Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Выпуск пакетного фильтра iptables 1.8.9, opennews (??), 12-Янв-23, (0) [смотреть все] Динамические правила на уровне приложения с привязкой к иноде экзешника на диск, Аноним (1), 15:27 , 12-Янв-23, (1) –1 // ты понимаешь, что это бред есть миллион способов обойти эти правила, например ч, Аноним (2), 15:30 , 12-Янв-23, (2) +6 // Именно Нужна проверка, что файл именно тот, который был в момент установки прав, Аноним (1), 15:35 , 12-Янв-23, (3) // Кстати, с неймспейсами можно без проблем запихнуть всех потомков в те же рамки , Аноним (1), 15:37 , 12-Янв-23, (5) Тебе нужен явно другой инструмент Например, апармор может наследовать права п, Аноним (6), 15:38 , 12-Янв-23, (6) +1 В момент установки правила, а не в момент запуска , Аноним (1), 15:40 , 12-Янв-23, (7) –2 т е правило должно создаваться после запуска программы , InuYasha (??), 19:31 , 13-Янв-23, (68) Собственно, да, при запуске проверять что это тот самый файл, потом разрешающее , Аноним (1), 20:08 , 13-Янв-23, (71) –1 Запускай нехорошие приложения в network namespaces с зарезанным доступом в сеть , Аноним (8), 15:57 , 12-Янв-23, (8) // Угу, очень многие приложения хотят локалхост для работы и чтобы выполнить ip lin, Аноним (1), 16:22 , 12-Янв-23, (12)   // SELinux в помощь , Аноним (33), 21:48 , 12-Янв-23, (33) +1   cap net admin не хватит , Full Master (?), 23:07 , 12-Янв-23, (36)   А это не хуже Потому что unshare не получает реальных админских прав, только в , Аноним (1), 23:45 , 12-Янв-23, (39) –1   Но кстати этого рута в неймспейсе емнип достаточно чтобы выставить cap_sys_admin, Аноним (1), 23:48 , 12-Янв-23, (40) –1   Ты неправ, аноним, нужно запускать в cgroup net_cls Неймспейс тот же, но по cls, Аноним (62), 12:34 , 13-Янв-23, (62) opensnitch не так работает , Дуров (?), 17:36 , 12-Янв-23, (16) Сейчас из того что развивается есть только opensnitch , An0nim0us (?), 23:20 , 12-Янв-23, (37) все эти грабли проходили на винде, когда пытались сделать непробиваемые групповы, ivan_erohin (?), 14:01 , 13-Янв-23, (65) // и что - оно там разве не работает , InuYasha (??), 19:33 , 13-Янв-23, (69) –1 // предполагаю, что достаточно убить или пропатчить сервис AppIdSvc или как его там, ivan_erohin (?), 22:06 , 13-Янв-23, (72) А почему тогда пытались Вроде, на винде полно сервисов работает Даже в зверб, InuYasha (??), 23:51 , 13-Янв-23, (73) –1 потому что это должно не отключаться так просто т е находиться в ядре по рандо, ivan_erohin (?), 06:59 , 14-Янв-23, (74) я забыл сформулировать в чем именно грабли 1 прежде чем что-то запрещать или ра, ivan_erohin (?), 07:18 , 14-Янв-23, (75) У всех хардлинков на один файл одинаковый inode , Аноним (77), 01:03 , 16-Янв-23, (77) значит симлинки все время путаю их , ivan_erohin (?), 22:06 , 20-Янв-23, (83) У каждого процесса есть родитель Эту цепочку можно отследить , Аноним (82), 21:44 , 20-Янв-23, (82) родитель init или systemd что дальше , ivan_erohin (?), 22:07 , 20-Янв-23, (84) Это уже не относится к теме Мы говорили о том,, Аноним (82), 20:06 , 24-Янв-23, (85) Но как, Холмс Кто пояснит, почему от простых и понятных правил, которыми и был, Аноним (4), 15:36 , 12-Янв-23, (4) +17 // А чтобы деды не разобрались, Аноним (9), 15:59 , 12-Янв-23, (9) +3 Можно каждое правило отдельной строкой команде nft передавать , Аноним (-), 16:03 , 12-Янв-23, (10) +1 Так никто не отказался, вон все твои простые правила сохранили и продолжают пи, пууук (?), 16:26 , 12-Янв-23, (13) +1 В современном мире надо эмитировать развитие даже если продукт завершён, иначе с, Аноним (18), 17:53 , 12-Янв-23, (18) +2 // Эмитируют облигации и электроны Развитие имитируют , Аноним (25), 18:47 , 12-Янв-23, (25) Скромное напоминание обещанного рыжым аналога ipchains -C как только так сразу, пох. (?), 20:16 , 12-Янв-23, (29) –1 Потому, что 171 мешанина из фигурных скобок 187 удобно парсится и генерирует, Аноним (33), 21:51 , 12-Янв-23, (34) +1 // Интересно посмотреть на исследование сколько в современном мире хостов администр, Аноним (77), 01:11 , 16-Янв-23, (78) Лучше бы json в iptables завезли, чтобы парсить выхлоп было удобно , Аноним (11), 16:07 , 12-Янв-23, (11) –2 // лучше бы лекарство от жысон головного мозга придумали , Аноним (6), 16:51 , 12-Янв-23, (14) +9 // Жсон очень удобен для шелл-скриптов Лучше и безопасней xml опять же , Аноним (1), 16:58 , 12-Янв-23, (15) +1 // а sed придумали трусы ага вот так и живем , анонна (?), 18:58 , 12-Янв-23, (26) +3 Нет, sed придумали умные люди, которые в отличие от тебя понимают, что такое обл, Аноним (41), 00:02 , 13-Янв-23, (41) черт а оператор 124 тебе просто так дали , анонна (?), 00:55 , 13-Янв-23, (53) –2 я поражаюсь новым поколениям программистов, которые не видели линукса во времена, анонна (?), 01:01 , 13-Янв-23, (54) –1 sed не для парсинга если что, это потоковый редактор всего навсего , Анончик (?), 04:27 , 13-Янв-23, (58) –1 кстати да браузер тоже ток читалка html разметки, а погляди че натворили , анонна (?), 05:11 , 27-Янв-23, (86) вас услышали и написали nftablesnft --json list ruleset, An0nim0us (?), 23:27 , 12-Янв-23, (38) +1 Для json ификации вывода команд есть https kellyjonbrazil github io jc , Аноним (44), 00:16 , 13-Янв-23, (44) Это надо быть сверхчеловеком чтобы помнить все эти правила Как-то надо было нас, Аноним (20), 18:26 , 12-Янв-23, (20) +6 // Я тебе секрет професии открою, только не рассказывай никому Вместо того, чтобы , Аноним (33), 00:08 , 13-Янв-23, (42) +1 // К счастью я выпилился из ойти и вкатился в сварщики на севера вахтовым методом , Аноним (46), 00:31 , 13-Янв-23, (46) +2 // Теперь ты настоящий сварщик , Аноним (57), 04:07 , 13-Янв-23, (57) Работаю админом Тоже ничерта не помню эти таблицы, правила, ipсеты, каждый раз , Аноним (55), 03:03 , 13-Янв-23, (55) –1 // Учи firewalld - он как раз для тебя, попроще Синтаксис немного уе нский, но ра, пох. (?), 14:34 , 13-Янв-23, (66) –1 В nftables можно писать комментарии к правилам, считать по счётчикам, и вообще к, Аноним (62), 12:36 , 13-Янв-23, (63) // В iptables тоже можно писать комментарии и считать по счётчикам, если уж на то п, я (?), 13:55 , 13-Янв-23, (64) Я наверно тоже ИДИОТ, ufw мне всегда хватало А iptables кроме как платной подде, Аноним (28), 19:20 , 12-Янв-23, (28) +1 // ты не наверное, ты точно Впрочем, определение из викивракии - человек, страдающи, пох. (?), 20:20 , 12-Янв-23, (30) –4 // Сожгут вас на костре, за ваши знания пс убил, Sw00p aka Jerom (?), 21:19 , 12-Янв-23, (32) А код будет Что бы предметно , Anonim (??), 22:20 , 12-Янв-23, (35) Так то ufw сам iptables юзает и надо заметить довольно мусорно после него станов, Аноним (55), 03:09 , 13-Янв-23, (56) как там сделать NAT - хотя бы простой с маскарадом, без вписывания параметров дл, Роман (??), 21:00 , 14-Янв-23, (76) А э за 4 года уже даже я переписал все свои хотелки на nft И синтаксис та, InuYasha (??), 19:39 , 13-Янв-23, (70) –1 // И не жалко вам было 4 года потратить на переписывание одного и того же , Аноним (77), 01:22 , 16-Янв-23, (79) // 4 года делали ОНИ, а не я А я ща эти годы потратил 3-4 дня, наверное , InuYasha (??), 14:22 , 16-Янв-23, (80) –1 OpenWRT на nftables, начиная с последнего мажорного релиза , Аноним (33), 18:59 , 16-Янв-23, (81) 1,4,11,20,28,70

Сообщения

[Сортировка по времени | RSS]

	12. "Выпуск пакетного фильтра iptables 1.8.9"	+/–
	Сообщение от Аноним (1), 12-Янв-23, 16:22
	Угу, очень многие приложения хотят локалхост для работы и чтобы выполнить ip link set lo up надо мапить рута в неймспейсе, и в итоге все приложения проверяющие айди считают что запущены от рута и имеют много лишних возможностей. Есть назойливый софт, отказывающийся запускаться от рута опять же, или работающий иначе. Пока единственное решение запуск от другого пользователя, но мне хотелось бы видеть список исходящих соединений процесса и разрешать/блокировать их в интерфейсе.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Выпуск пакетного фильтра iptables 1.8.9"	+1 +/–
	Сообщение от Аноним (33), 12-Янв-23, 21:48
	SELinux в помощь.
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Выпуск пакетного фильтра iptables 1.8.9"	+/–
	Сообщение от Full Master (?), 12-Янв-23, 23:07
	> ip link set lo up надо мапить рута в неймспейсе cap net admin не хватит?
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	39. "Выпуск пакетного фильтра iptables 1.8.9"	–1 +/–
	Сообщение от Аноним (1), 12-Янв-23, 23:45
	А это не хуже? Потому что unshare не получает реальных админских прав, только в неймспейсе рут.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Выпуск пакетного фильтра iptables 1.8.9"	–1 +/–
	Сообщение от Аноним (1), 12-Янв-23, 23:48
	Но кстати этого рута в неймспейсе емнип достаточно чтобы выставить cap_sys_admin+ep для любого файла, так что тоже такое себе.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема