forum.opennet.ru

Составление сообщения

Исходное сообщение

"Статус возрождения kernel.org: доступ к Git будет организова..."
Отправлено Аноним, 26-Сен-11 02:38

>Честно говоря не въезжал в детали чем именно он так не угодил авторам сплойтов, но
>почему-то во всех более-менее похожих на "боевые" эксплойтах - нейтрализация selinux
>делается на раз, одной из первых операций. Стало быть мешался, раз выпиливают.
Понятное дело что после получения рута selinux дизейблить - не проблема. И все же, целесообразность не ясна, так как при наличии прав суперпользователя selinux - не помеха.
>А других методов и не будет.
Будет. Сегодня нет - завтра есть. ИИ на подходе (гипотетически допустимо и то что новые методы также на подходе).
>Я полагаю что контейнерами/виртуалками изолировать части систем друг от друга
>контейнерами/виртуалками не в пример проще для понимания, аудита процессов в этом всем и
>по степени изоляции - не хуже (openvz/lxc) или даже лучше (kvm/xen). В свете этого
>selinux нужен в основном старперам из АНБ, ФБИ и прочих, у которых - регламент, в
>котором если написано что трава должна быть зеленой, а на дворе декабрь - ну значит вот
>вам ведерко зеленой краски и кисточка. Поскольку регламенты я видал в гробу, а вот
>фактическая эффективность меня очень даже интересует - я позволяю себе нескромность
>решать задачи так как мне удобно. А с этим вашим селинуксом сами сношайтесь. Гемора
>много а толку мало, судя по сплойтам. Тогда как пролом до рута в машине на xen/kvm
>атакующему ничего особо не дает.
SELinux, AppArmor отражают очевидное и нужное решение в сфере безопасности приложении. Вопрос, кстати был такой и по теме: "Значит ли это что наличие selinux и тру администратора в системе равносильно его (selinux) остутствию?"
Расскажите, причем же тут (в узком контексте вопроса) вообще контейнеры/виртуалки. И раз уж пошла такая пьянка, прошу учесть что контейнеры/виртуалки и SELinux/AppArmor как бы разного уровня решения. SELinux/AppArmor может работать внутри контейнера/виртуалки но не наоборот, поэтому их сравнивать несколько неуместно.
> Никто не спорит что ssh давать без реальной нужды не стоит. Но
> git-shell все равно есть (для тех, кто не в курсе: git-shell
> задается в качестве login-shell, и юзверь не может попасть в систему,
> но может работать с репо через ssh).
>SSH позволяет довольно много всего - опенбсдшники превратили его в какой-то непотребный >комбайн, умеющий кидать впн, форвардить порты и что там еще. Проаудитить все возможные
>грабли при использовании такй монстрятины - редкий админ сможет, ихмо.
Комбайн хорош и весьма удобен. Нормальный админ сможет, даже если не умеет/не работал/никогда прежде. Мне ли Вам это объяснять?
>Так как раз осень. Самое время :)
Времена совпали, но контексты нет. Поэтому незачет.

Исходное сообщение
"Статус возрождения kernel.org: доступ к Git будет организова..." Отправлено Аноним, 26-Сен-11 02:38
>Честно говоря не въезжал в детали чем именно он так не угодил авторам сплойтов, но >почему-то во всех более-менее похожих на "боевые" эксплойтах - нейтрализация selinux >делается на раз, одной из первых операций. Стало быть мешался, раз выпиливают. Понятное дело что после получения рута selinux дизейблить - не проблема. И все же, целесообразность не ясна, так как при наличии прав суперпользователя selinux - не помеха. >А других методов и не будет. Будет. Сегодня нет - завтра есть. ИИ на подходе (гипотетически допустимо и то что новые методы также на подходе). >Я полагаю что контейнерами/виртуалками изолировать части систем друг от друга >контейнерами/виртуалками не в пример проще для понимания, аудита процессов в этом всем и >по степени изоляции - не хуже (openvz/lxc) или даже лучше (kvm/xen). В свете этого >selinux нужен в основном старперам из АНБ, ФБИ и прочих, у которых - регламент, в >котором если написано что трава должна быть зеленой, а на дворе декабрь - ну значит вот >вам ведерко зеленой краски и кисточка. Поскольку регламенты я видал в гробу, а вот >фактическая эффективность меня очень даже интересует - я позволяю себе нескромность >решать задачи так как мне удобно. А с этим вашим селинуксом сами сношайтесь. Гемора >много а толку мало, судя по сплойтам. Тогда как пролом до рута в машине на xen/kvm >атакующему ничего особо не дает. SELinux, AppArmor отражают очевидное и нужное решение в сфере безопасности приложении. Вопрос, кстати был такой и по теме: "Значит ли это что наличие selinux и тру администратора в системе равносильно его (selinux) остутствию?" Расскажите, причем же тут (в узком контексте вопроса) вообще контейнеры/виртуалки. И раз уж пошла такая пьянка, прошу учесть что контейнеры/виртуалки и SELinux/AppArmor как бы разного уровня решения. SELinux/AppArmor может работать внутри контейнера/виртуалки но не наоборот, поэтому их сравнивать несколько неуместно. > Никто не спорит что ssh давать без реальной нужды не стоит. Но > git-shell все равно есть (для тех, кто не в курсе: git-shell > задается в качестве login-shell, и юзверь не может попасть в систему, > но может работать с репо через ssh). >SSH позволяет довольно много всего - опенбсдшники превратили его в какой-то непотребный >комбайн, умеющий кидать впн, форвардить порты и что там еще. Проаудитить все возможные >грабли при использовании такй монстрятины - редкий админ сможет, ихмо. Комбайн хорош и весьма удобен. Нормальный админ сможет, даже если не умеет/не работал/никогда прежде. Мне ли Вам это объяснять? >Так как раз осень. Самое время :) Времена совпали, но контексты нет. Поэтому незачет.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>Честно говоря не въезжал в детали чем именно он так не угодил авторам сплойтов, но 
>>почему-то во всех более-менее похожих на "боевые" эксплойтах - нейтрализация selinux 
>>делается на раз, одной из первых операций. Стало быть мешался, раз выпиливают.

> Понятное дело что после получения рута selinux дизейблить - не проблема. И 
> все же, целесообразность не ясна, так как при наличии прав суперпользователя 
> selinux - не помеха.

>>А других методов и не будет.

> Будет. Сегодня нет - завтра есть. ИИ на подходе (гипотетически допустимо и 
> то что новые методы также на подходе).

>>Я полагаю что контейнерами/виртуалками изолировать части систем друг от друга 
>>контейнерами/виртуалками не в пример проще для понимания, аудита процессов в этом всем и 
>>по степени изоляции - не хуже (openvz/lxc) или даже лучше (kvm/xen). В свете этого 
>>selinux нужен в основном старперам из АНБ, ФБИ и прочих, у которых - регламент, в 
>>котором если написано что трава должна быть зеленой, а на дворе декабрь - ну значит вот 
>>вам ведерко зеленой краски и кисточка. Поскольку регламенты я видал в гробу, а вот 
>>фактическая эффективность меня очень даже интересует - я позволяю себе нескромность 
>>решать задачи так как мне удобно. А с этим вашим селинуксом сами сношайтесь. Гемора 
>>много а толку мало, судя по сплойтам. Тогда как пролом до рута в машине на xen/kvm 
>>атакующему ничего особо не дает.

> SELinux, AppArmor отражают очевидное и нужное решение в сфере безопасности приложении. 
> Вопрос, кстати был такой и по теме: "Значит ли это что 
> наличие selinux и тру администратора в системе равносильно его (selinux) остутствию?" 
 
> Расскажите, причем же тут (в узком контексте вопроса) вообще контейнеры/виртуалки. И раз 
> уж пошла такая пьянка, прошу учесть что контейнеры/виртуалки и SELinux/AppArmor как 
> бы разного уровня решения. SELinux/AppArmor может работать внутри контейнера/виртуалки 
> но не наоборот, поэтому их сравнивать несколько неуместно.

>> Никто не спорит что ssh давать без реальной нужды не стоит. Но 
>> git-shell все равно есть (для тех, кто не в курсе: git-shell 
>> задается в качестве login-shell, и юзверь не может попасть в систему, 
>> но может работать с репо через ssh).
>>SSH позволяет довольно много всего - опенбсдшники превратили его в какой-то непотребный >комбайн, умеющий кидать впн, форвардить порты и что там еще. Проаудитить все возможные 
>>грабли при использовании такй монстрятины - редкий админ сможет, ихмо.

> Комбайн хорош и весьма удобен. Нормальный админ сможет, даже если не умеет/не 
> работал/никогда прежде. Мне ли Вам это объяснять?

>>Так как раз осень. Самое время :)

> Времена совпали, но контексты нет. Поэтому незачет.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру