Исходное сообщение
"Уязвимость в Glibc ld.so, позволяющая получить права root в ..." Отправлено Аноним, 04-Окт-23 19:42
Причем каждый раз когда я пишу про SUID на этом форуме всегда найдется парочка долбоящеров, которые будут оборонять эту дрянь и пищать про какой-то там UNIX way!!! Решается эта проблема так: 1) Реализовать полноценные ACL на уровне ядра, а не тот позорный мусор, который опциональный и не работает как надо. 2) Начинайте принудительно и неотключаемо применять ACL ко всем объектам: - файлам - каталогам - сокетам - процессам - потокам - каналам (pipes) 3) Принудительно включить мандатный контроль, работающий поверх тех же ACL, но позволяющий создавать виртуальные объекты доверия, которые могут стать субъектом политики. 4) Вменять Targeted Policy для всего софта, который дистрибутив считает частью базовой системы пространства пользователя, а остальные 9000 пакетов из репозиториев/PPA, ставить в помойку^W /opt 5) Дать утилиты для работы с этим со всем Вместо того, чтобы в прямом смысле слова КАЖДАЯ программа работающая с SUID могла поломать вам систему, просто украдите уже в Windows. Или сделайте лучше, только хватит защищать SUID-бэкдоры, которые раскиданы по всяким линуксам. Причем там ведь даже и патенты все 100 лет как кончились и есть открытые описания стандартов. Microsoft даже пытался это стандартизировать... но  нет. 1) Решается через NT ACL. С натяжкой можно NFSv4 ACL, но лучше сразу взять полнофункциональный вариант 2) Это решает SDDL, который привносит понятие дескриптора безопасности и вменяет DACL и SACL 3) Сделать нужно одну обязательную систему мандатного контроля, а не 2,5 опциональных 4) И политику нужно писать на системы мандатного контроля, а не как в Debian 5) Это самое сложное, потому что нужны не только утилиты настройки, на и пересмотреть целый ряд системных утилит Просто подумайте о том, какие права нужны утилите ping и что произойдет если не дать её работать через ядро. (вы не увидите ни latency ни jitter не посчитаете в юзерспейсе, там цифры будут на порядок отличаться от реальности) Если кто-то спросит, скажите Аноним разрешил скоммуниздить у MS. Прекратите верить в радужных единорогов, фей, барабашек и безопасность Unix с SUID-битами и выключенным мандатным контролем при полном отсутствии ACL, вместо которых в ОС модель прав из 70-х. Я в реальной жизни встречал баранов, которые выключили SELinux, понаставили "chmod 777" и пренебрежительно рассказывают мне о высочайшей безопасности Linux  и про то что Windows на железо им страшно ставить. P.S. И вот только не надо рассказывать мне сказки про безопасность Windows. У нее все проблемы исторически из-за того что почти все пользователи сидят из-под админских учеток и качают из интернета бекдоры, не понимая что они запускают. Если вы дадите любую Ubuntu на такую же целевую аудиторию с ней будет  еще хуже.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Причем каждый раз когда я пишу про SUID на этом форуме всегда > найдется парочка долбоящеров, которые будут оборонять эту дрянь и пищать про > какой-то там UNIX way!!! > Решается эта проблема так: > 1) Реализовать полноценные ACL на уровне ядра, а не тот позорный мусор, > который опциональный и не работает как надо. > 2) Начинайте принудительно и неотключаемо применять ACL ко всем объектам: > - файлам > - каталогам > - сокетам > - процессам > - потокам > - каналам (pipes) > 3) Принудительно включить мандатный контроль, работающий поверх тех же ACL, но позволяющий > создавать виртуальные объекты доверия, которые могут стать субъектом политики. > 4) Вменять Targeted Policy для всего софта, который дистрибутив считает частью базовой > системы пространства пользователя, а остальные 9000 пакетов из репозиториев/PPA, ставить > в помойку^W /opt > 5) Дать утилиты для работы с этим со всем > Вместо того, чтобы в прямом смысле слова КАЖДАЯ программа работающая с SUID > могла поломать вам систему, просто украдите уже в Windows. Или сделайте > лучше, только хватит защищать SUID-бэкдоры, которые раскиданы по всяким линуксам. > Причем там ведь даже и патенты все 100 лет как кончились и > есть открытые описания стандартов. Microsoft даже пытался это стандартизировать... но > нет. > 1) Решается через NT ACL. С натяжкой можно NFSv4 ACL, но лучше > сразу взять полнофункциональный вариант > 2) Это решает SDDL, который привносит понятие дескриптора безопасности и вменяет DACL > и SACL > 3) Сделать нужно одну обязательную систему мандатного контроля, а не 2,5 опциональных > 4) И политику нужно писать на системы мандатного контроля, а не как > в Debian > 5) Это самое сложное, потому что нужны не только утилиты настройки, на > и пересмотреть целый ряд системных утилит > Просто подумайте о том, какие права нужны утилите ping и что произойдет > если не дать её работать через ядро. (вы не увидите ни > latency ни jitter не посчитаете в юзерспейсе, там цифры будут на > порядок отличаться от реальности) > Если кто-то спросит, скажите Аноним разрешил скоммуниздить у MS. > Прекратите верить в радужных единорогов, фей, барабашек и безопасность Unix с SUID-битами > и выключенным мандатным контролем при полном отсутствии ACL, вместо которых в > ОС модель прав из 70-х. Я в реальной жизни встречал баранов, > которые выключили SELinux, понаставили "chmod 777" и пренебрежительно рассказывают мне > о высочайшей безопасности Linux и про то что Windows на > железо им страшно ставить. > P.S. И вот только не надо рассказывать мне сказки про безопасность Windows. > У нее все проблемы исторически из-за того что почти все пользователи > сидят из-под админских учеток и качают из интернета бекдоры, не понимая > что они запускают. Если вы дадите любую Ubuntu на такую же > целевую аудиторию с ней будет еще хуже.
	Введите код, изображенный на картинке: