Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Режим отображения отдельной подветви беседы | [ Отслеживать ] |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
23. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | –2 +/– | |
Сообщение от Аноним (23), 29-Июл-18, 16:06 | ||
когда хотели изобрести SELinux, но не догадались вынести список файлов в отдельный конфиг, чтобы не патчить весь софт. | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от Аноним (28), 29-Июл-18, 17:02 | ||
> когда хотели изобрести SELinux, но не догадались вынести список файлов в отдельный | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от anonymous (??), 29-Июл-18, 18:00 | ||
Когда кто-то хотел сумничать, но громко напузырял. Пути сцеплены с логикой приложения. И разделять их можно только от безисходности (это база проектирования любой системы), собственно selinux и реализует костыльный вариант. | ||
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору |
29. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | –4 +/– | |
Сообщение от Аноним (29), 29-Июл-18, 19:27 | ||
Что в SELinux костыльного? Реализация в ядре, гибкая настройка всего и всея в юзерспайсе. Опенбздишнекам стоило бы поучиться, а не дрчить протезной лапой, как обезьяна в "Кремниевой долине" | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | –1 +/– | |
Сообщение от adaww (?), 29-Июл-18, 19:45 | ||
чувааак ! тут недавно нет бсд 8 вышла...;) с тем же pkgsrc...не нравится опенка ибашЪ юзай ее или фрю. и не иби мозги... | ||
Ответить | Правка | Наверх | Cообщить модератору |
32. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +5 +/– | |
Сообщение от Аноним (31), 29-Июл-18, 20:38 | ||
Все. Потому что написание правил selinux заслуженно считается крайне трудоемким занятием, требующим сотни человекочасов для тестирования всех случаев. | ||
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору |
36. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok), 29-Июл-18, 20:54 | ||
Верно. Как раз для Chrome уже давно реализована песочница на базе pledge(), теперь к ней добавляется и unveil. Для unveil() ещё нужна доработка, но в целом уже работает. С Firefox, к сожалению, всё не так хорошо, но уже есть пара патчей, добавляющих поддержку pledge(), а там и до unveil() недалеко. | ||
Ответить | Правка | Наверх | Cообщить модератору |
37. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от Аноним (31), 29-Июл-18, 20:55 | ||
В лялихе не через pledge, там seccomp. | ||
Ответить | Правка | Наверх | Cообщить модератору |
38. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok), 29-Июл-18, 21:07 | ||
Угу. К SECCOMP ещё несколько лет назад была масса вопросов (вроде возможности отыграть назад, фактически, выключая seccomp), сейчас — может, под давлением pledge? — часть из них решилась. | ||
Ответить | Правка | Наверх | Cообщить модератору |
40. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +1 +/– | |
Сообщение от Аноним (31), 29-Июл-18, 21:28 | ||
Насчет отыграть не в курсе — можно ссылку? | ||
Ответить | Правка | Наверх | Cообщить модератору |
46. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok), 30-Июл-18, 01:29 | ||
PR_SET_NO_NEW_PRIVS появился в 3.5 только, если я правильно разобрался. | ||
Ответить | Правка | Наверх | Cообщить модератору |
60. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от A. Stahl Is Gay (?), 31-Июл-18, 13:04 | ||
Если я правильно понял описание, то это для того, чтобы потомки не могли делать то, что не может делать родитель. | ||
Ответить | Правка | Наверх | Cообщить модератору |
63. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok), 31-Июл-18, 13:25 | ||
> Если я правильно понял описание, то это для того, чтобы потомки не | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok), 29-Июл-18, 20:43 | ||
В OpenBSD механизмы ограничения системных вызовов были тогда, когда на Linux не было вообще ничего подобного. Это уже далеко не первое поколение. | ||
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору |
65. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | –1 +/– | |
Сообщение от Аноним (65), 05-Авг-18, 23:50 | ||
RSBAC, позволяющий ограничить все что угодно в линухе, появился в 2000 году. В то время опенок еще даже не был в состоянии загрузится на реальном железе(впрочем и сейчас с железом которому менее 10 лет у опенка жесткие проблемы). | ||
Ответить | Правка | Наверх | Cообщить модератору |
66. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok), 06-Авг-18, 02:22 | ||
1. «Появился» он в виде патча, а не в mainline ядре. Напомните, когда он стал частью дефолтного ядра в каком-либо крупном дистрибутиве? Потому что сравнивать доступный где-то патч и изначально доступную и работающую функциональность как-то некорректно, не находите? | ||
Ответить | Правка | Наверх | Cообщить модератору |
42. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от Аноним (42), 29-Июл-18, 22:48 | ||
Я сам линуксоид, но SELinux - переусложненная хрeнь, которая, мягко говоря, не украшает стек. Костыльного в ней то, что профили по умолчанию долго пилились методом проб и ошибок в стиле "Запускаем нечто, оно вылетает. Ого, оно оказывается еще и такой доступ требует? Даем!" Это позорище! Профиль безопасности должен быть частью самого приложения, авторы лучше знают, что приложению надо. Так что даешь unveil(), но только более мощный. | ||
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору |
44. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +1 +/– | |
Сообщение от Аноним (44), 30-Июл-18, 00:24 | ||
Не знают и не могут знать. | ||
Ответить | Правка | Наверх | Cообщить модератору |
47. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok), 30-Июл-18, 01:32 | ||
А это как раз много «хорошего» говорит об архитектуре PAM и NSS. | ||
Ответить | Правка | Наверх | Cообщить модератору |
55. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от Crazy Alex (ok), 30-Июл-18, 19:15 | ||
Вообще-то это называется "API" и "information hiding". Приложение должно знать то, что оно само делает. Как именно работают используемые им сервисы, оно знать и не должно. В том числе и куда они лезут - это уровень системы. | ||
Ответить | Правка | Наверх | Cообщить модератору |
57. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok), 30-Июл-18, 19:42 | ||
> Вообще-то это называется "API" и "information hiding". Приложение должно знать то, что | ||
Ответить | Правка | Наверх | Cообщить модератору |
49. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от Аноним (50), 30-Июл-18, 03:00 | ||
Ты бы ещё LD_PRELOAD вспомнил | ||
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору |
53. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +1 +/– | |
Сообщение от КО (?), 30-Июл-18, 10:16 | ||
>Реализация в ядре, гибкая настройка всего и всея в юзерспайсе. | ||
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору |
51. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от Ordu (ok), 30-Июл-18, 04:11 | ||
> собственно selinux и реализует костыльный вариант. | ||
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору |
56. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +1 +/– | |
Сообщение от Crazy Alex (ok), 30-Июл-18, 19:17 | ||
Который при этом так же классчиески работает в корпоративных системах, не привязан к заморочкам самого приложения и допускает отдельный аудит правил. А вот как сделать аудит того, что предлагают в топике, без аудита всего кода приложения - не представляю. | ||
Ответить | Правка | Наверх | Cообщить модератору |
58. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +2 +/– | |
Сообщение от Ordu (ok), 30-Июл-18, 22:04 | ||
> Который при этом так же классчиески работает в корпоративных системах, не привязан | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | –1 +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok), 29-Июл-18, 20:41 | ||
1. SELinux появился куда позднее, скажем, systrace — который в OpenBSD уже давно успели выпилить. | ||
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору |
39. "В OpenBSD предложен новый системный вызов unveil() для изоля..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok), 29-Июл-18, 21:21 | ||
... и тут я немного наврал: | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |