The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Ubuntu 20.10 будет ограничен доступ к dmesg

03.07.2020 09:40

Разработчики Ubuntu согласовали ограничение доступа к утилите /usr/bin/dmesg только для пользователей, входящих в группу "adm". В настоящее время непривилегированные пользователи Ubuntu не имеют доступа к /var/log/kern.log, /var/log/syslog и системным событиям в journalctl, но могут посмотреть лог событий ядра через dmesg.

В качестве причины упоминается наличие в выводе dmesg сведений, которые могут быть использованы атакующими для упрощения создания эксплоитов для повышения привилегий. Например, в dmesg в случае сбоев отображается дамп стека и имеется возможность определения адресов структур в ядре, которые могут способствовать обходу механизма KASLR. Атакующий может использовать dmesg в качестве обратной связи, постепенно приводя эксплоит к должному виду, наблюдая за oops-сообщениями в логе после неудачных попыток атаки.

  1. Главная ссылка к новости (https://lists.ubuntu.com/archi...)
  2. OpenNews: Выпуск Whonix 15, дистрибутива для обеспечения анонимных коммуникаций
  3. OpenNews: Опубликован эксплоит для уязвимости в подсистеме vmacache ядра Linux
  4. OpenNews: Проект Ubuntu выпустил сборки для развёртывания серверных платформ на Raspberry Pi и ПК
  5. OpenNews: Поддержка CPU AMD EPYC Rome перенесена во все актуальные выпуски Ubuntu Server
  6. OpenNews: Утечка пароля от шифрованных разделов в логе инсталлятора Ubuntu Server
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/53280-ubuntu
Ключевые слова: ubuntu, dmesg
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (50) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Stanislavvv (?), 09:50, 03/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Надо сразу kernel.dmesg_restrict = 1
    Ибо нефиг.
     
     
  • 2.3, CHERTS (ok), 09:52, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Да вообще запретить доступ в /var/log ибо нефиг логи смотреть.
     
     
  • 3.4, iv m. (?), 10:03, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +16 +/
    А лучше сразу их туда и не писать, а то задосят.
     
     
  • 4.12, A (?), 11:21, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Комп сразу выключить из розетки. Ага. )
     
  • 3.8, iPony129412 (?), 10:45, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Вон деды и в /dev/dsp пердели
    А сейчас не получится. Права нужны всякие.
     
     
  • 4.29, Аноним (29), 17:42, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ничего не знаю, у меня и сейчас получается. Разве что по умолчанию /dev/dsp отсутствует, надо загружать модуль ядра snd-pcm-oss. Я это даже на практике использую, т.к. через /dev/dsp пердёж получается более резкий (с меньшим лагом), нежели через libasound, даже при настройке последнего на использование прямого вывода в hw.
     
  • 4.48, Аноним (48), 00:14, 07/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Удачи в дудении, что с правами, что без:

    $ ls /dev/dsp
    ls: cannot access '/dev/dsp': No such file or directory

     
  • 3.11, Аноним (11), 11:12, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +17 +/
    Неправильно мыслишь. Доступ к логам и дмесгу должен быть по ежемесячной подписке хотя бы за 5$.
    Вот тогда это будет серьезно (и хорошая модель монетизации для дистрибутива!).
     
     
  • 4.16, zshfan (ok), 11:55, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ты совсем что ли? Ты зачем им бизнес-модель подсказываешь? Вот окажется тут один из них и всё виндекапец 20.10 станет непопулярным у домохозяек и тогда они попрут на родные генты, арчи и слаки.
     
     
  • 5.21, siu77 (ok), 13:45, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, так, а зачем dmesg домохозяйкам? Наоборот, станет популярным.
     
  • 3.15, Аноним (15), 11:48, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > запретить доступ в /var/log

    Там и так давно уже ничего нет.

     
  • 2.23, Аноним (23), 14:58, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Надо сразу kernel.dmesg_restrict = 1

    Надо сразу все опции безопамности включить, а не по одной обсуждать.

    Тянут время.

     
  • 2.47, Аноним (47), 00:13, 07/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Надо сразу kernel.dmesg_restrict = 1

    Еще можно так:
    CONFIG_SECURITY_LOCKDOWN_LSM=y
    CONFIG_LSM="lockdown, ...

     

  • 1.5, Аноним (5), 10:16, 03/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Идиотия жёсткая, ибо пользователи в итоге начнут на каждый чих писать sudo.

    // b.

     
     
  • 2.9, iPony129412 (?), 10:47, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    И что с того?
    Кто не понимая, что попало делает, тот и с этим и без этого что попало будет делать.
    А такие на линуксах не выживают.
     
  • 2.18, Аноним (18), 12:17, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Каждый день по нескольку раз смотришь в dmesg?
     
     
  • 3.20, Diozan (ok), 13:09, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ну, при отладках, бывает и по несколько раз в минуту.
     
     
  • 4.24, Няняняним (?), 15:32, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И в чем проблема засунуть нужного юзера в нужную группу?
     
  • 2.22, Вейланд (?), 13:46, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если ты можешь написать sudo, то ты уже в этой группе и тебе не надо писать sudo.
     
     
  • 3.33, Аноним (33), 18:51, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, в убунте в sudoers разрешена группа admin (которой из коробки в системе нет).
    В новости речь идёт о группе adm (которой традиционно принадлежат системные логи в дебиане).
     
     
  • 4.44, srgazh (?), 22:39, 04/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да убунто хомяки не занли)
     
  • 2.28, Аноним (-), 16:02, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прекратить вендузятские выкрики!
     
  • 2.34, Bdfybec (?), 19:43, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > начнут на каждый чих писать sudo

    Потом, с помпой, отменят sudo за ненадобностью

     

  • 1.6, Да я вернулся (?), 10:18, 03/07/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –7 +/
     
  • 1.7, Аноним (-), 10:23, 03/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Догнали наконец FreeBSD, где давно можно доступ отключить прям из инсталлера.
     
     
  • 2.10, OpenEcho (?), 10:48, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Догонят когда перекроют всем кому не попадя шарится по /proc
     
     
  • 3.13, Мимикус Пипикус Онанимус (?), 11:26, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уже сто лет как есть возможность показывать только те процессы, которыми владеет текущий юзер ( если он не рут).
    mount -o remount,hidepid=2 none /proc
    И все, среднестатистический Васян видит только то, что сам наспавнил в системе. Все остальное можно через AppArmor/SELinux зарезать, и вроде как в старых GRSecurity вроде была такая фича.
     
     
  • 4.17, OpenEcho (?), 12:17, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Уже сто лет как есть возможность показывать только те процессы, которыми владеет
    > текущий юзер

    Мы же про настройки из каробки, нет?

    А если закручивать гайки, то имхо админам(не рутам) наверное все таки полезно смотреть /proc  

    echo '
    proc /proc proc rw,nosuid,nodev,noexec,relatime,hidepid=2,gid=adm  0  0
    ' >> /etc/fstab


     
  • 3.26, Аноним (26), 15:48, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все это тлен, пока буфер обмена X-ов шарится беззастенчиво
     
     
  • 4.31, Аноним (-), 18:16, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А где-то еще остались иксы?
     
     
  • 5.35, Bdfybec (?), 19:46, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Почти нет кроме пары ретроградов, но у них 286-й комп и монитор 640x480.
     
     
  • 6.41, anonymous yet another (?), 07:11, 04/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Врёшь, собака! У нас CGA, 320x240.
     
     
  • 7.46, Oldfag (?), 17:07, 06/07/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В CGA 320x200. Иди учи уроки
     
  • 5.50, Аноним (50), 09:50, 07/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    где nvidia, там остались
     

  • 1.14, Аноним (14), 11:27, 03/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вместо того, чтобы сделать привилегии для ядерных событий (каждое событие имеет свой дескриптор, каждый пользователь тоже, программы под пользователем видят только события, которые пользователю разрешено видеть), они ограничили доступ к ним совсем.
     
     
  • 2.19, Аноним (19), 12:46, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У меня обычный пользователь логи читать не может вообще, кроме wtmp

    А на dmesg матюк:
    dmesg: read kernel buffer failed: Operation not permitted

    Все что ты пишешь это MAC, очень дорогая штука. В рядовых Linux дистрах сначала надо заняться DAC.

     

  • 1.25, Аноним (-), 15:44, 03/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в debian уже так сделали...
     
     
  • 2.36, Bdfybec (?), 19:48, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > в debian уже так сделали...

    Под дверь нагадили?

     
     
  • 3.51, Аноним (50), 09:51, 07/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    а я уже сделал alias dmesg='sudo dmesg' в .bashrc
     

  • 1.27, Аноним (27), 16:02, 03/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что с journalctl -k?
     
  • 1.30, Иваня (?), 17:48, 03/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажите пожалуйста, где найти и скачать исходные коды утилиты /bin/dmesg 🤔
     
     
  • 2.32, Аноним (32), 18:43, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/karelzak/util-linux/blob/master/sys-utils/dmesg.c
     

  • 1.37, Аноним (37), 19:56, 03/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    С ума сойти... кто-то начал всерьёз задумываться о безопасности десктопных юзкейсов на Linux. А я думал там одни иллюзии на тему неуловимого Джо...
     
     
  • 2.38, kai3341 (ok), 00:49, 04/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  С ума сойти... кто-то начал всерьёз задумываться о безопасности десктопных юзкейсов на Linux. А я думал там одни иллюзии на тему неуловимого Джо...

    Всё чаще Ubuntu используется на сервере. Там оно вполне оправдано

     
  • 2.39, iPony129412 (?), 05:04, 04/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > безопасности десктопных юзкейсов на Linux

    А в чём тут десктопность?

     
  • 2.40, iPony129412 (?), 05:24, 04/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А десктоп....
    Там десятилетний баг с отображением рабочего стола после спячки, а потом уже скрин-локера исправили?
    ЗЫ: а если бы такой Windows или macOS вытворяли — их бы запинали же.
     

  • 1.42, AntonAlekseevich (ok), 07:59, 04/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Например, в dmesg в случае сбоев отображается дамп стека и имеется возможность определения адресов структур в ядре, которые могут способствовать обходу механизма KASLR. Атакующий может использовать dmesg в качестве обратной связи, постепенно приводя эксплоит к должному виду, наблюдая за oops-сообщениями в логе после неудачных попыток атаки.

    Как говорится "Давайте ослепнем и все будет хорошо". А тем временем KASLR будут ломать все кому не лень и будут новые эксплоиты.

     
  • 1.43, zg_nico (ok), 18:32, 04/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мдя... Придется-таки осваивать другой дистрибутив, похоже... Не, я всё понимаю, но вот dmesg через sudo - вот этого я ну никак не понимаю :(
    У них там обострение какое-то, в Canonical. Сначала новость про насильно устанавливаемый snap с chromium, теперь dmesg для пользователя запретить... Так чего доброго все подряд начнут гвоздями приколачивать. Эх... Хороший был дистрибутив на момент знакомства. Жаль расставаться.
     
     
  • 2.45, srgazh (?), 22:42, 04/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да пара уже) Собери свой. И вообще хороший совет оставь Linux для серверов. Установи Windows 10 и радуйся жизни.
     
  • 2.49, iPony129412 (?), 05:30, 07/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нашёл проблему...
    Насколько помню в инсталяторе создаётся сразу пользователь как около админмтратор, тоесть включенный в группу adm
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру