The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"В OpenBSD из соображений безопасности удалены systrace и про..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В OpenBSD из соображений безопасности удалены systrace и про..."  +/
Сообщение от opennews on 28-Июл-16, 12:05 
В дополнение к прекращению (https://www.opennet.me/opennews/art.shtml?num=44796) поддержки  монтирования файловых систем непривилегированным пользователем разработчики OpenBSD удалили (https://www.openbsd.org/60.html) ряд подсистем, которые потенциально могут оказывать негативное влияние на безопасность, создавая дополнительные цели для проведения атак. В состав OpenBSD 6.0, релиз которого намечен на 1 сентября, не войдёт система ограничения системных вызовов systrace (http://www.citi.umich.edu/u/provos/systrace/) и компоненты эмуляции  Linux (https://www.openbsd.org/papers/slack2k11-on_compat_linux.pdf). В OpenBSD 6.0 также будет включён по умолчанию механизм защиты W^X (https://www.opennet.me/opennews/art.shtml?num=44506) и добавлены настройки sysctl    net.inet.tcp.rootonly и net.inet.udp.rootonly, позволяющие выборочно запретить приём соединений по указанным в списке сетевым портам непривилегированными процессами.

URL: https://www.openbsd.org/60.html
Новость: http://www.opennet.me/opennews/art.shtml?num=44867

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В OpenBSD из соображений безопасности удалены systrace и про..."  +1 +/
Сообщение от rob pike on 28-Июл-16, 12:05 
В OmniOS наоборот, добавили https://wiki.smartos.org/display/DOC/LX+Branded+Zones
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "В OpenBSD из соображений безопасности удалены systrace и про..."  +/
Сообщение от Аноним (??) on 28-Июл-16, 16:51 
и даже в вантуз
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

45. "В OpenBSD из соображений безопасности удалены systrace и про..."  +6 +/
Сообщение от Яйцассыром on 28-Июл-16, 17:15 
ну им то терять нечего) кучей уязвимостей больше, кучей меньше...)
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

3. "В OpenBSD из соображений безопасности удалены systrace и про..."  +30 +/
Сообщение от Аноним (??) on 28-Июл-16, 12:26 
загрузчик удалите, безопасность вырастет до недосягаемого уровня
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В OpenBSD из соображений безопасности удалены systrace и про..."  –2 +/
Сообщение от Аноним (??) on 28-Июл-16, 13:56 
> загрузчик удалите, безопасность вырастет до недосягаемого уровня

Не поможет, так как можно загрузится с флешки/CD.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

17. "В OpenBSD из соображений безопасности удалены systrace и про..."  –1 +/
Сообщение от бедный буратино (ok) on 28-Июл-16, 14:28 
>> загрузчик удалите, безопасность вырастет до недосягаемого уровня
> Не поможет, так как можно загрузится с флешки/CD.

разница между boot, cdboot и pxeboot - минимальна, и это всё - загрузчики :)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

22. "В OpenBSD из соображений безопасности удалены systrace и про..."  +/
Сообщение от Аноним (??) on 28-Июл-16, 14:53 
Нельзя - системе для этого всё-равно нужен загрузчик. Лучше удалить процесс init.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

32. "В OpenBSD из соображений безопасности удалены systrace и про..."  +3 +/
Сообщение от Аноним (??) on 28-Июл-16, 15:18 
> Нельзя - системе для этого всё-равно нужен загрузчик. Лучше удалить процесс init.

Ну-ну. Потом будет "ой, не удалить, а заменить! Только инит!".
Знаем, проходили … и вообще, Леннарт залогинтесь!


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

4. "В OpenBSD из соображений безопасности удалены systrace и про..."  –2 +/
Сообщение от Лапчатый Бубунтаед on 28-Июл-16, 12:29 
УРА! Наконец-то я этого дождался.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "В OpenBSD из соображений безопасности удалены systrace и про..."  –1 +/
Сообщение от бедный буратино (ok) on 28-Июл-16, 14:36 
фишка в том, что в некоторых подсистемах версия i386 тупит, как комментаторы на опеннете в день релиза OpenBSD. и официальная позиция отвечающих за эти подсистемы: "и фиг с ним". чтобы сравнить, достаточно запустить в kvm openbsd/i386 и openbsd/amd64 - если, конечно, дождётесь запуска версии i386. поэтому версия amd64 применяется всегда, когда это возможно: а эмуляции linux нигде, кроме i386, никогда не было. если после этих изменений версия для i386 будет работать в kvm и на реальном железе, я тоже скажу "ура, наконец-то я этого дождался"
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

34. "В OpenBSD из соображений безопасности удалены systrace и про..."  –1 +/
Сообщение от Аноним (??) on 28-Июл-16, 15:50 
> фишка в том, что в некоторых подсистемах версия i386 тупит, как комментаторы
> на опеннете в день релиза OpenBSD. и официальная позиция отвечающих за
> эти подсистемы: "и фиг с ним". чтобы сравнить, достаточно запустить в
> kvm openbsd/i386 и openbsd/amd64 - если, конечно, дождётесь запуска версии i386.
> поэтому версия amd64 применяется всегда, когда это возможно: а эмуляции linux
> нигде, кроме i386, никогда не было. если после этих изменений версия
> для i386 будет работать в kvm и на реальном железе, я
> тоже скажу "ура, наконец-то я этого дождался"

Я даже в виртуалках со сравнительно небольшим объёмом памяти использую amd64, чисто из-за параноидальности. Дело в том, что у amd64 чисто по определению куда более эффективный ASLR.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

36. "В OpenBSD из соображений безопасности удалены systrace и про..."  –1 +/
Сообщение от бедный буратино (ok) on 28-Июл-16, 16:05 
> Я даже в виртуалках со сравнительно небольшим объёмом памяти использую amd64, чисто
> из-за параноидальности. Дело в том, что у amd64 чисто по определению
> куда более эффективный ASLR.

случаи всякие бывают. иногда и i386 нужно.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

61. "В OpenBSD из соображений безопасности удалены systrace и про..."  +/
Сообщение от dimcha (??) on 28-Июл-16, 23:58 
Поделитесь опытом, если не сложно.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

66. "В OpenBSD из соображений безопасности удалены systrace и про..."  +/
Сообщение от ssh (ok) on 29-Июл-16, 02:21 
> Поделитесь опытом, если не сложно.

Какое-нибудь старое железо используемое в качестве лабы. У меня например для этих целей служит пожилой старикан Asus S200n.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

6. "В OpenBSD из соображений безопасности удалены systrace и про..."  +7 +/
Сообщение от Аноним (??) on 28-Июл-16, 12:33 
Когда уже оставят одно ядро? А то сколько векторов для атак в юзерспейсе.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В OpenBSD из соображений безопасности удалены systrace и про..."  +8 +/
Сообщение от Аноним (??) on 28-Июл-16, 13:23 
> Когда уже оставят одно ядро? А то сколько векторов для атак в
> юзерспейсе.

Ядро первым делом надо убрать. Вона сколько у него системных вызовов, и вы только подумайте что они позволяют! Все хакеры ими пользуются!

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "В OpenBSD из соображений безопасности удалены systrace и про..."  +/
Сообщение от Аноним (??) on 28-Июл-16, 13:22 
Я что-то не понял:как от удаления средства ограничения сисколов может стать безопаснее? Тео был под шафэ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "В OpenBSD из соображений безопасности удалены systrace и про..."  +/
Сообщение от Аноним84701 on 28-Июл-16, 13:42 
> Я что-то не понял:как от удаления средства ограничения сисколов может стать безопаснее?
> Тео был под шафэ?

Баян какой-то.
http://daemonforums.org/showthread.php?t=9795
>[оверквотинг удален]
>required a review and revision of the permitted system calls. At one time, there
>was a central repository of user-suggested policies -- called the "Hairy Eyeball
>Project" -- but each user had to conduct their own audit, and once the project
>ceased operations (2004? 2005?), users became completely responsible for their
>own policy development, and usage waned.   In addition, a carefully crafted
>application could circumvent systrace() policy enforcement, and when that was
>discovered and published, the use of systrace() as a security tool ended.
> In addition, a carefully crafted application could circumvent systrace() policy
> enforcement, and when that was discovered and published, the use of systrace() as a security tool ended.
> Finally, a much simpler and more deployable system call policy management tool has replaced systrace(): pledge(2).

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

33. "В OpenBSD из соображений безопасности удалены systrace и про..."  +1 +/
Сообщение от Аноним (??) on 28-Июл-16, 15:47 
> Я что-то не понял:как от удаления средства ограничения сисколов может стать безопаснее?
> Тео был под шафэ?

Нет, это автор новости (переводчик?) что-то странное написал. Всё проще: как уже написал номерной аноним выше, в OpenBSD появилась pledge. Дело в том, что systrace по факту мало использовалась, только в нескольких системных сервисах и (опционально) при сборке портов. При этом systrace добавлял до 25% времени на эту самую сборку. Сейчас espie@ допиливает dpb и, в частности, proot, что вместе с pledge банально делает systrace излишним.

Хотя я по нему, всё же, немного скучаю. Он был прикольный. :)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "В OpenBSD из соображений безопасности удалены systrace и про..."  +/
Сообщение от бедный буратино (ok) on 28-Июл-16, 14:25 
новости удаления подсистемы эмуляции Linux - примерно полгода. а в состоянии "не поддерживается, будет удалено" она пребывает и того больше.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "В OpenBSD из соображений безопасности удалены systrace и про..."  +4 +/
Сообщение от Пользователь Debian on 28-Июл-16, 14:32 
/sbin/sysctl anal.fence=1
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

69. "В OpenBSD из соображений безопасности удалены systrace и про..."  +4 +/
Сообщение от Аноним (??) on 29-Июл-16, 06:53 
> /sbin/sysctl anal.fence=1

По этой команде на админа одеваются бронетрусы?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

76. "В OpenBSD из соображений безопасности удалены systrace и про..."  –1 +/
Сообщение от Аноним (??) on 30-Июл-16, 23:17 
ОДНИ бронетрусы
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

23. "В OpenBSD из соображений безопасности удалены systrace и про..."  +2 +/
Сообщение от Аноним (??) on 28-Июл-16, 14:55 
Пофиг. Ждем новую песенку.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "В OpenBSD из соображений безопасности удалены systrace и про..."  –1 +/
Сообщение от бедный буратино (ok) on 28-Июл-16, 14:57 
> Пофиг. Ждем новую песенку.

песенок будет 6

первая уже появилась на сайте

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

49. "В OpenBSD из соображений безопасности удалены systrace и про..."  +2 +/
Сообщение от Аноним (??) on 28-Июл-16, 17:40 
> песенок будет 6

Походу песенки они пишут быстрее чем операционки. Может ну его нафиг эти операционки и лучше им в эстраду податься?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

54. "В OpenBSD из соображений безопасности удалены systrace и про..."  +2 +/
Сообщение от Аноним (??) on 28-Июл-16, 18:57 

> Походу песенки они пишут быстрее чем операционки. Может ну его нафиг эти
> операционки и лучше им в эстраду податься?

Учитывая количество пишущего народа и возможности этой самой операционки,  лапчатые отчаянно завидуют эффективности.


Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

70. "В OpenBSD из соображений безопасности удалены systrace и про..."  +1 +/
Сообщение от Аноним (??) on 29-Июл-16, 06:55 
Действительно, разработчики линя все вместе взятые и полстолько песенок не написали. Лохи, что с них взять.
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

71. "В OpenBSD из соображений безопасности удалены systrace и про..."  +/
Сообщение от Аноним (??) on 29-Июл-16, 13:14 
> Действительно, разработчики линя все вместе взятые и полстолько доков не написали.

fix.
> Лохи, что с них взять.

вам виднее.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

27. "В OpenBSD из соображений безопасности удалены systrace и про..."  –1 +/
Сообщение от Аноним (??) on 28-Июл-16, 15:06 
О чем ты?
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

39. "В OpenBSD из соображений безопасности удалены systrace и про..."  +2 +/
Сообщение от Аноним (??) on 28-Июл-16, 16:07 
> О чем ты?

У-у-у-у, темнота: http://www.openbsd.org/lyrics.html

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

37. "В OpenBSD из соображений безопасности удалены systrace и про..."  +7 +/
Сообщение от Shodan (ok) on 28-Июл-16, 16:06 
В OpenBSD из соображений безопасности полностью удален код OpenBSD
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "В OpenBSD из соображений безопасности удалены systrace и про..."  –1 +/
Сообщение от бедный буратино (ok) on 28-Июл-16, 16:08 
> В OpenBSD из соображений безопасности полностью удален код OpenBSD

тогда получится NetBSD 1.1 :)

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

51. "В OpenBSD из соображений безопасности удалены systrace и про..."  +/
Сообщение от Аноним (??) on 28-Июл-16, 17:53 
Который будет удален следующим коммитом.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

64. "В OpenBSD из соображений безопасности удалены systrace и про..."  +/
Сообщение от Led (ok) on 29-Июл-16, 00:59 
>> В OpenBSD из соображений безопасности полностью удален код OpenBSD
> тогда получится NetBSD 1.1 :)

нет BSD - нет уязвимостей.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

73. "В OpenBSD из соображений безопасности удалены systrace и про..."  –1 +/
Сообщение от _ (??) on 29-Июл-16, 16:56 
Неуч! Нет BSD - BSD-уязвимостей.
Но для тебя останутся все уязвимости твоей убунты в VB, твоего VB в фииндовсе, и твоего фииндовса :) Ну то есть неуязимым остается только силовой кабкль к компу :)


PS: Led - я стебусь. Я знаю что ты не винтузятник, но пятница и душа просит веселухи :)

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

74. "В OpenBSD из соображений безопасности удалены systrace и про..."  +/
Сообщение от Led (ok) on 29-Июл-16, 21:13 
> но пятница

У вас, петросянов, она уже седьмая на этой неделе.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

77. "В OpenBSD из соображений безопасности удалены systrace и про..."  +/
Сообщение от Аноним (??) on 02-Авг-16, 07:39 
> в фииндовсе, и твоего фииндовса :) Ну то есть неуязимым остается
> только силовой кабкль к компу :)

Кабель уязвим к топору атакующего и уборщице со шваброй.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

42. "В OpenBSD из соображений безопасности удалены systrace и про..."  –1 +/
Сообщение от _ (??) on 28-Июл-16, 16:09 
А что кто то сомневался что Тео - знатный тролль?! :-)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "В OpenBSD из соображений безопасности удалены systrace и про..."  +4 +/
Сообщение от anonymous (??) on 28-Июл-16, 23:59 
В OpenBSD из соображений безопасности удалено ядро. Оставлены только песенки.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "В OpenBSD из соображений безопасности удалены systrace и про..."  +/
Сообщение от ram_scan on 29-Июл-16, 16:50 
> добавлены настройки sysctl net.inet.tcp.rootonly и net.inet.udp.rootonly, позволяющие выборочно запретить приём соединений по указанным в списке сетевым портам непривилегированными процессами.

Могучее решение, учитывая что сбиндить порт на общеупотребимый привилегированный сервис и так без рута низзя. А тут с такой дефолтной фичей если уж присовывать будут то сразу гарантированно в привилегированный процесс, иба чо уж мелочиться то. А абизяны будут непривилегированные процессы от рута пушшать, кто эту настройку ниасилил.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

75. "В OpenBSD из соображений безопасности удалены systrace и про..."  +/
Сообщение от Аноним (??) on 30-Июл-16, 17:19 
>> добавлены настройки sysctl net.inet.tcp.rootonly и net.inet.udp.rootonly, позволяющие выборочно запретить приём соединений по указанным в списке сетевым портам непривилегированными процессами.
> Могучее решение, учитывая что сбиндить порт на общеупотребимый привилегированный сервис
> и так без рута низзя. А тут с такой дефолтной фичей
> если уж присовывать будут то сразу гарантированно в привилегированный процесс, иба
> чо уж мелочиться то. А абизяны будут непривилегированные процессы от рута
> пушшать, кто эту настройку ниасилил.

google:priviledge%20dropping

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру