https://slinkov.ru/openforum/vsluhforumID3/108569.html Под впечатлением от серии уязвимостей, о которых сообщалось (https://www.opennet.ru/opennews/art.shtml?num=44790) утром, разработчики OpenBSD приняли решение (http://undeadly.org/cgi?action=article&sid=20160715125022) об удалении функции монтирования файловых систем непривилегированным пользователем (sysctl kern.usermount=1). Из соображений безопасности начиная со следующего выпуска OpenBSD 6.0 монтировать разделы можно будет только с правами root, а sysctl-параметр kern.usermount будет игнорироваться.<br><br><br>В общем виде озвученные в вышеупомянутых уязвимостях проблемы в системном вызове mount названы вершиной айсберга, так как слишком много кода вовлечено в его работу, поэтому пользователям рекомендуется отключить поддержку режима монтирования обычными пользователями в своих системах (sysctl kern.usermount=0).<br><br><br><br>URL: http://undeadly.org/cgi?action=article&sid=20160715125022<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=44796<br> https://slinkov.ru/openforum/vsluhforumID3/108569.html#70 Sat, 23 Jul 2016 17:49:32 GMT Джо Неуловимый давно решил все свои проблемы...<br> https://slinkov.ru/openforum/vsluhforumID3/108569.html#69 Fri, 22 Jul 2016 06:09:27 GMT И в OpenBSD так<br> https://slinkov.ru/openforum/vsluhforumID3/108569.html#68 Tue, 19 Jul 2016 21:35:16 GMT &gt; У них там fuse есть?<br><br>Есть. Работает.<br><br>&gt; Вообще, если у системы вообще есть (непривилегированные) пользователи, то монтировать <br>&gt; нужно. А если система этого немогет, то это делает ее менее <br>&gt; юзабильной.<br><br>doas mount<br> https://slinkov.ru/openforum/vsluhforumID3/108569.html#67 Tue, 19 Jul 2016 10:40:03 GMT Дело в том, что созданные известными архитекторами эскизы, по которым был построен дом, были неплохо продуманы в этом плане, и не позволяли только на основании проникновения в дом завладеть доступом в сейф, вскрыв его грубой силой.<br>Для этого злоумышленнику нужно найти червоточину в защите, что усложняется тем, что червоточины регулярно находятся и залатываются работниками службы поддержки домоуправления.<br>Я заметил, что, в принципе, есть возможность получить доступ и без использования червоточин, обойдясь установкой скиммера на сейф.<br>Написав заметку об этом в местной стенгазете и сообщив о ней жителями других домов, я получил обвинения от одного специалиста в том, что занимаюсь глупостью.<br><br>И при чём тут passwd, которым многие никогда не пользуются, в отличии от /usr/bin/sudo, который требуется постоянно.<br> https://slinkov.ru/openforum/vsluhforumID3/108569.html#66 Tue, 19 Jul 2016 02:28:45 GMT Во-первых, не надо искажать мою аналогию, а то возникает впечатление, что ты хочешь не понять, а выиграть спор. В этом случае просто считай себя победившим и не пиши больше, спор ради спора меня не интересует. <br>Во-вторых, поясняю в рамках твоей аналогии - зачем возиться с фальшивой панелью, если можно просто взять и вскрыть сейф? Что собственно всегда и делается на практике. Только в исходном случае всё еще печальней, ведь трудоемкость подставления ввода в passwd и в sudo одинакова. <br> https://slinkov.ru/openforum/vsluhforumID3/108569.html#65 Tue, 19 Jul 2016 00:21:29 GMT Последнее объяснение с помощью аналогии, так как нормально Вы так и непоняли и умудрились даже иронизировать по этому поводу.<br><br>Вот я написал заметку: "сейф с цифровым замком должен быть таким, чтобы на него нельзя было нацепить фальшивую переднюю панель, которую могли бы прикрепить злоумышленники, в случае их проникновения в дом через дымоход, окно или дверь, и таким образом завладеть паролем и доступом в сейф."<br><br>Ко мне приходит специалист, и не разобравшись в заметке, начинает говорить, что всё и так понятно, но неправильно и вообще я веду себя не как житель дома, а сарая. По мере сил я пытаюсь разъяснить специалисту свою позицию, но тот мне перечит, что на самом деле я веду речь о том, что надо законопатить дымоходы, и до меня не доходит, что воры могут воспользоваться окном или дверью. И это несмотря на то, что я ничего не говорил о решётках на дымоходе и его конопачении, а только о повышении безопасности сейфа.<br>Специалист, уверенный, что открыватель Америки так ничего и не понял, уходит с гордо подня https://slinkov.ru/openforum/vsluhforumID3/108569.html#64 Mon, 18 Jul 2016 23:25:11 GMT Последнее объяснение с помощью аналогии, так как нормально ты похоже не понял. <br><br>Вот ты пишешь статью: "дымоходы небезопасны, воры могут ими воспользоваться и пока на них не будут ставить решетки надо своими силами их законопатить". Я предполагю, что имеется ввиду их использование для проникновения в дом и говорю, что с одной стороны это само собой разумеется, с другой стороны маловероятный способ проникновения и меры противодействия неадекватны. И тут оказывается, что ты говорил не о самом проникновении, а о том, что проникнувшие в дом смогут через дымоход вытащить вещи. Мысль о том, что они для этого могут воспользоваться дверью или окнами до тебя не доходит даже после явного ее высказывания. Ты все равно уверен, что воры будут тянуть вещи через дымоход и с этим надо бороться. <br><br>Если и после этого не дойдет, то извини, пояснительные картинки рисовать не умею. <br> https://slinkov.ru/openforum/vsluhforumID3/108569.html#63 Mon, 18 Jul 2016 20:32:46 GMT &gt; Ой, как всё запущено. Я думал ты пытаешься придумать как из под <br>&gt; пользователя админа ломануть, а ты оказывается вообще дурью маешься.<br><br>То есть, Вы 2-а раза не поняли о чём заметка, и выставляете это как доблесть?<br><br>&gt; Если уж <br>&gt; зловред может запустится под пользователем и подставить ввод в sudo, то <br>&gt; что мешает просто подставить ввод в passwd, зачем ждать у моря <br>&gt; погоды? Зачем дурацкая манипуляция путями, когда можно просто стать шеллом и <br>&gt; перехватывать вообще все команды независимо от относительных и абсолютных путей?<br><br>Я писал об этом в заметке. Вынужден констатировать, что и с 3-го раза Вы не поняли.<br>На всяки случай сообщаю, что если предпринять меры, то локальный прорыв закончится вместе с закрытой сессией.<br><br>&gt; Но кое в чем ты прав, я о такой глупости даже не <br>&gt; задумывался.<br><br>Ради бога, потешайтесь, не жалко.<br><br> https://slinkov.ru/openforum/vsluhforumID3/108569.html#62 Mon, 18 Jul 2016 19:48:58 GMT Похоже на то, что наступил "кризис жанра". Почему-то под Windows никто не задумывается о небезопасном монтировании флэшек. Всё как-то само получается, и пользователи не страдают.<br><br><br>