| |
| 2.23, Аноним (-), 00:10, 09/05/2026 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Я тоже не могу понять, почему не rm -rf /*
Потом сдаешь инфру ночной смене, приходишь утром, а все уже обновлено, огоньки мигают.
| | |
| |
| 3.28, Аноним (28), 00:57, 09/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
А потом тебя находят по логам и ты до конца жизни платишь за ущерб живя в картонной коробке?
| | |
| |
| 4.32, Аноним (32), 04:35, 09/05/2026 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> до конца жизни платишь за ущерб живя в картонной коробке?
Салага.
> А потом
А потом ты говоришь, что инициатива по внедрению AI провалилась, как ты им и предрекал, и вам клод всю систему положил и если бы не твоя глубокая экспертиза и богатый опыт в области внедрения DLP политик, этой шараги бы уже не было.
| | |
| |
| 5.66, Аноним (66), 14:28, 09/05/2026 [^] [^^] [^^^] [ответить] | +/– | Смотрите дети, гайд от профессионального внетруннего саботажника Жаль что он не... большой текст свёрнут, показать | | |
|
|
|
| |
| 3.57, localhostadmin (ok), 11:08, 09/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
 А обязательно это таким образом решать? Может просто надо вынести весь мусор за пределы ядра? И городить костыли не придётся
| | |
| |
| 4.60, Аноним (-), 11:30, 09/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не для того 30 лет всё в ядро тащили, чтобы наружу теперь выносить.
| | |
| 4.65, Аноним (66), 14:24, 09/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
> А обязательно это таким образом решать? Может просто надо вынести весь мусор
> за пределы ядра? И городить костыли не придётся
Ога, вынеси. Получится у тебя фуксия какая - где fat32 оперативки и проца жрет как ZFS. И вот кому оно такое надо? А потом тебя такого умного и децимируют вместе с твоей операционкой.
| | |
| 4.88, Аноним (88), 20:18, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Предложи способ лучше. Языком молоть все горазды. Как говорил один Торвальдс, talk is cheap, show me the code.
| | |
|
|
| 2.47, Аноним (47), 08:31, 09/05/2026 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> возникнет уязвимость
Это хороший, штатный бекдор, для блокировки функций безопасности запрещающих работу всякой малвари.
Вся безопасность в ядре OS реализована посредством функций. Root процессы пользователя не могли отключать функции безопасности ядра OS ограничивающие действия и привилегии root. А с этим патчем смогут!!!
Патч зловреден, надо недопустить его принятие в ядро OS.
Уязвимости до выхода патчей устраняются персборкой без уязвимых компонент. Ядро необходимо всегда собирать монолитным, с минимально необходимым набором функций и без возможности загрузки модулей.
| | |
| |
| 3.69, Анонейм (?), 15:59, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Ядро необходимо всегда собирать монолитным, с минимально необходимым набором функций и без возможности загрузки модулей.
Жизнь, вообще-то, гораздо сложнее, чем ты думаешь...
| | |
| |
| 4.79, Аноним (-), 17:13, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Надо дополнительный функционал, - пересобираю ядро с новыми опциями и подписываю своим ключом для верификации при загрузки.
В ядре Linux уже много вещей, которые мне не нравятся. Приходится патчить, чтобы их выкинуть (BPF, ...), простого конфига нехватает.
| | |
|
|
|
| 1.2, Аноним (2), 21:49, 08/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>engage af_alg_sendmsg -1
а зачем писать "engage" и "-1"?
достатачно просто редактировать список подсистем и не надо будет помнить формат записи, который нужен раз в 1000 лет
А еще эта муть добавит лишние проверки
| | |
| |
| |
| 3.7, Аноним (2), 22:13, 08/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Ну вот иди и скажи им если такой умный
не нужно так сильно завидовать
| | |
|
| 2.26, Аноним (26), 00:27, 09/05/2026 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Код возврата нужен, чтобы наименее инвазивно захукать нужную функцию (не разрушая логику вокруг неё).
Ключевое слово нужно, чтобы обозначить действие над функцией - заменить, пропустить, перенаправить и т.п.
| | |
| 2.74, Аноним (74), 16:41, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>а зачем писать "engage" и "-1"?
Вы разве не помните "Rules of engagement?"
| | |
|
| 1.4, Аноним (4), 21:55, 08/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>используемых относительной небольшим числом пользователей
Кто знает редко используемый это символ или нет. Не все же инсайдеры ядра, разбирающиеся в его хитросплетениях. Совет тоже не дашь - ванговать чужую конфигурацию сложно. Зато появляется прямой вектор для захватившего рут.
| | |
| |
| |
| 3.68, Аноним (68), 15:55, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> перехват обращений к функциям ядра по их именам
Вот здесь как раз и накуролесят - появятся очередные новые вектора уязвимостей.
| | |
|
| 2.37, Аноним (37), 05:27, 09/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Ой, сейчас костылей понапридумывают...
А как иначе? Костыль+костыль = фича+фича = киллер фича+киллер фича = подсистема+подсистема = Linux kernel
| | |
|
| |
| 2.17, Аноним (17), 23:18, 08/05/2026 [^] [^^] [^^^] [ответить]
| –3 +/– |
 В зависимости от реализации, проверка может занимать менее 10 тактов процессора.
| | |
| |
| 3.70, Аноним (68), 16:01, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> может занимать менее 10 тактов
Не может. Не бывает сейчас таких коротких конвейеров. А надо как минимум один переход сделать. И спекуляции тут не помогут: будет тормозиться либо уязвимый код, либо вообще не будет работать функция.
| | |
|
|
| |
| |
| 3.29, Аноним (29), 02:10, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Хотите чтобы модули ядра были в user space и в них находили уязвимости как в каком-нибудь pypi пакетах?
Хочу, находить уязвимости в pypi пакетах проще, чем в ядре.
>Разницы между этими ядрами нет по сути.
>Способы организации кода.
Ну так где где найти ошибку проще: в модуле на тысячу строк или в ядре на десятки миллионов?
| | |
| |
| |
| 5.61, Аноним (-), 11:38, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Вот, линукс - большой проэкт? А аудит в нём делают? Только на этой неделе три бэкдора, сидевших годами, нашли.
| | |
|
|
|
| 2.63, Аноним (63), 13:38, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
А ты хитрый перец. Во-первых дебат не проходил в таком ключе. И причём сдесь сабж и архитектура ядер?
| | |
| 2.71, Аноним (-), 16:31, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
> Не хватает подписей к фотографиям:
> – А я тебе говорил!
> – Да пофиг, и так схавают.
И ЧСХ - схавают. Потому что эту свою фуксию с ее офигенным жором драйвера FAT32 хуже чем ZFS - сами и хавайте. На двоих с таненбаумом, если хотите.
| | |
|
| |
| 2.15, Мемоним (?), 22:59, 08/05/2026 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Теоремы Гёделя неумолимы. Сколько там уже в ядре всяких механизмов защиты?
Гегеля? Или Гоголя?
| | |
|
| 1.19, cyberslug (-), 23:29, 08/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Они там уже лет 7 прокрутку в консоли не могут пофиксить, а тут такая оказия свалилась на их светлые головушки.
| | |
| |
| |
| 3.54, cyberslug (?), 10:33, 09/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не то, что заведён, а сам Солнцеликий заявил, что они не могут найти желающих для исправления. Видимо, там настолько всё печально с архитектурой, что даже такой, казалось бы, пустяковый баг требует вливания нереальных ресурсов и лучше вообще ничего не трогать, пока не развалилось в дребезги.
| | |
|
|
| 1.20, Аноним83 (?), 23:34, 08/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Забавно, но кажется такой же функционал на FBSD можно реализовать через собственный MAC модуль, без правки ядра и загружать хоть на рабочей системе.
| | |
| |
| 2.34, мяв (?), 05:15, 09/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
так в линусе тоже можно, через готовый мак-модуль .. томойо тот же. городят велосипеды хз зачем.
но будем посмотреть
| | |
| |
| 3.72, Аноним (-), 16:38, 09/05/2026 [^] [^^] [^^^] [ответить] | +/– | Затем, мяукалка, чтобы не делать себе мозг этим вашеим е мое Потому что does o... большой текст свёрнут, показать | | |
| |
| 4.99, Аноним83 (?), 03:24, 10/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Вы от части правы.
Только вот виртуализация и контейнеры совсем не бесплатные, как по оперативе так и по диску.
Эксплоиты по тому как вылезти из этого всего тоже постоянно появляются.
В целом вы минимизируете свои личные расходы сил и времени ценой железа за которое кто то платит такие же реальные деньги.
А если у вас машстаб большой то экономия вашего времени/сил может легко стать очень не оптимальной для нанимателя.
Появилось это как ответ на какакодинг - когда продукт слишком сложно установить и настроить с нуля на систему, плюс он может быть слишком дырявым. И как ответ на отсутствие квалифицированных специалистов которые такое могут осилить - но тут бизнесс всегда так делает.
| | |
|
|
| 2.64, Аноним (66), 14:22, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
> Забавно, но кажется такой же функционал на FBSD можно реализовать через собственный
> MAC модуль, без правки ядра и загружать хоть на рабочей системе.
В этой твоей freebsd - функционал sudo беспарольного прям в execve запилили оказывается. Вот это я понимаю - фича! В соседней новости, enjoy :)
| | |
|
| 1.22, Аноним (22), 00:06, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
>Для большинства пользователей неудобство из-за прекращения работоспособности отдельных функций не сравнится с риском использования в работе ядра с известной неисправленной уязвимостью на время до установки исправления.
>Для большинства пользователей неудобство из-за прекращения работоспособности не сравнится с риском
И что же мне это напоминает, а?
| | |
| 1.25, Аноним (25), 00:27, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Я не особо в теме - а что всякие аппарморы, селинуксы да секкомпы не умеют ровно то же самое?
| | |
| |
| 2.30, Rev (ok), 02:43, 09/05/2026 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Не-не-не, нам нужна четвёртая система!
(xkcd про 15-й стандарт)
| | |
| 2.35, мяв (?), 05:17, 09/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
АА вообще ничево не может, абсолютно нинужное нинужно, ни от чего не защищающее.
секкомп специфичная штука. это вообще надо что б аппа сама себе политики писала как бы.
есть вроде инструменты аля-bwrap. но он не для того, что в новости предлагают.
селинукс, томойо - про это.
но никто не включает по дефолту особо.
видать вот это - будет везде
| | |
| 2.36, qetuo (?), 05:19, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Нет, не умеют, т.к. предназначены для приложений в пространстве пользователя. Здесь речь об изменении поведения функций, внутренних для ядра.
| | |
| |
| 3.38, мяв (?), 05:38, 09/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
что ?
много было за последнее время уязвимостей с "исключительно внутренними" функциями ядра, что вообще никакой полкзной работы не делают, не влияя так или иначе на происходящее "в пространстве пользователя" ?
даже если действие само ядро выполняет, тот же томойо может это контролировать, специально есть 0й домен kernel.
секкомп просто все сискалы ограничивает. так что "что попало" тоже дергать не получится.
конечно, это не 100% замена описаному в новости.
но вообще, такто. рвз на то пошло, не должно у юзера быть в принципе возможность пускать какие то левые бинари.
| | |
| |
| 4.39, мяв (?), 05:39, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
dirty frag - там ж запись в кеш вроде ..
томойо такое ловить умеет, я не помню, как операция называется. но оно есть
| | |
|
|
| 2.41, нах. (?), 06:05, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Умеют, чего ж не умеют - вон аппармор так "сумел" надысь, до сих пор переплюнуть его не может никакой dirty fuck (или как там его?) - никаких тебе ошибок и сложных решений, просто можно запретить sudo менять юзера через стандартный и легальный интерфейс ядра, и останешься рутом.
Причем, в отличие от тех двух где все решается удалением действительно ненужных большинству модулей, тут и решения-то нет.
| | |
|
| 1.50, Сладкая булочка (?), 09:10, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Костыли, костыли везде. Осталось гарантировать, что в реализации механизма для экстренного отключения уязвимой функциональности в ядре Linux не будет уязвимостей. Но это же очень просто сделать? Ведь так? Ведь так же?
| | |
| |
| 2.53, Аноним (53), 10:26, 09/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Гарантировать?
Ядро это не про гарантии, с учетом того как и на чем его пишут.
Так что вариантов немного:
- написать в виде отдельной подсистемы и провести формальную верификацию - очень-очень дорого и требует компетенции повыше уровня ядерщиков
- использовать более качественные языки типа Ада (дорого и нужно менять подходы) или Раст (дешевле)
- обмазать сишный овнокод санитайзерами, фазерами и прочим (скорее всего не поможет)
| | |
| |
| 3.78, Аноним (74), 17:01, 09/05/2026 [^] [^^] [^^^] [ответить] | +/– | Нереально Просто никто не возмётся в ядре трудно делать runtime-проверки санит... большой текст свёрнут, показать | | |
| |
| 4.86, Сладкая булочка (?), 19:56, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
>>формальную верификацию
> Нереально. Просто никто не возмётся.
Есть проекты по верификации ядра с помощью frama-c. Там правда не все далеко, выполняется сторонними людьми для верификации модулей ядра.
| | |
|
|
| 2.75, Аноним (74), 16:51, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Костыли, костыли везде.
Linux - ОС общего назначения с открытым исх. текстом, не предназначена для задач где нужна повышенная надёжность или безопасность.
| | |
| |
| 3.87, Сладкая булочка (?), 19:57, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
>>Костыли, костыли везде.
> Linux - ОС общего назначения с открытым исх. текстом, не предназначена для
> задач где нужна повышенная надёжность или безопасность.
А что применяется?
| | |
|
|
| 1.51, Аноним (51), 09:39, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну с таким killswitch-ем в ядре можно и на луну лететь. Я бы доверился такому ядру.
| | |
| 1.55, Андрей (??), 10:42, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
ага. научились же обходить лицензионные ограничения ядер NVIDIA. Вот получите теперь такую возможность просто вырубить всё... Опыт Ирана с обогащением урана не учит ?
| | |
| 1.56, r2d0 (?), 10:43, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 А потом можно сделать engage killswitch_sendmsg -1 и тем самым отключить killswitch?
| | |
| |
| 2.73, Аноним (-), 16:39, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> А потом можно сделать engage killswitch_sendmsg -1 и тем самым отключить killswitch?
"ChatGPT подсказал варианты как улучшить ChatGPT" :). Насколько это реально работает - а хрен бы его знает, но так бывает.
| | |
|
| 1.59, Аноним (59), 11:29, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
потом зловреды при помощи этого механизма смогут отключать защитные функции и наступит всем счастье
| | |
| |
| 2.81, Аноним (81), 17:43, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
 Особенно nf_tables, необходимость в использовании которого есть у "ограниченного числа лиц".
| | |
|
| 1.84, Макан Негодяй (?), 19:15, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А удалённо можно будет по интернету централизованно другим пользователям килл-свич активировать? А то они наверное не знают бедные о своих уязвимостях, а так помощь сразу подоспеет.
| | |
| 1.85, mikhailnov (ok), 19:32, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 > Assisted-by: Claude:claude-opus-4-7
> Signed-off-by: Sasha Levin <sashal@kernel.org>
Прикольно ))
| | |
| 1.92, Аноним (92), 21:42, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ядро Linux всегда будет дырявым и дело тут не в предвзятом отношении, а в монолитной архитектуре которая породила 20+ миллионов исходного кода ядра и чем больше будет размер исходников тем больше будет в них уязвимостей, другими словами с ростом кодовой базы пропорционально будет расти количество дыр в безопасности
| | |
| |
| 2.95, Аноним (95), 23:11, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Linux нельзя было сделать изначально микросервисным или гибридным, так как это входит в противоречие с идеей проекта - сделать GPL-ное unix-подобное ядро на замену AT&T UNIX. GPL-ное может быть только монолитным.
| | |
| |
| |
| 4.98, Аноним (98), 01:43, 10/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Незнаю что имелось ввиду. Но в качестве шутки можно предположить: Понаделают проприетарных модулей и всё захватят. Или наоборот сделают проприетарную замену микроядру и все модули утянут. :-)
| | |
|
|
|
|
