| |
| 2.6, Аноним (-), 14:26, 29/12/2021 [^] [^^] [^^^] [ответить] | –12 +/– | С разморозкой man securelevel code The kernel runs with five different securi... большой текст свёрнут, показать | | |
| |
| |
| 4.8, Аноним (-), 14:39, 29/12/2021 [^] [^^] [^^^] [ответить] | –8 +/– | - Хорошо The INVARIANT_SUPPORT option makes us compile in support for ver... большой текст свёрнут, показать | | |
| |
| |
| 6.12, Аноним (-), 14:57, 29/12/2021 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> А можно еще пару страниц, пожалуйста?
Твоих глупостей и прочего подгорания? Ну ладно, так и быть, разрешаю!
| | |
| |
| |
| |
| |
| 10.35, Аноним (-), 18:09, 29/12/2021 [^] [^^] [^^^] [ответить] | –1 +/– | Анонимусов на опеннете чуть более одного Странно что ты этого еще не заметил, а... текст свёрнут, показать | | |
|
|
|
|
| 6.13, Аноним (-), 15:21, 29/12/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нельзя. Толлинг допускается только один раз. Ты же по второму кругу идёшь.
| | |
|
|
|
|
| 2.11, Крок (?), 14:54, 29/12/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Именно такого нет, есть MAC фреймворк с модулями разными, они могут дополнительно всякое разноетпроверять.
| | |
| |
| 3.16, Аноним (1), 16:12, 29/12/2021 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Ну я так понял BSD-альтернативы для LKRG нет.
> MAC фреймворк с модулями разными
Ну так он в линуксе и до этого был. И не один.
| | |
| |
| 4.17, Аноним (21), 17:01, 29/12/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Ну я так понял BSD-альтернативы для LKRG нет.
Но зато есть man-страницы, которые можно скопипастить, а это уже что-то.
И говорящий сам с собой копипастер.
| | |
| |
| 5.23, Аноним (1), 17:22, 29/12/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
чем длиннее пасты, тем солиднее коммент. Можно еще для убедительности разбавить ссылками. Пофиг, что не по теме -- главное щоб були ссилкi.
| | |
| |
| 6.27, Аноним (21), 17:27, 29/12/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да я этого поехавшего помню ещё по фееричному доказательству, что "freebas НЕ переходила на zfsonlinux" ссылками на... новости о том, что freebsd переходит на zfsonlinux.
| | |
|
| 5.26, Аноним (26), 17:26, 29/12/2021 [^] [^^] [^^^] [ответить]
| +/– |
 >> Ну я так понял BSD-альтернативы для LKRG нет.
> Но зато есть man-страницы, которые можно скопипастить, а это уже что-то.
Ну да, глупые бздуны забыли что чтение мана - это не к лапчатым ...
> И говорящий сам с собой копипастер.
И очередной подгоревший недо-вбросчик метана, с сумбурными фантазиями.
| | |
| |
| 6.37, Аноним (-), 18:56, 29/12/2021 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Ну да, глупые бздуны забыли что чтение мана - это не к лапчатым ...
Модно-молодежные выбирают ютуб же - просмотр полуторачасового видосика экономит 10 минут старперского чтения мана!
| | |
| 6.43, Аноним (-), 21:15, 29/12/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Наспамить бсдшными манами в теме про линуксный модуль, а потом еще и такие заявы выдавать? А вы красавчики, лол. Благодаря таким типам и складывается вмечатление что бсд пользуются только совсем ушибленые придурки.
| | |
| |
| 7.44, Аноним (-), 21:31, 29/12/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Наспамить бсдшными манами в теме про линуксный модуль, а потом еще и
> такие заявы выдавать?
Наспамить в теме про линуксовый модуль "В BSD нету LKRG! Воть!", спалиться анонимным номерком, нарваться на ответку, перейти на ad hominem и еще повозмущаться "а чей-то вы миня абижаите!" - красава!
> А вы красавчики, лол. Благодаря таким типам и
> складывается вмечатление что бсд пользуются только совсем ушибленые придурки.
Зато благодаря вам, "нетакимкакфсе", давно уже сложилось впечатление, что линухом пользуются только истеричные тик-токеры-школота, постоянно ищущая, за счет чего бы самоутвердиться ...
| | |
| |
| |
| 9.83, Аноним (-), 18:10, 30/12/2021 [^] [^^] [^^^] [ответить] | +/– | Эксперд294, попробуй читать глазами, а не опой - - А номерок анонима привязан ли... большой текст свёрнут, показать | | |
| |
| 10.86, Аноним (-), 18:38, 30/12/2021 [^] [^^] [^^^] [ответить] | +/– | Чисто поржать, я где-то в середине втерся, подстебать чудика бросающегося на i ... большой текст свёрнут, показать | | |
| |
| 11.91, Аноним (91), 19:34, 30/12/2021 [^] [^^] [^^^] [ответить] | +/– |  Я уже говорил - попробуй начать читать глазами Это прямо из формы ответа, если ... большой текст свёрнут, показать | | |
| |
| 12.96, Аноним (-), 10:15, 31/12/2021 [^] [^^] [^^^] [ответить] | +/– | Эвона как, можно быть анонимом Шредингера, одновременно с номером и без С ним н... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 4.22, Аноним (-), 17:19, 29/12/2021 [^] [^^] [^^^] [ответить]
| +/– |
>> MAC фреймворк с модулями разными
> Ну так он в линуксе и до этого был. И не один.
Т.е. не проблема показать вариант mac_portacl (которому почти 20 лет и который все еще поддерживается)
> # sysctl security.mac.portacl.rules=uid:1001:tcp:110,uid:1001:tcp:995
> Permit the user with the UID of 1001 to bind to the TCP ports 110 (“pop3”) and 995 (“pop3s”).
> This will permit this user to start a server that accepts connections on ports 110 and 995.
.
| | |
| |
| |
| 6.29, Аноним (26), 17:31, 29/12/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> уже было в линуксе до всяких LKRG.
Пруфы будут? Или как обычно?
| | |
| |
| 7.69, Moomintroll (ok), 10:22, 30/12/2021 [^] [^^] [^^^] [ответить]
| +/– |
 >> уже было в линуксе до всяких LKRG.
> Пруфы будут? Или как обычно?
SELinux же!
А ещё есть capabilities.
| | |
|
|
| |
| 6.28, Аноним (26), 17:29, 29/12/2021 [^] [^^] [^^^] [ответить]
| +/– |
>> Permit the user with the UID of 1001 to bind to the TCP ports 110
>> setuid() sets the effective user ID of the calling process. If the calling process is privileged (more precisely: if the process has the CAP_SETUID capability
Умел бы читать - понял бы, что это совершенно не то.
Но увы, ты похоже даже скопипастить нормально не можешь, куда уж тебе до системных азов.
| | |
| |
| 7.30, Аноним (21), 17:33, 29/12/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Умел бы читать - понял бы, что это совершенно не то.
Вот уже 20 лет демоны биндятся на нужный им порт, а потом сбрасывают привилегии.
Но это, конечно же, совсем не то.
Лучше расскажите нам, как все 65535 портов между UID-ами распределяете (а то граница в 1024 уже много лет не имеет особого физического смысла).
| | |
| |
| 8.32, Аноним (32), 17:45, 29/12/2021 [^] [^^] [^^^] [ответить] | +/– |  Вот уже 20 лет с mac_portctl не нужен запуск с излишними привелегиями, а затем и... текст свёрнут, показать | | |
| 8.34, Аноним (-), 18:07, 29/12/2021 [^] [^^] [^^^] [ответить] | +/– | А в линухе им можно вообще дать cap на это дело и больше никаких привилегий Так... текст свёрнут, показать | | |
|
|
|
|
| 4.62, Ivan_83 (ok), 02:00, 30/12/2021 [^] [^^] [^^^] [ответить] | –1 +/– |  Да, прямой альтернативы нет, в том виде как это устроено работает Но в MAC есть... большой текст свёрнут, показать | | |
| |
| 5.66, Аноним (66), 07:41, 30/12/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> К сожалению у фреймворков есть одна проблема: нужно время и мозги на их освоение, а хреновину из линуха можно включить не приходя в сознание.
То есть ты намекаешь на то, что этот бздешный фреймворк настолько крив и недокументирован, что на него уйдёт уйма времени? Я о бздах был лучшего мнения если честно.
> а хреновину из линуха можно включить не приходя в сознание. Не вижу здесь ничего плохого. Я всегда ценил удобство, например. А приходить в сознание уже можно на более сложных вещах. | | |
| |
| 6.67, Ivan_83 (ok), 08:03, 30/12/2021 [^] [^^] [^^^] [ответить]
| +/– |
Нет, это так же как с BPF который в линукс утащили: мало просто загрузить модуль, надо бы ещё какую то программу/конфиг туда залить чтобы оно начало работать.
| | |
|
| 5.84, Аноним (-), 18:14, 30/12/2021 [^] [^^] [^^^] [ответить] | +/– | Вы там что, в системном программировании вообще ни в зуб ногой С любезно закину... большой текст свёрнут, показать | | |
| |
| 6.88, Аноним (-), 19:16, 30/12/2021 [^] [^^] [^^^] [ответить] | +/– | Вас, зубоногих уже вроде бы ткнули kern kern_malloc c code ifdef INVARIANTS ... большой текст свёрнут, показать | | |
|
|
| 4.63, Ivan_83 (ok), 02:06, 30/12/2021 [^] [^^] [^^^] [ответить]
| +/– |
Я не знаток линукса, знаю только selinux, который тоже всё метками метить умеет и какие то правила применять к ним.
Насколько оно аналог MAC мне судить трудно, потому что я и с MAC очень мало работал, а селинукс можно сказать что только видел пока в андройдах копаюсь.
| | |
|
|
|
| |
| |
| 3.54, Аноним (-), 00:36, 30/12/2021 [^] [^^] [^^^] [ответить]
| +/– |
Давите оппонента мнимым авторитетом (да ещё и чужим)? Дальше вам падать уже некуда.
По поводу сабжа: есть мнение, что если в ядре присутствует говнокод, то его нужно переписывать, а не городить по верх него охренелярд модулей безопасности.
| | |
| |
| 4.59, Аноним (-), 00:55, 30/12/2021 [^] [^^] [^^^] [ответить]
| +/– |
> По поводу сабжа: есть мнение, что если в ядре присутствует говнокод, то
> его нужно переписывать, а не городить по верх него охренелярд модулей
> безопасности.
Есть мнение, что с этим - как в том анекдоте про слона "съесть то может и съест, да кто же ему даст!"
Платиновые спонсоры свой код переписывать не будут - оно ведь и так работает, выкинуть нельзя - денег в фундейшн заносить перестанут, Линусу на новый мак не хватит!
А энтузистам пролопатить ту гору корпоративного кода и при переписывании не сломать нигде совместимость с ним ... потянет на тринадцатый подвиг Геракла.
| | |
| |
| 5.68, Аноним (68), 09:15, 30/12/2021 [^] [^^] [^^^] [ответить]
| +/– | |
>тринадцатый подвиг Геракла
Самый лёгкий и самый приятный из его подвигов.
| | |
|
|
|
| 2.58, Аноним (58), 00:43, 30/12/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Наркоман чтоли? Это Openwall Project, автор solar designer.
Они многие cve и находят, и мейлинг лист у них по уязвимостям ядра.
| | |
| 2.94, solardiz (ok), 06:11, 31/12/2021 [^] [^^] [^^^] [ответить] | +2 +/– |  Один вариант моего ответа на подобную дежурную иронию см в дискуссии о LKRG 0 8... большой текст свёрнут, показать | | |
|
| |
| 2.9, Аноним (10), 14:41, 29/12/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Добавлен файл конфигурации dkms.conf для системы DKMS (Dynamic Kernel Module Support), используемой для сборки сторонних модулей после обновления ядра.
Будем обновляться само, если только API не поменяют.
| | |
| |
| 3.38, Аноним (3), 19:31, 29/12/2021 [^] [^^] [^^^] [ответить]
| +/– |
Не будет, нужно ведь ещё из гита выкачивать и собирать. Вообще хорошо бы бинарный пакет.
| | |
|
| |
| |
| 4.31, Аноним (31), 17:40, 29/12/2021 [^] [^^] [^^^] [ответить]
| +4 +/– |
 > Или в ОС BSD. Там нет LKRG, но есть man-страницы!
Ты эта, глубоко вздохни, приложи лёд и успокойся - то, что в _BSD_ нет _Linux_ Kernel Runtime Guard, как бы, закономерно.
| | |
| |
| 5.49, Michael Shigorin (ok), 22:57, 29/12/2021 [^] [^^] [^^^] [ответить]
| –7 +/– |
 Не знаю, User294 это забегал или кто другой -- но на такую резвость не могу себе отказать в напоминании того, чё там во фряке нынче с наскрозь самостийным графическим стеком.
| | |
| |
| 6.60, Аноним (-), 00:58, 30/12/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Не знаю, User294 это забегал или кто другой -- но на такую
> резвость не могу себе отказать в напоминании того, чё там во фряке нынче с наскрозь самостийным графическим стеком.
Че там с вашими фантазиями - не знаю, а за самостийным графическим стеком к опенку с его ксенокарой.
| | |
| |
| 7.65, а (?), 06:58, 30/12/2021 [^] [^^] [^^^] [ответить]
| +/– |
xenocara - это ж всего лишь система сборки стандартного xorg, чтобы юзеру не думать про взаимозависимости всех его 100500 модулей.
| | |
| |
| |
| 9.82, Аноним (-), 18:01, 30/12/2021 [^] [^^] [^^^] [ответить] | +/– | Изначально кроссплатформенные иксы изначально делали совершено адское ушлепанств... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 1.4, йцу (?), 14:10, 29/12/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Подскажите, чем принципиально это отличается от AppArmor или SeLinux?
Тем что исключительно в пространстве ядра?
| | |
| |
| 2.5, йцу (?), 14:13, 29/12/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Т.е. оно скорее дополняет SeLinux-подобные системы?
| | |
| 2.33, Аноним (-), 18:06, 29/12/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Подскажите, чем принципиально это отличается от AppArmor или SeLinux?
> Тем что исключительно в пространстве ядра?
Тем что оно делает несколько другие вещи. AppArmor и SELinux сами по себе урезают доступ юзерспейсным программам. Но вот именно ядро от атак это если и защищает как-то, то разве что как побочный эффект. А вон то целенаправленно укрепляет ядро, пытаясь сделать так чтобы даже неизвестные эксплойты скорее всего обломались бы. Вообще по своему годная идея, но отдельный модуль все же неудобно, да...
| | |
| |
| |
| 4.79, Аноним (-), 17:37, 30/12/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> это магия, понятно
Типа того. Оно помогает эксплойту пролететь мимо не причиняя урона. Solardiz так то сам безопасник - и потому догадывается как испортить настроение себе подобным, не сработавший эксплойт и запал этой активности - хороший подарок атакующему на новый год.
| | |
|
|
|
| |
| 2.78, Аноним (-), 17:33, 30/12/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> А где модуль для защиты от уязвимостей в модуле защиты от уязвимостей?
Пропатчь: загружай модуль защиты из модуля защиты. Так все модули защиты будут защищены...
| | |
|
| |
| |
| 3.81, Аноним (81), 17:54, 30/12/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> И снова шигорин будет ворочацо по начам...
Этот анализ к его эль-полену не очень применим, где у него rax вообще? :). Понятно что не панацея, но как минимум кому-то придется еще раз с таким же анализом подолбаться, над относительным экзотом.
| | |
|
| 2.80, Аноним (-), 17:50, 30/12/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> "it was stated that LKRG is bypassable by design" это все что нужно знать о lkrg:
А ты сам это читал, чудак?
> The Linux Kernel Runtime Guard (LKRG) is an amazing project! It's a Linux kernel module that
> performs runtime integrity checking of the kernel and detects kernel vulnerability exploits.
Это вот оттуда :). Автор основательно подолбался с взломом, при том первые попытки обломались. А LKRG честно сообщает что да, так можно - но это много долботни и ненадежно.
| | |
| |
| 3.95, Аноним (70), 08:54, 31/12/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
ты не дочитал - он не долбался, а забил на них после безответных постов в их конфу о способах обхода. закопайте это
| | |
| |
| 4.97, Аноним (97), 10:24, 31/12/2021 [^] [^^] [^^^] [ответить] | +/– | Забил на кого На LKRG или способы обхода Ну, блин, мне x86 не нравится и я чит... большой текст свёрнут, показать | | |
| |
| 5.106, Аноним (-), 14:16, 01/01/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Как интересно, про kptr я оказывается и до этой новости додумался, но спасибо что напомнили, перепроверил...
| | |
|
|
|
| 2.93, Аноним (93), 23:20, 30/12/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да, LKRG - это костыль. Но в Линухе приходится довольствоваться и таким костылём.
И это в то время, когда в Вантузах части ядра уже работают в отдельных виртуалках под гипервизором.
| | |
| |
| 3.98, Аноним (-), 10:35, 31/12/2021 [^] [^^] [^^^] [ответить] | +1 +/– | Это в каком-то роде фича Чем неожиданнее для атакующего, тем выше шанс что он о... большой текст свёрнут, показать | | |
| |
| 4.101, Аноним (93), 13:46, 31/12/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Это в каком-то роде фича. Чем неожиданнее для атакующего, тем выше шанс что он обломается.
Да костыль это, костыль. Ибо не защищает, а оповещает об уже свершившемся проникновении. Уже по факту!
> Сейчас нам аноним расскажет...
> ...
> (глядя на кучку виртуалок, user mode linux, контейнеры и проч) вообще так и без вантузов можно...
Аноним прогнулся и упал, глядя из-под Qubes на твой героический пердолинг.
В Вантузах все эти секьюрности не приводят к дикой просадке по производительности, ибо интеграция.
| | |
| |
| 5.107, Аноним (-), 14:21, 01/01/2022 [^] [^^] [^^^] [ответить] | +/– | Если при этом логика сплойта отвалится - не так уж и страшно, ведь свою цель он ... большой текст свёрнут, показать | | |
| 5.109, Саша Ал Александр (?), 06:11, 03/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
 >В Вантузах все эти секьюрности не приводят к дикой просадке по производительности, ибо интеграция.
Вантуз-это не Linux и с этим очень трудно спорить...
| | |
| 5.112, n00by (ok), 17:11, 08/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
 >> Это в каком-то роде фича. Чем неожиданнее для атакующего, тем выше шанс что он обломается.
> Да костыль это, костыль. Ибо не защищает, а оповещает об уже свершившемся
> проникновении. Уже по факту!
"Проверка контекста состоит из двух этапов: сперва проверка структуры самого контекста, которая происходит на DPC-уровне, затем планируется work item, осуществляющий проверку защищаемых структур в системном потоке. Если проверка была удачной, старый контекст удаляется и вместо него создается новый, который будет запущен через случайный интервал времени. Если проверка не удалась, PatchGuard зачищает все свои следы, в том числе зануляя стек, и демонстрирует синий экран с кодом ошибки 0x109: CRITICAL_STRUCTURE_CORRUPTION."
Сообщите своё мнение в Микрософт.
| | |
|
|
|
|
|
