1.1, Michael Shigorin (ok), 22:21, 10/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
...и опять userns... (в альте подумали и перевели в вид "если хочешь сидеть на этой пороховой бочке, включай своей рукой" как бы не ещё при первом CVE на сей счёт, помнится)
| |
|
2.3, Аноним (-), 22:30, 10/05/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
Эти user namespaces, как и контейнеры со своим root-ом, просто раздолье для атак на системные вызовы, позволяя без назначения capabilities обращаться к любым подсистемам ядра.
Итог: user namespaces и root-права в контейнере и без уязвимостей уже дыра в безопасности.
| |
|
3.42, Michael Shigorin (ok), 09:32, 11/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Эти user namespaces, как и контейнеры со своим root-ом,
> просто раздолье для атак на системные вызовы
Именно.
| |
|
4.106, pavlinux (ok), 05:17, 17/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
Причём тут namespaces, нехера преобразовывать типы в середине кода,
чтоб заткнуть компилятор про сравнение unsigned и signed
> (int)(req->tp_block_size - BLK_PLUS_PRIV(req_u->req3.tp_sizeof_priv)) <= 0) | |
|
|
|
3.5, Аноним (-), 22:52, 10/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Спрашиваю не ради флейма а ради интереса: альт реально чем-то хуже десятка других дистров? Или ваше (и не только) отношение вызвано исключительно тем, что сотрудники альта тут пишут, а сотрудники вашей любимой федоры/убунты/дебиана/слаквари нет?
| |
|
4.7, Аноним (-), 23:15, 10/05/2017 [^] [^^] [^^^] [ответить]
| +15 +/– |
Иногда мне кажется, что Шигорин на самом деле сотрудник не альта, а какого-то другого конкурирующего дистрибутива, потому как никто не делает здесь для альта такую антирекламу, как Шигорин. Что касается технической части, то я также спрашивал у Шигорина, в чем преимущество у альта, на что он мне начал говорить про какое-то "договороспособное руководство". https://www.opennet.me/openforum/vsluhforumID3/109979.html#6
| |
|
|
|
|
8.26, Аноним (-), 08:07, 11/05/2017 [^] [^^] [^^^] [ответить] | –1 +/– | Это же самое важное 1 В моём дистрибутиве очень ОЧЕНЬ скучные обои Срочно пере... текст свёрнут, показать | |
|
|
|
5.11, freehck (ok), 00:06, 11/05/2017 [^] [^^] [^^^] [ответить]
| +8 +/– |
Ребята, давайте на чистоту: вы не любите Мишу. Альт тут вообще не при чём. :)
Сам Альт вообще не так уж плох. Сравнить с халтурой поделкой, типа Astra - так небо и земля.
| |
|
6.16, cmp (ok), 00:19, 11/05/2017 [^] [^^] [^^^] [ответить]
| +6 +/– |
Которую сравнить с поделкой попова, которую сравнить с результатом прыганья обезьян на клавиатуре.
| |
6.18, Crazy Alex (ok), 00:43, 11/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Любой "национальный" дистр плох по определению, если это не проект по допиливанию чего-то более распространённого под нужды конкретной конторы/городской управы. И то грех такие штуки в виде отдельного дистрибутива организовывать.
| |
|
7.20, Аноним (-), 01:33, 11/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Любой "национальный" дистр плох по определению
Почему?
Вот федора, например, типичный американский национальный дистр, воплощающий американские народные заморочки типа патентов на ПО.
| |
|
8.56, Аноним (-), 12:08, 11/05/2017 [^] [^^] [^^^] [ответить] | +1 +/– | А типичный российский нациоанальный дистр должен воплощать заморочки на тему рос... текст свёрнут, показать | |
|
9.68, Аноним (-), 17:50, 11/05/2017 [^] [^^] [^^^] [ответить] | +5 +/– | Есть подозрение, что западные партнёры более продвинуты в этом распил вопросе ... текст свёрнут, показать | |
|
8.89, Аноним (-), 08:54, 12/05/2017 [^] [^^] [^^^] [ответить] | –1 +/– | Fedora полигон для тестирования новых фич RHEL Более того, сделан по индивидуал... текст свёрнут, показать | |
|
7.34, пох (?), 08:47, 11/05/2017 [^] [^^] [^^^] [ответить] | +1 +/– | странное это у вас определение такие - и незачем, совершенно А универсальный... большой текст свёрнут, показать | |
7.60, Адекват (ok), 14:03, 11/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Любой "национальный" дистр плох по определению, если это не проект по допиливанию
> чего-то более распространённого под нужды конкретной конторы/городской управы. И то грех
> такие штуки в виде отдельного дистрибутива организовывать.
Национальный дистр должен быть сделан с нуля, используя уже имеющиеся наработки, страна большая, матерых спецов полно, нефти и газа, чтобы им зарплату платить - тоже, если бы государству нужна была такая ось - давно бы была.
| |
7.66, freehck (ok), 17:21, 11/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Любой "национальный" дистр плох по определению, если это не проект по допиливанию
> чего-то более распространённого под нужды конкретной конторы/городской управы.
Нет, конечно. Если патентное право какой-либо страны запрещает распространение или использование кода, то международный дистрибутив не имеет возможности включить этот код, даже если он востребован на рынке. Однако "национальный" дистрибутив в стране, не признающей эти патенты, вполне может поставлять их. В том числе "из коробки".
| |
|
6.35, ann (??), 08:53, 11/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
Согласен с анонимом чуть выше.
Вот я лично ничего против ни Шигорина на Альта не имею. Альтом пользовался когда не было альтернатив (релиз 3), теперь не пользуюсь и пока не собираюсь.
Но когда в каждой новости мне пишут про "великий альт" - вот это раздражает и да - это самая настоящая антиреклама.
| |
|
7.37, Аноним (-), 09:02, 11/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Но когда в каждой новости мне пишут про "великий альт" - вот
> это раздражает и да - это самая настоящая антиреклама.
Чего-чего, не видел здесь ни одной новости с упоминанием Alt Linux, кроме непосредственных новостей про релизы Alt. Написание в комментариях к новости не значит впаривание чего-то в самой новости.
| |
|
|
|
6.96, Аноним (-), 18:07, 12/05/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
> > Иногда мне кажется, что Шигорин на самом деле сотрудник не альта
> стоит в явном виде прописывать "IMHO";
По-моему, тут и так указано, что это имхо. "Мне кажется" имхо и есть.
| |
|
|
4.12, freehck (ok), 00:10, 11/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Спрашиваю не ради флейма а ради интереса: альт реально чем-то хуже десятка других дистров?
Самое забавное, что нет. Местами даже лучше. Посмотрите на сизиф, hasher, gears. Ребята не фигнёй страдают - это точно.
> Или ваше (и не только) отношение вызвано исключительно тем, что сотрудники альта тут пишут
Сотрудники - сильно сказано. Тут пишет ровно один сотрудник Альта. )
| |
|
5.44, Michael Shigorin (ok), 09:38, 11/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Тут пишет ровно один сотрудник Альта. )
Ну почему -- порой заглядывает cas@ (Skull), изредка видал boyarsh@, sem@ и aen@ со smi@. Но "пишу", пожалуй, и впрямь я.
| |
|
4.30, пох (?), 08:31, 11/05/2017 [^] [^^] [^^^] [ответить] | +/– | десятка - нет, ничем не хуже Чем вообще отличаются нормальные не узкоспециализ... большой текст свёрнут, показать | |
|
|
6.50, Онанимус (?), 10:35, 11/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
> ключевым фактором всё-таки будет общее состояние штатовской экономики.
> Ну а мы пока на бережку и пакетики пособираем, и инфраструктурой продолжим заниматься.
А что нам еще остается? Ведь с нашей экономикой уже все ясно (
| |
|
7.97, Michael Shigorin (ok), 12:14, 15/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А что нам еще остается? Ведь с нашей экономикой уже все ясно (
Да, с экономикой достаточно неплохо. И главное -- есть всё нужное, чтоб было не хуже.
Лоботрясов, которые стенают за "режим" и не в состоянии сравнить с "благословенными девяностыми" без специальных очков, всерьёз принимать не получается.
| |
|
6.53, Сэмуэль (?), 11:47, 11/05/2017 [^] [^^] [^^^] [ответить]
| +10 +/– |
> Ой не знаю, Dear Netch лет пять-семь тому не очень хорошо отзывался о вменяемости фрёвых разработчиков как сообщества -- мол, уж лучше net или open.
Dear Netch это Валя Нечаев? По поводу вменяемости сообществ, у net своих проблем не меньше: https://habrahabr.ru/post/201618 как и у open (достаточно почитать орхивы misc@). парни из фрёвых могут нахамить иногда, это да, и средний уровень разработчиков подупал -- но это лишь следствие большей популярности и желания привлечь "новую кровь".
| |
|
|
4.55, Аноним (-), 11:57, 11/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
>альт реально чем-то хуже десятка других дистров?
И даже был бы лучше того другого десятка, если бы не повелись на НенужноД.
| |
|
5.57, пох (?), 12:33, 11/05/2017 [^] [^^] [^^^] [ответить]
| –4 +/– |
> И даже был бы лучше того другого десятка, если бы не повелись на НенужноД.
для тех кто так и не понял, разжевываем: повелись не они, а разработчики прикладного софта - начиная от банального screen и заканчивая "десктопами". Без него - что-то с трудом собирается, что-то собирается но в нем что-нибудь не работает, или работает не так как привыкли. Судя по "блестящим" результатам деятельности проекта тухлыйдебиан http://www.opennet.me/opennews/art.shtml?num=46504 - которые занимаются _только_ этим выпиливанием - из _готового_ проекта, где всего-то достаточно взять и пересобрать только то, что затронуто - задача уже не имеет решения в рамках универсального дистрибутива.
Вы же первыми и начнете ныть, что "все глючит, и ничего нет".
| |
|
|
7.71, Сэмуэль (?), 18:19, 11/05/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
Поддерживаю: во фре тоже есть sysutils/screen при том что (слава богу) нет никакой системды.
| |
|
8.73, пох (?), 18:35, 11/05/2017 [^] [^^] [^^^] [ответить] | –1 +/– | там как бы и x11 gnome3 _пока_ есть А на мелочи типа тут отвалится, там не рабо... текст свёрнут, показать | |
|
9.79, Аноним (-), 19:42, 11/05/2017 [^] [^^] [^^^] [ответить] | +3 +/– | На самом деле, та же сёрфилка и проигрыватель ютубных котиков через HDMI на теле... большой текст свёрнут, показать | |
|
10.84, пох (?), 00:14, 12/05/2017 [^] [^^] [^^^] [ответить] | +/– | ну да - привыкаешь что ничего до конца не работает в принципе, и успокаиваешься ... большой текст свёрнут, показать | |
|
11.88, Аноним (-), 01:16, 12/05/2017 [^] [^^] [^^^] [ответить] | +1 +/– | Можно подумать, в окошках стояли поначалу на азусе и одном из тинкпадов все ра... большой текст свёрнут, показать | |
|
12.91, пох (?), 12:54, 12/05/2017 [^] [^^] [^^^] [ответить] | –1 +/– | УМВР, ЧЯДНТ ну я вот - знаю, как Правда, никогда не требовалось нет пульсы ... большой текст свёрнут, показать | |
|
13.95, Аноним (-), 16:26, 12/05/2017 [^] [^^] [^^^] [ответить] | +/– | Ну дык, было бы странно, если бы до сих пор не починили Но идея была 171 гени... большой текст свёрнут, показать | |
|
|
|
|
|
10.81, Аноним (-), 21:37, 11/05/2017 [^] [^^] [^^^] [ответить] | +1 +/– | Так то ж Поттеринг изобрел Все знают, что до него никакой асинхронщины не было ... текст свёрнут, показать | |
|
11.90, пох (?), 12:25, 12/05/2017 [^] [^^] [^^^] [ответить] | +2 +/– | нет, он просто ловко включился в тренд до него - да, не было, были runlevel ы с... текст свёрнут, показать | |
|
10.85, пох (?), 00:24, 12/05/2017 [^] [^^] [^^^] [ответить] | –1 +/– | вот ровно при том, что если старательно делать как в windows , то оно как в wi... текст свёрнут, показать | |
|
|
10.86, пох (?), 00:36, 12/05/2017 [^] [^^] [^^^] [ответить] | +/– | ну снеси эти полсистемы , и будет обратно почти фря Все равно в ней ты гом не ... текст свёрнут, показать | |
|
|
|
7.72, пох (?), 18:28, 11/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Использую app-misc/screen на Gentoo, даже в use-флагах у него нет systemd
там utempter - который нынче, насколько я успел понять, уже совсем не то, что было раньше (в systemd-богатых системах, у остальных он тупо суидный враппер для записи в wtmp или вовсе отсутствует + набор из трех функций для собственно записи сессии)
поскольку, создавая сессию, уже практически невозможно избежать общения с этим чудом в виде его login-чтототам компоненты. Эх... всего десять лет назад я его удалял сразу после установки, без всяких последствий (разумеется, screen оставался suid root, designed to be)
| |
|
8.93, WoT (?), 13:53, 12/05/2017 [^] [^^] [^^^] [ответить] | +1 +/– | В этой теме первой идёт ветка с обсуждением АльтЛинукса, так что мне показалось ... текст свёрнут, показать | |
|
9.94, пох (?), 15:52, 12/05/2017 [^] [^^] [^^^] [ответить] | +/– | ls -la which screen дай угадаю - он окажется suid Или он там вообще сессий ... текст свёрнут, показать | |
|
|
|
|
7.102, пох (?), 20:47, 15/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> http://altlinux.org/sysvinit
ну чего-то это как-то уже овердохрена "там подпилить, тут подрезать, и в результате все равно кое-что не выглядит идеально".
К тому же я бы предпочел не патчить конфиги polkit, а отправить его туда же, куда и то, чем это уродище было порождено (флэшку я как-нибудь без него смонтирую - если оно мне зачем-то надо)
Однако же ж: The following packages are going to be REMOVED:
ConsoleKit ConsoleKit-x11 (ну это и досведание)
[skip]
kdelibs4 kdelibs4-core (казалось бы, причем тут...)
pm-utils [здравствуйте, приехали] tightvnc [опа] xkeyboard-config xorg-x11 и так далее.
windows, как он есть. Только "всем хуже".
| |
|
|
|
|
|
|
1.6, A.Stahl (ok), 22:54, 10/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
>Исследователи безопасности из группы ... для предотвращения атак ... опубликовали технику эксплуатации уязвимости
Они точно понимают значение слова "предотвращение"?
| |
|
2.8, Аноним (-), 23:27, 10/05/2017 [^] [^^] [^^^] [ответить]
| –5 +/– |
Это ж гугл, им напару с мс не западло порасшатывать экосистему линуксов
| |
2.17, Аноним (-), 00:31, 11/05/2017 [^] [^^] [^^^] [ответить]
| +8 +/– |
Да, чувак, вот так вот предотвращают уязвимости: выявляют, сообщают разработчикам, а после исправления публикуют подробный отчёт, чтобы другие на те же грабли не наступали.
| |
2.19, Аноним (-), 01:31, 11/05/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Они точно понимают значение слова "предотвращение"?
Вы точно понимаете значение слов "устранено", "выпущено"?
> В Ubuntu и Fedora проблема была устранена в апрельском обновлении пакетов с ядром. Для SUSE 12 и openSUSE исправление было выпущено несколько дней назад.
| |
2.27, iPony (?), 08:12, 11/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
Принцип "security through obscurity" неочень работает.
Особенно, если это скрыто лично от тебя, но не от всех.
| |
|
1.22, Аноним (-), 02:21, 11/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
> Опубликован прототип эксплоита, работоспособного в Ubuntu 16.04.2 с ядром 4.8.0-41-generic с включенными механизмами защиты KASLR, SMEP и SMAP.
А зачем тогда нужны механизмами защиты KASLR, SMEP и SMAP если они не защищают?
| |
|
2.29, llolik (ok), 08:27, 11/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
А они должны защитить вот прямо от всего? Для того, для чего они были придуманы - атаки затрудняют (некоторый и большой их класс делают невозможными), да, но предотвратить вообще всё - это нереально.
| |
|
1.28, XX1asd (?), 08:14, 11/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
> должен иметь полномочия CAP_NET_RAW, которые необходимы для создания сокетов AF_PACKET. В Ubuntu и Fedora данные полномочия можно получить через использование пространств имён идентификаторов пользователей (user namespace)
так, не понял.. эт что же получается? с какого-то чёрта user_ns разрешает использовать приложению raw-сокеты? не слишком ли жирно?
| |
|
2.32, пох (?), 08:34, 11/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
> так, не понял.. эт что же получается? с какого-то чёрта user_ns разрешает
> использовать приложению raw-сокеты? не слишком ли жирно?
он для этого (и похожих вещей) как раз и предназначен. Сюрприз?
| |
|
3.39, XX1asd (?), 09:18, 11/05/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
а мне то казалось user_ns нужен чтобы *имитировать* повышенные привелегии, в то время как по факту программа так и остаётся в рамках своих лимитов...
например chroot сделанный через user_ns -- не способен навредить остальным (в отличии от обычного рутового chroot)..
но ведь raw-сокеты -- они то как раз *способны* навредить?!
| |
|
4.51, пох (?), 11:13, 11/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
> а мне то казалось user_ns нужен чтобы *имитировать* повышенные привелегии
разумеется, нет - зачем тебе такая "имитация"?
Он именно для полноценных повышенных привиллегий (с сохранением возможности их делегировать или, наоборот, сбросить), но замкнутых внутри песочницы. Чтобы не давать каждому пользователю, которому приспичило, полноценного рута, хотя бы даже и в виртуалке, сохранив хотя бы видимость контроля за инфраструктурой. Или не бегать за ними всеми выполнять их работу самому, не потому что они с ней не справляются, а потому что побочные эффекты не могут предотвратить.
Ну и как с любыми другими песочницами - песочек иногда высыпается сквозь дырки в бортиках. Поскольку именно эта a)новая b) модн...сложная - сыплется чаще, чем из примитивных.
> но ведь raw-сокеты -- они то как раз *способны* навредить?!
ну да. А без них - банальный ping не работает. И мы делаем его suid root, что, потенциально, способно навредить гораздо существенней, если вдруг в банальном парсере ключиков опять что-то прощелкали (а бывало). ping это, разумеется, утрированный пример - он простой, в нем проблем давно не видели. А когда задачка посложнее - неизвестно, какой подход окажется хуже.
| |
|
5.76, X3asd (ok), 18:57, 11/05/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
> банальный ping не работает
раз в жизни для запуска ping -- можно и до настоящего root снизайти..
..а в контейнерах-всяких -- вообще ping не нужен.
> ping это, разумеется, утрированный пример - он простой, в нем проблем давно не видели. А когда задачка посложнее - неизвестно, какой подход окажется хуже.
других задачек где требовался бы сырой socket, кроме ping, особо и не выдумать
| |
|
6.87, пох (?), 01:16, 12/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
> других задачек где требовался бы сырой socket, кроме ping, особо и не
> выдумать
банально не tcp и не udp, и подобных протоколов - мильен с тыщами и помимо icmp, вот сюрприз-то, елки-палки...
Можно использовать raw, можно - AF_PACKET, хрен редьки абсолютно не слаще (первое не очень переносимое, второе именно в линуксах может желать странного, что на совсем специфичных системах недоступно), обоим рута или CAP_эквивалент подавать.
| |
|
|
|
3.40, XX1asd (?), 09:26, 11/05/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> так, не понял.. эт что же получается? с какого-то чёрта user_ns разрешает
>> использовать приложению raw-сокеты? не слишком ли жирно?
> он для этого (и похожих вещей) как раз и предназначен. Сюрприз?
ты б ещё сказал что USER_NS предназначен чтобы эксплуатировать локальные уязвимости 😂😂😂🤣
| |
|
|
1.47, AlexYeCu_not_logged (?), 10:05, 11/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
> В Android право создавать сокеты AF_PACKET имеет процесс mediaserver, через который может быть эксплуатирована уязвимость.
> mediaserver
Бггг.
| |
|
2.61, Аноним (-), 14:08, 11/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
И действительно, непонятно зачем медиасерверу AF_PACKET ? Ему вполне должно быть достаточно AF_LOCAL, AF_INET, AF_INET6.
| |
|
3.70, Alex (??), 18:04, 11/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
igmp, например. Вообще, принимать или выдывать мультикастовый медиа-поток - одно из основных функциональностей для мультимедиа сейчас.
| |
|
4.77, X3asd (ok), 18:59, 11/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> igmp, например. Вообще, принимать или выдывать мультикастовый медиа-поток - одно из основных
> функциональностей для мультимедиа сейчас.
для мультикаста не нужен AF_PACKET
| |
|
5.104, pavlinux (ok), 04:56, 17/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
> для мультикаста не нужен AF_PACKET
Вставь сниффер перед цифровым теликом и удивись
| |
|
|
|
|
|
2.105, pavlinux (ok), 04:58, 17/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Опубликован прототип эксплоита
Чтоб заработало нужно добавить пару строк в алгоритм прокладки.
| |
|
|