клиентов МС такое допустила, не знаю, что и думать. :) Может conti не стали им шифровать архивы и просить "оплатить пентест", а просто вставили в исходники нужное?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140 Ответы: #153

149. Сообщение от Аноним (149), 07-Июн-23, 09:00	+/–
> типичный опеннет, однако. Не пойму одного, почему еще тотальный кабздец инфраструктуры (голосом оптимиста из анекдота про хуже уже не будет) coming soon!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

150. Сообщение от Аноним (149), 07-Июн-23, 09:07	+/–
> Драйвер должен быть подписан, иначе ничегошеньки не получится. Ога, и как оказалось на своей мине можно самому же и - того, вот прям так: https://3dnews.ru/1087288/vladeltsi-planshetov-microsoft-sur...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #154

151. Сообщение от пох. (?), 07-Июн-23, 09:07	+/–
> Да, пох, ты все правильно понял - с квалификацией как у тебя > ты врядли кому нужен. то ли дело специалисты по ремонту телевизоров? Ветеринары вот, говорят, легко устраиваются. Но есть нюанс - надо подтвердить диплом. На чужом языке и по чужим протоколам, поэтому удается единицам. Но в принципе, да, столько ITшников в мире не нужно вообще. Ни с какой квалификацией. В 70е был же анекдот - "если по трапу самолета в Тель-Авиве идет человек и у него в руках нет скрипочки - это инженер". Самые удачливые из них устроились слесарями, сантехниками и тому подобным. Повезло, смогли как-то применять остатки инженерного мышления и образования. Большинство так и прозябало до пенсии товароведами или вовсе подсобными рабочими. Сейчас почти ничего не изменилось - если по кишке на выход идет не носитель футлярчика для парадно-выходного костюма (эт менеджер, среднего звена, эт не пропадет) то точно ср-ный итшник. Для них все, кстати, еще хуже стало - заводы в 70е были примерно везде одни и те же, а сейчас везде требуется амазон и gcp, а с опытом мэйлру почему-то не берут. А я уже и не помню ничего про их апи. > А в чем ты собственно спец? а тебе-то какая разница? Ты ж в этом не разбираешься, куда ни ткни - везде провал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146 Ответы: #156

152. Сообщение от пох. (?), 07-Июн-23, 09:16	+/–
> Желающих прыгать без надёжных запасок - мало. еще раз - парашутные запаски - ненадежны и могут вообще убить при совершенно нормальном раскрытии основного. Тем не менее - те кто прыгают - прыгают с запасками. Потому что без них еще хуже. (Кроме бейсеров, те все равно одноразовые, зачем еще хорошую вещь портить) > SELinux Вас устраивает, и ссылок Вы на что-либо содержательное давать не желаете. Не все устраивает, главный минус - фееричная бесполезность чего-либо отличного от targeted в реальном применении, но лучшего нет. В конспирологические бредни я, разумеется, не верю. В рукож..пие соотечественников вот верю вполне, поэтому что там у атcpы и насколько оно лучше механизма хуков - мне неинтересно совсем - оно сдохнет вместе со страной и будет всеми забыто, никаких шансов у этого проекта нет ни внутри ни снаружи, незачем тратить время.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #158, #160

153. Сообщение от пох. (?), 07-Июн-23, 09:26	+/–
> Как conti нашли это драйвер? Качали скриптом всё подряд с сайта-файлопомойки с может фича была в определенных кругах (например пользователей того странного оборудования) известна, может сами имели косвенное отношение к производителю, а может случайно наткнулись хакнув заводишко где оно применялось - мильен с тыщами вариантов, совершенно не требующих конспирологии. > Там небось и нет этого драйвера. конечно нет, те проходят отдельную сертификацию (проходили, тут я застрял на уровне 95й, да, были когда-то и мы рысаками...давнооо - но вряд ли поменялось в сторону упрощения, скорее наоборот) и вряд ли туда такое допустят. Это какое-то лютое 3d party причем совсем не для юзеров. Поэтому и сделано тяп-ляп - кто бы мог подумать что его могут использовать не только там, и было ли этим мартышкам, чем? > Под разработчиком надо понимать не частное лицо, а компанию. К которой выдвигается можно и частное. dokany подписан. Пользуйся (прикольно ж пошифровать дуалбутчику его линoopsовый раздел). Но да, EV - то есть ни разу не автоматически и не левому васяну с улицы. > допустила, не знаю, что и думать. :) Может conti не стали > им шифровать архивы и просить "оплатить пентест", а просто вставили в > исходники нужное?) заодно и поправили чтоб работал и по прямому назначению, а те и рады - неработающий драйвер сам починился? ;-)Но нет, вряд ли, не те ребята, им не нужны такие лишние сложности, они деньгов зарабатывают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148 Ответы: #155

154. Сообщение от пох. (?), 07-Июн-23, 09:28	+/–
>> Драйвер должен быть подписан, иначе ничегошеньки не получится. > Ога, и как оказалось на своей мине можно самому же и - > того, вот прям так: https://3dnews.ru/1087288/vladeltsi-planshetov-microsoft-sur... а то бы ты быстро-быстро попатчил чужой драйвер сам? Что-то вот сомневаюсь...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150 Ответы: #157

155. Сообщение от n00by (ok), 07-Июн-23, 09:59	+/–
>> Как conti нашли это драйвер? Качали скриптом всё подряд с сайта-файлопомойки с > может фича была в определенных кругах (например пользователей того странного оборудования) > известна, может сами имели косвенное отношение к производителю, а может случайно > наткнулись хакнув заводишко где оно применялось - мильен с тыщами вариантов, > совершенно не требующих конспирологии. Заводики точно шифровали, а о мелких информация не расходится. >> Под разработчиком надо понимать не частное лицо, а компанию. К которой выдвигается > можно и частное. dokany подписан. Пользуйся (прикольно ж пошифровать дуалбутчику его линoopsовый > раздел). Но да, EV - то есть ни разу не автоматически > и не левому васяну с улицы. Не самоподписан? Вот что у них сходу нашёл. if ($securebootUEFI) {     write-Host "Secureboot is enabled. This needs to be disabled so that the driver signed with a self signed certificate can be loaded." -ForegroundColor Red     write-host "See https://docs.microsoft.com/en-us/windows-hardware/manufactur... for instructions to disable it" -ForegroundColor Red     return; } >> допустила, не знаю, что и думать. :) Может conti не стали >> им шифровать архивы и просить "оплатить пентест", а просто вставили в >> исходники нужное?) > заодно и поправили чтоб работал и по прямому назначению, а те и > рады - неработающий драйвер сам починился? ;-)Но нет, вряд ли, не > те ребята, им не нужны такие лишние сложности, они деньгов зарабатывают. Ну ключи для подписи драйверов могли оказаться в слитых перед шифрованием дампах. Вот как раз это наверняка целенаправленно ищут, и не одни conti. Я только сейчас начал подозревать о масштабах проблемы... :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #153 Ответы: #162, #165

156. Сообщение от Аноним (149), 07-Июн-23, 10:42	+/–
> то ли дело специалисты по ремонту телевизоров? Disclaimer: я другой анон и встрял в дискуссию недавно. И вот тут я без понятия. Наверное зависит от того что за телевизоры. Для лично меня традиционное аналоговое месиво было почти мистикой, мне сложно сказать как тем кто в это умел сейчас с этим. Я просто не принадлежу той эпохе и технологиям. Умея лишь некий базовый минимум. Но если вопрос в том что это будет нечто цифровое, да еще, чего доброго, с линухом... говоря за себя для меня такой паттерн дизайна систем прост и понятен и я могу там что угодно, в общем то. До кучи и починить, разумеется. Хотя мне больше нравится кастомдев с линухом и околомикроконтроллерное/эмбедовочное. > Ветеринары вот, говорят, легко устраиваются. Но есть нюанс - надо подтвердить диплом. Ну наверное, а чего им не. Они перестанут требоваться? Это врядли. > На чужом языке и по чужим протоколам, поэтому удается единицам. Пару докторов которые такое провернули я знаю. Хоть они и не ветеринары. > Но в принципе, да, столько ITшников в мире не нужно вообще. Ни с какой квалификацией. Ну так сейчас вон тех питоняш которым сложно быть эффективными более 2 часа в день и побустают. Уже бустают во всю. А чего ты умеешь полезного людям, фирмам, ... - хрен тебя знает! Ты иногда выдаешь дельные мысли но это раз из 10. По сравнению с 95% которые не гроссмейстеры это некий апгрейд, так что твоя тушка заняла 1 слот в danbar number. Это жирновато но я не полностью контролирую аллокацию от и до в этом случае. Судя по спичу ты даже что-то когда-то девелопал, возможно даже для линуха. Но явно выпал из всех актуальных состояний дел и явно не up-to-date. А кернел штука динамичная, знания 2010 года не сильно помогут, половину отрефакторили уже. > В 70е был же анекдот - "если по трапу самолета в Тель-Авиве идет человек > и у него в руках нет скрипочки - это инженер". Самые удачливые из них устроились > слесарями, сантехниками и тому подобным. Ну довольно спорная удача как по мне, там кассамы постоянно над башкой свистят и если уж хотелось сантехникой заниматься, можно наверное и место поспокойней найти. Где охранники не расстреливают забытые в аэропорту ноуты "на всякий случай", и вообще. > костюма (эт менеджер, среднего звена, эт не пропадет) то точно ср-ный итшник. Менеджер среднего звена в основном отличается тем что усвоил: никого не е#$%т совковые де@льные отмазки. А хуже от всего этого станет в основном тебе самому, имхо. Просто ты нахватался гнилого климата и "выученной беспомощности" в поганых конторах уже. > сейчас везде требуется амазон и gcp, а с опытом мэйлру почему-то не берут. > А я уже и не помню ничего про их апи. На самом деле если кто ценный и интересный кадр его могут и подучить, дать время на ramp up и все такое. Но тут вопрос в том чтобы им это стало надо. > а тебе-то какая разница? Ты ж в этом не разбираешься, куда ни > ткни - везде провал. Я сносно разбираюсь в электронике (в основном цифровой, конечно же), энное количество печаток отрисовал, фирмварей накодил, все такое. В линухе и мк, есть всякие забавные выводки одноплатничков уже. И это я только начал начинать, наступает мое время позажигать. Провал? Ох, к счастью на фоне тех хипстеров я не так уж плох. Да и на твоем кажется тоже. Во всяком случае, эксперименты показали что я могу зарулить все системные проблемы с которыми я сталкиваюсь в линухе. А ты не смог даже это, постоянно ноешь о простреленных пятках и как у тебя и чего там не работает. На этом фоне я почему-то выгляжу и ощущаю себя мощнее себя. Сугубо сравнивая с таким вот референсом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151 Ответы: #167

157. Сообщение от Аноним (149), 07-Июн-23, 10:44	+/–
> а то бы ты быстро-быстро попатчил чужой драйвер сам? > Что-то вот сомневаюсь... (поглядывая на абсолютно аморальный патч ath9k, который я тебе не дам) а напрасно, иногда и такое вот случается :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154 Ответы: #169

158. Сообщение от Аноним (149), 07-Июн-23, 10:53	+/–
> Не все устраивает, главный минус - фееричная бесполезность чего-либо отличного > от targeted в реальном применении, но лучшего нет. Да вообще-то есть, виртуалки и контейнеры называется. Эффект даже лучше - а долботни с настройкой и менеджментом сильно меньше. Так что если над тобой нет регламента что трава должна быть зеленой а акцесконтроль мандатным - то и хрен с ним с SELinux'ом!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152 Ответы: #164

159. Сообщение от Аноним (149), 07-Июн-23, 11:27	+/–
> И чо? Я тоже хочу из г-на на курорт! Будьте осторожны в своих желаниях, однако...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129

160. Сообщение от Quad Romb (ok), 07-Июн-23, 11:56	+/–
> В рукож..пие соотечественников вот верю вполне, поэтому что там у атcpы и > насколько оно лучше механизма хуков - мне неинтересно совсем - оно > сдохнет вместе со страной и будет всеми забыто, никаких шансов у > этого проекта нет ни внутри ни снаружи, незачем тратить время. Вы предпочли не приподнять свою шляпу, а наложить в неё? Ну, оно, конечно негигиенично - но, дело хозяйское.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152

161. Сообщение от onanim (?), 07-Июн-23, 13:46	+/–
> Часть нити удалена модератором > В шахматах не подсказывают , !*! n00by (ok), 11:58 , 05-Июн-23 (27) > УДАЛЕНО.Отмодерировано: mc, Время: Mon Jun 5 15:48:11 2023 на опеннете запрещено упоминание шахмат? лолшто?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #180

162. Сообщение от onanim (?), 07-Июн-23, 13:54	+/–
> Я только сейчас начал подозревать о масштабах проблемы... :) на широко известном в узких кругах форуме один криптовымогатель написал, что взломал большинство крупных компаний через забытый аккаунт test:test на пограничном фаерволе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155 Ответы: #163, #168

163. Сообщение от n00by (ok), 07-Июн-23, 15:27	+/–
С паролями и без этих ваших иксэксэсэв понятно, хотя данная формулировка скорее фигура речи. С подписями получается, что Микрософт сидит в луже-океане с лицом игрока в покер, и по факту ограничили они систему от энтузиастов, а не от атак.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162 Ответы: #171

164. Сообщение от пох. (?), 07-Июн-23, 16:54	+/–
>> Не все устраивает, главный минус - фееричная бесполезность чего-либо отличного >> от targeted в реальном применении, но лучшего нет. > Да вообще-то есть, виртуалки и контейнеры называется. Эффект даже лучше - а это где s in docker stands for "security"? Ага, есть. Жаль что придумано совершенно не для безопасности. Для той придуман jail, и всю дорогу его главный недостаток был ровно тот же что у selinux targeted - по сути он состоит из миллиона проверок в миллионе мест ядра вида if(а не в джейле ли мы)? - естественно, они не могут быть консистентны by design. И периодически тропка в обход очередного шлагбаума таки находилась.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #158 Ответы: #176

165. Сообщение от пох. (?), 07-Июн-23, 16:59	+/–
>> можно и частное. dokany подписан. Пользуйся (прикольно ж пошифровать дуалбутчику его > Не самоподписан? Вот что у них сходу нашёл. не. Просто качай бинарник. > if ($securebootUEFI) > { >  write-Host "Secureboot is enabled. This needs to be disabled so that > the driver signed with a self signed certificate can be loaded." это чтоб ты мог из исходников сам собрать. Но релизные бинари - подписаны. Тебе осталось оформить троянца в виде fuse-модуля. Ну и том не должен быть claimed by windows. Т.е. передашь привет дуалбутерам. > Вот как раз это наверняка целенаправленно ищут, и не одни conti. тогда могли бы и просто свой подписать, но нет, не прокатило.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155 Ответы: #172, #173

166. Сообщение от ivan_erohin (?), 07-Июн-23, 19:53    Скрыто ботом-модератором	+/–
нашел: apt info ack Eclipse жироноват и следовательно торомоз (inb4 время г-кодера стоит дороже).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130 Ответы: #170

167. Сообщение от пох. (?), 07-Июн-23, 20:26	+/–
> я без понятия. Наверное зависит от того что за телевизоры. Для ну и вот что в сасунге на стене можно ремонтировать? В богатых странах их просто выносят на мусорку. В бедных нет телевизоров (у бедных. Богатые - зовут лакея вынести на мусорку.) >> Ветеринары вот, говорят, легко устраиваются. Но есть нюанс - надо подтвердить диплом. > Ну наверное, а чего им не. Они перестанут требоваться? Это врядли. ну такое себе наверное, когда тебе не 25, диплом подтверждать. Сам-то сможешь? Что ты помнишь из ФТТ? ITшники тоже не перестали совсем уж требоваться, но когда на одну позицию претендует сотня - очевидно что дела в этом бизнесе плохи. А с ветами получше, судя по диким очередям к немногим устроившимся. >> На чужом языке и по чужим протоколам, поэтому удается единицам. > Пару докторов которые такое провернули я знаю. Хоть они и не ветеринары. А я вот знаю одну которая вынуждена была стать медсестрой. Да, это операционная медсестра, они там и хирургу ассистируют и много чего делают сами, чтоб ценное время хирурга не тратить, а не горшки за лежачими выносят, но это все же огромное понижение в статусе и, вероятно, уровне жизни тоже даже с поправкой на из Мурома в LA. > Ну так сейчас вон тех питоняш которым сложно быть эффективными более 2 > часа в день и побустают. Уже бустают во всю. наверное... не очень уверен что не наоборот. Эти дешевые, а экономить надо на дорогих. > А чего ты умеешь полезного людям, фирмам, ... - хрен тебя знает! я много чего умею но в отрыве от привычной среды все это крайне малополезные умения. Не то чтоб совсем нигде не надо, но см выше - по сотне-две кандидатов на одну позицию не считая тех кого линкедин не видит. Возьмут, разумеется, местного а не понаеха. > Ну довольно спорная удача как по мне, там кассамы постоянно над башкой > свистят и если уж хотелось сантехникой заниматься, можно наверное и место > поспокойней найти. поспокойней им не предлагали. Не все выигрывают гринкард в лотерею. Многие его никогда не выиграют. > тебе самому, имхо. Просто ты нахватался гнилого климата и "выученной беспомощности" > в поганых конторах уже. я в поганых не работаю, я в хороших работаю. Проблема только в том что они не в той стране. > На самом деле если кто ценный и интересный кадр его могут и > подучить, дать время на ramp up и все такое. Но тут на пустом рынке - да. А на переполненом - да зачем, там из этих ста десять отберут идеальных и устроят между ними бои в грязи, просто чисто поржать. > тоже. Во всяком случае, эксперименты показали что я могу зарулить все > системные проблемы с которыми я сталкиваюсь в линухе. А ты не вот в этом и прокол. Ты даже не в курсе с чем ты столкнешься попробовав поработать в чем-то крупном. Я ж говорю - куда ни ткни, ты везде "это мы не проходили".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156 Ответы: #179

168. Сообщение от пох. (?), 07-Июн-23, 20:34	+/–
> на широко известном в узких кругах форуме один криптовымогатель написал, что взломал > большинство крупных компаний через забытый аккаунт test:test на пограничном фаерволе. ну вот ко мне лет двадцать назад такое запорхнуло. Причем, с-ка, ни разу не test там был пароль, но да, словарное слово с простой пермутацией, на один раз зайти и удалить, и почему-то его там забыли, сервис хирел и умирал, поэтому файрвол тоже пускал ssh уже отовсюду, поскольку штатных работников уже не осталось давно а нештатные вечно оказывались в странных местах. Через секунду оно было рут. И... позорно обломалось о политику, и дальше не прошло, и в логах так все загадило что ежу было ясно что происходит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162 Ответы: #187

169. Сообщение от пох. (?), 07-Июн-23, 20:37	+/–
>> а то бы ты быстро-быстро попатчил чужой драйвер сам? >> Что-то вот сомневаюсь... напоминаю - там драйвер виндовый, исходников тебе не дали (были б у тебя исходники - ты бы мог своим ключом подписать). Найти переполняющийся счетчик наверное можно и так, но это ни разу не ath9k.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157 Ответы: #174, #177

170. Сообщение от n00by (ok), 08-Июн-23, 09:03	+/–
На исходниках Linux пока Eclipse лидирует - остальные, что смотрел, не сохраняют индекс и при повторном запуске заново молотят сорцы. Плюс в Eclipse можно задать макросами нужные архитектуры, он выполнит #ifdef и не будет смотреть лишнее. Source Insight быстрый, но не вполне по теме сайта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #166

171. Сообщение от onanim (?), 08-Июн-23, 09:09	+/–
> ограничили они систему от энтузиастов, а не от атак. что тут такого удивительного? мировая практика.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #163 Ответы: #175

172. Сообщение от n00by (ok), 08-Июн-23, 09:17	+/–
>> Вот как раз это наверняка целенаправленно ищут, и не одни conti. > тогда могли бы и просто свой подписать, но нет, не прокатило. Подписать могли бы, но зачем раскрывать сразу все карты? Да и если моя версия верна - то подписанное не нашли, либо не афишируют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #165

173. Сообщение от n00by (ok), 08-Июн-23, 09:22	+/–
> Тебе осталось оформить троянца в виде fuse-модуля. Если там по уму сделано, модуль выполняется в пространстве пользователя без каких-либо прав.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #165

174. Сообщение от n00by (ok), 08-Июн-23, 09:25	+/–
Ныне в драйверах могут и отладочный вывод оставить, сразу с именами функций.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169

175. Сообщение от n00by (ok), 08-Июн-23, 10:46	+/–
>> ограничили они систему от энтузиастов, а не от атак. > что тут такого удивительного? мировая практика. В первой части - ничего. Вторая ИМХО не входила в их планы, когда они подминали под себя антивирусы и удаляли с рынка слишком перспективных, типа OSSS Спорова.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171

176. Сообщение от Аноним (180), 08-Июн-23, 11:39	–1 +/–
> это где s in docker stands for "security"? Ага, есть. Жаль что > придумано совершенно не для безопасности. Совершенно не обязательно использовать самое хайпожорское решение, есть и другие. И да, т.к. ядро никогда не делалось для контейнеров, в неймспейсах бывают достаточно дурные отвалы. Если надо более серьезно - есть виртуалки или хотя-бы UML, чтоб ядро гасили все же отдельное и не в основном кернелспейсе. Но даже это лучше чем нифига и уж точно не хуже сабжа, стандартно отключаемого каждым первым сплойтом. > Для той придуман jail, и всю дорогу его главный недостаток был ровно > тот же что у selinux targeted - по сути он состоит ...что он решает хзкакие задачи, абы как, как и вся bsd вообще, поэтому нафиг надо. Они даже просто виртуализацию сети нормальную научились только недавно IIRC. > из миллиона проверок в миллионе мест ядра вида if(а не в > джейле ли мы)? > - естественно, они не могут быть консистентны by design. И периодически тропка > в обход очередного шлагбаума таки находилась. Ну вот и namespaces в линухе как-то так же. При том в них ищут в миллион раз больше чем вон там. А когда мне реально надо... я даже и еще сильно более прочные варианты юзаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #164 Ответы: #178

177. Сообщение от Аноним (180), 08-Июн-23, 11:50	+/–
> напоминаю - там драйвер виндовый, исходников тебе не дали > (были б у тебя исходники - ты бы мог своим ключом подписать). Ты так хорошо расписал почему я маздаем не пользуюсь, спасибо. Как раз в том числе и потому что там поразвлекаться с системщиной жуткий гимор, и баги мешающие жить - не чинябельны. А сказки про мир розовых пони где дрова и софт без багов ты кому-нибудь другому, имхо, оставь. Потому что виндой я пользовался и как оно там "без багов", "лучше" и "обгоняет линукс" я на своей шкурке прямо и убедился. > Найти переполняющийся счетчик наверное можно и так, но это ни разу не ath9k. Ну да, поэтому и линукс, вот. И копание в его внутренностях. Это проще, эффективнее и кайфовее. А винды - как там грится? "Contact your support", во.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169

178. Сообщение от Аноним (178), 08-Июн-23, 12:32	+/–
> ...что он решает хзкакие задачи, абы как, как и вся bsd вообще, > поэтому нафиг надо. Они даже просто виртуализацию сети нормальную научились только > недавно IIRC. Встретились два "знатока". У одного - "мильен мест проверок" grep -Rc prison0 /usr/src/sys/kern|grep -v ":0"                                 /usr/src/sys/kern/init_main.c:2 /usr/src/sys/kern/kern_descrip.c:4 /usr/src/sys/kern/kern_jail.c:48 /usr/src/sys/kern/kern_linker.c:2 /usr/src/sys/kern/kern_mib.c:2 /usr/src/sys/kern/kern_priv.c:1 /usr/src/sys/kern/kern_racct.c:1 /usr/src/sys/kern/kern_shutdown.c:1 /usr/src/sys/kern/sysv_msg.c:4 /usr/src/sys/kern/sysv_sem.c:4 /usr/src/sys/kern/sysv_shm.c:4 /usr/src/sys/kern/vfs_export.c:3 /usr/src/sys/kern/vfs_mountroot.c:5 (да-да, сам хост уже давненько стал "prison0", (т.е. jail с JID 0), поэтому проверка на джейлность - на самом деле проверка, не в "нулевом" ли джейле мы) У другого - 15 лет "только недавно".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #176 Ответы: #181

179. Сообщение от Аноним (180), 08-Июн-23, 15:22	+/–
> ну и вот что в сасунге на стене можно ремонтировать? В богатых > странах их просто выносят на мусорку. Питальник какой-нибудь. Ну может подсветка еще иногда, судя по ремонтерским форумам. Или там софт перелить если что слетело/загадилось. Мне честно говоря похрен, но вот именно относительно современный агрегат при случае оседлаю. Что я, не разберусь с одноплатником? Да ладно? Правда сильно фирменное типа гнусмуса наверняка секурбутом обложено от и до. > В бедных нет телевизоров (у бедных. Богатые - зовут лакея вынести на мусорку.) Эм... по моим наблюдениям корреляци иная. Те кто поумнее просто не покупают телевизоры, даже если денег у них навалом, тупо потому что не смотрят их. Поглупее, даже бедные, какой-нибудь дешевый хлам все же купят. Лично я когда захотел себя порадовать, купил себе большой шикарный монитор с хорошей цветопередачей. Да, и киношки на нем смотреть классно, он все поле зрения занимает и не выглядит как УГ даже с близкой дистанции. Ну и зачем мне телек? Чего мне с ним делать? > ну такое себе наверное, когда тебе не 25, диплом подтверждать. Сам-то сможешь? > Что ты помнишь из ФТТ? Я подтвержу пардон свой скилл. Показав воон те печатки, фирмвары, образа систем, проекты, перечислив что могу, с примерами как оно, etc. Это все же другое. И что, все это перестанет требоваться в обозримом будущем? Не думаю. > ITшники тоже не перестали совсем уж требоваться, но когда на одну позицию > претендует сотня - очевидно что дела в этом бизнесе плохи. Так я и не лезу в вебмакакинг. А чтобы зарубиться со мной на равных там где я что-то смыслю надо иметь скилл не хуже в областях в которые я вхож. Удачи. Я учился многим вещам большую часть жизни. И чему-то кажется научился. Потому что реально интересовался тем чем занимаюсь а не протирал штаны, выдавая отмазки шефу. > но это все же огромное понижение в статусе и, > вероятно, уровне жизни тоже даже с поправкой на из Мурома в LA. Что-то мне подсказывает что - таки - нефиговое повышение уровня жизни. Статус? Да, пожалуй. > наверное... не очень уверен что не наоборот. Ну как, Маск уже проверил, 80% можно уволить и разницы особо не видно. > Эти дешевые, а экономить надо > на дорогих. Это отлично работает. До первой серьезной инженерной проблемы. Кто тебе ее решит? Эффективные 2 часа в день питоняши? Они ж только пыль в глаза пускают о супернужности. Приходится резко извиняться и предлагать повышение оклада вооон тем которых по ошибке приняли за хомячка, а оказалось что это гордый суслик был... > я много чего умею но в отрыве от привычной среды все это > крайне малополезные умения. Ну вот тут я хз что для тебя привычная среда - кажется, не то что ходовое, попсовое, беспроблемное и имеющее применение в каких-то реальных кейсах. А покупать спецом для тебя какую там еще соляру/aix/etc или трахаться с *bsd - да, предсказуемо мало кто захочет. > Не то чтоб совсем нигде не надо, но см выше - по > сотне-две кандидатов на одну позицию не считая тех кого линкедин н видит. Это намекает что род занятий был слишком примитивный и легкодоступный. Надо было себя апгрейдить немного, чтоли, чтобы умеющих так же, на том же уровне, было поменьше... > Возьмут, разумеется, местного а не понаеха. Это если местный с нужными скиллами есть, см выше про примитивные занятия. > поспокойней им не предлагали. Не все выигрывают гринкард в лотерею. Многие его > никогда не выиграют. Есть еще такая штука как H1B... если тушка нужна, его таки делают. И все упирается в нужность тушки. Но ессно для этого надо уметь что-то выше среднего, чтобы локальных таких же не особо водилось. > я в поганых не работаю, я в хороших работаю. Они входят в Fortune 500? Или в чем их хорошесть состоит? > Проблема только в том что они не в той стране. Это уже звучит подозрительно. Хорошие, кстати, нередко еще и помогают с релокейшном. > на пустом рынке - да. А на переполненом - да зачем, там из этих ста десять отберут Ну так нехрен лезть на переполненые направления, рубаясь с бангалорцами. В твоем возрасте наверное уже можно уметь чуть поболее эникея, не? А, за чес ЧСВ супер-фирменными мега-операционками и правда нихрена не платят нынче. Но к этому, так то, давно шло. То что до тебя за пару десятков лет не доперло наверное твой тупняк. > идеальных и устроят между ними бои в грязи, просто чисто поржать. Какой из этого вывод? Неплохо бы качнуть скиллы до уровня когда ты смотришь на эту возню сверху. > вот в этом и прокол. Ты даже не в курсе с чем > ты столкнешься попробовав поработать в чем-то крупном. Знаешь в чем твой прокол? 1) С чего ты взял что меня не было в этих крупных? 2) С чего ты взял что работа в этих унылках моя самоцель? Правильно все же петя сказал - есть желание, есть 1000 возможностей. Нет желания, есть 1000 отмазок. Я правда решительно не понимаю смысла отмазываться когда вопрос о своем окороке идет, своему окороку от этого лучше явно не станет и на..ть так можно разве что сам себя, не? Пойнт этого занятия остается для меня загадкой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #167

180. Сообщение от Аноним (180), 08-Июн-23, 15:41	+/–
man оффтопик, вероятно... вот вы наглые стали, еще и возмущаетесь что совсем уж офтоп потерли
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161 Ответы: #183

181. Сообщение от Аноним (180), 08-Июн-23, 15:51	+/–
Ну да, ну да, в теории бзды как бы неплохая штука. На практике - гимора кусок и дохреналион "нюансов" всех мастей и направлений, не от мира сего. Пример: себе контейнеры и VM делаю чем-то типа cp --reflink. Это просто, быстро и эффективно. Но у вас такого ж просто нет. Или bhyve vs kvm... эээ, чочо, "virtio driver is slow, ... known issue" (c) чувак бенчивший сетевой стек относительно более-менее свежего линуха? Ну офигенная операционка, и совсем не факап. Глядя на пачку виртуалок обвешаных virtio от и до, ога...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #178 Ответы: #182

182. Сообщение от Аноним (178), 08-Июн-23, 15:57	+/–
> Ну да, ну да, в теории бзды как бы неплохая штука. На практике - гимора кусок и дохреналион "нюансов" всех мастей и направлений, не от мира сего. Как же ты любишь пафосную и пустопорожнюю болтовню и спрыги с темы ... > Пример: себе контейнеры и VM делаю чем-то типа cp --reflink. Это просто, быстро и эффективно. Но у вас такого ж просто нет. Отличный пример, как с умным и уверенным видом нести чушь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #181 Ответы: #184

183. Сообщение от n00by (ok), 09-Июн-23, 05:43	+/–
Это было как раз по теме исходного сообщения. Его автор несколько плавал в вопросе, я начал задавать наводящие, что бы тот подумал. А onanim взял и сразу написал правильный овтет. ;(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #180

184. Сообщение от Аноним (149), 09-Июн-23, 10:16	–1 +/–
> Как же ты любишь пафосную и пустопорожнюю болтовню и спрыги с темы Рассказы фанов бсд про ОС мне напоминают посты с али про китайские ватты: всегда обещания оказываются лучше чем то что на самом деле будет. Сэр пох, между прочим, в перерывах между злопыханиями на другие темы - виндочку хвалит. Так что его сказки на тему ЗБС недорого стоят. А мне из чисто практических соображений сильно удобно ворочать 1 набором технологий на десктопе, серваках, одноплатниках и проч. Вот просто для реюза знаний и core технологии. Я так могу добиться большего. Пох и остальные фаны виндочки отлично иллюстрируют почему мне это кажется бенефитом относительно них. Вертикальное масштабирование и универсальность это хорошо, ниипет. > Отличный пример, как с умным и уверенным видом нести чушь. Дык у вас файлух умеющих этот трюк чисто технически нету. Это требует CoW семантику + хинт оной что мы хотим "копию" которая изначально 100% дедуп относительно вон того. Но вы конечно можете блеснуть эрудицией и рассказать как вы это делаете. Не, онлайн дедуп это вообще совсем не то уже по жрачу CPU и RAM. Вон то вообще совсем халявная и быстрая операция. Оно не создает проблему вместо того чтобы потом героически ее решать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #182 Ответы: #185

185. Сообщение от Аноним (178), 09-Июн-23, 10:56	+/–
>> Как же ты любишь пафосную и пустопорожнюю болтовню и спрыги с темы > Рассказы фанов бсд про ОС мне напоминают посты с али про китайские > ватты: всегда обещания оказываются лучше [...] Пох и остальные > фаны виндочки отлично иллюстрируют почему мне это кажется бенефитом относительно них. > Вертикальное масштабирование и универсальность это хорошо, ниипет. Сам опять что-то придумал, сам оспорил. Как тетерев на току, ей-ей. > Дык у вас файлух умеющих этот трюк чисто технически нету. Это требует > CoW семантику + хинт оной что мы хотим "копию" которая изначально > 100% дедуп относительно вон того. Но вы конечно можете блеснуть эрудицией > и рассказать как вы это делаете. Не, онлайн дедуп это вообще совсем не то уже по жрачу CPU и RAM. Вон то вообще совсем халявная и быстрая операция. Оно не создает проблему вместо того чтобы потом героически ее решать. Умный и уверенный вид ... ZFS: snapshot -> clone делает именно то самое, "совсем халявная и быстрая операция" как раз из-за CoW семантики, о Великий Гуру По Всему294
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #184 Ответы: #186

186. Сообщение от Аноним (149), 09-Июн-23, 13:05	–1 +/–
> Сам опять что-то придумал, сам оспорил. Как тетерев на току, ей-ей. А таки, пох деятельно иллюстрировал фу каким именно быть и почему. Да и бсдюки забавные ребята. Когда было реально актуально (в эпоху тормозных виртуализаторов) - в лине полноценная виртуализация сетевого стека (с своим независимым роутингом, фаером и проч) на годы раньше появилась. А потом виртуалки, видите ли, virtio научились, кому секурити важнее - смогли ими пользоваться с минимумом потерь, потому что это шустро (правда как обычно, не у вас). С точки зрения сабжа, давать доступ в системный кернел совсем untrusted - так себе идея. Вы настолько уверены в своем ядре что fuzz-тесты прямо на вас - не парят? В этом аспекте виртуализаторы лучше: untrusted не может fuzz'ить сисколы. Мне это больше нравится, если секурити в приоритете. > ZFS: snapshot -> clone делает именно то самое, "совсем халявная и быстрая > операция" как раз из-за CoW семантики, о Великий Гуру По Всему294 reflink имеет жирный плюс: это все менеджить вообше не надо. Оно не отсвечивает на уровень менеджмента совсем никак. При этом однако делая создание инстансов VM или контейнеров шустрым и эффективным. В этом его пойнт и состоит. И я буду за вот такой менеджмент систем. Туда же и системд кстати. Мне вот он вполне себе упрощает жизнь по дофига системным апспектам. Если у вас это не так, ну, оки-доки, удачи показать как там для вас ваши вэйности работают, желательно не путем ребутов в виндочку и рассказов про "серверные" системы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #185

187. Сообщение от Аноним (149), 09-Июн-23, 15:40	+/–
Ко мне тоже что-то недавно залетало, только пароли оно совсем не крякало. Трахнуло сервис, эксплойтом, я даже знаю какой. Вскоре оно не мелочась попыталось эскалироваться от души. И вот тут что-то пошло не так. Ядро упало в панику. Фигня случается, у меня ж не стоковые кернелы. Да еще... ...еще даже если бы оно в него смогло - ох, круто, только это была ARMовская виртуалка на x86 хосте. И я не в курсе архидемонов способных пересекать скрещенные силовые поля таким манером. Да и данных в сугубо тестовом сетапе - брать нечего. Смысл этого действа остался некоторой загадкой, возможно, законы Мерфи прикалываются и над атакуюшими тоже. Надо ж попытаться разъ...ть самую зубодробильную из всех конфиг да еще и без полезных данных, лол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #168

188. Сообщение от Пряник (?), 09-Июн-23, 16:14	+/–
Ага, ограничивать root - ловить муху в поле. Удачки!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #190

189. Сообщение от Пряник (?), 09-Июн-23, 16:15	+/–
Всё нужно. Просто не всегда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

190. Сообщение от Аноним (149), 10-Июн-23, 18:24	+/–
> Ага, ограничивать root - ловить муху в поле. Удачки! Вообще lockdown что-то такое попытается. И на каждую муху найдется свой дрон^W ласточка, или что там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #188

191. Сообщение от Tester (??), 15-Июн-23, 13:35	+/–
ты нам пытаешься объяснить что чукча умнее геолога?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

192. Сообщение от Аноним (-), 19-Мрт-24, 23:44    Скрыто ботом-модератором	+/–
Хотя SELinux в Роса Линукс всё равно не работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

193. Сообщение от Аноним (-), 19-Мрт-24, 23:50    Скрыто ботом-модератором	+/–
Лучше Smack, как на Tizen.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема