Проект HardenedBSD (http://hardenedbsd.org/), занимающийся улучшением механизмов защиты FreeBSD, представил (http://hardenedbsd.org/article/shawn-webb/2014-12-25/introdu... первый публичный выпуск инструментария secadm (http://hardenedbsd.org/sites/default/files/README.txt), предназначенного для организации применения к приложениям тех или иных дополнительных техник защиты. В состав secadm входит модуль ядра, взаимодействующий с фреймворком мандатного контроля доступа (MAC), библиотека с API и утилита для управления из командной строки.
Утилита secadm позволяет на уровне отдельных исполняемых файлов включать и выключать определённые дополнительные методы защиты. Новая система призвана заменить ранее предлагаемый инструмент ugidfw, изначально позиционированный как временное решение, не предназначенное для повсеместного использования. В настоящее время в secadm предоставлены средства для настройки использования ASLR (https://ru.wikipedia.org/wiki/Address_Space_Layout_Randomiza... (Address Space Layout Randomization), SEGVGUARD, mprotect (http://en.wikipedia.org/wiki/PaX#Restricted_mprotect.28.29) и PAGEEXEC. Конфигурация применения тех или иных дополнительных техник защиты определяется в формате JSON. Настройки можно переопределять на уровне отдельных jail (параметры одного jail-окружения не пересекаются с другими).ASLR представляет собой технику рандомизации раскладки сегментов данных и стека в адресном пространстве, усложняющую вычисление точек возврата функций, через которые можно передать управление своему коду в случае эксплуатации уязвимостей. MPROTECT и PAGEEXEC позволяют запретить исполнение кода в страницах памяти, не предназначенных для исполняемых инструкций. SEGVGUARD осуществляет отслеживание обращений к невыделенным страницам памяти (page-fault) и пытается определить попытки эксплуатации уязвимостей, например, на стадии перебора адресов для вычисления точки возврата.
URL: http://hardenedbsd.org/article/shawn-webb/2014-12-25/introdu...
Новость: http://www.opennet.me/opennews/art.shtml?num=41361
Sony будет довольна.
> Sony будет довольна.не только она. мне вот тоже радостно, что у кого-то по поводу сабжевой новости попная боль зачем-то есть;)
Боль тут только у некоторых безопасТников от BSD. Потому что в более приличных операционках все это уже много лет как есть.
> Боль тут только у некоторых безопасТников от BSD. Потому что в более
> приличных операционках все это уже много лет как есть.если вы намекаете на selinux - то MAC в freebsd 200 лет как есть.
> MAC в freebsd 200 лет как есть.Не 200, а 198.
>> MAC в freebsd 200 лет как есть.
> Не 200, а 198.0x815b00b6, я проверял!
> Боль тут только у некоторых безопасТников от BSD. Потому что в более
> приличных операционках все это уже много лет как есть.Хм, ну и как давно в ванильном ядре есть поддержка контейнеризации? Для сравнения, во FreeBSD она есть порядка 15 лет.
Может уже перестанете писать эти тупые провокационные комментарии (с целью разжечь holiwar на пустом месте)?
> Может уже перестанете писать эти тупые провокационные комментарии (с целью разжечь holiwar
> на пустом месте)?товарисЧь хотел как лучше - holy war, а получилось как обычно holy shit ))
s/holi/holy/
> s/holi/holy/Извиняюсь, мозг глюканул. Я раньше много лет писал «holyday» (вместо «holiday»), но мне сделали соответствующее замечание несколько лет назад. И сейчас почему-то внезапно сработал рефлекс написать «holi» и тут (притом слитно, как и в «holiday»).
> Хм, ну и как давно в ванильном ядре есть поддержка контейнеризации?Начиная с ядра 2.6.22 примерно стало появляться. В каком году это было - сами посмотрите.
> Для сравнения, во FreeBSD она есть порядка 15 лет.
Поэтому особенно позорно что весь рынок впсок отжал опенвз на пингвине :P.
> holiwar на пустом месте)?
Да просто улыбают такие преподнесения новья и крути при том что уже все мхом поросло.
>> Хм, ну и как давно в ванильном ядре есть поддержка контейнеризации?
> Начиная с ядра 2.6.22 примерно стало появляться. В каком году это было
> - сами посмотрите.И про что же конкретно речь?
>> Для сравнения, во FreeBSD она есть порядка 15 лет.
> Поэтому особенно позорно что весь рынок впсок отжал опенвз на пингвине :P.openvz — это не о ванильном ядре.
И любопытства ради не могли бы вы предоставить конкретные ссылки на статистику? Я лично сталкивался как и с jail-based, так и с openvz-based vds-хостингом.
> Да просто улыбают такие преподнесения новья и крути при том что уже все мхом поросло.
Вы про что?
Вот: http://mydebianblog.blogspot.ru/2007/07/2622.html
Чтобы далеко не ходить.
> Вот: http://mydebianblog.blogspot.ru/2007/07/2622.html
> Чтобы далеко не ходить.И что по данной ссылке нужно читать? Не вижу ничего связанного с обсуждаемой темой.
Тут тоже ничего по теме не видно (во всяком случае поиском по ключевым словам): http://mirror.linux.org.au/linux/kernel/v2.6/ChangeLog-2.6.22
> Тут тоже ничего по теме не видно (во всяком случае поиском
> по ключевым словам):А ты используй как ключевое слово что-нибудь про namespace-ы. Если не в курсе - смотреть про вызов clone() и новые флаги оного.
>> Тут тоже ничего по теме не видно (во всяком случае поиском
>> по ключевым словам):
> А ты используй как ключевое слово что-нибудь про namespace-ы.Это и было одним из опробованных ключевых слов.
> Если не в
> курсе - смотреть про вызов clone() и новые флаги оного.Я в курсе, как работать с namespace-ами в linux. Притом clone() тут не обязателен и поиск по нему тоже ничего не дал.
Те же CLONE_NEWIPC|CLONE_NEWUTS появились в 2.6.19, а не в 2.6.22. А CLONE_NEWNS (как и некоторые другие флаги), судя по всему, вообще существует с 2.4.19. А бОльшая часть инструментов для создания контейнеров появилась уже позже 2.6.22. Причём тут вообще этот 2.6.22? В общем, в любом случае на момент 2.6.22 до чего-то, что можно будет назвать контейнерами в современном понимании, как до неба. Так что прошу ответить прямо, что конкретно нужно читать о 2.6.22, либо вообще не продолжать беседу.
Да и хрен с ним с 2.6.22, по факту пригодные контейнеры в ванильном ядре появились совсем недавно (или ещё не появились? *), и FreeBSD как ни крути тут опередил Linux примерно лет на 15 (о чём я изначально и писал).
* Вон OverlayFS (очень полезный для контейнеров) появился только лишь в самых новых ядрах, в то время как во FreeBSD unionfs существует хрен знает сколько.
> И про что же конкретно речь?Namespaces разумеется. Впервые появилось в 2.6.22, по поводу чего этот ваш линуксятор до сих пор так и изображает нечто типа 2.6.18 ;).
> openvz — это не о ванильном ядре.
По минимуму работает уже и с ванилой. Что вдвойне позорно для некоторых - даже ванильное ядро в плане контейнерных фич здорово втыкает этим вашим jails. Да-да, времена когда пингвиноиды обтекали при слове jails - безвозвратно прошли. Теперь все ровно наоборот.
> И любопытства ради не могли бы вы предоставить конкретные ссылки на статистику?
Спросить нечто типа google://cheap vps. Там будут в основном openvz и, реже, kvm/xen. А хостинг с контейнерами на бзде я видел только один - firstvds. И это не хостер а кусок геморроя.
>> И про что же конкретно речь?
> Namespaces разумеется. Впервые появилось в 2.6.22, по поводу чего этот ваш линуксятор
> до сих пор так и изображает нечто типа 2.6.18 ;).В 2.6.22 не было даже и близко инструментов достаточным чтобы делать что-то вроде контейнеров. А вообще CLONE_NEWNS, IIRC, появился ещё даже в 2.4 (так причём тут 2.6.22?).
>> openvz — это не о ванильном ядре.
> По минимуму работает уже и с ванилой.Только-только начало (и то пока всё достаточно сыро). Я как раз про это и говорю, собственно.
> Что вдвойне позорно для некоторых
> - даже ванильное ядро в плане контейнерных фич здорово втыкает этим
> вашим jails. Да-да, времена когда пингвиноиды обтекали при слове jails -
> безвозвратно прошли.Но эти времена очень долго тянулись. А по факту ещё даже userspace API всяких cgroup до сих пор не стабилизировались.
> вашим jails
Нашим? Не знаю о ком вы, я бы себя отнёс к линуксоидам, ибо *bsd уже давно не пользуюсь.
> Теперь все ровно наоборот.
С чего это вдруг?
>> И любопытства ради не могли бы вы предоставить конкретные ссылки на статистику?
> Спросить нечто типа google://cheap vps.И где тут статистика jails vs lxc/docker (и на ванильном ядре, то есть без каких-либо AUFS)?
> Там будут в основном openvz и, реже,
> kvm/xen.И всё не имеет отношения к контейнерам на базе ванильного ядра Linux.
> А хостинг с контейнерами на бзде я видел только один
> - firstvds. И это не хостер а кусок геморроя.Я сталкивался на firstvds, и на nic.ru, IIRC. Хотя чужим хостингом я пользовался очень мало/редко.
Проприераст спалился
>мне вот тоже радостно, что у кого-то по поводу сабжевой новости попная больЭто называется злорадство - вся суть копирастии.
YAML лучше чем JSON
> YAML лучше чем JSONАдепт Петона?
Они для разбора и генерации конфигов используют библиотеки libucl и libxo, так что могут предусмотреть формат конфигов ini, xml и yaml по идее. Но многие люди в рассылке настаивают на использовании json конфигурации всей системы.
Чем лучше?
Чем json
В JSON -- нет комментариев.Только идиот может придумать формат конфигов без комментариев.
JSON это такой текстовой формат , что выполнив eval в JavaScript получим годную структуру данныхvar txt="{aaa=>'bbb'} //Hello";
var vvv=eval(txt);
console.log(vvv);Получим в логе
aaa=>'bbb'Так что комментарии есть
прости.. что-то не получается твой примерделаю всё как ты сказал:
var txt = '{"aaa": "bbb"} //Hello' // эта строчка валидна для JS,
// значит должно прокатить и для JSON?
var vvv = JSON.parse(txt)
console.log(vvv)в результате -- ошибка:
JSON.parse: unexpected non-whitespace character after JSON data at line 1 column 16 of the JSON dataскажи, дружище! это что -- разве баг функции ``JSON.parse()`` ?
в документации к JSON-формату[*] -- ни чего не сказанно про комментарии
----------
[*] http://www.json.org/
> В JSON -- нет комментариев.В JSON5 - есть!
>> В JSON -- нет комментариев.
> В JSON5 - есть!да, в JSON5 есть..
а в JSON комментариев нет
(кстати.. почему кто-то вспомнил про JSON5? его же ведь ни где не применяют, и покачто даже не собираются..)
Селинкс для фряхи?
учи матчасть - man MAC - если мы говорим о selinux.
Скорее что-то типа https://ru.wikipedia.org/wiki/Hardened_Gentoo (где selinux как часть)
МАС, ASLR, PAX, ностальгия - это так прекрасно. Читая новости о FreeBSD прям вспоминаю детство. :D
Дауж, как тут не вспомнить, что настройка всех редхатов начинается с:echo 0 > /selinux/enforce
Ну в общем да :)
Хотя с 7-го обещали всё по чесноку.
Я все маны, которые содержат подобное, выкидываю куда подальше. У меня все системы работают с включенным selinux.
Ну. Мне кажется, что будет намного эффективнее выключать selinux на период первичной настройки. _После_ настройки перевести его в режим «permissive», чтобы увидеть все проблемы. Устранить все проблемы, а только потом «enforcing». Если вы всю процедуру настройки системы проводите в режиме «enforcing», то мне кажется, что либо вы нихрена не делаете, либо врёте, либо вы тратите тонну человеко-часов в пустую. Прошу простить, если ошибаюсь.
> Я все маны, которые содержат подобное, выкидываю куда подальше. У меня все
> системы работают с включенным selinux.вот и выросло поколение убунтоголовых которые называют "манами" какие-то стремные хауту выцепленые в гоогле, лол
идиоты выключают selinux, а нормальные люди давно пользуются Обычно к каждому сервису идёт документация от того же редхат как добавить изменить политику selinux чтобы та или иная функция из этой службы заработала. А те кто не читает документацию и не хочет ничему новому научится, те выключают selinux !
> Обычно к каждому сервису идёт документация от того же редхат как добавить изменить политику selinuxДокументация от этих жадных товарищей бабла стоит. За бесплатно они только systemГ в массы выпускают. Ну еще федору с 3-м гномом поверх systemГ
>> Обычно к каждому сервису идёт документация от того же редхат как добавить изменить политику selinux
> Документация от этих жадных товарищей бабла стоит. За бесплатно они только systemГ
> в массы выпускают. Ну еще федору с 3-м гномом поверх systemГШутите или вы из Микрософт?
Документация на redhat последние лет 5 минимум находятся по адресу http://docs.redhat.com
Например тут написано для 7 RHEL https://access.redhat.com/documentation/en-US/Red_Hat_Enterp... как в selinux для ftp сервера разрешить запись анонимам.
А тут документация по всему Selinux к той же "семёрке"
https://access.redhat.com/documentation/en-US/Red_Hat_Enterp.../
Более старые версии тоже там есть! И тоже есть по Selinux доки к этим старым версиям.
К Федоре тоже никаких проблем нет с документацией
Вот есть ссылки по документации от 7 Федоры до последней 21й https://docs.fedoraproject.org/en-US/Fedora/21/html/Installa.../
Вы вообще на официальных сайтах дистрибутивов Линукс бываете? или всё по трекерам ищите?
к таким идиотам относится OpenVZ, у которого sellinux отключается в конфиге ядра.
особенно федорки!
вот на кой они по умолчанию включают селинукс в системе для локалхостов, ума не приложу
> особенно федорки!
> вот на кой они по умолчанию включают селинукс в системе для локалхостов,
> ума не приложупишешь в /etc/hosts что у тебя localhost=например8.8.8.8 и атакуешь с этого сайта.
Никогда не сталкивались с хитростью врага?
Инструкции по установке некоторых (ворованных) игр тоже иногда первым пунктом содержат требование выключить антивирус. Но это ж не показатель.
как ни грустно - а фак(т)
> Я не лучше, но это не отменяет моего желания видеть в главном
> главное. Спасибо, что потратили время на ответК сожалению, у опеннета есть давняя традиция сортировать новости абсолютно невменяемо. В важное зачастую попадает нечто, важное для полутора человек на всю планету. С главным такая же фигня. Ну вон NixOS какой-нибудь - для кого он главный? Это стеб такой наверное. Ах да, важное и главное - это 2 разных понятия, между прочим. Зачем это вот так и чем это отличается - понимает наверное только сам создатель ресурса. А большинство людей считает эти слова синонимами. А вот нифига - там разные новости, обломитесь.
С другой стороны, в мини-новости часто попадает нечто затрагивающее толпу народа, etc и с фига ли оно при таком раскладе мини - я далеко не всегда понимаю. Это при том что я сюда новости пишу, заметим :). Раскладываю новости не я, разумеется, и для меня этот процесс по моему опыту выглядит как нечто типа if (random(10) > 5).
В силу такого абзаца лично я вообще не вижу смысла делить новости на мини и главные и читаю их одной кучей. Потому что понятия о мини, главности и прочая у создателя ресурса весьмы странные.
Прочитал сначала SECAMD, подумал вроде 21-й век на дворе, неужели опять аналоговое телевещание кого-то заинтересовало...
Может пожалуйста объяснить зачем все эти механизмы нужны? В общих чертах пожалуйста.