В дополнение к прекращению (https://www.opennet.me/opennews/art.shtml?num=44796) поддержки монтирования файловых систем непривилегированным пользователем разработчики OpenBSD удалили (https://www.openbsd.org/60.html) ряд подсистем, которые потенциально могут оказывать негативное влияние на безопасность, создавая дополнительные цели для проведения атак. В состав OpenBSD 6.0, релиз которого намечен на 1 сентября, не войдёт система ограничения системных вызовов systrace (http://www.citi.umich.edu/u/provos/systrace/) и компоненты эмуляции Linux (https://www.openbsd.org/papers/slack2k11-on_compat_linux.pdf). В OpenBSD 6.0 также будет включён по умолчанию механизм защиты W^X (https://www.opennet.me/opennews/art.shtml?num=44506) и добавлены настройки sysctl net.inet.tcp.rootonly и net.inet.udp.rootonly, позволяющие выборочно запретить приём соединений по указанным в списке сетевым портам непривилегированными процессами.URL: https://www.openbsd.org/60.html
Новость: http://www.opennet.me/opennews/art.shtml?num=44867
В OmniOS наоборот, добавили https://wiki.smartos.org/display/DOC/LX+Branded+Zones
и даже в вантуз
ну им то терять нечего) кучей уязвимостей больше, кучей меньше...)
загрузчик удалите, безопасность вырастет до недосягаемого уровня
> загрузчик удалите, безопасность вырастет до недосягаемого уровняНе поможет, так как можно загрузится с флешки/CD.
>> загрузчик удалите, безопасность вырастет до недосягаемого уровня
> Не поможет, так как можно загрузится с флешки/CD.разница между boot, cdboot и pxeboot - минимальна, и это всё - загрузчики :)
Нельзя - системе для этого всё-равно нужен загрузчик. Лучше удалить процесс init.
> Нельзя - системе для этого всё-равно нужен загрузчик. Лучше удалить процесс init.Ну-ну. Потом будет "ой, не удалить, а заменить! Только инит!".
Знаем, проходили … и вообще, Леннарт залогинтесь!
УРА! Наконец-то я этого дождался.
фишка в том, что в некоторых подсистемах версия i386 тупит, как комментаторы на опеннете в день релиза OpenBSD. и официальная позиция отвечающих за эти подсистемы: "и фиг с ним". чтобы сравнить, достаточно запустить в kvm openbsd/i386 и openbsd/amd64 - если, конечно, дождётесь запуска версии i386. поэтому версия amd64 применяется всегда, когда это возможно: а эмуляции linux нигде, кроме i386, никогда не было. если после этих изменений версия для i386 будет работать в kvm и на реальном железе, я тоже скажу "ура, наконец-то я этого дождался"
> фишка в том, что в некоторых подсистемах версия i386 тупит, как комментаторы
> на опеннете в день релиза OpenBSD. и официальная позиция отвечающих за
> эти подсистемы: "и фиг с ним". чтобы сравнить, достаточно запустить в
> kvm openbsd/i386 и openbsd/amd64 - если, конечно, дождётесь запуска версии i386.
> поэтому версия amd64 применяется всегда, когда это возможно: а эмуляции linux
> нигде, кроме i386, никогда не было. если после этих изменений версия
> для i386 будет работать в kvm и на реальном железе, я
> тоже скажу "ура, наконец-то я этого дождался"Я даже в виртуалках со сравнительно небольшим объёмом памяти использую amd64, чисто из-за параноидальности. Дело в том, что у amd64 чисто по определению куда более эффективный ASLR.
> Я даже в виртуалках со сравнительно небольшим объёмом памяти использую amd64, чисто
> из-за параноидальности. Дело в том, что у amd64 чисто по определению
> куда более эффективный ASLR.случаи всякие бывают. иногда и i386 нужно.
Поделитесь опытом, если не сложно.
> Поделитесь опытом, если не сложно.Какое-нибудь старое железо используемое в качестве лабы. У меня например для этих целей служит пожилой старикан Asus S200n.
Когда уже оставят одно ядро? А то сколько векторов для атак в юзерспейсе.
> Когда уже оставят одно ядро? А то сколько векторов для атак в
> юзерспейсе.Ядро первым делом надо убрать. Вона сколько у него системных вызовов, и вы только подумайте что они позволяют! Все хакеры ими пользуются!
Я что-то не понял:как от удаления средства ограничения сисколов может стать безопаснее? Тео был под шафэ?
> Я что-то не понял:как от удаления средства ограничения сисколов может стать безопаснее?
> Тео был под шафэ?Баян какой-то.
http://daemonforums.org/showthread.php?t=9795
>[оверквотинг удален]
>required a review and revision of the permitted system calls. At one time, there
>was a central repository of user-suggested policies -- called the "Hairy Eyeball
>Project" -- but each user had to conduct their own audit, and once the project
>ceased operations (2004? 2005?), users became completely responsible for their
>own policy development, and usage waned. In addition, a carefully crafted
>application could circumvent systrace() policy enforcement, and when that was
>discovered and published, the use of systrace() as a security tool ended.
> In addition, a carefully crafted application could circumvent systrace() policy
> enforcement, and when that was discovered and published, the use of systrace() as a security tool ended.
> Finally, a much simpler and more deployable system call policy management tool has replaced systrace(): pledge(2).
> Я что-то не понял:как от удаления средства ограничения сисколов может стать безопаснее?
> Тео был под шафэ?Нет, это автор новости (переводчик?) что-то странное написал. Всё проще: как уже написал номерной аноним выше, в OpenBSD появилась pledge. Дело в том, что systrace по факту мало использовалась, только в нескольких системных сервисах и (опционально) при сборке портов. При этом systrace добавлял до 25% времени на эту самую сборку. Сейчас espie@ допиливает dpb и, в частности, proot, что вместе с pledge банально делает systrace излишним.
Хотя я по нему, всё же, немного скучаю. Он был прикольный. :)
новости удаления подсистемы эмуляции Linux - примерно полгода. а в состоянии "не поддерживается, будет удалено" она пребывает и того больше.
/sbin/sysctl anal.fence=1
> /sbin/sysctl anal.fence=1По этой команде на админа одеваются бронетрусы?
ОДНИ бронетрусы
Пофиг. Ждем новую песенку.
> Пофиг. Ждем новую песенку.песенок будет 6
первая уже появилась на сайте
> песенок будет 6Походу песенки они пишут быстрее чем операционки. Может ну его нафиг эти операционки и лучше им в эстраду податься?
> Походу песенки они пишут быстрее чем операционки. Может ну его нафиг эти
> операционки и лучше им в эстраду податься?Учитывая количество пишущего народа и возможности этой самой операционки, лапчатые отчаянно завидуют эффективности.
Действительно, разработчики линя все вместе взятые и полстолько песенок не написали. Лохи, что с них взять.
> Действительно, разработчики линя все вместе взятые и полстолько доков не написали.fix.
> Лохи, что с них взять.вам виднее.
О чем ты?
> О чем ты?У-у-у-у, темнота: http://www.openbsd.org/lyrics.html
В OpenBSD из соображений безопасности полностью удален код OpenBSD
> В OpenBSD из соображений безопасности полностью удален код OpenBSDтогда получится NetBSD 1.1 :)
Который будет удален следующим коммитом.
>> В OpenBSD из соображений безопасности полностью удален код OpenBSD
> тогда получится NetBSD 1.1 :)нет BSD - нет уязвимостей.
Неуч! Нет BSD - BSD-уязвимостей.
Но для тебя останутся все уязвимости твоей убунты в VB, твоего VB в фииндовсе, и твоего фииндовса :) Ну то есть неуязимым остается только силовой кабкль к компу :)
PS: Led - я стебусь. Я знаю что ты не винтузятник, но пятница и душа просит веселухи :)
> но пятницаУ вас, петросянов, она уже седьмая на этой неделе.
> в фииндовсе, и твоего фииндовса :) Ну то есть неуязимым остается
> только силовой кабкль к компу :)Кабель уязвим к топору атакующего и уборщице со шваброй.
А что кто то сомневался что Тео - знатный тролль?! :-)
В OpenBSD из соображений безопасности удалено ядро. Оставлены только песенки.
> добавлены настройки sysctl net.inet.tcp.rootonly и net.inet.udp.rootonly, позволяющие выборочно запретить приём соединений по указанным в списке сетевым портам непривилегированными процессами.Могучее решение, учитывая что сбиндить порт на общеупотребимый привилегированный сервис и так без рута низзя. А тут с такой дефолтной фичей если уж присовывать будут то сразу гарантированно в привилегированный процесс, иба чо уж мелочиться то. А абизяны будут непривилегированные процессы от рута пушшать, кто эту настройку ниасилил.
>> добавлены настройки sysctl net.inet.tcp.rootonly и net.inet.udp.rootonly, позволяющие выборочно запретить приём соединений по указанным в списке сетевым портам непривилегированными процессами.
> Могучее решение, учитывая что сбиндить порт на общеупотребимый привилегированный сервис
> и так без рута низзя. А тут с такой дефолтной фичей
> если уж присовывать будут то сразу гарантированно в привилегированный процесс, иба
> чо уж мелочиться то. А абизяны будут непривилегированные процессы от рута
> пушшать, кто эту настройку ниасилил.google:priviledge%20dropping