| |
| |
| |
| 4.39, Аноним (-), 00:09, 27/06/2016 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| –1 +/– |
> Вы так свято верите, что NSA SELinux защищает вас? Подскажу, что ключевое
> слово в нём "NSA".
Ты так говоришь, как будто NSA напихает бэкдоров в открытый код. А потом они сами не будут случайно бегать в мыле, когда всякие русские, китайские и исламские хакеры зайдут к ним в гости? Это было бы недальновидно, они тоньше работают. Всучили в SSL пробэкдоренный вариант эллиптических кривых и рады поуши. Тут правда некстати всякие Бернштейны подвернулись, а всякие непатриотичные гуглы даже в ssl библиотеки запихивают. Был бы гугл майкрософтом, а америка россией - кушали бы бы NIST P256 curve до скончания веков.
| | |
| |
| |
| 6.46, Аноним (-), 07:58, 27/06/2016 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
> Святая простота! Гугел настолько плотно работает со спецслужбами ... что ты так
> даже с девушкой своей не сможешь :-)
Так они поди сливают по запросу с своих серверов, тем более что бизнес-аналитики у них столько что они тебе про тебя расскажут больше чем ты знаешь о себе сам. А вот неконтролируемо лазить по своей инфраструктуре ни одна уважающая себя компания или служба не позволит. Хотя-бы потому что в конце концов этот бэкдор кто-нибудь найдет и получится как с комодохакером и дигинотаром. Те правда были совсем глупые и использовали активную директорию, так что после взлома аккаунта админа им оставалось только сушить весла.
| | |
|
|
|
|
|
| |
| |
| 3.36, Ilya Indigo (ok), 18:56, 26/06/2016 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
 > Локальным всегда считался пользователь, имеющий аккаунт в системе и доступ к выполнению
> произвольного кода под своим uid.
А системный, по вашему, не имеет ни того и ни другого?
Он точно также имеет учётную запись и также может выполнять код, разница лишь в том, что у него домашний каталог в /var/lib и оболочка не позволяющая ему авторизироваться, только получить полномочия от рута.
| | |
|
| 2.8, Ilya Indigo (ok), 01:40, 26/06/2016 [^] [^^] [^^^] [ответить] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| –1 +/– |
У локального пользователя пользовательская оболочка /bin/bash и установлен пароль. У системного /bin/false и нет пороля, что не позволяет ему авторизироваться в системе. А если вы изменили в vipw пользовательскую оболочку на /bin/bash и задали ему пароль, то вы системного превратили в локального, с тем отличием, что у него uid ниже 1000 и домашний каталого не в /home, а скоррее всего в /var/lib но это роли никакой не играет.
> пользователем, зашедшим через SSH...
Я, конечно, не пробовал заходить системным пользователем без пароля по публичному ключу, но даже если это возможно, то залогинитmся по SSH, как и через что угодно с пользовательской оболочкой /bin/false не возможно.
| | |
| |
| |
| |
| |
| 6.54, Ilya Indigo (ok), 07:35, 30/06/2016 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
>>Поднятые некромантом или призванные демонологом.
> Считается ли некромантологией случай, когда у демона хомяк в /var/empty а шеллом
> /dev/null ?
Это не никромантия, а какое-то костылестроение, или поттерство.
Системный хомяк должен быть у каждого системного пользователя в /var/lib/user_name или отведённом ему для этого месте в дистрибутиве. А для заглушки логина специально предназначено /bin/false, которое есть во всех дистрибутивах.
| | |
|
|
|
|
| 2.12, Вареник (?), 03:49, 26/06/2016 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| –1 +/– | |
Локальный - это значит имеющий учетную запись в данной системе, могущий что-то запустить с правами юзера (нерута).
Допустим запрос HTTP что-то выполняет на сервере, но произвольной команды такой запрос выполнить не может. А "локальный пользователь" - тот, кто может. Без разницы - с клавы или через SSH.
| | |
| |
| 3.21, Аноним (-), 12:55, 26/06/2016 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| –1 +/– |
> Допустим запрос HTTP что-то выполняет на сервере, но произвольной команды такой запрос
> выполнить не может. А "локальный пользователь" - тот, кто может. Без
> разницы - с клавы или через SSH.
А как запрос HTTP что-то выполняет на сервере, если у него юзера нет? А если в апаче/нгинхе/нужное вписать - дыра, позволяющая через HTTP выполнить произвольный код, запрос HTTP может выполнить команду или нет? Так имеет локального пользователя сервер HTTP или не имеет?
| | |
|
|
| |
| 2.9, Ilya Indigo (ok), 01:47, 26/06/2016 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| –2 +/– |
> фигово, что не написано ничего про 2.6.32 с шестилетними бекпортами, а у
> ональных бизнес-партнёров требуется подписка или access denied
1 О чём вы думали, когда вашим бизнес партнёрам RHEL без подписки предлагали вместо CentOS?
2 О чём думали ваши партнёры, когда соглашались на это?
3 Все ядра 2-ой версии устарели и не поддерживаются.
4 Red Hat всегда сам содержит все свои ядра, со своим блекджеком и патчами из актуальных ядер.
| | |
|
| |
| 2.18, Аноним (-), 10:39, 26/06/2016 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +5 +/– | |
> мля, о каких контейнерах вообще идет речь? lxc? вообще любых?
Контейнеры в Linux только одни, отличаются лишь инструменты и мелкие детали (доп. применение apparmor, selinux, seccomp и т.п.). Основа везде cgroups и namespaces. user namespaces последнее время почти во всех инструментах управления контейнерами поддерживается.
| | |
|
|
