1.1, Аноним (1), 15:27, 12/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Динамические правила на уровне приложения (с привязкой к иноде экзешника на диске и пид запущенного кода, с защитой от подмены) там не хотят добавить в линукс?
| |
|
2.2, Аноним (2), 15:30, 12/01/2023 [^] [^^] [^^^] [ответить]
| +6 +/– |
ты понимаешь, что это бред? есть миллион способов обойти эти правила, например через создание подпроцесса "curl". Всё, пид там будет другой. "Индоа экзешника" тоже другая. И ничего не "подменено".
| |
|
3.3, Аноним (1), 15:35, 12/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Именно. Нужна проверка, что файл именно тот, который был в момент установки правила.
| |
|
4.5, Аноним (1), 15:37, 12/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Кстати, с неймспейсами можно без проблем запихнуть всех потомков в те же рамки. Но надо контролировать, что родительский процесс именно то чем представляется. Может хеш бинаря в памяти проверять тоже.
| |
4.6, Аноним (6), 15:38, 12/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Тебе нужен явно другой инструмент... Например, апармор может наследовать права при запуске дочернего процесса, и пофик, какая там будет нода и пида.
| |
|
|
|
7.71, Аноним (1), 20:08, 13/01/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Собственно, да, при запуске проверять что это тот самый файл, потом разрешающее правило привязывается и не должно быть возможности подменить процесс, файл, или код.
| |
|
|
|
|
|
2.8, Аноним (8), 15:57, 12/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Запускай нехорошие приложения в network namespaces с зарезанным доступом в сеть. Ну или android-way, от другого пользователя с фильтрацией по owner в iptables
| |
|
3.12, Аноним (1), 16:22, 12/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Угу, очень многие приложения хотят локалхост для работы и чтобы выполнить ip link set lo up надо мапить рута в неймспейсе, и в итоге все приложения проверяющие айди считают что запущены от рута и имеют много лишних возможностей. Есть назойливый софт, отказывающийся запускаться от рута опять же, или работающий иначе. Пока единственное решение запуск от другого пользователя, но мне хотелось бы видеть список исходящих соединений процесса и разрешать/блокировать их в интерфейсе.
| |
|
|
5.39, Аноним (1), 23:45, 12/01/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
А это не хуже? Потому что unshare не получает реальных админских прав, только в неймспейсе рут.
| |
|
6.40, Аноним (1), 23:48, 12/01/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Но кстати этого рута в неймспейсе емнип достаточно чтобы выставить cap_sys_admin+ep для любого файла, так что тоже такое себе.
| |
|
|
|
3.62, Аноним (62), 12:34, 13/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Ты неправ, аноним, нужно запускать в cgroup net_cls. Неймспейс тот же, но по clsid можно фильтровать как минимум в nftables, но может, и под iptables есть модуль.
| |
|
2.65, ivan_erohin (?), 14:01, 13/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
> правила на уровне приложения (с привязкой к иноде экзешника
все эти грабли проходили на винде, когда пытались сделать непробиваемые групповые политики ограниченного использования программ. но у кого-то опять зудит. а на чужой опыт наплевать.
| |
|
|
4.72, ivan_erohin (?), 22:06, 13/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
предполагаю, что достаточно убить или пропатчить сервис AppIdSvc или как его там.
это как SElinux отключить.
| |
|
5.73, InuYasha (??), 23:51, 13/01/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
А почему тогда "пытались"? Вроде, на винде полно сервисов работает. Даже в звербанке.
| |
|
6.74, ivan_erohin (?), 06:59, 14/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
> А почему тогда "пытались"?
потому что это должно не отключаться так просто.
т.е. находиться в ядре (по рандомным адресам хехе).
и не модулем.
| |
6.75, ivan_erohin (?), 07:18, 14/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
я забыл сформулировать в чем именно грабли.
1) прежде чем что-то запрещать или разрешать,
необходимо точно идентифицировать "приложение",
чтобы хитрый киберпреступник не смог идентификацию подделать.
вопрос: как ?
по имени и пути (такие попытки были) ? это смешно.
по иноду и чему-то там еще, как предложил первый анон в треде ? анон не в курсе про хардлинки.
по хэш-сумме бинарника ? тормоза на старте, до первого обновления.
2) что делать если "приложение" способно и будет создавать от себя другие "приложения" ?
возможна эвристика против обычных юзеров: либо +r+x, либо +w. если +w+x - не запускать вообще.
предлагаю рассмотреть самостоятельно.
| |
|
7.77, Аноним (77), 01:03, 16/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
> анон не в курсе про хардлинки.
У всех хардлинков на один файл одинаковый inode.
| |
7.82, Аноним (82), 21:44, 20/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
> что делать если "приложение" способно и будет создавать от себя другие "приложения" ?
У каждого процесса есть родитель. Эту цепочку можно отследить.
| |
|
|
|
|
|
|
1.4, Аноним (4), 15:36, 12/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +17 +/– |
"Но как, Холмс?"
Кто пояснит, почему от простых и понятных правил, которыми и был удобен iptables, отказались в пользу мешанины из фигурных скобок?
| |
|
2.10, Аноним (-), 16:03, 12/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Можно каждое правило отдельной строкой команде nft передавать.
| |
2.13, пууук (?), 16:26, 12/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Так никто не отказался, вон все твои "простые" правила сохранили и продолжают пилить. Пользуйся на здоровье, а движок стал лучше и быстрее.
| |
2.18, Аноним (18), 17:53, 12/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
В современном мире надо эмитировать развитие даже если продукт завершён, иначе скажут что оно протухло и заброшено.
| |
|
3.29, пох. (?), 20:16, 12/01/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Скромное напоминание: обещанного рыжым аналога ipchains -C "как только так сразу же" так и не завезли. Как и работающего gre фильтра/ната. Как и работающего матчинга по ipsec sa. И много еще чего. Все что тебе надо знать про "развитие" и "завершенность".
Т.е. оно недоделано, доделано никогда не будет, и действительно протухло и заброшено уже ПЯТНАДЦАТЬ гребаных лет - ровно с момента когда рыжему, видимо, предложили непыльную должность в коммерческой лавке.
Что не мешает ему быть лучшим на сегодняшний день пакетным фильтром, но, увы, лучшим из худших.
Просто остальные либо за деньги, либо г-но полное и абсолютное.
| |
|
2.34, Аноним (33), 21:51, 12/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Потому, что «мешанина из фигурных скобок» удобно парсится и генерируется компьютером. А руками правила для фаерволла пишут только админы высоконагруженных локалхостов. В современном мире принято оперировать высокоуровневыми концептами, а не хардкодить номера портов, айпишники и прочие переменные.
| |
|
3.78, Аноним (77), 01:11, 16/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Интересно посмотреть на исследование сколько в современном мире хостов администрируют корпорации, а сколько - "админы локалхостов", думаю исследование провалится ещё на обсуждении терминов кто есть кто =)
| |
|
|
|
2.14, Аноним (6), 16:51, 12/01/2023 [^] [^^] [^^^] [ответить]
| +9 +/– |
> Лучше бы json
лучше бы лекарство от жысон головного мозга придумали.
| |
|
3.15, Аноним (1), 16:58, 12/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Жсон очень удобен для шелл-скриптов. Лучше и безопасней xml опять же.
| |
|
|
5.41, Аноним (41), 00:02, 13/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Нет, sed придумали умные люди, которые в отличие от тебя понимают, что такое область применимости. Именно поэтому sed не умеет работать с json и именно поэтому ты этого не понимаешь.
| |
|
6.54, анонна (?), 01:01, 13/01/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Нет, sed придумали умные люди, которые в отличие от тебя понимают, что
> такое область применимости. Именно поэтому sed не умеет работать с json
> и именно поэтому ты этого не понимаешь.
я поражаюсь новым поколениям программистов, которые не видели линукса во времена отсутствия системд)) они вечно ищут что то что усложнит работу, но им будет казаться, что так лучше)) вы прям как строители забивающие гвозди микроскопом))
| |
6.58, Анончик (?), 04:27, 13/01/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
sed не для парсинга если что, это потоковый редактор всего навсего.
| |
|
7.86, анонна (?), 05:11, 27/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
> sed не для парсинга если что, это потоковый редактор всего навсего.
кстати да браузер тоже ток читалка html разметки, а погляди че натворили?)))
| |
|
|
|
|
|
|
1.20, Аноним (20), 18:26, 12/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Это надо быть сверхчеловеком чтобы помнить все эти правила. Как-то надо было настроить, с трудом разобрался, через неделю залез в конфиг и ничего не понял от слова совсем.
| |
|
2.42, Аноним (33), 00:08, 13/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я тебе секрет професии открою, только не рассказывай никому. Вместо того, чтобы заучивать правила, разберись с принципом работы и научись быстро искать нужное в мане. А свободное время можно потратить на что-нибудь приятное.
| |
|
3.46, Аноним (46), 00:31, 13/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
К счастью я выпилился из ойти и вкатился в сварщики на севера вахтовым методом. Сказать что доволен - ничего не сказать. Лишь жалею, что не сделал это раньше.
| |
|
2.55, Аноним (55), 03:03, 13/01/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Работаю админом. Тоже ничерта не помню эти таблицы, правила, ipсеты, каждый раз когда нужно потрогать iptables - разбираю с нуля.
Мне тоже хотелось бы попроще.
| |
|
3.66, пох. (?), 14:34, 13/01/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Учи firewalld - он как раз для тебя, попроще. Синтаксис немного уе..нский, но разбираться - ни в чем не надо, просто запомнить.
Собственно, того же самого можно было бы добиться просто дисциплиной и соглашениями, но это во-первых к твоему начальнику, а не к тебе, во-вторых зачем... firewalld тебе навяжет такую дисциплину, которая необходима. Плюс перехода на новые-модные nft ты даже и не заметишь.
И пришедший на твое еще неостывшее место сможет продолжить с той же точки без лишнего времени на разбирательства.
| |
|
2.63, Аноним (62), 12:36, 13/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
В nftables можно писать комментарии к правилам, считать по счётчикам, и вообще кучу всякой метаинформации сохранять.
| |
|
3.64, я (?), 13:55, 13/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
В iptables тоже можно писать комментарии и считать по счётчикам, если уж на то пошло.
| |
|
|
1.28, Аноним (28), 19:20, 12/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Я наверно тоже ИДИОТ, ufw мне всегда хватало. А iptables кроме как платной поддержкой с курсами - никак оправдать не могу. Но любопытно проверить, вот напишите мне правило, которое я не смогу повторить в ufw? Встряхну кудрями вьющимися, не за деньги :-)
| |
|
2.30, пох. (?), 20:20, 12/01/2023 [^] [^^] [^^^] [ответить]
| –4 +/– |
ты не наверное, ты точно.
Впрочем, определение из викивракии - человек, страдающий глубокой формой умственной отсталости (олигофрении), очевидно не вполне тебе подходит. Ты ей - наслаждаешься.
| |
2.56, Аноним (55), 03:09, 13/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Так то ufw сам iptables юзает и надо заметить довольно мусорно после него становится. Так что при большом желании всегда можешь "доделать" правила ufw через iptables, даже если что то в ufw нельзя будет сделать. То есть у задачи нулевая практическая ценность.
| |
2.76, Роман (??), 21:00, 14/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
как там сделать NAT - хотя бы простой с маскарадом, без вписывания параметров для iptables вручную? мой беглый гугл не помог, предлагают руками лезть в before/after rules
| |
|
1.70, InuYasha (??), 19:39, 13/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
А... э... за 4 года уже даже я переписал все свои хотелки на nft. И синтаксис там реально удобнее, даже с комментариями. Нечастый случай когда инновации реально полезны.
Хотя, наверное, на ipt ещё дофига всего держится. Какие-нибудь openWRT и проприетарные аналоги с гуями под это дело.
| |
|
2.79, Аноним (77), 01:22, 16/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
И не жалко вам было 4 года потратить на переписывание одного и того же?
| |
|
3.80, InuYasha (??), 14:22, 16/01/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
4 года делали ОНИ, а не я. А я ща эти годы потратил 3-4 дня, наверное.
| |
|
|
|