forum.opennet.ru - "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной настройки Linux" (211)

"ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной настройки Linux"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной настройки Linux"	+/–
Сообщение от opennews (ok), 24-Янв-23, 11:56
Федеральная служба по техническому и экспортному контролю РФ разработала и утвердила методические рекомендации (PDF, 7 стр.) по повышению защищённости систем на базе ядра Linux. Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры РФ, построенных с использованием Linux, несертифицированных по требованиям безопасности информации... Подробнее: https://www.opennet.me/opennews/art.shtml?num=58533
Ответить \| Правка \| Cообщить модератору

Оглавление

PS Некоторые опции ядра требуют включения отладочных функций, что может только у, pavlinux (ok), 11:56 , 24-Янв-23, (1)

Безопасность кого надо безопасность , ФСТЭК (?), 12:11 , 24-Янв-23, (13) –1
eBPF - это не отладочные функции И они как раз для rootа доступны Но если у ва, Аноним (55), 13:26 , 24-Янв-23, (55) +4

https www opennet ru opennews art shtml num 54932Рут в виртуалке - не хозяин с, pavlinux (ok), 14:51 , 24-Янв-23, (98) +6

1 где там утверждается, что ebpf - это отладочные функции 2 ebpf обычно требу, Аноним (55), 19:58 , 24-Янв-23, (160) –7

А где я утверждал, что eBPF - это только отладка , pavlinux (ok), 12:06 , 25-Янв-23, (204) +1

Можно ли написать кодогенератор на rust в безопасном режиме Там бы значительная , Аноним (201), 09:29 , 25-Янв-23, (201) –2

Зачем , Zenitur (ok), 11:57 , 24-Янв-23, (2)

Наверное, поощряется использование полной виртуализации для запуска недоверенных, Аноним (46), 13:02 , 24-Янв-23, (46) +1

iommu - не про виртуальные машины, он про защиту ОС от DMA-атак через Thunderbol, Аноним (55), 13:34 , 24-Янв-23, (62) +2

А заодно и от левых попыток железок делать с DMA что-то не то Какая-нибудь PCI , Аноним (-), 15:05 , 24-Янв-23, (104) +4

Как я понимаю iommu разрешает железу менять только разрешенные части оперативной, Аноним (63), 13:37 , 24-Янв-23, (63) +3

Всем спасибо за ответы Когда-то в 2013 году я целенаправленно искал материнскую, Zenitur (ok), 13:48 , 24-Янв-23, (65) +2

Ну если найдёте, куда лишние 390 ножек впихнуть, то можно, наверное , Аноним (68), 13:58 , 24-Янв-23, (68) +8

Тогда зачем знак в названии сокета Я помню, что AM2 подразумевал, что в него, Zenitur (ok), 14:05 , 24-Янв-23, (74) –3

Только маркетинг, ничего личного , Аноним (106), 15:07 , 24-Янв-23, (106) +3
означает, что поддерживаются дополнительные функции по сравнению с версией без, Аноним (118), 15:47 , 24-Янв-23, (118) +2
Если крайне упрощённо, AM3 8212 это для FX ов И да, та же история, можно вс, Аноним (68), 15:54 , 24-Янв-23, (119) +1

А зачем Топовые камни там вроде бы должны игры тянуть Главное память разогнать, Аноним (168), 22:26 , 24-Янв-23, (168) +1
Тоже имел такую доску и 9590 для таких же целей, только был вопрос в начале, поч, Аноним (192), 02:26 , 25-Янв-23, (192) +1

А что за патч , Zenitur (ok), 08:15 , 25-Янв-23, (199) +1

Патч решающий проблемы низкой производительности при включённой опции amd nested, Аноним (192), 21:29 , 25-Янв-23, (216) +1

220 ватт TDP 8230 Звучит, как наличие титула, собственного замка и герба с Печ, Аноним (230), 19:50 , 26-Янв-23, (230)

Крематория, не герба , Аноним (235), 19:14 , 27-Янв-23, (235)

Чтобы какой-нибудь GPU или вайфай адаптер не сделал ВНЕЗАПНЫЙ DMA в хрен знает к, Аноним (-), 15:01 , 24-Янв-23, (103) +4

Тут даже с ARM было бы чуть спокойнее, не говоря уж про e2k D, Michael Shigorin (ok), 01:18 , 26-Янв-23, (222)

В ночное Извините , Аноним (228), 19:30 , 26-Янв-23, (228)
Михаил, а как в Симплии сделать снимок экрана с меню Пуск с двумя пунктами поч, Аноним (228), 19:33 , 26-Янв-23, (229)

Семь страниц это не серьёзно для гос организации Это даже прочитать можно , Аноним (3), 11:57 , 24-Янв-23, (3) +42

И пидиэф кстати 404 404 не запрещено тут писать - а то ведь полит подтекст , Аноним (3), 11:58 , 24-Янв-23, (4)

По первой ссылке переходите, а ссылка на пдф реально битая, Schwonder Reismus (?), 12:04 , 24-Янв-23, (7)
Не только PDF, но теперь и страница с ним Даже в веб-архиве нет пдфки а вот ст, Аноним (55), 12:06 , 24-Янв-23, (8)

Ага Ссылка в новости устарела А вот новость на сайте ФСТЭК по другой ссылке в, Аноним (55), 12:09 , 24-Янв-23, (10) +5

а попробуй скажи что-нибудь без полит подтекста, Аноним (44), 12:58 , 24-Янв-23, (44)

Даже молчание и отсутствие являются признаками бунта , Аноним (210), 20:23 , 25-Янв-23, (210) –1

Полит подтекст - 451 А 404 - это просто 404 , Аноним (53), 13:23 , 24-Янв-23, (53) +1

ну не скажи, руководители паблика 404 уже седят , fi (ok), 14:31 , 24-Янв-23, (94) –2

А это не для того чтобы за это наказывать, а чтобы реально работало , Аноним (9), 12:08 , 24-Янв-23, (9)

Сейчас ещё окажется что это не публикация, а внутренняя утечка , Аноним (9), 12:10 , 24-Янв-23, (11) +3

Ну кстати, тот же ФСБ ещё лет 10-15 назад очень активно набирал новых сотруднико, Бывалый смузихлёб (?), 13:27 , 24-Янв-23, (56) +1

Ну чтож пришло время и тебе узнать правду Они не только 10-15 лет нанимали студ, Аноним (91), 14:29 , 24-Янв-23, (91) +5

Более того это повсеместная практика , Аноним (108), 15:15 , 24-Янв-23, (108) +2
Вопрос не в том, что всегда, а в том, что массово Там реально списки пускали те, Бывалый смузихлёб (?), 15:25 , 24-Янв-23, (112) +1

Я конечно понимаю что у тебя яркие впечатления о молодости, но и сейчас в любую , Аноним (91), 17:39 , 24-Янв-23, (144) +1

Чёрт с ним, с количеством, но даже конкретика есть, даже как оно делается часто , Бывалый смузихлёб (?), 13:25 , 24-Янв-23, (54) +5

Про sudo, кстати, это же вообще свежачок CVE-2023-22809 Как они могли знать , X86 (ok), 14:05 , 24-Янв-23, (76)

ToDo с анонимов тутошных собирают, Деанон (?), 17:06 , 24-Янв-23, (132) +2
Так это не то sudo, про него много у кого соображения были вида подальше-подаль, Michael Shigorin (ok), 01:22 , 26-Янв-23, (223)

Все правильно chown root wheel bin suchmod o-rwxst bin suusermod -a -G wheel a, Аноним (244), 14:11 , 03-Фев-23, (244)

Скрыто модератором, ГруднаяЖаба (?), 11:59 , 24-Янв-23, (5) –10

Скрыто модератором, Аноним (6), 12:03 , 24-Янв-23, (6) +7

Всё это конечно безумно интересно, но где же всё-таки отечественный windows Вот , КО (?), 12:10 , 24-Янв-23, (12) –12

Не потому что линукс опенсорс, а венда нет , Аноним (15), 12:13 , 24-Янв-23, (15) +1
А где финский или например австралийский , Аноним (91), 12:14 , 24-Янв-23, (16) +12

Вы ещё спросите, где финские или австралийские процессоры , Аноним (68), 14:00 , 24-Янв-23, (70)

У меня тут такой вопрос резко возник А где финские или австралийские процессоры, Аноним (91), 14:31 , 24-Янв-23, (93) +7

У финнов ещё и легкового автопрома нет, вот где днище-то В то время, как мы тут, Аноним (68), 16:21 , 24-Янв-23, (125)

Ну похоже перегнали, а кто-то не верил , Аноним (91), 17:40 , 24-Янв-23, (145)
А тут внезапнор и шведы продали китайцам свой автопром Заговор , Аноним (165), 21:38 , 24-Янв-23, (165) +2

Не осилили, Анонемистик (?), 12:20 , 24-Янв-23, (21)
QP OS, Аноним (28), 12:32 , 24-Янв-23, (28) +4
На отечественный Виндус, в своё время, у Алксниса не удалось денег выпросить , Аноним (46), 13:05 , 24-Янв-23, (48) –1
Тут доступно объяснилиhttps olegmakarenko ru 2618158 html, Kol (ok), 13:30 , 24-Янв-23, (58) +1
Ляликс теперь Русский виндовс , считай официально Даже взять исходники Андрои, Kuromi (ok), 14:02 , 24-Янв-23, (72) +1

гугл ещё проще сделал взял исходники Андроид и не переименовывал даже , Аноним (134), 17:12 , 24-Янв-23, (134) +2
Анонимный эксперт может лично взять взять исходники Андроид и переменовать и с, Аноним (146), 17:47 , 24-Янв-23, (146) –1

gt оверквотинг удален Но ведь очевидно же что Firebase Notifications - не нужн, Kuromi (ok), 00:02 , 25-Янв-23, (181) –1

Зачем она тов майору В доточку с ксиком играть Жри со швитым забугорным и не о, Ананий (?), 10:48 , 25-Янв-23, (202) –1

Гм Вроде хорошая вещь, а вот PDF-ку в Word2016 варганили , ryoken (ok), 12:13 , 24-Янв-23, (14) +4

Зато безопасно , Аноним (91), 12:14 , 24-Янв-23, (17)
У меня ртфка вообще в вайновском вордпад открывается и не жужжу XD, Попандопала (?), 12:32 , 24-Янв-23, (30) –3

Семь страничек Смешно Рекомендации от CIS Center for Internet Security едва , Аноним (18), 12:15 , 24-Янв-23, (18)

Я сделяль с ФСТЭК, Аноним (20), 12:20 , 24-Янв-23, (20)
При этом там 90 воды, а в оставшемся бо 769 льшую часть занимают примеры Было , PnD (??), 12:28 , 24-Янв-23, (24) +5
7 страниц рили можно осилить,а за 700 платить придется в поддержку , Попандопала (?), 12:28 , 24-Янв-23, (25) +1
так там selinux, а на кой хрен он нужен как и его аналоги , anonfdfd4 (?), 12:36 , 24-Янв-23, (34) –2

Как всегда местным экспертам ничего не нужно, они и так самые умные , Аноним (146), 12:51 , 24-Янв-23, (40) +4

Скрыто модератором, Аноним (-), 14:01 , 24-Янв-23, (71)

PCI DSS 4 0 - 360 страниц увлекательного чтения с экзаменациями, аудитами, компл, Аноним (41), 12:52 , 24-Янв-23, (41)

Вот PDFка, если что, наслаждайтесь https disk yandex ru i cVWSH1QvQCeSfQ, Аноним (41), 12:54 , 24-Янв-23, (42) +2

Спасибо за pdf Однако нормально загрузить не получилось Yandex disk - такая от, Аноним (169), 22:36 , 24-Янв-23, (169)

Думал было написать Ваш комментарий слишком краток Но давайте попробую менее с, Michael Shigorin (ok), 01:27 , 26-Янв-23, (224) –1

Михаил, по CNews можно предположить https importfree cnews ru news top 2023-0, Аноним (228), 20:04 , 26-Янв-23, (231)

Интересно, спасибо , Иваня (?), 12:19 , 24-Янв-23, (19) +2
Проще Альторосу поставить и колупаться не надо D, Попандопала (?), 12:27 , 24-Янв-23, (23) –1

Там 86 клавиш, Аноним (210), 20:33 , 25-Янв-23, (211) –1

Где пункты удалить systemd и собрать ядро без поддержки Rust Опять иксперто, Hanyuu (?), 12:29 , 24-Янв-23, (26)

Для тех, кто линукс изучает по цитаткам с башорга, рассказываю правду Rust в яд, Аноним (36), 12:41 , 24-Янв-23, (36) +3
Для кого тогда написали , fuggy (ok), 19:05 , 24-Янв-23, (157)

Вопрос правильный, хотя и задан некорректно Правильный вопрос - зачем писать со, Валерий (??), 02:11 , 25-Янв-23, (191)

Чтобы не следить за изменениями во всех Linux-дистрибутивах и не делать новые па, www2 (??), 06:26 , 25-Янв-23, (197) +1

X Ограничить доступ к proc Так чтобы пользователь или процесс мог видеть то, pashev.ru (?), 12:32 , 24-Янв-23, (29) +1
а где скрипт vfstek sh, который всё это проверяет не меняет, а просто чекает и , Аноним (31), 12:33 , 24-Янв-23, (31) +14

ишт ты умник 1, anonfdfd4 (?), 12:37 , 24-Янв-23, (35)
Это за деньги , Аноним (39), 12:50 , 24-Янв-23, (39)
cat boot config-6 0 0-6-amd64 124 grep -P CONFIG_ INIT_ON_ALLOC_DEFAULT_ON , Аноним (55), 13:07 , 24-Янв-23, (50)

useless use of cat, швондер (?), 20:25 , 27-Янв-23, (236)

Он ещё и отчёт должен сам отправлять , Аноним (46), 13:08 , 24-Янв-23, (51)
Запускать этот скрипт будут специально аффилированные компании , SubGun (ok), 21:36 , 24-Янв-23, (163) +1
Проверяющий скрипт https www opennet ru openforum vsluhforumID3 129586 html 24, Аноним (244), 15:47 , 03-Фев-23, (251)

Вроде бы адекватные рекомендации, правда я не все из них понимаю , Аноним (146), 12:47 , 24-Янв-23, (38)

Очень полезно иметь такой список когда новый сервер запускаешь На работе даже па, Аноним (146), 12:57 , 24-Янв-23, (43) +4

Тут надо не список иметь, а бить по рукам за ручную настройку серверов Это зада, Аноним (86), 14:19 , 24-Янв-23, (86) –8

Ага, осталось всего ничего - нанять еще одного человека, который будет настраива, Аноним (174), 23:40 , 24-Янв-23, (174) +2

Какого одного -- минимум двух, плюс ещё двух -- писать плейбуки и к каждому пров, Michael Shigorin (ok), 01:30 , 26-Янв-23, (225) +1

по-моему практики девляпс и ИТИЛ ортогональны, а местами противоречат друг другу, ivan_erohin (?), 16:37 , 28-Янв-23, (241)

Пациенты тебя люто ненавидят Следовательно, как врач, ты прав , Валерий (??), 02:52 , 25-Янв-23, (193) –1

Чек-лист при установке не пользуете Рекомендую хотя бы его , Аноним (174), 23:42 , 24-Янв-23, (175)

Ну, например, вот это правило нужно для ликвидации уязвимости libXpm для все, Аноним (134), 14:49 , 24-Янв-23, (96) +2

Теперь нельзя выполнять проги из tmp private Как жить дальше , Аноним (127), 16:38 , 24-Янв-23, (127)

Начать питаться на кухне, а не на помойке , Аноним (134), 17:15 , 24-Янв-23, (136)

Рекомендация того же порядка, что и noexec , Аноним (127), 17:31 , 24-Янв-23, (142) +1

А чем noexec плохо , Аноним (146), 19:05 , 24-Янв-23, (158) +1

На помойке будет как раз не tmp private , а 755 root, как вон выше упоминали , Michael Shigorin (ok), 01:31 , 26-Янв-23, (226) +1

Каким образом делать такую проверку, там не написано Если файловую систему home, Аноним (146), 17:31 , 24-Янв-23, (143)

Популярные варианты дающие примерно тот-же результат 1 Соблюдение правила что, Аноним (244), 15:39 , 03-Фев-23, (250)

и мне нельзя запускать свои же скрипты из bin и local bin и tor browser не, ivan_erohin (?), 04:53 , 25-Янв-23, (194)

Безо сферическая в вакууме , mos87 (ok), 13:01 , 24-Янв-23, (45) –1
Как бы за щоо , однакоhttps www kernel org doc html latest admin-guide hw-vul, Аноним (55), 13:02 , 24-Янв-23, (47) +1

Дефолты имеют свойство меняться Иногда без предупреждения , Аноним (150), 18:13 , 24-Янв-23, (150) +2

О чём это говорит Это говорит о том, что даже в госшарагах на якобы обязательну, Аноним (-), 13:07 , 24-Янв-23, (49) –2

Это говорит о том, что здравомыслие в конечном итоге побеждает , Аноним (55), 13:10 , 24-Янв-23, (52)

Тётка с косой в итоге , Аноним (210), 20:49 , 25-Янв-23, (213)

Это говорит о том что, там используются много разных дистрибутивов, а обязательн, Атон (?), 13:43 , 24-Янв-23, (64) +7
Ну не все компы для офисной работы, разные задачи бывают, просто выставили требо, _kp (ok), 13:51 , 24-Янв-23, (66) +2

ФСТЭК решил заняться тем, чем CERT CISA занимается уже джвадцать лет Ну, чо Л, YetAnotherOnanym (ok), 13:28 , 24-Янв-23, (57) –1

Решил опубликовать и решил заняться - это разное , pavlinux (ok), 15:39 , 24-Янв-23, (116) +2

У нас есть такие приборы Но мы вам о них не расскажем , Аноним (-), 17:19 , 24-Янв-23, (139) –2

Это про Эльбрусы, да , Аноним (161), 20:17 , 24-Янв-23, (161)

вы бы лучше обратили внимание на специализированные чипы и микроэлктронику в про, анонна (?), 21:45 , 24-Янв-23, (166)

157УД3 , Аноним (210), 21:14 , 25-Янв-23, (214)

Не, их-то как раз хоть в яндекс-музее можно пощупать собственными клешнями , Michael Shigorin (ok), 01:37 , 26-Янв-23, (227)

Так задача была по наполнению музея Яндекса исчерпавшими себя продуктами , Аноним (228), 20:12 , 26-Янв-23, (232) –1

Почему бы кому-нибудь не запилить скрипт, выполняющий большинство из этих рекоме, Ку (?), 13:31 , 24-Янв-23, (59)

Ну так вперед, к мечте , Аноним (113), 15:34 , 24-Янв-23, (113) +4
Луче расскажи какого хрена ты его так до сих и не запилил , Аноним (9), 18:07 , 24-Янв-23, (149) +2

а че там пилить взял пдф и строчишь echo что то там файл куда сложнее это , анонна (?), 21:47 , 24-Янв-23, (167)

Разве не секретарша для набора полагается , Аноним (210), 21:15 , 25-Янв-23, (215)

А что тогда будут кушать компании, которые специализируются на запуске этого скр, SubGun (ok), 21:37 , 24-Янв-23, (164)
Скрипт делающий ненужен Не все фичи безопасности в конкретном дистре можно вклю, Аноним (244), 15:03 , 03-Фев-23, (249)

https bugs debian org cgi-bin bugreport cgi bug 928362 - related, Аноним (55), 13:31 , 24-Янв-23, (60)
Astra Linux SE 1 7 3 sbin sshd -T 124 ag -i PermitRootLoginpermitrootlogin w, mos87 (ok), 13:33 , 24-Янв-23, (61)

Астара - хардкорная RBAC операционка, там даже рут - не человек , pavlinux (ok), 15:41 , 24-Янв-23, (117)

Ну так, извиняюсь заранее, мандатный доступ , Аноним (174), 23:47 , 24-Янв-23, (176)

Главное чтобы этот доступ не запрещал играть в героев меча и магии 3, иначе прап, Аноним (195), 06:11 , 25-Янв-23, (195) +1

они разве не в косынку, mos87 (ok), 12:35 , 25-Янв-23, (206)

Неправда В части, где я проходил срочную службу, на рабочем ПК ЗНШ полка в зва, Аноним (237), 20:32 , 27-Янв-23, (237)
Там где я срочку проходил, кап-лей-т гонял в NFS MW и что-то еще не помню что , Аноним (253), 19:52 , 13-Авг-23, (253)

NSFW, mos87 (ok), 10:50 , 14-Авг-23, (254)

Ограничить использование user namespaces sysctl -w user max_user_namespaces 0, Kuromi (ok), 13:57 , 24-Янв-23, (67) +3

А на работу контейнеров этот параметр влияет , Sunderland93 (ok), 14:05 , 24-Янв-23, (75)

Если контейнер непривилегированный а таких большинство - да, все сломается , Аноним (85), 14:15 , 24-Янв-23, (85)

102 7 работает с этим параметром в sysctl conf, Попандопала (?), 14:09 , 24-Янв-23, (79)

Песочница то поди отвалилась , Аноним (127), 14:11 , 24-Янв-23, (82) +1

Черт ее знает,но убрал на всякий случай этот параметр , Попандопала (?), 14:30 , 24-Янв-23, (92)

Все браузеры используют как дополнительный уровень в песочницах, да и в целом от, Аноним (127), 14:10 , 24-Янв-23, (81)

Когда делаешь clone CLONE_NEWUSER, наследуются все разрешения, а ограничен, pavlinux (ok), 15:36 , 24-Янв-23, (114) +4

Без обид, но похоже именно ты тут не понимаешь, о чём говоришь, ещё и оскорбить , Аноним (127), 16:11 , 24-Янв-23, (122) –1

В немспейсах уже было нашлось несколько десятков багов, как логических, так и те, Аноним (129), 16:44 , 24-Янв-23, (129) +2

А где их не было, этих багов Однако, их находят и исправляют К тому же, пример, Аноним (127), 16:59 , 24-Янв-23, (131)

Любезнейший, а где вы видели браузеры в составе цитата государственных и, Аноним (162), 20:23 , 24-Янв-23, (162) +2

Вероятнее всего идею выключить неймспейсы взяли отсюда - https www stigviewer , Kuromi (ok), 00:13 , 25-Янв-23, (182) +1

If containers are in use, this requirement is not applicable , ыы (?), 21:32 , 25-Янв-23, (217)

Какие браузеры Тут рекомендация скорее всего для серверов и т п , а не для твое, Аноним (187), 01:45 , 25-Янв-23, (187)

Это чтобы было понятно, как оно используется На серверах без неймспейсов жизни , Аноним (127), 11:16 , 25-Янв-23, (203) –2

Нет, совет в том, чтобы сместить ответственность со случайной прикладной програм, Аноним (237), 20:47 , 27-Янв-23, (240)

Это отключаемо в браузерах и программах на их движках Webkit, Chromium и т п П, Аноним (237), 20:40 , 27-Янв-23, (239)

Скрыто модератором, Амомин (?), 14:07 , 24-Янв-23, (77) –1

Скрыто модератором, Аноним (55), 14:46 , 24-Янв-23, (95)

На печатных машинках так проще Разумеется тут не суперпользователь Усложнять жи, Аноним (-), 14:10 , 24-Янв-23, (80) –3

Если Комп без доступа к сети, типа Live системы без сохранения документов Включ, _kp (ok), 14:25 , 24-Янв-23, (90)

Требование отключать доступ по SSH напрямую к root вводит в заблуждение Нет ник, Аноним (155), 18:30 , 24-Янв-23, (155) +1

Вероятно кто свято верит в sudo пытаясь защитить замок другим замком забывая про, OpenEcho (?), 01:17 , 25-Янв-23, (185) +1
gt оверквотинг удален угадай логин для начала , швондер (?), 20:38 , 27-Янв-23, (238)

Ну если про PermitRootLogin prohibit-password , OpenEcho (?), 01:12 , 25-Янв-23, (184) +1

Можно Я имел ввиду, что запрет логина под root, встречается часто, и не вызвал , _kp (ok), 01:31 , 25-Янв-23, (186)

У меня запрет рутам заходить как рут - давно вызывает удивление, - это как у стр, OpenEcho (?), 20:03 , 25-Янв-23, (207) +2

Используйте агента, спрашивающего, можно ли отдать ключ тому то и тому то , Аноним (242), 20:35 , 28-Янв-23, (242)

Это gpg или ssh которые Ну так они тоже IV хранят в памяти, и к стати назойливо, OpenEcho (?), 06:10 , 29-Янв-23, (243)

почему это не плейбук для ансибла , Аноним (84), 14:14 , 24-Янв-23, (84) –2

дак сделай Тебе тут никто ничем не обязан , Аноним (134), 17:19 , 24-Янв-23, (140)

Видно толковый человек поработал над написанием документа, что выглядит очень и , Аноним (87), 14:20 , 24-Янв-23, (87) +3

А что странного , Аноним (86), 14:23 , 24-Янв-23, (89) +2

Ему не понравилось, что дырку с libXpm заткнули этими правилами , Аноним (134), 14:55 , 24-Янв-23, (99) +1

init_on_free 1slub_debug FZpage_alloc shuffle 1vm mmap_rnd_bits 32vm mmap_rnd_co, pavlinux (ok), 15:58 , 24-Янв-23, (120) +1
В целом советы полезные, ноТак разве не везде на bin usr bin стоит только чтен, fuggy (ok), 16:39 , 24-Янв-23, (128) –3

Открой недавнюю тему про libXpm поймёшь, про что речь , Аноним (134), 17:16 , 24-Янв-23, (137)

Я зря xterm удалял , Попандопала (?), 17:53 , 24-Янв-23, (148) –1

Уточните что именно прочее mitigations auto включает смягчение всех известных у, Аноним (146), 22:46 , 24-Янв-23, (170) +1

Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за миллион рублей и отключаем у н, Аноним (195), 06:24 , 25-Янв-23, (196) –2

Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за много тысяч долларов, ставим н, Аноним (198), 07:25 , 25-Янв-23, (198) +2

И будет ли выигрыш от виртуальных процессоров больше чем накладные расходы на си, Аноним (200), 09:15 , 25-Янв-23, (200) +1

После патчей от Spectre, Meltdown, Retbleed и т п , гыпертрединг бесполезен , pavlinux (ok), 12:19 , 25-Янв-23, (205) +2

Самое главное забыли apt install safe-rm А вообще советую ещё монтировать хомяк, Аноним (141), 17:21 , 24-Янв-23, (141) +2

100500 , Аноним (134), 19:22 , 24-Янв-23, (159) +3
home, proc, sys, tmp, var, - nodev,noexec,nosuid,rw dev - noexec,nosuid, Аноним (244), 14:34 , 03-Фев-23, (247)

А скрипт делающий это всё не выпустили -__-, FreeStyler (ok), 18:16 , 24-Янв-23, (151)

Но ведь ты исправишь эту оплошность , Аноним (113), 18:27 , 24-Янв-23, (154) +2
Все это уже давно применяется в дистрибутивах , Аноним (173), 23:14 , 24-Янв-23, (173) –1
Есть скрипты для проверки Lynis, https en wikipedia org wiki Lynishttps h, Аноним (244), 14:39 , 03-Фев-23, (248)

Странно, усё так завинченно, а про банальный proc proc proc nodev,noexec,, OpenEcho (?), 00:47 , 25-Янв-23, (183) +2

https wiki debian org Hardening Runtime_hardening с systemd плохо сочетается , Аноним (188), 01:54 , 25-Янв-23, (188) +2

А мне прикольнуло,как у бздунов прям D , Попандопала (?), 02:01 , 25-Янв-23, (189)
Очевидно, что сначала надо от системды избавиться , Аноним (134), 02:09 , 25-Янв-23, (190) +5
Да маковка о которой я хотел сказать - это hidepid 2который скрывет показ не сво, OpenEcho (?), 20:07 , 25-Янв-23, (208)

Именно об hidepid 2 и речь Или ты только в fstab это прописал и думаешь, что у , Аноним (219), 00:10 , 26-Янв-23, (219)

А ты уверен, что до конца прочитал мой предыдущий пост , OpenEcho (?), 00:30 , 26-Янв-23, (220) +1

YAMA даст больше защиты процессов , Аноним (244), 14:21 , 03-Фев-23, (245)

Хотя hidepid 2 у меня тоже стоит , Аноним (244), 14:23 , 03-Фев-23, (246)

Кто забыл, и кому нужен скрипт для генерации конфига Уже лет 5 как Попов замут, pavlinux (ok), 00:52 , 26-Янв-23, (221) +2
KSPP https www kernel org doc html latest security self-protection htmlhttps , Аноним (252), 17:48 , 04-Фев-23, (252)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от pavlinux (ok), 24-Янв-23, 11:56 +/–

PS Некоторые опции ядра требуют включения отладочных функций,
что может только усугубить безопасность (BPF/eBPF)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #55

2. Сообщение от Zenitur (ok), 24-Янв-23, 11:57 +/–

> Инициализировать механизм IOMMU
Зачем?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46, #103

3. Сообщение от Аноним (3), 24-Янв-23, 11:57 +42 +/–

Семь страниц это не серьёзно для гос организации. Это даже прочитать можно.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #9, #54

4. Сообщение от Аноним (3), 24-Янв-23, 11:58 +/–

И пидиэф кстати 404 (404 не запрещено тут писать? - а то ведь полит подтекст)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #7, #8, #44, #53

5. Сообщение от ГруднаяЖаба (?), 24-Янв-23, 11:59 –10 +/–

если убрать системд то половину этих пунктов можно не читать

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

6. Сообщение от Аноним (6), 24-Янв-23, 12:03 +7 +/–

Любители девуана вообще читать не умеют.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от Schwonder Reismus (?), 24-Янв-23, 12:04 +/–

По первой ссылке переходите, а ссылка на пдф реально битая

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

8. Сообщение от Аноним (55), 24-Янв-23, 12:06 +/–

Не только PDF, но теперь и страница с ним. Даже в веб-архиве нет пдфки (а вот страница есть).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #10

9. Сообщение от Аноним (9), 24-Янв-23, 12:08 +/–

А это не для того чтобы за это наказывать, а чтобы реально работало.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #11

10. Сообщение от Аноним (55), 24-Янв-23, 12:09 +5 +/–

Ага. Ссылка в новости устарела. А вот новость на сайте ФСТЭК (по другой ссылке в тексте новости) содержит правильную ссылку на PDF

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (9), 24-Янв-23, 12:10 +3 +/–

Сейчас ещё окажется что это не публикация, а внутренняя утечка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #56

12. Сообщение от КО (?), 24-Янв-23, 12:10 –12 +/–

Всё это конечно безумно интересно, но где же всё-таки отечественный windows?
Вот прям с родным товарищем майором.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #16, #21, #28, #48, #58, #72, #202

13. Сообщение от ФСТЭК (?), 24-Янв-23, 12:11 –1 +/–

Безопасность кого надо безопасность!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

14. Сообщение от ryoken (ok), 24-Янв-23, 12:13 +4 +/–

Гм.. Вроде хорошая вещь, а вот PDF-ку в Word2016 варганили...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #30

15. Сообщение от Аноним (15), 24-Янв-23, 12:13 +1 +/–

Не потому что линукс опенсорс, а венда нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

16. Сообщение от Аноним (91), 24-Янв-23, 12:14 +12 +/–

А где финский или например австралийский?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #70

17. Сообщение от Аноним (91), 24-Янв-23, 12:14 +/–

Зато безопасно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

18. Сообщение от Аноним (18), 24-Янв-23, 12:15 +/–

Семь страничек? Смешно. Рекомендации от CIS (Center for Internet Security) едва умещаются в 700 (на примере CIS Red Hat Enterprise Linux 8 Benchmark).

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #24, #25, #34, #41, #224

19. Сообщение от Иваня (?), 24-Янв-23, 12:19 +2 +/–

Интересно, спасибо.

Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от Аноним (20), 24-Янв-23, 12:20 +/–

"Я сделяль" (с) ФСТЭК

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

21. Сообщение от Анонемистик (?), 24-Янв-23, 12:20 +/–

Не осилили

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

23. Сообщение от Попандопала (?), 24-Янв-23, 12:27 –1 +/–

Проще Альторосу поставить и колупаться не надо.D

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #211

24. Сообщение от PnD (??), 24-Янв-23, 12:28 +5 +/–

При этом там 90% воды, а в оставшемся бо́льшую часть занимают примеры.
Было дело, пришлось мне готовить из него (для 7-ки) выжимку для "нормальных" админов.
Здесь (прочёл по диагонали) как раз подобная выжимка.
Даёт шансик не дать толпе народу списать рабочую неделю на "читал CIS". (А чё так долго? — Ну, английский не родной, надо примеры покрутить, все дела…)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

25. Сообщение от Попандопала (?), 24-Янв-23, 12:28 +1 +/–

7 страниц рили можно осилить,а за 700 платить придется в поддержку.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

26. Сообщение от Hanyuu (?), 24-Янв-23, 12:29 +/–

Где пункты "удалить systemd" и "собрать ядро без поддержки Rust" ?
Опять икспертов нипаслушали!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36, #157

28. Сообщение от Аноним (28), 24-Янв-23, 12:32 +4 +/–

QP OS

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

29. Сообщение от pashev.ru (?), 24-Янв-23, 12:32 +1 +/–

X. Ограничить доступ к /proc. Так чтобы пользователь (или процесс) мог видеть только свои процессы (подпроцессы).

Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от Попандопала (?), 24-Янв-23, 12:32 –3 +/–

У меня ртфка вообще в вайновском вордпад открывается и не жужжу.XD

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

31. Сообщение от Аноним (31), 24-Янв-23, 12:33 +14 +/–

а где скрипт vfstek.sh, который всё это проверяет (не меняет, а просто чекает и выдаёт, где не соответствует)?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35, #39, #50, #51, #163, #251

34. Сообщение от anonfdfd4 (?), 24-Янв-23, 12:36 –2 +/–

так там selinux, а на кой хрен он нужен? (как и его аналоги)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #40

35. Сообщение от anonfdfd4 (?), 24-Янв-23, 12:37 +/–

ишт ты умник!!1

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

36. Сообщение от Аноним (36), 24-Янв-23, 12:41 +3 +/–

Для тех, кто линукс изучает по цитаткам с башорга, рассказываю правду: Rust в ядре (на данный момент 6.1) не поддерживается, если включена генерация отладочной информации в формате BTF, которая, - сюрприз! - нужна для полноценной и корректной работы eBPF.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

38. Сообщение от Аноним (146), 24-Янв-23, 12:47 +/–

Вроде бы адекватные рекомендации, правда я не все из них понимаю.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43, #96

39. Сообщение от Аноним (39), 24-Янв-23, 12:50 +/–

Это за деньги.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

40. Сообщение от Аноним (146), 24-Янв-23, 12:51 +4 +/–

Как всегда местным экспертам ничего не нужно, они и так самые умные.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #71

41. Сообщение от Аноним (41), 24-Янв-23, 12:52 +/–

PCI DSS 4.0 - 360 страниц увлекательного чтения с экзаменациями, аудитами, комплаенсами.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #42

42. Сообщение от Аноним (41), 24-Янв-23, 12:54 +2 +/–

Вот PDFка, если что, наслаждайтесь. https://disk.yandex.ru/i/cVWSH1QvQCeSfQ

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #169

43. Сообщение от Аноним (146), 24-Янв-23, 12:57 +4 +/–

Очень полезно иметь такой список когда новый сервер запускаешь.
На работе даже пароль root на mysql забывали установить и вы итоге базы данных клиентов удаляли и пароль получали из доступного на чтение домашнего каталога администраторов и root.
А так прошел, по списку проверил что всё соответствует и всё сделано. В итоге по крайней мере самыми простыми и глупыми способами пароли не утащат и сервер не взломают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #86, #175

44. Сообщение от Аноним (44), 24-Янв-23, 12:58 +/–

а попробуй скажи что-нибудь без полит подтекста

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #210

45. Сообщение от mos87 (ok), 24-Янв-23, 13:01 –1 +/–

Безо сферическая в вакууме.

Ответить | Правка | Наверх | Cообщить модератору

46. Сообщение от Аноним (46), 24-Янв-23, 13:02 +1 +/–

Наверное, поощряется использование полной виртуализации для запуска недоверенных приложений. Проброс железяк для них в виртуалки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #62, #63

47. Сообщение от Аноним (55), 24-Янв-23, 13:02 +1 +/–

>Отключить технологию TSX (Transactional Synchronization Extensions) (параметр tsx=off при загрузке).
Как бы "за щоо", однако
https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/t...
>Not specifying this option is equivalent to tsx=off.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #150

48. Сообщение от Аноним (46), 24-Янв-23, 13:05 –1 +/–

На отечественный Виндус, в своё время, у Алксниса не удалось денег выпросить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

49. Сообщение от Аноним (-), 24-Янв-23, 13:07 –2 +/–

>Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры РФ, построенных с использованием Linux, несертифицированных по требованиям безопасности информации.
О чём это говорит? Это говорит о том, что даже в госшарагах на якобы обязательную под страхом смертной казни альтоастру плюются и втихую, но массово, ставят нормальные дистрибутивы.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52, #64, #66

50. Сообщение от Аноним (55), 24-Янв-23, 13:07 +/–

cat /boot/config-6.0.0-6-amd64 | grep -P "CONFIG_(INIT_ON_ALLOC_DEFAULT_ON|INIT_ON_FREE_DEFAULT_ON|RANDOMIZE_KSTACK_OFFSET_DEFAULT|IOMMU_DEFAULT_DMA_LAZY|IOMMU_DEFAULT_DMA_STRICT|HAVE_ARCH_RANDOMIZE_KSTACK_OFFSET|RANDOMIZE_KSTACK_OFFSET_DEFAULT)"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #236

51. Сообщение от Аноним (46), 24-Янв-23, 13:08 +/–

Он ещё и отчёт должен сам отправлять.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

52. Сообщение от Аноним (55), 24-Янв-23, 13:10 +/–

Это говорит о том, что здравомыслие в конечном итоге побеждает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #213

53. Сообщение от Аноним (53), 24-Янв-23, 13:23 +1 +/–

Полит подтекст - 451.
А 404 - это просто 404 :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #94

54. Сообщение от Бывалый смузихлёб (?), 24-Янв-23, 13:25 +5 +/–

Чёрт с ним, с количеством, но даже конкретика есть, даже как оно делается часто упомянуто.
Пожалуй, сохраню-ка где-нибудь
А не вида "стремиться ко всему достаточно безопасному и избегать всего недостаточно безопасного" на 500+ страниц, по итогу прочтения которых так и неясно, что является достаточно безопасным, а что - нет

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #76

55. Сообщение от Аноним (55), 24-Янв-23, 13:26 +4 +/–

eBPF - это не отладочные функции. И они как раз для rootа доступны. Но если у вас есть рут, то зачем вам систему ломать, вы и так её хозяин.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #98

56. Сообщение от Бывалый смузихлёб (?), 24-Янв-23, 13:27 +1 +/–

Ну кстати, тот же ФСБ ещё лет 10-15 назад очень активно набирал новых сотрудников с ВУЗов, учащихся по специальностям, связанным с безопасностью в ИТ. Причём, по всей стране

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #91

57. Сообщение от YetAnotherOnanym (ok), 24-Янв-23, 13:28 –1 +/–

ФСТЭК решил заняться тем, чем CERT/CISA занимается уже джвадцать лет.
Ну, чо... Лучше поздно, чем никогда.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #116

58. Сообщение от Kol (ok), 24-Янв-23, 13:30 +1 +/–

Тут доступно объяснили
https://olegmakarenko.ru/2618158.html

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

59. Сообщение от Ку (?), 24-Янв-23, 13:31 +/–

Почему бы кому-нибудь не запилить скрипт, выполняющий большинство из этих рекомендаций?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #113, #149, #164, #249

60. Сообщение от Аноним (55), 24-Янв-23, 13:31 +/–

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=928362 - related

Ответить | Правка | Наверх | Cообщить модератору

61. Сообщение от mos87 (ok), 24-Янв-23, 13:33 +/–

Astra Linux SE 1.7.3
>Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config).
$ /sbin/sshd -T|ag -i PermitRootLogin
permitrootlogin without-password
>Ограничение доступа к команде su пользователями из группы wheel ("auth required pam_wheel.so use_uid" в /etc/pam.d/su)
$ ag pam_wheel /etc/pam.d/su
15:# auth       required   pam_wheel.so
19:# auth       sufficient pam_wheel.so trust
23:# auth       required   pam_wheel.so deny group=nosu
>Блокирование утечки информации об адресном пространстве через /proc/kallsyms (sysctl -w kernel.kptr_restrict=2).
kernel.kptr_restrict = 0
>Включить защиту подсистемы eBPF (sysctl -w net.core.bpf_jit_harden=2).
net.core.bpf_jit_harden = 0
дальше надоело. Параметров ведра в cmdline конечно нет.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #117

62. Сообщение от Аноним (55), 24-Янв-23, 13:34 +2 +/–

iommu - не про виртуальные машины, он про защиту ОС от DMA-атак через Thunderbolt, FireWire и SCSI.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #104

63. Сообщение от Аноним (63), 24-Янв-23, 13:37 +3 +/–

Как я понимаю iommu разрешает железу менять только разрешенные части оперативной памяти и залезть в память приложений и ядра железо уже не может.
Со стороны железа тоже возможны атаки. Я помню что с помощью thunderbolt можно было сдампить и изменять ОЗУ.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #65

64. Сообщение от Атон (?), 24-Янв-23, 13:43 +7 +/–

> якобы обязательную под страхом смертной казни альтоастру
Это говорит о том что, там используются много разных дистрибутивов, а обязательность "альтоастры" ваши влажные фантазии.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

65. Сообщение от Zenitur (ok), 24-Янв-23, 13:48 +2 +/–

Всем спасибо за ответы. Когда-то в 2013 году я целенаправленно искал материнскую плату с поддержкой IOMMU. Приобрёл ASUS Sabertooth 990FX R2.0. Использовал IOMMU для аппаратной виртуализации и проброса видеокарточки в гостевую винду. Но теперь я в этом не вижу необходимости, когда есть DXVK.
Я выключил IOMMU и больше не включал. А в новости пишут, что его рекомендуется включить. Поэтому и спросил, для чего именно...
Кстати, в сокет AM3+ вроде как можно вставить AM4-процессор? А какой в данный момент топовый? Я знаю, что для AM3+ таковым является 9590

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #68, #168, #192

66. Сообщение от _kp (ok), 24-Янв-23, 13:51 +2 +/–

Ну не все компы для офисной работы, разные задачи бывают, просто выставили требования по безопасности.
Более того, на 90% даже общепринятые требования.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

67. Сообщение от Kuromi (ok), 24-Янв-23, 13:57 +3 +/–

" Ограничить использование user namespaces (sysctl -w user.max_user_namespaces=0). "
Вероятнее всего поломает браузеры, тот же Brave это уже требует для работы. ФФ непонятно, толи да толи не обязательно.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #75, #79, #81, #239

68. Сообщение от Аноним (68), 24-Янв-23, 13:58 +8 +/–

> Кстати, в сокет AM3+ вроде как можно вставить AM4-процессор?
Ну если найдёте, куда лишние 390 ножек впихнуть, то можно, наверное.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #74

70. Сообщение от Аноним (68), 24-Янв-23, 14:00 +/–

Вы ещё спросите, где финские или австралийские процессоры.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #93

71. Сообщение от Аноним (-), 24-Янв-23, 14:01 +/–

selinux и в правду не нужен

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

72. Сообщение от Kuromi (ok), 24-Янв-23, 14:02 +1 +/–

Ляликс теперь "Русский виндовс", считай официально. Даже "взять исходники Андроид и переменовать" освещается как "сделали свою ОС".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #134, #146

74. Сообщение от Zenitur (ok), 24-Янв-23, 14:05 –3 +/–

Тогда зачем знак + в названии сокета? Я помню, что AM2+ подразумевал, что в него можно будет вставить AM3-процессор.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #106, #118, #119

75. Сообщение от Sunderland93 (ok), 24-Янв-23, 14:05 +/–

А на работу контейнеров этот параметр влияет?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #85

76. Сообщение от X86 (ok), 24-Янв-23, 14:05 +/–

Про sudo, кстати, это же вообще свежачок (CVE-2023-22809). Как они могли знать?)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #132, #223

77. Сообщение от Амомин (?), 24-Янв-23, 14:07 –1 +/–

Рекомендации по безопасному использованию ПО развиваемого по большей части сотрудникам корпораций рьяно блюдящих все экспортные технологические ограничения в подсанкционные юрисдикции обладающих по-большей части паспортами недружественных рф государств.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #95

79. Сообщение от Попандопала (?), 24-Янв-23, 14:09 +/–

102.7 работает с этим параметром в sysctl.conf

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #82

80. Сообщение от Аноним (-), 24-Янв-23, 14:10 –3 +/–

>Запрет учётных записей пользователей с пустыми паролями.
На печатных машинках так проще. Разумеется тут не суперпользователь.
>Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config)
Усложнять жизнь админу? Дурость.
>Ограничение доступа к команде su пользователями из группы wheel ("auth required pam_wheel.so use_uid" в /etc/pam.d/su)
Так в том и соль группы wheel, что модно админские команды в sudo без переключения использовать. Просто не надо обычного пользователя вводить в группу wheel.
Админ сетки бог, ему никто не указ.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #90

81. Сообщение от Аноним (127), 24-Янв-23, 14:10 +/–

Все браузеры используют как дополнительный уровень в песочницах, да и в целом отличный совет отключить средства изоляции. Впрочем, там половина такого же бреда.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #114, #182, #187, #240

82. Сообщение от Аноним (127), 24-Янв-23, 14:11 +1 +/–

Песочница то поди отвалилась.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #92

84. Сообщение от Аноним (84), 24-Янв-23, 14:14 –2 +/–

почему это не плейбук для ансибла?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #140

85. Сообщение от Аноним (85), 24-Янв-23, 14:15 +/–

Если контейнер непривилегированный (а таких большинство) - да, все сломается.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

86. Сообщение от Аноним (86), 24-Янв-23, 14:19 –8 +/–

Тут надо не список иметь, а бить по рукам за ручную настройку серверов. Это задача ансибла/терраформа и облачной платформы, а не человека.
Любая правка - коммит в плейбук.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #174, #193

87. Сообщение от Аноним (87), 24-Янв-23, 14:20 +3 +/–

Видно толковый человек поработал над написанием документа, что выглядит очень и очень странно...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #89

89. Сообщение от Аноним (86), 24-Янв-23, 14:23 +2 +/–

А что странного?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #99

90. Сообщение от _kp (ok), 24-Янв-23, 14:25 +/–

Если Комп без доступа к сети, типа Live системы без сохранения документов. Включил набил текст, распечатал, то такую "печатную машинку" можно.
Ни один строгий админ не возразит. ;)
>Отключение входа суперпользователя по SSH
Это не какое то редкое требование, а вполне обычное.
В отличии, например, от user_namespaces.
>>Админ сетки бог, ему никто не указ.
Бог, но нанятый за зарплату, для выполнения конкретных работ, более крутым богом. ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #155, #184

91. Сообщение от Аноним (91), 24-Янв-23, 14:29 +5 +/–

Ну чтож пришло время и тебе узнать правду. Они не только 10-15 лет нанимали студентов ВУЗов по профильным специальностям, но и всегда нанимали студентов по профильным специальностям. Даже вот прямо сейчас это происходит и 30 лет назад происходило тоже  самое ничего за это время не изменилось. От слова ваще.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #108, #112

92. Сообщение от Попандопала (?), 24-Янв-23, 14:30 +/–

Черт ее знает,но убрал на всякий случай этот параметр.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

93. Сообщение от Аноним (91), 24-Янв-23, 14:31 +7 +/–

У меня тут такой вопрос резко возник. А где финские или австралийские процессоры?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #125

94. Сообщение от fi (ok), 24-Янв-23, 14:31 –2 +/–

ну не скажи, руководители паблика 404 уже седят

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

95. Сообщение от Аноним (55), 24-Янв-23, 14:46 +/–

Не надо суда нести свои выдумки. По безопасному использованию любого ПО на основе Linux, если оно не было сертифицировано. Если было - там уже всё из коробки быть должно, и производитель за это должен отвечать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

96. Сообщение от Аноним (134), 24-Янв-23, 14:49 +2 +/–

Ну, например, вот это правило нужно для ликвидации уязвимости libXpm:
... для всех исполняемых файлов и библиотек ... с последующей проверкой, что каталог, содержащий данные файлы, а также все родительские каталоги недоступны для записи непривилегированным пользователям.
Кратко: нельзя запускать проги оттуда, куда может писать юзер.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #127, #143, #194

98. Сообщение от pavlinux (ok), 24-Янв-23, 14:51 +6 +/–

> eBPF - это не отладочные функции.
https://www.opennet.me/opennews/art.shtml?num=54932
> зачем вам систему ломать, вы и так её хозяин.
Рут в виртуалке - не хозяин системы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #160, #201

99. Сообщение от Аноним (134), 24-Янв-23, 14:55 +1 +/–

Ему не понравилось, что дырку с libXpm заткнули этими правилами...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

103. Сообщение от Аноним (-), 24-Янв-23, 15:01 +4 +/–

Чтобы какой-нибудь GPU или вайфай адаптер не сделал ВНЕЗАПНЫЙ DMA в хрен знает какие адреса фиг знает почему. Ну вот решит какой-то блобик их многочисленных фирмвар что им так хочется - и запрограммит DMA со стороны железки вот так, немного пропатчив кернел операционки в процессе, например.
Обычный MMU - со стороны проца, он для железок арбитраж прав доступа к памяти не обеспечивает. А IOMMU это как раз логичное дополнение, обеспечивающее энфорс прав доступа и для железок. Одно из очевидных применений это виртуализация - т.к. кроме всего прочего можно перехыватывать и редиректить доступы, так что для виртуалки все будет выглядеть как будто запрос сработал, хотя его виртуализатор перехватил и оттранслировал адреса как надо. Если этого не сделать, драйвер в VM видит свои адреса, виртуалочные. Которые без задней мысли скормит железкам с DMA и прочему, а поскольку это настоящие железки, они без специальных мер вот именно эти адреса и задействуют. Что там у хоста было по этим адресам - обычно без IOMMU все быстро и жестоко умирает. Однако кроме виртуализации это и просто секурити фича, ловящая явно внеплановые доступы железок в левые регионы памяти. В IOMMU прописывается куда какие железки должны лазить по мнению их дров, а если получилось не это - окей, это заворачивается и вместо этого генерится исключение показывающее что нечто пошло не по плану.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #222

104. Сообщение от Аноним (-), 24-Янв-23, 15:05 +4 +/–

А заодно и от левых попыток железок делать с DMA что-то не то. Какая-нибудь PCI железка типа GPU или вайфая может потенциально попытаться слазить через DMA в совершенно левые адреса. Это может инициировать начинка самой железки, ну там сервисная фирмвара вспомогательного ядра какая-нибудь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

106. Сообщение от Аноним (106), 24-Янв-23, 15:07 +3 +/–

Только маркетинг, ничего личного.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

108. Сообщение от Аноним (108), 24-Янв-23, 15:15 +2 +/–

Более того: это повсеместная практика.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

112. Сообщение от Бывалый смузихлёб (?), 24-Янв-23, 15:25 +1 +/–

Вопрос не в том, что всегда, а в том, что массово. Там реально списки пускали тех, кто хотел бы и после - почти всех принимали
Причём, списки пускали по всем специальностям, но гребли в основном безопасников - у тех практически все отметившиеся отправились туда куда записались.
Причём, само приёмное отделение находилось там где и не подумаешь.. >> Читать далее

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #144

113. Сообщение от Аноним (113), 24-Янв-23, 15:34 +4 +/–

Ну так вперед, к мечте!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

114. Сообщение от pavlinux (ok), 24-Янв-23, 15:36 +4 +/–

Когда делаешь clone(CLONE_NEWUSER, ...)  наследуются все разрешения,
а ограничения и лимиты не наследуются. Увася, у которого лимит на max open files = 1024
клонирует себя и лимит может стать 131071 (дефолтным для не рутов)...
Дыры с USER_NS появляются регулярно, уже лет 10+  https://lwn.net/Articles/543273/

Там дох.. нюансов, чтоб с разбегу сказать да или нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #122

116. Сообщение от pavlinux (ok), 24-Янв-23, 15:39 +2 +/–

> ФСТЭК решил заняться тем, чем CERT/CISA занимается уже джвадцать лет.
Решил опубликовать и решил заняться - это разное :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #139

117. Сообщение от pavlinux (ok), 24-Янв-23, 15:41 +/–

> Astra Linux SE 1.7.3
Астара - хардкорная RBAC операционка, там даже рут - не человек.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #176

118. Сообщение от Аноним (118), 24-Янв-23, 15:47 +2 +/–

+ означает, что поддерживаются дополнительные функции по сравнению с версией без +
В am3+ есть дополнительные возможности по power saving'у.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

119. Сообщение от Аноним (68), 24-Янв-23, 15:54 +1 +/–

Если крайне упрощённо, AM3+ — это для FX'ов. И да, та же история, можно вставить в AM3 без плюса, но тут как повезёт.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

120. Сообщение от pavlinux (ok), 24-Янв-23, 15:58 +1 +/–

init_on_free=1
slub_debug=FZ
page_alloc.shuffle=1
vm.mmap_rnd_bits=32
vm.mmap_rnd_compat_bits=16
у кого ECC RAM - mce=0

Ответить | Правка | Наверх | Cообщить модератору

122. Сообщение от Аноним (127), 24-Янв-23, 16:11 –1 +/–

Без обид, но похоже именно ты тут не понимаешь, о чём говоришь, ещё и оскорбить пытаешься зачем-то. Ограничения и лимиты? Ну-ну. Во первых, тебе никто не даст никаких прав, если ты уже замапил ограниченного пользователя (например, с изолированной сетью, что применяется для процессов исполняющих шейдеры и прочее), этот механизм односторонний. Примерно все дыры, что случались, требовали замапить рута. Ты можешь замапить вложенный неймспейс, однако доступа вовне у него не появится. Чтобы было понятно, даже если ты запамишь рута во вложенном неймспейсе и начнёшь выполнять команды, доступ у тебя будет только к этом неймспейсу и не к хосту, а если нет, применяются все ограничения родительского неймспейса. А чтобы организовать канал связи с неймспейсом, используют, например, veth. Да, это ограниченный инструмент, спору нет, но он целиком рабочий и делает именно то, что заявлено, а ты тут пытаешься FUD распространять.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114 Ответы: #129

125. Сообщение от Аноним (68), 24-Янв-23, 16:21 +/–

У финнов ещё и легкового автопрома нет, вот где днище-то. В то время, как мы тут с автовазом корячимся.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #145, #165

127. Сообщение от Аноним (127), 24-Янв-23, 16:38 +/–

Теперь нельзя выполнять проги из /tmp/.private/? Как жить дальше?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #136

128. Сообщение от fuggy (ok), 24-Янв-23, 16:39 –3 +/–

В целом советы полезные, но
>Установить корректные права доступа к исполняемым файлам и библиотекам
Так разве не везде на /bin /usr/bin стоит только чтение.
>удаления SUID/SGID-флагов с лишних
Как понять какие лишние?
>mitigations=auto,nosmt
Отключаем гипертрединг и прочее, и получаем тормозную систему. Правильно если система тормозит, то тогда уязвимостей не будет. А если вообще не включать, то ни один хакер не доберётся.
Такое чувство будто надёргали случайных советов из linux hardening и готово.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #137, #170

129. Сообщение от Аноним (129), 24-Янв-23, 16:44 +2 +/–

В немспейсах уже было/нашлось несколько десятков багов, как логических, так и технических.
Немспейсы добавляют еще один уровень изоляции/контроля, но это уже пробивалось и не верифицировалось.
Одновременно, немспейсы увеличивают поверхность атаки и сложность анализа возможных сценариев.
Поэтому рекомендация "выключить по-умолчанию" вполне рациональна.
Кому надо - путь думает, обосновывает и т.д.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #131

131. Сообщение от Аноним (127), 24-Янв-23, 16:59 +/–

А где их не было, этих багов? Однако, их находят и исправляют. К тому же, примерно все они в контексте контейнеров (суид или CAP_SYSADMIN) и не в контексте CLONE_NEWNET, что интересует браузерные песочницы. Да и в целом, отключить универсальный механизм, востребованный софтом? Ну да, конечно, лучше вообще без него. Можно запускать всё под рутам, а пользователям тоже дать рутовые права, это намного безопаснее.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129 Ответы: #162

132. Сообщение от Деанон (?), 24-Янв-23, 17:06 +2 +/–

ToDo с анонимов тутошных собирают

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

134. Сообщение от Аноним (134), 24-Янв-23, 17:12 +2 +/–

> взять исходники Андроид и переменовать
гугл ещё проще сделал: взял исходники Андроид и ... не переименовывал даже.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

136. Сообщение от Аноним (134), 24-Янв-23, 17:15 +/–

> Как жить дальше?
Начать питаться на кухне, а не на помойке.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127 Ответы: #142, #226

137. Сообщение от Аноним (134), 24-Янв-23, 17:16 +/–

> Так разве не везде на /bin /usr/bin стоит только чтение
Открой недавнюю тему про libXpm... поймёшь, про что речь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #148

139. Сообщение от Аноним (-), 24-Янв-23, 17:19 –2 +/–

У нас есть такие приборы! Но мы вам о них не расскажем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #161

140. Сообщение от Аноним (134), 24-Янв-23, 17:19 +/–

дак сделай. Тебе тут никто ничем не обязан.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

141. Сообщение от Аноним (141), 24-Янв-23, 17:21 +2 +/–

Самое главное забыли `apt install safe-rm`
А вообще советую ещё монтировать хомяк с noexec.
> Отключаем гипертрединг
Ты путаешь потоки и ядра. Лучше б его вообще не изобретали.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #159, #247

142. Сообщение от Аноним (127), 24-Янв-23, 17:31 +1 +/–

Рекомендация того же порядка, что и noexec.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #158

143. Сообщение от Аноним (146), 24-Янв-23, 17:31 +/–

Каким образом делать такую проверку, там не написано.
Если файловую систему /home, /tmp и т.д. смонтировать с флагом noexec, как раз нельзя будет просто так запустить исполняемый файл или скрипт на выполнение.
Но это не для всех ситуаций подходит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #250

144. Сообщение от Аноним (91), 24-Янв-23, 17:39 +1 +/–

Я конечно понимаю что у тебя яркие впечатления о молодости, но и сейчас в любую госконтору берут без особого конкурса. Не знаю ни одного случае чтобы допустим кто-то пошел на практику во время инста в госконтору и его бы потом не приняли или отказали в приёме. А то о чём ты говоришь это обычная госконтора. Условия в них во всех одинаковые и зарплаты примерно одинаковые.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

145. Сообщение от Аноним (91), 24-Янв-23, 17:40 +/–

Ну похоже перегнали, а кто-то не верил.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

146. Сообщение от Аноним (146), 24-Янв-23, 17:47 –1 +/–

Анонимный эксперт может лично взять "взять исходники Андроид и переменовать" и сделать "свою ОС".
Только на голом AOSP ничего работать не будет и почти ничего полезного написать не получиться ведь в нем не будет:
Firebase Notifications
Firebase Crashlytics
кучи других компонентов Firebase
WebView
Api для карт
geolocation api
Кучи программ которые идут в комплекте к любому телефону, но не в опенсорс
и это сильно не полный список.
Все это написать в бесконечное количество раз сложнее чем вывалить очередную кучу в комментарии.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #181

148. Сообщение от Попандопала (?), 24-Янв-23, 17:53 –1 +/–

Я зря xterm удалял?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137

149. Сообщение от Аноним (9), 24-Янв-23, 18:07 +2 +/–

Луче расскажи какого хрена ты его так до сих и не запилил?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #167

150. Сообщение от Аноним (150), 24-Янв-23, 18:13 +2 +/–

Дефолты имеют свойство меняться. Иногда без предупреждения.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

151. Сообщение от FreeStyler (ok), 24-Янв-23, 18:16 +/–

А скрипт делающий это всё не выпустили? -__-

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #154, #173, #248

154. Сообщение от Аноним (113), 24-Янв-23, 18:27 +2 +/–

Но ведь ты исправишь эту оплошность?)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151

155. Сообщение от Аноним (155), 24-Янв-23, 18:30 +1 +/–

Требование отключать доступ по SSH напрямую к root вводит в заблуждение. Нет никакой разницы между тем, получите вы доступ к тачке по SSH через пользователя, у которого само собой есть wheel и он может без пароля просто поменяться в root (или, если вы шиз и зачем-то пускаете людей по ssh на тачки, не давая им возможность настроить что-то от root, тот же самый nginx в /etc, попытаться использовать какой-то свежий эксплоит или иным образом напакастить на машине), или напрямую в root. Единственный смысл от этого только в логе того, кто под каким пользователем и ключом заходил, но такие логи тоже имеют смысл только если они отправляются наружу перед тем, как пустить кого-то на сервер. sshd, если имеет какие-то уязвимости, уже работает из-под root. Плюс sudo вообще не обязателен для нормального функционирования системы, а тут на него (с этой рекомендацией ограничивать доступ к su) делается вся ставка, хотя не понятно зачем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #185, #238

157. Сообщение от fuggy (ok), 24-Янв-23, 19:05 +/–

Для кого тогда написали?
> "chmod o-w filename" к каждому файлу в /etc/rc#.d

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #191

158. Сообщение от Аноним (146), 24-Янв-23, 19:05 +1 +/–

А чем noexec плохо?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142

159. Сообщение от Аноним (134), 24-Янв-23, 19:22 +3 +/–

> монтировать хомяк с noexec
+100500!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141

160. Сообщение от Аноним (55), 24-Янв-23, 19:58 –7 +/–

>https://www.opennet.me/opennews/art.shtml?num=54932
1. где там утверждается, что ebpf -  это отладочные функции?
2. ebpf обычно требует рута.
>Рут в виртуалке - не хозяин системы.
Виртуальной системы - "хозяин". Ты же не хозяин твоего тела. Это Господь Бог хозяин, а ты так, арендатор, тебе его просто попользоваться дали.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #204

161. Сообщение от Аноним (161), 24-Янв-23, 20:17 +/–

Это про Эльбрусы, да?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139 Ответы: #166, #227

162. Сообщение от Аноним (162), 24-Янв-23, 20:23 +2 +/–

Любезнейший, а где вы видели "браузеры" в составе (цитата) "...государственных информационных системах и на объектах критической информационной инфраструктуры Российской Федерации, построенных с использованием операционных систем Linux, несертифицированных по требованиям безопасности
информации..." ?
Если вдруг видели - сообщите (может где-то еще нужно поправить соответствие голов занимаемым должностям).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131

163. Сообщение от SubGun (ok), 24-Янв-23, 21:36 +1 +/–

Запускать этот скрипт будут специально аффилированные компании.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

164. Сообщение от SubGun (ok), 24-Янв-23, 21:37 +/–

А что тогда будут кушать компании, которые специализируются на запуске этого скрипта?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

165. Сообщение от Аноним (165), 24-Янв-23, 21:38 +2 +/–

А тут внезапнор и шведы продали китайцам свой автопром.
Заговор?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

166. Сообщение от анонна (?), 24-Янв-23, 21:45 +/–

вы бы лучше обратили внимание на специализированные чипы и микроэлктронику в производстве. удивитесь. цп это всего лишь чипы для компьютеров. куда важнее чипы для производства и изделий практического характера. вот там у россии куда более широкие возможности. я бы сказал очень широкие. по всем видам почти.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161 Ответы: #214

167. Сообщение от анонна (?), 24-Янв-23, 21:47 +/–

а че там пилить? взял пдф и строчишь echo "что то там" > файл. куда сложнее это все напечатать))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149 Ответы: #215

168. Сообщение от Аноним (168), 24-Янв-23, 22:26 +1 +/–

А зачем? Топовые камни там вроде бы должны игры тянуть. Главное память разогнать и чтобы ее хватало. Ну и в линуксе желательно иметь видеокарту с большим объемом памяти.
https://m.youtube.com/watch?v=RYOuH92USEg

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

169. Сообщение от Аноним (169), 24-Янв-23, 22:36 +/–

Спасибо за pdf. Однако нормально загрузить не получилось. Yandex disk - такая отвратительная система, если честно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

170. Сообщение от Аноним (146), 24-Янв-23, 22:46 +1 +/–

>Отключаем гипертрединг и прочее
Уточните что именно прочее? mitigations=auto включает смягчение всех известных уязвимостей в процессоре
>Отключаем гипертрединг
ФСТЭК ни одни такие "умные", разработчики OpenBSD тоже отключили hyper-threading, только у всех. Это демонстрирует их реальный уровень во всей красе.
>Такое чувство будто надёргали случайных советов из linux hardening и готово.
Как хорошо, общаться с таким по настоящему умным и проницательным человеком, как вы. Вы видите эту контору насквозь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #196

173. Сообщение от Аноним (173), 24-Янв-23, 23:14 –1 +/–

Все это уже давно применяется в дистрибутивах.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151

174. Сообщение от Аноним (174), 24-Янв-23, 23:40 +2 +/–

Ага, осталось всего ничего - нанять еще одного человека, который будет настраивать нам анзиблы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #225

175. Сообщение от Аноним (174), 24-Янв-23, 23:42 +/–

Чек-лист при установке не пользуете?
Рекомендую хотя бы его.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

176. Сообщение от Аноним (174), 24-Янв-23, 23:47 +/–

Ну так, извиняюсь заранее, "мандатный доступ"!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #195

181. Сообщение от Kuromi (ok), 25-Янв-23, 00:02 –1 +/–

>[оверквотинг удален]
> Firebase Crashlytics
> кучи других компонентов Firebase
> WebView
> Api для карт
> geolocation api
> Кучи программ которые идут в комплекте к любому телефону, но не в
> опенсорс
> и это сильно не полный список.
> Все это написать в бесконечное количество раз сложнее чем вывалить очередную кучу
> в комментарии.
Но ведь очевидно же что:

Firebase Notifications - не нужно нам наши суверенные уведомления через иностранные сервера гонять!
Firebase Crashlytics - тоже ненужно потому что Русский Софт не сдается и  падает.
кучи других компонентов Firebase - "ну вы понели"
WebView - "не нужон нам этот ваш"...хотя если что возьмут Geckoview. Опять же не зря же всюду призывают использовать "российские браузеры".
Api для карт - Яндекс, Яндекс, Яндекс...ну или 2GIS, им вообще Сбер владеет теперь. На крайний случай есть OSM.
geolocation api -  очевидно что эти шпионские API не нужны пользователям. Те кому надо знают где пользователь. Остальным знать не положено. Еси пользователь не знает где он - пускай спросит у других.
Тут конечно велика доля шутки, если кто не уловил сарказма.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146

182. Сообщение от Kuromi (ok), 25-Янв-23, 00:13 +1 +/–

> Все браузеры используют как дополнительный уровень в песочницах, да и в целом
> отличный совет отключить средства изоляции. Впрочем, там половина такого же бреда.
Вероятнее всего идею выключить неймспейсы взяли отсюда - https://www.stigviewer.com/stig/red_hat_enterprise_linux_8/2...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #217

183. Сообщение от OpenEcho (?), 25-Янв-23, 00:47 +2 +/–

Странно, усё так завинченно, а про банальный
   proc /proc proc    nodev,noexec,nosuid,hidepid=2  0  0
в fstab забыли, пущай типа все юзеры видят все процессы других

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #188, #245

184. Сообщение от OpenEcho (?), 25-Янв-23, 01:12 +1 +/–

>>Отключение входа суперпользователя по SSH
> Это не какое то редкое требование, а вполне обычное.
Ну если про
```
    PermitRootLogin prohibit-password
    PubkeyAuthentication yes
    PasswordAuthentication no
```
не слышали, то оно конечно...
Я уж не говорю про то, что рулить доступом через SSH сертификаты  можно даже для рутов

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #186

185. Сообщение от OpenEcho (?), 25-Янв-23, 01:17 +1 +/–

> Плюс sudo вообще не обязателен для нормального функционирования системы, а тут на него (с этой рекомендацией ограничивать доступ к su) делается вся ставка, хотя не понятно зачем.
Вероятно кто свято верит в sudo пытаясь защитить замок другим замком забывая простую истину, чем больше програм тем выше шанс вулнерабилити
https://www.cvedetails.com/vulnerability-list/vendor_id-118/...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

186. Сообщение от _kp (ok), 25-Янв-23, 01:31 +/–

>  можно даже для рутов
Можно. Я имел ввиду, что запрет логина под root, встречается часто, и не вызвал удивления. Если уж докапываться, так это пережиток прошлого, появившийся до примегения ssh.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #184 Ответы: #207

187. Сообщение от Аноним (187), 25-Янв-23, 01:45 +/–

> браузеры используют как дополнительный уровень
Какие браузеры? Тут рекомендация скорее всего для серверов и т.п., а не для твоего десктопа

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #203

188. Сообщение от Аноним (188), 25-Янв-23, 01:54 +2 +/–

https://wiki.debian.org/Hardening#Runtime_hardening  с systemd плохо сочетается.
Когда я так делал, у меня еще и sway перестал запускаться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #183 Ответы: #189, #190, #208

189. Сообщение от Попандопала (?), 25-Янв-23, 02:01 +/–

А мне прикольнуло,как у бздунов прям.D

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #188

190. Сообщение от Аноним (134), 25-Янв-23, 02:09 +5 +/–

> с systemd плохо сочетается.
Очевидно, что сначала надо от системды избавиться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #188

191. Сообщение от Валерий (??), 25-Янв-23, 02:11 +/–

Вопрос правильный, хотя и задан некорректно. Правильный вопрос - зачем писать советы, если можно предложить патч/коммит. Ну, не доросли пока авторы, значит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157 Ответы: #197

192. Сообщение от Аноним (192), 25-Янв-23, 02:26 +1 +/–

Тоже имел такую доску и 9590 для таких же целей, только был вопрос в начале, почему не работает nested, приходилось его отключать, а когда amd выкатила наконец патч (примерно после выхода уже zen+) я уже поменял железо

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #199, #230

193. Сообщение от Валерий (??), 25-Янв-23, 02:52 –1 +/–

Пациенты тебя люто ненавидят.
Следовательно, как врач, ты прав.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

194. Сообщение от ivan_erohin (?), 25-Янв-23, 04:53 +/–

и мне нельзя запускать свои же скрипты из ~/bin и ~/.local/bin ?
и tor browser нельзя запустить из ~/.local/....
и palemoon нельзя запустить из куда его там рекомендуют ставить.
и wine (хотя я забил на него, но вдруг понадобится).
спасибо тебе большое добрый анон.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

195. Сообщение от Аноним (195), 25-Янв-23, 06:11 +1 +/–

Главное чтобы этот доступ не запрещал играть в героев меча и магии 3, иначе прапорщики и лейтенанты будут не довольны ОС.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #176 Ответы: #206

196. Сообщение от Аноним (195), 25-Янв-23, 06:24 –2 +/–

Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за миллион рублей и отключаем у него 40 потоков. Что не смеётесь? Что не поняли да? Это Россия!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #170 Ответы: #198, #205

197. Сообщение от www2 (??), 25-Янв-23, 06:26 +1 +/–

Чтобы не следить за изменениями во всех Linux-дистрибутивах и не делать новые патчи. Дать удочку, а не рыбу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #191

198. Сообщение от Аноним (198), 25-Янв-23, 07:25 +2 +/–

Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за много тысяч долларов, ставим на него openbsd и у него отключаются 40 потоков. Что не смеётесь? Что не поняли да? Это США!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #196 Ответы: #200

199. Сообщение от Zenitur (ok), 25-Янв-23, 08:15 +1 +/–

А что за патч?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #192 Ответы: #216

200. Сообщение от Аноним (200), 25-Янв-23, 09:15 +1 +/–

И будет ли выигрыш от виртуальных процессоров больше чем накладные расходы на синхронизацию это не очевидно.
В прочем, для профессиональных экспертов с опеннет всё всегда очевидно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #198

201. Сообщение от Аноним (201), 25-Янв-23, 09:29 –2 +/–

Можно ли написать кодогенератор на rust в безопасном режиме?
Там бы значительная часть ошибок проявила себя ещё во время сборки и первого запуска в debug режиме

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

202. Сообщение от Ананий (?), 25-Янв-23, 10:48 –1 +/–

Зачем она тов. майору? В доточку с ксиком играть?
Жри со швитым забугорным и не отсвечивай.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

203. Сообщение от Аноним (127), 25-Янв-23, 11:16 –2 +/–

Это чтобы было понятно, как оно используется. На серверах без неймспейсов жизни тем более нет, каждая 2 прога.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #187

204. Сообщение от pavlinux (ok), 25-Янв-23, 12:06 +1 +/–

>>https://www.opennet.me/opennews/art.shtml?num=54932
> 1. где там утверждается, что ebpf -  это отладочные функции?
А где я утверждал, что eBPF - это только отладка?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160

205. Сообщение от pavlinux (ok), 25-Янв-23, 12:19 +2 +/–

> Что не смеётесь?
После патчей от Spectre, Meltdown, Retbleed и т.п., гыпертрединг бесполезен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #196

206. Сообщение от mos87 (ok), 25-Янв-23, 12:35 +/–

они разве не в косынку

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #195 Ответы: #237, #253

207. Сообщение от OpenEcho (?), 25-Янв-23, 20:03 +2 +/–

> Я имел ввиду, что запрет логина под root, встречается часто, и не вызвал удивления.
У меня запрет рутам заходить как рут - давно вызывает удивление, - это как у страусов, засунул башку в песок и думает что его не видно, а то что заставлять рутов светить пароли в вечо висящий агент, кэширующий ключи - которые при удобном случае могут быть дампнуты - то это до таких специалистов то секюриту доходет сложно
> Если уж докапываться, так это пережиток прошлого
Согласен, но документ то вот довольно свеженький, не студенты небось копи пастили

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #186 Ответы: #242

208. Сообщение от OpenEcho (?), 25-Янв-23, 20:07 +/–

> https://wiki.debian.org/Hardening#Runtime_hardening  с systemd плохо сочетается.
> Когда я так делал, у меня еще и sway перестал запускаться.
Да маковка о которой я хотел сказать - это hidepid=2
который скрывет показ не своих процессов, хотя и этого в линуксе недостаточно, т.к. в /proc по умолчанию доступно почти все на чтение всем

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #188 Ответы: #219

210. Сообщение от Аноним (210), 25-Янв-23, 20:23 –1 +/–

Даже молчание и отсутствие являются признаками бунта )

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

211. Сообщение от Аноним (210), 25-Янв-23, 20:33 –1 +/–

Там 86 клавиш

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

213. Сообщение от Аноним (210), 25-Янв-23, 20:49 +/–

Тётка с косой в итоге )

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

214. Сообщение от Аноним (210), 25-Янв-23, 21:14 +/–

157УД3?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #166

215. Сообщение от Аноним (210), 25-Янв-23, 21:15 +/–

Разве не секретарша для набора полагается?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #167

216. Сообщение от Аноним (192), 25-Янв-23, 21:29 +1 +/–

Патч решающий проблемы низкой производительности при включённой опции amd nested. В ядрах начинаю помоему с 2021 года включен по умолчанию

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #199

217. Сообщение от ыы (?), 25-Янв-23, 21:32 +/–

If containers are in use, this requirement is not applicable.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #182

219. Сообщение от Аноним (219), 26-Янв-23, 00:10 +/–

Именно об hidepid=2 и речь. Или ты только в fstab это прописал и думаешь, что у тебя всё работает, как надо? )

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #208 Ответы: #220

220. Сообщение от OpenEcho (?), 26-Янв-23, 00:30 +1 +/–

> Именно об hidepid=2 и речь. Или ты только в fstab это прописал
> и думаешь, что у тебя всё работает, как надо? )
А ты уверен, что до конца прочитал мой предыдущий пост?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #219

221. Сообщение от pavlinux (ok), 26-Янв-23, 00:52 +2 +/–

Кто забыл, и кому нужен "скрипт" для генерации конфига.
Уже лет 5 как Попов замутил такой:
https://github.com/a13xp0p0v/kconfig-hardened-check

Ответить | Правка | Наверх | Cообщить модератору

222. Сообщение от Michael Shigorin (ok), 26-Янв-23, 01:18 +/–

> немного пропатчив кернел операционки в процессе, например
Тут даже с ARM было бы чуть спокойнее, не говоря уж про e2k. :D

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #228, #229

223. Сообщение от Michael Shigorin (ok), 26-Янв-23, 01:22 +/–

> Про sudo, кстати, это же вообще свежачок (CVE-2023-22809). Как они могли знать?)
Так это не то sudo, про него много у кого соображения были вида "подальше-подальше".
Удивился в этом плане как раз предложению PermitRootLogin=no вместо without-password (нет, это не то, что первым приходит в голову): это предполагает минимум ещё один бинарник для осуществления администрирования, да не просто от рута бегающий, а suid-ный и предназначенный для _повышения_ привилегий.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #244

224. Сообщение от Michael Shigorin (ok), 26-Янв-23, 01:27 –1 +/–

> Семь страничек? Смешно.
Думал было написать "Ваш комментарий слишком краток".
Но давайте попробую менее смешно.
At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et accumsan et iusto odio dignissim qui blandit praesent luptatum zzril delenit augue duis dolore te feugait nulla facilisi. Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat.
Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo consequat. Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et accumsan et iusto odio dignissim qui blandit praesent luptatum zzril delenit augue duis dolore te feugait nulla facilisi.
Nam liber tempor cum soluta nobis eleifend option congue nihil imperdiet doming id quod mazim placerat facer possim assum. Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat. Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo consequat.
Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis.
At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, At accusam aliquyam diam diam dolore dolores duo eirmod eos erat, et nonumy sed tempor et et invidunt justo labore Stet clita ea et gubergren, kasd magna no rebum. sanctus sea sed takimata ut vero voluptua. est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat.
Consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et accumsan et iusto odio dignissim qui blandit praesent luptatum zzril delenit augue duis dolore te feugait nulla facilisi. Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat.
Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo consequat. Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et accumsan et iusto odio dignissim qui blandit praesent luptatum zzril delenit augue duis dolore te feugait nulla facilisi.
Nam liber tempor cum soluta nobis eleifend option congue nihil imperdiet doming id quod mazim placerat facer possim assum. Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat. Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #231

225. Сообщение от Michael Shigorin (ok), 26-Янв-23, 01:30 +1 +/–

> Ага, осталось всего ничего - нанять еще одного человека, который будет настраивать
> нам анзиблы.
Какого одного -- минимум двух, плюс ещё двух -- писать плейбуки и к каждому проверяющего.
Ну и кого-нить для зачитывания итиля вслух.  Тоже двух лучше.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #174 Ответы: #241

226. Сообщение от Michael Shigorin (ok), 26-Янв-23, 01:31 +1 +/–

>> Как жить дальше?
> Начать питаться на кухне, а не на помойке.
На помойке будет как раз не /tmp/.private/, а 755 /root, как вон выше упоминали...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136

227. Сообщение от Michael Shigorin (ok), 26-Янв-23, 01:37 +/–

> Это про Эльбрусы, да?
Не, их-то как раз хоть в яндекс-музее можно пощупать собственными клешнями :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161 Ответы: #232

228. Сообщение от Аноним (228), 26-Янв-23, 19:30 +/–

В ночное? Извините )

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #222

229. Сообщение от Аноним (228), 26-Янв-23, 19:33 +/–

Михаил, а как в Симплии сделать снимок экрана с меню "Пуск" с двумя пунктами почтовой программы?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #222

230. Сообщение от Аноним (230), 26-Янв-23, 19:50 +/–

> 9590
220 ватт TDP… Звучит, как наличие титула, собственного замка и герба с Печью, мое увОжение!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #192 Ответы: #235

231. Сообщение от Аноним (228), 26-Янв-23, 20:04 +/–

Михаил, по CNews можно предположить (https://importfree.cnews.ru/news/top/2023-01-24_rossijskij_v...), что вас меняют на ОС «МСВСфера»?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #224

232. Сообщение от Аноним (228), 26-Янв-23, 20:12 –1 +/–

Так задача была по наполнению музея Яндекса исчерпавшими себя продуктами?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #227

235. Сообщение от Аноним (235), 27-Янв-23, 19:14 +/–

Крематория, не герба?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #230

236. Сообщение от швондер (?), 27-Янв-23, 20:25 +/–

> cat /boot/config-6.0.0-6-amd64 | grep -P "CONFIG_(INIT_ON_ALLOC_DEFAULT_ON|INIT_ON_FREE_DEFAULT_ON|RANDOMIZE_KSTACK_OFFSET_DEFAULT|IOMMU_DEFAULT_DMA_LAZY|IOMMU_DEFAULT_DMA_STRICT|HAVE_ARCH_RANDOMIZE_KSTACK_OFFSET|RANDOMIZE_KSTACK_OFFSET_DEFAULT)"
useless use of cat

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

237. Сообщение от Аноним (237), 27-Янв-23, 20:32 +/–

Неправда. В части, где я проходил срочную службу, на рабочем ПК ЗНШ полка (в звании майора), мной, в ходе выполнения дежурного осмотра, была обнаружена глубоко законсперированная (см. "Russian military deception") HoM&M5. Отечественного производства, кстати. Патриотизм в нашей армии -- не пустой звук!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #206

238. Сообщение от швондер (?), 27-Янв-23, 20:38 +/–

>[оверквотинг удален]
> зачем-то пускаете людей по ssh на тачки, не давая им возможность
> настроить что-то от root, тот же самый nginx в /etc, попытаться
> использовать какой-то свежий эксплоит или иным образом напакастить на машине), или
> напрямую в root. Единственный смысл от этого только в логе того,
> кто под каким пользователем и ключом заходил, но такие логи тоже
> имеют смысл только если они отправляются наружу перед тем, как пустить
> кого-то на сервер. sshd, если имеет какие-то уязвимости, уже работает из-под
> root. Плюс sudo вообще не обязателен для нормального функционирования системы, а
> тут на него (с этой рекомендацией ограничивать доступ к su) делается
> вся ставка, хотя не понятно зачем.
угадай логин для начала.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

239. Сообщение от Аноним (237), 27-Янв-23, 20:40 +/–

Это отключаемо в браузерах и программах на их движках (Webkit, Chromium и т.п.)
Причем, вкладки продолжат использовать раздельный DOM и т.п., если предполагалось. По крайней мере, до первой обнаруженной уязвимости. Но в user namespaces также находят уязвимости, это не панацея.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

240. Сообщение от Аноним (237), 27-Янв-23, 20:47 +/–

Нет, совет в том, чтобы сместить ответственность со случайной прикладной программы и её сомнительных средств изоляции (веб-обозревателя) на администратора системы (компетентное лицо), чтобы избежать запуска программм, с повышенными привилегиями. Тем более, что большая часть машин, подпадающая под рекомендации, - серверные, где обычно нет графического сервера, графических программ и надобности в них.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

241. Сообщение от ivan_erohin (?), 28-Янв-23, 16:37 +/–

> Ну и кого-нить для зачитывания итиля вслух.
по-моему практики девляпс и ИТИЛ ортогональны, а местами противоречат друг другу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #225

242. Сообщение от Аноним (242), 28-Янв-23, 20:35 +/–

>агент, кэширующий ключи - которые при удобном случае могут быть дампнуты
Используйте агента, спрашивающего, можно ли отдать ключ тому то и тому то.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #207 Ответы: #243

243. Сообщение от OpenEcho (?), 29-Янв-23, 06:10 +/–

>>агент, кэширующий ключи - которые при удобном случае могут быть дампнуты
> Используйте агента, спрашивающего, можно ли отдать ключ тому то и тому то.
Это gpg или ssh которые? Ну так они тоже IV хранят в памяти, и к стати назойливо/принудительное присутствие gpg агента (которое как бы случайно появилось после вскормления мордокнигой) очень напоминает - "мы лучше знаем что вам надо" и не вызывает никакого доверия

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #242

244. Сообщение от Аноним (244), 03-Фев-23, 14:11 +/–

Все правильно.
chown root:wheel /bin/su
chmod o-rwxst /bin/su
usermod -a -G wheel admin_wheel
Или другую спец групу завести.
Так атакующему надо угадать имя пользователя и аж два пароля.
А ключи воруют.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #223

245. Сообщение от Аноним (244), 03-Фев-23, 14:21 +/–

> Запретить подключение к другим процессам с помощью ptrace (sysctl -w kernel.yama.ptrace_scope=3).
YAMA даст больше защиты процессов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #183 Ответы: #246

246. Сообщение от Аноним (244), 03-Фев-23, 14:23 +/–

Хотя hidepid=2 у меня тоже стоит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #245

247. Сообщение от Аноним (244), 03-Фев-23, 14:34 +/–

> А вообще советую ещё монтировать хомяк с noexec.
/home, /proc, /sys, /tmp, /var, ... - nodev,noexec,nosuid,rw
/dev - noexec,nosuid,rw
/, /opt, /usr, - nodev,ro
Проверка:
mount |grep -v -E '(noexec|ro),'
Не должно ничего выводить!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141

248. Сообщение от Аноним (244), 03-Фев-23, 14:39 +/–

Есть скрипты для проверки!
Lynis, ...
https://en.wikipedia.org/wiki/Lynis
https://habr.com/ru/company/vdsina/blog/503148/

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151

249. Сообщение от Аноним (244), 03-Фев-23, 15:03 +/–

Скрипт делающий ненужен. Не все фичи безопасности в конкретном дистре можно включить. Дистр сломается! Hardened система дело больше разрабов дистра. И тогда сделать для безопасности Linux можно намного больше чем предлагается в методике ФСТЭК.

Есть утилита для проверки безопасности:
https://cisofy.com/lynis/
Вот для нее модули https://cisofy.com/lynis/#lynis-plugins с требованиями ФСТЭК будут к стати.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

250. Сообщение от Аноним (244), 03-Фев-23, 15:39 +/–

>> ... для всех исполняемых файлов и библиотек ... с последующей проверкой, что каталог, содержащий данные файлы, а также все родительские каталоги недоступны для записи непривилегированным пользователям.
> Каким образом делать такую проверку, там не написано.
Популярные варианты дающие примерно тот-же результат:
1. Соблюдение правила: "что исполняется не должно изменятся, а что изменяется не должно исполнятся", при разбиении дисков: https://www.opennet.me/openforum/vsluhforumID3/129586.html#247
2. Патчить DAC в ядре Linux чтобы он поддерживал "исполнение по доверительному пути" (имеется ввиду именно это решение)
3. Integrity - политика запрещаются исполнение неподписаных файлов.
4. MAC - политика запрещаются запуск файлов с мест доступных на запись.
5. ... Ваш вариант.
Вот общая оценка безопасности системы:
https://www.opennet.me/openforum/vsluhforumID3/129586.html#248

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143

251. Сообщение от Аноним (244), 03-Фев-23, 15:47 +/–

Проверяющий скрипт:
https://www.opennet.me/openforum/vsluhforumID3/129586.html#248
https://www.opennet.me/openforum/vsluhforumID3/129586.html#249

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

252. Сообщение от Аноним (252), 04-Фев-23, 17:48 +/–

KSPP:
https://www.kernel.org/doc/html/latest/security/self-protect...
https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Pr...
GrSecurity:
https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecuri...
Gentoo:
https://wiki.gentoo.org/wiki/Hardened_Gentoo
https://wiki.gentoo.org/wiki/Project:Hardened
https://wiki.gentoo.org/wiki/Security_Handbook

Ответить | Правка | Наверх | Cообщить модератору

253. Сообщение от Аноним (253), 13-Авг-23, 19:52 +/–

Там где я срочку проходил, кап-лей-т гонял в NFS MW и что-то еще (не помню что)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #206 Ответы: #254

254. Сообщение от mos87 (ok), 14-Авг-23, 10:50 +/–

> еще (не помню что)
NSFW

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #253

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от pavlinux (ok), 24-Янв-23, 11:56	+/–
PS Некоторые опции ядра требуют включения отладочных функций, что может только усугубить безопасность (BPF/eBPF)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13, #55

2. Сообщение от Zenitur (ok), 24-Янв-23, 11:57	+/–
> Инициализировать механизм IOMMU Зачем?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #46, #103

3. Сообщение от Аноним (3), 24-Янв-23, 11:57	+42 +/–
Семь страниц это не серьёзно для гос организации. Это даже прочитать можно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #9, #54

4. Сообщение от Аноним (3), 24-Янв-23, 11:58	+/–
И пидиэф кстати 404 (404 не запрещено тут писать? - а то ведь полит подтекст)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #7, #8, #44, #53

5. Сообщение от ГруднаяЖаба (?), 24-Янв-23, 11:59	–10 +/–
если убрать системд то половину этих пунктов можно не читать
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #6

6. Сообщение от Аноним (6), 24-Янв-23, 12:03	+7 +/–
Любители девуана вообще читать не умеют.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

7. Сообщение от Schwonder Reismus (?), 24-Янв-23, 12:04	+/–
По первой ссылке переходите, а ссылка на пдф реально битая
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

8. Сообщение от Аноним (55), 24-Янв-23, 12:06	+/–
Не только PDF, но теперь и страница с ним. Даже в веб-архиве нет пдфки (а вот страница есть).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #10

9. Сообщение от Аноним (9), 24-Янв-23, 12:08	+/–
А это не для того чтобы за это наказывать, а чтобы реально работало.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #11

10. Сообщение от Аноним (55), 24-Янв-23, 12:09	+5 +/–
Ага. Ссылка в новости устарела. А вот новость на сайте ФСТЭК (по другой ссылке в тексте новости) содержит правильную ссылку на PDF
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (9), 24-Янв-23, 12:10	+3 +/–
Сейчас ещё окажется что это не публикация, а внутренняя утечка.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #56

12. Сообщение от КО (?), 24-Янв-23, 12:10	–12 +/–
Всё это конечно безумно интересно, но где же всё-таки отечественный windows? Вот прям с родным товарищем майором.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #15, #16, #21, #28, #48, #58, #72, #202

13. Сообщение от ФСТЭК (?), 24-Янв-23, 12:11	–1 +/–
Безопасность кого надо безопасность!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

14. Сообщение от ryoken (ok), 24-Янв-23, 12:13	+4 +/–
Гм.. Вроде хорошая вещь, а вот PDF-ку в Word2016 варганили...
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #17, #30

15. Сообщение от Аноним (15), 24-Янв-23, 12:13	+1 +/–
Не потому что линукс опенсорс, а венда нет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

16. Сообщение от Аноним (91), 24-Янв-23, 12:14	+12 +/–
А где финский или например австралийский?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #70

17. Сообщение от Аноним (91), 24-Янв-23, 12:14	+/–
Зато безопасно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

18. Сообщение от Аноним (18), 24-Янв-23, 12:15	+/–
Семь страничек? Смешно. Рекомендации от CIS (Center for Internet Security) едва умещаются в 700 (на примере CIS Red Hat Enterprise Linux 8 Benchmark).
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #20, #24, #25, #34, #41, #224

19. Сообщение от Иваня (?), 24-Янв-23, 12:19	+2 +/–
Интересно, спасибо.
Ответить \| Правка \| Наверх \| Cообщить модератору

20. Сообщение от Аноним (20), 24-Янв-23, 12:20	+/–
"Я сделяль" (с) ФСТЭК
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

21. Сообщение от Анонемистик (?), 24-Янв-23, 12:20	+/–
Не осилили
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

23. Сообщение от Попандопала (?), 24-Янв-23, 12:27	–1 +/–
Проще Альторосу поставить и колупаться не надо.D
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #211

24. Сообщение от PnD (??), 24-Янв-23, 12:28	+5 +/–
При этом там 90% воды, а в оставшемся бо́льшую часть занимают примеры. Было дело, пришлось мне готовить из него (для 7-ки) выжимку для "нормальных" админов. Здесь (прочёл по диагонали) как раз подобная выжимка. Даёт шансик не дать толпе народу списать рабочую неделю на "читал CIS". (А чё так долго? — Ну, английский не родной, надо примеры покрутить, все дела…)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

25. Сообщение от Попандопала (?), 24-Янв-23, 12:28	+1 +/–
7 страниц рили можно осилить,а за 700 платить придется в поддержку.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

26. Сообщение от Hanyuu (?), 24-Янв-23, 12:29	+/–
Где пункты "удалить systemd" и "собрать ядро без поддержки Rust" ? Опять икспертов нипаслушали!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #36, #157

28. Сообщение от Аноним (28), 24-Янв-23, 12:32	+4 +/–
QP OS
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

29. Сообщение от pashev.ru (?), 24-Янв-23, 12:32	+1 +/–
X. Ограничить доступ к /proc. Так чтобы пользователь (или процесс) мог видеть только свои процессы (подпроцессы).
Ответить \| Правка \| Наверх \| Cообщить модератору

30. Сообщение от Попандопала (?), 24-Янв-23, 12:32	–3 +/–
У меня ртфка вообще в вайновском вордпад открывается и не жужжу.XD
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

31. Сообщение от Аноним (31), 24-Янв-23, 12:33	+14 +/–
а где скрипт vfstek.sh, который всё это проверяет (не меняет, а просто чекает и выдаёт, где не соответствует)?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #35, #39, #50, #51, #163, #251

34. Сообщение от anonfdfd4 (?), 24-Янв-23, 12:36	–2 +/–
так там selinux, а на кой хрен он нужен? (как и его аналоги)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #40