1.1, pavlinux (ok), 11:56, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
PS Некоторые опции ядра требуют включения отладочных функций,
что может только усугубить безопасность (BPF/eBPF)
| |
|
2.55, Аноним (55), 13:26, 24/01/2023 [^] [^^] [^^^] [ответить]
| +4 +/– |
eBPF - это не отладочные функции. И они как раз для rootа доступны. Но если у вас есть рут, то зачем вам систему ломать, вы и так её хозяин.
| |
|
|
4.160, Аноним (55), 19:58, 24/01/2023 [^] [^^] [^^^] [ответить]
| –7 +/– |
>https://www.opennet.me/opennews/art.shtml?num=54932
1. где там утверждается, что ebpf - это отладочные функции?
2. ebpf обычно требует рута.
>Рут в виртуалке - не хозяин системы.
Виртуальной системы - "хозяин". Ты же не хозяин твоего тела. Это Господь Бог хозяин, а ты так, арендатор, тебе его просто попользоваться дали.
| |
4.201, Аноним (201), 09:29, 25/01/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
Можно ли написать кодогенератор на rust в безопасном режиме?
Там бы значительная часть ошибок проявила себя ещё во время сборки и первого запуска в debug режиме
| |
|
|
|
|
2.46, Аноним (46), 13:02, 24/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Наверное, поощряется использование полной виртуализации для запуска недоверенных приложений. Проброс железяк для них в виртуалки.
| |
|
3.62, Аноним (55), 13:34, 24/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
iommu - не про виртуальные машины, он про защиту ОС от DMA-атак через Thunderbolt, FireWire и SCSI.
| |
|
4.104, Аноним (-), 15:05, 24/01/2023 [^] [^^] [^^^] [ответить]
| +4 +/– |
А заодно и от левых попыток железок делать с DMA что-то не то. Какая-нибудь PCI железка типа GPU или вайфая может потенциально попытаться слазить через DMA в совершенно левые адреса. Это может инициировать начинка самой железки, ну там сервисная фирмвара вспомогательного ядра какая-нибудь.
| |
|
3.63, Аноним (63), 13:37, 24/01/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
Как я понимаю iommu разрешает железу менять только разрешенные части оперативной памяти и залезть в память приложений и ядра железо уже не может.
Со стороны железа тоже возможны атаки. Я помню что с помощью thunderbolt можно было сдампить и изменять ОЗУ.
| |
|
4.65, Zenitur (ok), 13:48, 24/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Всем спасибо за ответы. Когда-то в 2013 году я целенаправленно искал материнскую плату с поддержкой IOMMU. Приобрёл ASUS Sabertooth 990FX R2.0. Использовал IOMMU для аппаратной виртуализации и проброса видеокарточки в гостевую винду. Но теперь я в этом не вижу необходимости, когда есть DXVK.
Я выключил IOMMU и больше не включал. А в новости пишут, что его рекомендуется включить. Поэтому и спросил, для чего именно...
Кстати, в сокет AM3+ вроде как можно вставить AM4-процессор? А какой в данный момент топовый? Я знаю, что для AM3+ таковым является 9590
| |
|
5.68, Аноним (68), 13:58, 24/01/2023 [^] [^^] [^^^] [ответить]
| +8 +/– |
> Кстати, в сокет AM3+ вроде как можно вставить AM4-процессор?
Ну если найдёте, куда лишние 390 ножек впихнуть, то можно, наверное.
| |
|
6.74, Zenitur (ok), 14:05, 24/01/2023 [^] [^^] [^^^] [ответить]
| –3 +/– |
Тогда зачем знак + в названии сокета? Я помню, что AM2+ подразумевал, что в него можно будет вставить AM3-процессор.
| |
|
7.118, Аноним (118), 15:47, 24/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
+ означает, что поддерживаются дополнительные функции по сравнению с версией без +
В am3+ есть дополнительные возможности по power saving'у.
| |
7.119, Аноним (68), 15:54, 24/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если крайне упрощённо, AM3+ — это для FX'ов. И да, та же история, можно вставить в AM3 без плюса, но тут как повезёт.
| |
|
|
5.192, Аноним (192), 02:26, 25/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Тоже имел такую доску и 9590 для таких же целей, только был вопрос в начале, почему не работает nested, приходилось его отключать, а когда amd выкатила наконец патч (примерно после выхода уже zen+) я уже поменял железо
| |
|
|
7.216, Аноним (192), 21:29, 25/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Патч решающий проблемы низкой производительности при включённой опции amd nested. В ядрах начинаю помоему с 2021 года включен по умолчанию
| |
|
6.230, Аноним (230), 19:50, 26/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
> 9590
220 ватт TDP… Звучит, как наличие титула, собственного замка и герба с Печью, мое увОжение!
| |
|
|
|
|
2.103, Аноним (-), 15:01, 24/01/2023 [^] [^^] [^^^] [ответить] | +4 +/– | Чтобы какой-нибудь GPU или вайфай адаптер не сделал ВНЕЗАПНЫЙ DMA в хрен знает к... большой текст свёрнут, показать | |
|
3.222, Michael Shigorin (ok), 01:18, 26/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
> немного пропатчив кернел операционки в процессе, например
Тут даже с ARM было бы чуть спокойнее, не говоря уж про e2k. :D
| |
|
4.229, Аноним (228), 19:33, 26/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Михаил, а как в Симплии сделать снимок экрана с меню "Пуск" с двумя пунктами почтовой программы?
| |
|
|
|
1.3, Аноним (3), 11:57, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +42 +/– |
Семь страниц это не серьёзно для гос организации. Это даже прочитать можно.
| |
|
2.4, Аноним (3), 11:58, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
И пидиэф кстати 404 (404 не запрещено тут писать? - а то ведь полит подтекст)
| |
|
3.8, Аноним (55), 12:06, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Не только PDF, но теперь и страница с ним. Даже в веб-архиве нет пдфки (а вот страница есть).
| |
|
4.10, Аноним (55), 12:09, 24/01/2023 [^] [^^] [^^^] [ответить]
| +5 +/– |
Ага. Ссылка в новости устарела. А вот новость на сайте ФСТЭК (по другой ссылке в тексте новости) содержит правильную ссылку на PDF
| |
|
|
4.94, fi (ok), 14:31, 24/01/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
ну не скажи, руководители паблика 404 уже седят
| |
|
|
2.9, Аноним (9), 12:08, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
А это не для того чтобы за это наказывать, а чтобы реально работало.
| |
|
3.11, Аноним (9), 12:10, 24/01/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
Сейчас ещё окажется что это не публикация, а внутренняя утечка.
| |
|
4.56, Бывалый смузихлёб (?), 13:27, 24/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну кстати, тот же ФСБ ещё лет 10-15 назад очень активно набирал новых сотрудников с ВУЗов, учащихся по специальностям, связанным с безопасностью в ИТ. Причём, по всей стране
| |
|
5.91, Аноним (91), 14:29, 24/01/2023 [^] [^^] [^^^] [ответить]
| +5 +/– |
Ну чтож пришло время и тебе узнать правду. Они не только 10-15 лет нанимали студентов ВУЗов по профильным специальностям, но и всегда нанимали студентов по профильным специальностям. Даже вот прямо сейчас это происходит и 30 лет назад происходило тоже самое ничего за это время не изменилось. От слова ваще.
| |
|
6.112, Бывалый смузихлёб (?), 15:25, 24/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вопрос не в том, что всегда, а в том, что массово. Там реально списки пускали тех, кто хотел бы и после - почти всех принимали
Причём, списки пускали по всем специальностям, но гребли в основном безопасников - у тех практически все отметившиеся отправились туда куда записались.
Причём, само приёмное отделение находилось там где и не подумаешь.. >> Читать далее
| |
|
7.144, Аноним (91), 17:39, 24/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я конечно понимаю что у тебя яркие впечатления о молодости, но и сейчас в любую госконтору берут без особого конкурса. Не знаю ни одного случае чтобы допустим кто-то пошел на практику во время инста в госконтору и его бы потом не приняли или отказали в приёме. А то о чём ты говоришь это обычная госконтора. Условия в них во всех одинаковые и зарплаты примерно одинаковые.
| |
|
|
|
|
|
2.54, Бывалый смузихлёб (?), 13:25, 24/01/2023 [^] [^^] [^^^] [ответить]
| +5 +/– |
Чёрт с ним, с количеством, но даже конкретика есть, даже как оно делается часто упомянуто.
Пожалуй, сохраню-ка где-нибудь
А не вида "стремиться ко всему достаточно безопасному и избегать всего недостаточно безопасного" на 500+ страниц, по итогу прочтения которых так и неясно, что является достаточно безопасным, а что - нет
| |
|
3.76, X86 (ok), 14:05, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Про sudo, кстати, это же вообще свежачок (CVE-2023-22809). Как они могли знать?)
| |
|
4.223, Michael Shigorin (ok), 01:22, 26/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Про sudo, кстати, это же вообще свежачок (CVE-2023-22809). Как они могли знать?)
Так это не то sudo, про него много у кого соображения были вида "подальше-подальше".
Удивился в этом плане как раз предложению PermitRootLogin=no вместо without-password (нет, это не то, что первым приходит в голову): это предполагает минимум ещё один бинарник для осуществления администрирования, да не просто от рута бегающий, а suid-ный и предназначенный для _повышения_ привилегий.
| |
|
5.244, Аноним (244), 14:11, 03/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Все правильно.
chown root:wheel /bin/su
chmod o-rwxst /bin/su
usermod -a -G wheel admin_wheel
Или другую спец групу завести.
Так атакующему надо угадать имя пользователя и аж два пароля.
А ключи воруют.
| |
|
|
|
|
1.12, КО (?), 12:10, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –12 +/– |
Всё это конечно безумно интересно, но где же всё-таки отечественный windows?
Вот прям с родным товарищем майором.
| |
|
|
|
4.93, Аноним (91), 14:31, 24/01/2023 [^] [^^] [^^^] [ответить]
| +7 +/– |
У меня тут такой вопрос резко возник. А где финские или австралийские процессоры?
| |
|
5.125, Аноним (68), 16:21, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
У финнов ещё и легкового автопрома нет, вот где днище-то. В то время, как мы тут с автовазом корячимся.
| |
|
6.165, Аноним (165), 21:38, 24/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
А тут внезапнор и шведы продали китайцам свой автопром.
Заговор?
| |
|
|
|
|
2.48, Аноним (46), 13:05, 24/01/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
На отечественный Виндус, в своё время, у Алксниса не удалось денег выпросить.
| |
2.72, Kuromi (ok), 14:02, 24/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ляликс теперь "Русский виндовс", считай официально. Даже "взять исходники Андроид и переменовать" освещается как "сделали свою ОС".
| |
|
3.134, Аноним (134), 17:12, 24/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
> взять исходники Андроид и переменовать
гугл ещё проще сделал: взял исходники Андроид и ... не переименовывал даже.
| |
3.146, Аноним (146), 17:47, 24/01/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Анонимный эксперт может лично взять "взять исходники Андроид и переменовать" и сделать "свою ОС".
Только на голом AOSP ничего работать не будет и почти ничего полезного написать не получиться ведь в нем не будет:
Firebase Notifications
Firebase Crashlytics
кучи других компонентов Firebase
WebView
Api для карт
geolocation api
Кучи программ которые идут в комплекте к любому телефону, но не в опенсорс
и это сильно не полный список.
Все это написать в бесконечное количество раз сложнее чем вывалить очередную кучу в комментарии.
| |
|
4.181, Kuromi (ok), 00:02, 25/01/2023 [^] [^^] [^^^] [ответить] | –1 +/– | gt оверквотинг удален Но ведь очевидно же что Firebase Notifications - не нуж... большой текст свёрнут, показать | |
|
|
2.202, Ананий (?), 10:48, 25/01/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Зачем она тов. майору? В доточку с ксиком играть?
Жри со швитым забугорным и не отсвечивай.
| |
|
1.18, Аноним (18), 12:15, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Семь страничек? Смешно. Рекомендации от CIS (Center for Internet Security) едва умещаются в 700 (на примере CIS Red Hat Enterprise Linux 8 Benchmark).
| |
|
2.24, PnD (??), 12:28, 24/01/2023 [^] [^^] [^^^] [ответить]
| +5 +/– |
При этом там 90% воды, а в оставшемся бо́льшую часть занимают примеры.
Было дело, пришлось мне готовить из него (для 7-ки) выжимку для "нормальных" админов.
Здесь (прочёл по диагонали) как раз подобная выжимка.
Даёт шансик не дать толпе народу списать рабочую неделю на "читал CIS". (А чё так долго? — Ну, английский не родной, надо примеры покрутить, все дела…)
| |
|
3.40, Аноним (146), 12:51, 24/01/2023 [^] [^^] [^^^] [ответить]
| +4 +/– |
Как всегда местным экспертам ничего не нужно, они и так самые умные.
| |
|
2.41, Аноним (41), 12:52, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
PCI DSS 4.0 - 360 страниц увлекательного чтения с экзаменациями, аудитами, комплаенсами.
| |
|
|
4.169, Аноним (169), 22:36, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Спасибо за pdf. Однако нормально загрузить не получилось. Yandex disk - такая отвратительная система, если честно
| |
|
|
|
1.26, Hanyuu (?), 12:29, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Где пункты "удалить systemd" и "собрать ядро без поддержки Rust" ?
Опять икспертов нипаслушали!
| |
|
2.36, Аноним (36), 12:41, 24/01/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
Для тех, кто линукс изучает по цитаткам с башорга, рассказываю правду: Rust в ядре (на данный момент 6.1) не поддерживается, если включена генерация отладочной информации в формате BTF, которая, - сюрприз! - нужна для полноценной и корректной работы eBPF.
| |
2.157, fuggy (ok), 19:05, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Для кого тогда написали?
> "chmod o-w filename" к каждому файлу в /etc/rc#.d | |
|
3.191, Валерий (??), 02:11, 25/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Вопрос правильный, хотя и задан некорректно. Правильный вопрос - зачем писать советы, если можно предложить патч/коммит. Ну, не доросли пока авторы, значит.
| |
|
4.197, www2 (??), 06:26, 25/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Чтобы не следить за изменениями во всех Linux-дистрибутивах и не делать новые патчи. Дать удочку, а не рыбу.
| |
|
|
|
1.29, pashev.ru (?), 12:32, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
X. Ограничить доступ к /proc. Так чтобы пользователь (или процесс) мог видеть только свои процессы (подпроцессы).
| |
1.31, Аноним (31), 12:33, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +14 +/– |
а где скрипт vfstek.sh, который всё это проверяет (не меняет, а просто чекает и выдаёт, где не соответствует)?
| |
|
2.50, Аноним (55), 13:07, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
cat /boot/config-6.0.0-6-amd64 | grep -P "CONFIG_(INIT_ON_ALLOC_DEFAULT_ON|INIT_ON_FREE_DEFAULT_ON|RANDOMIZE_KSTACK_OFFSET_DEFAULT|IOMMU_DEFAULT_DMA_LAZY|IOMMU_DEFAULT_DMA_STRICT|HAVE_ARCH_RANDOMIZE_KSTACK_OFFSET|RANDOMIZE_KSTACK_OFFSET_DEFAULT)"
| |
|
3.236, швондер (?), 20:25, 27/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
> cat /boot/config-6.0.0-6-amd64 | grep -P "CONFIG_(INIT_ON_ALLOC_DEFAULT_ON|INIT_ON_FREE_DEFAULT_ON|RANDOMIZE_KSTACK_OFFSET_DEFAULT|IOMMU_DEFAULT_DMA_LAZY|IOMMU_DEFAULT_DMA_STRICT|HAVE_ARCH_RANDOMIZE_KSTACK_OFFSET|RANDOMIZE_KSTACK_OFFSET_DEFAULT)"
useless use of cat
| |
|
|
|
2.43, Аноним (146), 12:57, 24/01/2023 [^] [^^] [^^^] [ответить]
| +4 +/– |
Очень полезно иметь такой список когда новый сервер запускаешь.
На работе даже пароль root на mysql забывали установить и вы итоге базы данных клиентов удаляли и пароль получали из доступного на чтение домашнего каталога администраторов и root.
А так прошел, по списку проверил что всё соответствует и всё сделано. В итоге по крайней мере самыми простыми и глупыми способами пароли не утащат и сервер не взломают.
| |
|
3.86, Аноним (86), 14:19, 24/01/2023 [^] [^^] [^^^] [ответить]
| –8 +/– |
Тут надо не список иметь, а бить по рукам за ручную настройку серверов. Это задача ансибла/терраформа и облачной платформы, а не человека.
Любая правка - коммит в плейбук.
| |
|
4.174, Аноним (174), 23:40, 24/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ага, осталось всего ничего - нанять еще одного человека, который будет настраивать нам анзиблы.
| |
|
5.225, Michael Shigorin (ok), 01:30, 26/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ага, осталось всего ничего - нанять еще одного человека, который будет настраивать
> нам анзиблы.
Какого одного -- минимум двух, плюс ещё двух -- писать плейбуки и к каждому проверяющего.
Ну и кого-нить для зачитывания итиля вслух. Тоже двух лучше.
| |
|
6.241, ivan_erohin (?), 16:37, 28/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Ну и кого-нить для зачитывания итиля вслух.
по-моему практики девляпс и ИТИЛ ортогональны, а местами противоречат друг другу.
| |
|
|
|
|
2.96, Аноним (134), 14:49, 24/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну, например, вот это правило нужно для ликвидации уязвимости libXpm:
... для всех исполняемых файлов и библиотек ... с последующей проверкой, что каталог, содержащий данные файлы, а также все родительские каталоги недоступны для записи непривилегированным пользователям.
Кратко: нельзя запускать проги оттуда, куда может писать юзер.
| |
|
|
|
5.226, Michael Shigorin (ok), 01:31, 26/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Как жить дальше?
> Начать питаться на кухне, а не на помойке.
На помойке будет как раз не /tmp/.private/, а 755 /root, как вон выше упоминали...
| |
|
|
3.143, Аноним (146), 17:31, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Каким образом делать такую проверку, там не написано.
Если файловую систему /home, /tmp и т.д. смонтировать с флагом noexec, как раз нельзя будет просто так запустить исполняемый файл или скрипт на выполнение.
Но это не для всех ситуаций подходит.
| |
|
4.250, Аноним (244), 15:39, 03/02/2023 [^] [^^] [^^^] [ответить] | +/– | Популярные варианты дающие примерно тот-же результат 1 Соблюдение правила чт... большой текст свёрнут, показать | |
|
3.194, ivan_erohin (?), 04:53, 25/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
и мне нельзя запускать свои же скрипты из ~/bin и ~/.local/bin ?
и tor browser нельзя запустить из ~/.local/....
и palemoon нельзя запустить из куда его там рекомендуют ставить.
и wine (хотя я забил на него, но вдруг понадобится).
спасибо тебе большое добрый анон.
| |
|
|
1.49, Аноним (-), 13:07, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
>Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры РФ, построенных с использованием Linux, несертифицированных по требованиям безопасности информации.
О чём это говорит? Это говорит о том, что даже в госшарагах на якобы обязательную под страхом смертной казни альтоастру плюются и втихую, но массово, ставят нормальные дистрибутивы.
| |
|
2.52, Аноним (55), 13:10, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Это говорит о том, что здравомыслие в конечном итоге побеждает.
| |
2.64, Атон (?), 13:43, 24/01/2023 [^] [^^] [^^^] [ответить]
| +7 +/– |
> якобы обязательную под страхом смертной казни альтоастру
Это говорит о том что, там используются много разных дистрибутивов, а обязательность "альтоастры" ваши влажные фантазии.
| |
2.66, _kp (ok), 13:51, 24/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну не все компы для офисной работы, разные задачи бывают, просто выставили требования по безопасности.
Более того, на 90% даже общепринятые требования.
| |
|
|
2.116, pavlinux (ok), 15:39, 24/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
> ФСТЭК решил заняться тем, чем CERT/CISA занимается уже джвадцать лет.
Решил опубликовать и решил заняться - это разное :)
| |
|
|
|
5.166, анонна (?), 21:45, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
вы бы лучше обратили внимание на специализированные чипы и микроэлктронику в производстве. удивитесь. цп это всего лишь чипы для компьютеров. куда важнее чипы для производства и изделий практического характера. вот там у россии куда более широкие возможности. я бы сказал очень широкие. по всем видам почти.
| |
|
6.232, Аноним (228), 20:12, 26/01/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Так задача была по наполнению музея Яндекса исчерпавшими себя продуктами?
| |
|
|
|
|
|
1.59, Ку (?), 13:31, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Почему бы кому-нибудь не запилить скрипт, выполняющий большинство из этих рекомендаций?
| |
|
|
3.167, анонна (?), 21:47, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
а че там пилить? взял пдф и строчишь echo "что то там" > файл. куда сложнее это все напечатать))
| |
|
2.164, SubGun (ok), 21:37, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
А что тогда будут кушать компании, которые специализируются на запуске этого скрипта?
| |
2.249, Аноним (244), 15:03, 03/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Скрипт делающий ненужен. Не все фичи безопасности в конкретном дистре можно включить. Дистр сломается! Hardened система дело больше разрабов дистра. И тогда сделать для безопасности Linux можно намного больше чем предлагается в методике ФСТЭК.
Есть утилита для проверки безопасности:
https://cisofy.com/lynis/
Вот для нее модули https://cisofy.com/lynis/#lynis-plugins с требованиями ФСТЭК будут к стати.
| |
|
1.61, mos87 (ok), 13:33, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Astra Linux SE 1.7.3
>Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config).
$ /sbin/sshd -T|ag -i PermitRootLogin
permitrootlogin without-password
>Ограничение доступа к команде su пользователями из группы wheel ("auth required pam_wheel.so use_uid" в /etc/pam.d/su)
$ ag pam_wheel /etc/pam.d/su
15:# auth required pam_wheel.so
19:# auth sufficient pam_wheel.so trust
23:# auth required pam_wheel.so deny group=nosu
>Блокирование утечки информации об адресном пространстве через /proc/kallsyms (sysctl -w kernel.kptr_restrict=2).
kernel.kptr_restrict = 0
>Включить защиту подсистемы eBPF (sysctl -w net.core.bpf_jit_harden=2).
net.core.bpf_jit_harden = 0
дальше надоело. Параметров ведра в cmdline конечно нет.
| |
|
2.117, pavlinux (ok), 15:41, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Astra Linux SE 1.7.3
Астара - хардкорная RBAC операционка, там даже рут - не человек.
| |
|
|
4.195, Аноним (195), 06:11, 25/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Главное чтобы этот доступ не запрещал играть в героев меча и магии 3, иначе прапорщики и лейтенанты будут не довольны ОС.
| |
|
|
6.237, Аноним (237), 20:32, 27/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Неправда. В части, где я проходил срочную службу, на рабочем ПК ЗНШ полка (в звании майора), мной, в ходе выполнения дежурного осмотра, была обнаружена глубоко законсперированная (см. "Russian military deception") HoM&M5. Отечественного производства, кстати. Патриотизм в нашей армии -- не пустой звук!
| |
6.253, Аноним (253), 19:52, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Там где я срочку проходил, кап-лей-т гонял в NFS MW и что-то еще (не помню что)
| |
|
|
|
|
|
1.67, Kuromi (ok), 13:57, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
" Ограничить использование user namespaces (sysctl -w user.max_user_namespaces=0). "
Вероятнее всего поломает браузеры, тот же Brave это уже требует для работы. ФФ непонятно, толи да толи не обязательно.
| |
|
|
3.85, Аноним (85), 14:15, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Если контейнер непривилегированный (а таких большинство) - да, все сломается.
| |
|
2.81, Аноним (127), 14:10, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Все браузеры используют как дополнительный уровень в песочницах, да и в целом отличный совет отключить средства изоляции. Впрочем, там половина такого же бреда.
| |
|
3.114, pavlinux (ok), 15:36, 24/01/2023 [^] [^^] [^^^] [ответить]
| +4 +/– |
Когда делаешь clone(CLONE_NEWUSER, ...) наследуются все разрешения,
а ограничения и лимиты не наследуются. Увася, у которого лимит на max open files = 1024
клонирует себя и лимит может стать 131071 (дефолтным для не рутов)...
Дыры с USER_NS появляются регулярно, уже лет 10+ https://lwn.net/Articles/543273/
Там дох.. нюансов, чтоб с разбегу сказать да или нет.
| |
|
4.122, Аноним (127), 16:11, 24/01/2023 [^] [^^] [^^^] [ответить] | –1 +/– | Без обид, но похоже именно ты тут не понимаешь, о чём говоришь, ещё и оскорбить ... большой текст свёрнут, показать | |
|
5.129, Аноним (129), 16:44, 24/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
В немспейсах уже было/нашлось несколько десятков багов, как логических, так и технических.
Немспейсы добавляют еще один уровень изоляции/контроля, но это уже пробивалось и не верифицировалось.
Одновременно, немспейсы увеличивают поверхность атаки и сложность анализа возможных сценариев.
Поэтому рекомендация "выключить по-умолчанию" вполне рациональна.
Кому надо - путь думает, обосновывает и т.д.
| |
|
6.131, Аноним (127), 16:59, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
А где их не было, этих багов? Однако, их находят и исправляют. К тому же, примерно все они в контексте контейнеров (суид или CAP_SYSADMIN) и не в контексте CLONE_NEWNET, что интересует браузерные песочницы. Да и в целом, отключить универсальный механизм, востребованный софтом? Ну да, конечно, лучше вообще без него. Можно запускать всё под рутам, а пользователям тоже дать рутовые права, это намного безопаснее.
| |
|
7.162, Аноним (162), 20:23, 24/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Любезнейший, а где вы видели "браузеры" в составе (цитата) "...государственных информационных системах и на объектах критической информационной инфраструктуры Российской Федерации, построенных с использованием операционных систем Linux, несертифицированных по требованиям безопасности
информации..." ?
Если вдруг видели - сообщите (может где-то еще нужно поправить соответствие голов занимаемым должностям).
| |
|
|
|
|
|
4.217, ыы (?), 21:32, 25/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
If containers are in use, this requirement is not applicable.
| |
|
3.187, Аноним (187), 01:45, 25/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
> браузеры используют как дополнительный уровень
Какие браузеры? Тут рекомендация скорее всего для серверов и т.п., а не для твоего десктопа
| |
|
4.203, Аноним (127), 11:16, 25/01/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
Это чтобы было понятно, как оно используется. На серверах без неймспейсов жизни тем более нет, каждая 2 прога.
| |
|
3.240, Аноним (237), 20:47, 27/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Нет, совет в том, чтобы сместить ответственность со случайной прикладной программы и её сомнительных средств изоляции (веб-обозревателя) на администратора системы (компетентное лицо), чтобы избежать запуска программм, с повышенными привилегиями. Тем более, что большая часть машин, подпадающая под рекомендации, - серверные, где обычно нет графического сервера, графических программ и надобности в них.
| |
|
2.239, Аноним (237), 20:40, 27/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Это отключаемо в браузерах и программах на их движках (Webkit, Chromium и т.п.)
Причем, вкладки продолжат использовать раздельный DOM и т.п., если предполагалось. По крайней мере, до первой обнаруженной уязвимости. Но в user namespaces также находят уязвимости, это не панацея.
| |
|
1.80, Аноним (-), 14:10, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
>Запрет учётных записей пользователей с пустыми паролями.
На печатных машинках так проще. Разумеется тут не суперпользователь.
>Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config)
Усложнять жизнь админу? Дурость.
>Ограничение доступа к команде su пользователями из группы wheel ("auth required pam_wheel.so use_uid" в /etc/pam.d/su)
Так в том и соль группы wheel, что модно админские команды в sudo без переключения использовать. Просто не надо обычного пользователя вводить в группу wheel.
Админ сетки бог, ему никто не указ.
| |
|
2.90, _kp (ok), 14:25, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Если Комп без доступа к сети, типа Live системы без сохранения документов. Включил набил текст, распечатал, то такую "печатную машинку" можно.
Ни один строгий админ не возразит. ;)
>Отключение входа суперпользователя по SSH
Это не какое то редкое требование, а вполне обычное.
В отличии, например, от user_namespaces.
>>Админ сетки бог, ему никто не указ.
Бог, но нанятый за зарплату, для выполнения конкретных работ, более крутым богом. ;)
| |
|
3.155, Аноним (155), 18:30, 24/01/2023 [^] [^^] [^^^] [ответить] | +1 +/– | Требование отключать доступ по SSH напрямую к root вводит в заблуждение Нет ник... большой текст свёрнут, показать | |
|
4.238, швондер (?), 20:38, 27/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
> зачем-то пускаете людей по ssh на тачки, не давая им возможность
> настроить что-то от root, тот же самый nginx в /etc, попытаться
> использовать какой-то свежий эксплоит или иным образом напакастить на машине), или
> напрямую в root. Единственный смысл от этого только в логе того,
> кто под каким пользователем и ключом заходил, но такие логи тоже
> имеют смысл только если они отправляются наружу перед тем, как пустить
> кого-то на сервер. sshd, если имеет какие-то уязвимости, уже работает из-под
> root. Плюс sudo вообще не обязателен для нормального функционирования системы, а
> тут на него (с этой рекомендацией ограничивать доступ к su) делается
> вся ставка, хотя не понятно зачем.
угадай логин для начала.
| |
|
3.184, OpenEcho (?), 01:12, 25/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>Отключение входа суперпользователя по SSH
> Это не какое то редкое требование, а вполне обычное.
Ну если про
'''
PermitRootLogin prohibit-password
PubkeyAuthentication yes
PasswordAuthentication no
'''
не слышали, то оно конечно...
Я уж не говорю про то, что рулить доступом через SSH сертификаты можно даже для рутов
| |
|
4.186, _kp (ok), 01:31, 25/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
> можно даже для рутов
Можно. Я имел ввиду, что запрет логина под root, встречается часто, и не вызвал удивления. Если уж докапываться, так это пережиток прошлого, появившийся до примегения ssh.
| |
|
5.207, OpenEcho (?), 20:03, 25/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Я имел ввиду, что запрет логина под root, встречается часто, и не вызвал удивления.
У меня запрет рутам заходить как рут - давно вызывает удивление, - это как у страусов, засунул башку в песок и думает что его не видно, а то что заставлять рутов светить пароли в вечо висящий агент, кэширующий ключи - которые при удобном случае могут быть дампнуты - то это до таких специалистов то секюриту доходет сложно
> Если уж докапываться, так это пережиток прошлого
Согласен, но документ то вот довольно свеженький, не студенты небось копи пастили
| |
|
6.242, Аноним (242), 20:35, 28/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
>агент, кэширующий ключи - которые при удобном случае могут быть дампнуты
Используйте агента, спрашивающего, можно ли отдать ключ тому то и тому то.
| |
|
7.243, OpenEcho (?), 06:10, 29/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
>>агент, кэширующий ключи - которые при удобном случае могут быть дампнуты
> Используйте агента, спрашивающего, можно ли отдать ключ тому то и тому то.
Это gpg или ssh которые? Ну так они тоже IV хранят в памяти, и к стати назойливо/принудительное присутствие gpg агента (которое как бы случайно появилось после вскормления мордокнигой) очень напоминает - "мы лучше знаем что вам надо" и не вызывает никакого доверия
| |
|
|
|
|
|
|
1.87, Аноним (87), 14:20, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Видно толковый человек поработал над написанием документа, что выглядит очень и очень странно...
| |
|
|
3.99, Аноним (134), 14:55, 24/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ему не понравилось, что дырку с libXpm заткнули этими правилами...
| |
|
|
1.120, pavlinux (ok), 15:58, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
init_on_free=1
slub_debug=FZ
page_alloc.shuffle=1
vm.mmap_rnd_bits=32
vm.mmap_rnd_compat_bits=16
у кого ECC RAM - mce=0
| |
1.128, fuggy (ok), 16:39, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
В целом советы полезные, но
>Установить корректные права доступа к исполняемым файлам и библиотекам
Так разве не везде на /bin /usr/bin стоит только чтение.
>удаления SUID/SGID-флагов с лишних
Как понять какие лишние?
>mitigations=auto,nosmt
Отключаем гипертрединг и прочее, и получаем тормозную систему. Правильно если система тормозит, то тогда уязвимостей не будет. А если вообще не включать, то ни один хакер не доберётся.
Такое чувство будто надёргали случайных советов из linux hardening и готово.
| |
|
2.137, Аноним (134), 17:16, 24/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Так разве не везде на /bin /usr/bin стоит только чтение
Открой недавнюю тему про libXpm... поймёшь, про что речь.
| |
2.170, Аноним (146), 22:46, 24/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
>Отключаем гипертрединг и прочее
Уточните что именно прочее? mitigations=auto включает смягчение всех известных уязвимостей в процессоре
>Отключаем гипертрединг
ФСТЭК ни одни такие "умные", разработчики OpenBSD тоже отключили hyper-threading, только у всех. Это демонстрирует их реальный уровень во всей красе.
>Такое чувство будто надёргали случайных советов из linux hardening и готово.
Как хорошо, общаться с таким по настоящему умным и проницательным человеком, как вы. Вы видите эту контору насквозь.
| |
|
3.196, Аноним (195), 06:24, 25/01/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за миллион рублей и отключаем у него 40 потоков. Что не смеётесь? Что не поняли да? Это Россия!
| |
|
4.198, Аноним (198), 07:25, 25/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за много тысяч долларов, ставим на него openbsd и у него отключаются 40 потоков. Что не смеётесь? Что не поняли да? Это США!
| |
|
5.200, Аноним (200), 09:15, 25/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
И будет ли выигрыш от виртуальных процессоров больше чем накладные расходы на синхронизацию это не очевидно.
В прочем, для профессиональных экспертов с опеннет всё всегда очевидно
| |
|
4.205, pavlinux (ok), 12:19, 25/01/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Что не смеётесь?
После патчей от Spectre, Meltdown, Retbleed и т.п., гыпертрединг бесполезен.
| |
|
|
|
1.141, Аноним (141), 17:21, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Самое главное забыли 'apt install safe-rm'
А вообще советую ещё монтировать хомяк с noexec.
> Отключаем гипертрединг
Ты путаешь потоки и ядра. Лучше б его вообще не изобретали.
| |
|
2.247, Аноним (244), 14:34, 03/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
> А вообще советую ещё монтировать хомяк с noexec.
/home, /proc, /sys, /tmp, /var, ... - nodev,noexec,nosuid,rw
/dev - noexec,nosuid,rw
/, /opt, /usr, - nodev,ro
Проверка:
mount |grep -v -E '(noexec|ro),'
Не должно ничего выводить!
| |
|
1.183, OpenEcho (?), 00:47, 25/01/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Странно, усё так завинченно, а про банальный
proc /proc proc nodev,noexec,nosuid,hidepid=2 0 0
в fstab забыли, пущай типа все юзеры видят все процессы других
| |
|
|
3.190, Аноним (134), 02:09, 25/01/2023 [^] [^^] [^^^] [ответить]
| +5 +/– |
> с systemd плохо сочетается.
Очевидно, что сначала надо от системды избавиться.
| |
|
4.219, Аноним (219), 00:10, 26/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
Именно об hidepid=2 и речь. Или ты только в fstab это прописал и думаешь, что у тебя всё работает, как надо? )
| |
|
5.220, OpenEcho (?), 00:30, 26/01/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Именно об hidepid=2 и речь. Или ты только в fstab это прописал
> и думаешь, что у тебя всё работает, как надо? )
А ты уверен, что до конца прочитал мой предыдущий пост?
| |
|
|
|
2.245, Аноним (244), 14:21, 03/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Запретить подключение к другим процессам с помощью ptrace (sysctl -w kernel.yama.ptrace_scope=3).
YAMA даст больше защиты процессов.
| |
|
|