The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от opennews (ok), 30-Сен-19, 09:14 
Линус Торвальдс принял в состав будущего выпуска ядра Linux 5.4 набор патчей "lockdown", предложенный    Дэвидом Хоуэллсом (David Howells) и Мэтью Гарретом (Matthew Garrett) для ограничения доступа пользователя root к ядру. Связанная с "lockdown" функциональность вынесена в опционально загружаемый LSM-модуль (Linux Security Module), устанавливающий барьер между UID 0 и ядром, ограничивая определённую низкоуровневую функциональность...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51591

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +18 +/
Сообщение от iCat (ok), 30-Сен-19, 09:14 
Коренная дискриминация...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

75. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +5 +/
Сообщение от Аноним (75), 30-Сен-19, 13:09 
Прямо как во FreeBSD (см. securelevels).
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

76. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –11 +/
Сообщение от анонн (ok), 30-Сен-19, 13:13 
> Прямо как во FreeBSD (см. securelevels).

security.bsd.suser_enabled: processes with uid 0 have privilege

Бздуны, как всегда, оперативно тащат идеи, новшества и инновации из Линуха к себе )))

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

82. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от SR_team (?), 30-Сен-19, 13:49 
наоборот же. Марк Грегер пытался притащить это из BSD ещё 7 лет назад, но тогда оно слишком сильно зависило от UEFI
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

83. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от SR_team (?), 30-Сен-19, 13:50 
Мэтью Гаррет*
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

99. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +9 +/
Сообщение от Аноним (75), 30-Сен-19, 15:18 
> наоборот же. Марк Грегер пытался притащить это из BSD ещё 7 лет назад, но тогда оно слишком сильно зависило от UEFI

Не вводите людей в заблуждение. securelevels — это штатный механизм защиты во фре, которому 20 лет в обед и который никак не связан с UEFI.

7 лет назад Гаррет пытался пропихнуть патчи, упрощающие вендорам тивоизацию устройств (практика установки кастрированного линукса без возможности заменить его на нормальный). Был послан Линусом в пешее эротическое.

Принятые сейчас патчи предоставляют универсальный механизм безопасности, аналогичный securelevels. Упрощение тивоизации — побочное следствие, "налог на добавленную функциональность". Гаррет, надо полагать, стремился именно к этому — чтобы вместе с бочкой мёда приняли и ложку экскрементов.

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

206. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от SR_team (?), 01-Окт-19, 08:20 
> который никак не связан с UEFI.

я не про фрю говорил, а про реализацию для линя, которая предлагалась 7 лет назад

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

217. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (75), 01-Окт-19, 11:18 
Вы написали
> притащить это из BSD ещё 7 лет назад

хотя предложенные 7 лет назад патчи были посвящены тивоизации загрузчика и не имели ничего общего с механизмами безопасности BSD.

Ответить | Правка | ^ к родителю #206 | Наверх | Cообщить модератору

3. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +2 +/
Сообщение от Аноним (3), 30-Сен-19, 09:16 
что за конфиденциальные данные, хранящиеся на уровне ядра?

PS "ограничения root развались в контексте"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +18 +/
Сообщение от Аноним (5), 30-Сен-19, 09:19 
Чтобы всякие антикапиталистические юзвери секурбуты и дрм не ковыряли.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +4 +/
Сообщение от Аноним (3), 30-Сен-19, 09:22 
явки и пароли от банковских счетов конфиденциальные данные пользователя, а секурбут - нет. дрм может и конф. данные, но не пользователя.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

145. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +4 +/
Сообщение от капиталист (?), 30-Сен-19, 17:03 
ну так не юзера это нововведение и защищает
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Аноним (9), 30-Сен-19, 09:23 
secureboot и drm хрен поковыряешь, они теперь аппаратные
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

29. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –3 +/
Сообщение от pripolz (?), 30-Сен-19, 10:37 
> secureboot и drm теперь хрен поковыряешь, они аппаратные

Fixed.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

43. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от X86 (ok), 30-Сен-19, 11:06 
> secureboot и drm теперь хрен поковыряешь, они аппаратные

secureboot и drm поковырять можно, но они аппаратные.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

6. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +5 +/
Сообщение от Аноним (6), 30-Сен-19, 09:21 
На вскидку ключи шифрования, содержимое дискового кэша, остатки данных из использованых буферов ввода (например, могут оседать введённые пароли).
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. Скрыто модератором  –4 +/
Сообщение от Аноним (4), 30-Сен-19, 09:16 
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. Скрыто модератором  +1 +/
Сообщение от Аноним (19), 30-Сен-19, 10:07 
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +28 +/
Сообщение от Аноним (9), 30-Сен-19, 09:21 
Вендорам позарез нужно прибить рутинг телефонов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +2 +/
Сообщение от Аноним (26), 30-Сен-19, 10:31 
А сами они патчи накладывать не умеют? Что им мешало делать это раньше?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

33. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +5 +/
Сообщение от вендор (?), 30-Сен-19, 10:43 
вой на болотах. А так - "штатная возможность ядра linux - вот и используем!"

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

151. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (151), 30-Сен-19, 17:19 
Хуавею вой на болотах не мешал. Хотели и делали.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

38. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –5 +/
Сообщение от Аноним (38), 30-Сен-19, 10:53 
Причем тут рутинг телефонов...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

41. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +4 +/
Сообщение от вендор (?), 30-Сен-19, 11:04 
действительно, мы ж просто заботимся о вас и вашей безопастносте
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

74. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +2 +/
Сообщение от имя (ok), 30-Сен-19, 13:08 
Они и так его уже давно прибили. Вы давно занимались разблокировкой загрузчика на телефонах Huawei или Nokia?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

127. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –3 +/
Сообщение от Аноним (127), 30-Сен-19, 16:06 
>Huawei
>Nokia

Китайскими зондами не пользуюсь. Американские зонды как-то лучше.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

160. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (75), 30-Сен-19, 17:38 
Мсье знает толк в зондах. Расскажите нам, пожалуйста, чем они лучше — возможностью присесть при выезде в АМЛАГ? (Притом, что подавляющее большинство народу регулярно катается в Европу и никогда — в Китай.)
Ответить | Правка | ^ к родителю #127 | Наверх | Cообщить модератору

164. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Аноним (164), 30-Сен-19, 18:53 
>Притом, что подавляющее большинство народу регулярно катается в Европу и никогда — в Китай.)

Вы там совсем зажрались

Ответить | Правка | ^ к родителю #160 | Наверх | Cообщить модератору

176. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +2 +/
Сообщение от Аноним (176), 30-Сен-19, 22:44 
Американские зонды гладкие блестящие в виде самоцветов, девушкам с ними удобно в любое время. А китайские грубые и пластмассовые.
Ответить | Правка | ^ к родителю #160 | Наверх | Cообщить модератору

218. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (75), 01-Окт-19, 11:19 
Можно подумать, американские не из пластмассы. Нынче даже Apple made in China.
Ответить | Правка | ^ к родителю #176 | Наверх | Cообщить модератору

229. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Аноним (229), 01-Окт-19, 16:41 
Там главное слово было зонды, а ты все испортил свои эплом.
Ответить | Правка | ^ к родителю #218 | Наверх | Cообщить модератору

235. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (75), 02-Окт-19, 10:41 
А разве эпл — не зонды?
Ответить | Правка | ^ к родителю #229 | Наверх | Cообщить модератору

113. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от KonstantinB (ok), 30-Сен-19, 15:35 
Можно подумать, вендоры ядро патчить не умеют.

Для меня один из критериев при выборе телефона - простота получения рута. Я причем даже не рутал, но знаю, что могу :-)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

137. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +4 +/
Сообщение от Аноним (137), 30-Сен-19, 16:33 
> Я причем даже не рутал, но знаю, что могу :-)

Два телефона этому Анониму!

Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

234. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от gogo (?), 02-Окт-19, 09:36 
два айфона ему
Ответить | Правка | ^ к родителю #137 | Наверх | Cообщить модератору

146. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +3 +/
Сообщение от китайса ляо суня (?), 30-Сен-19, 17:06 
неумеют. Моя за миска риса уметь патчить краденая драйвер от похозая моделя. Переделать вся ядро стобы рута не была могла доступ ко всему - моя не умеет.

Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

153. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от имя (ok), 30-Сен-19, 17:21 
> Для меня один из критериев при выборе телефона - простота получения рута.

Не поделитесь, кстати, сакральными знаниями о том, где это сейчас делается просто? Я уже задолбался перелопачивать противоречивую информацию на xda/4pda и инструкции про заполнение анкет для отправки на деревню китайским дедам.

Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

187. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (187), 30-Сен-19, 23:31 
OnePlus же
Ответить | Правка | ^ к родителю #153 | Наверх | Cообщить модератору

202. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от имя (ok), 01-Окт-19, 01:46 
> OnePlus

Единственная относительно нелопатная модель осталась только б/у.

Ответить | Правка | ^ к родителю #187 | Наверх | Cообщить модератору

200. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от KonstantinB (ok), 01-Окт-19, 00:58 
Чтобы прямо совсем для домохозяйки, не умеющей в adb, это нигде.

А так, берете список понравившихся моделей и гуглите how to root $modelName.

Ответить | Правка | ^ к родителю #153 | Наверх | Cообщить модератору

201. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от имя (ok), 01-Окт-19, 01:39 
> А так, берете список понравившихся моделей и гуглите how to root $modelName.

Это, к сожалению, ненадёжный и трудоёмкий алгоритм. Информация о нерабочем «Allow OEM unlock» (ну, пока не просидишь месяц в ожидании кода после всех SMS и регистраций на сайте производителя, ага) обычно прячется за тремя слоями дорвеев с шаблонными страницами вида: «у девайса вооот такие спеки… ах, да, рут! просто залей воды^W twrp» (ага, которого под девайс ещё никто не собрал). Даже если ограничиться 4pda и популярными моделями, всё равно приходится делать кучу кликов, чтобы не пропустить потенциальные грабли с каким-нибудь «RMM State: Prenormal».

Хоть как-то существенно и качественно сузить круг претендентов пока позволяет только совет сразу выкинуть Huawei и Nokia и подвинуть Xiaomi без Android One глубоко в конец списка. На чтение остального нужно столько времени потратить, что пока выберешь, всё уже напрочь успеет устареть (особенно покупатель).

Ответить | Правка | ^ к родителю #200 | Наверх | Cообщить модератору

207. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от SR_team (?), 01-Окт-19, 08:27 
Сделай каку - купи на MTK.

Да, зато с рутом проще...

Ответить | Правка | ^ к родителю #201 | Наверх | Cообщить модератору

211. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (9), 01-Окт-19, 08:43 
Google Nexux, не? Хотя лучше что-нибудь на Broadcom, у них драйвера  менее дырявые.
Ответить | Правка | ^ к родителю #201 | Наверх | Cообщить модератору

231. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от KonstantinB (ok), 01-Окт-19, 18:53 
У меня нормально все гуглится, по первой странице выдачи вполне составляется впечатление.

Возможно, потому, что у меня hl=en?

Ответить | Правка | ^ к родителю #201 | Наверх | Cообщить модератору

232. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от имя (ok), 01-Окт-19, 19:55 
> У меня нормально все гуглится

Для каких девайсов?

> по первой странице выдачи вполне составляется впечатление.

…обманчивое. По первому же запросу бесполезные дорвеи (и xda с полудохлыми подфорумами): https://i.imgur.com/Fv9Qwzv.png

> Возможно, потому, что у меня hl=en?

Всю дорогу только так и пользуюсь.

Ответить | Правка | ^ к родителю #231 | Наверх | Cообщить модератору

245. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Groosha (?), 17-Окт-19, 10:16 
Чтобы прям даже не было TWRP, надо иметь либо всратое китайское дерьмо (в этом случае, ССЗБ), либо очень старый смартфон (ССЗБ), либо не уметь пользоваться гуглом (снова ССЗБ)
Ответить | Правка | ^ к родителю #201 | Наверх | Cообщить модератору

246. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от имя (ok), 17-Окт-19, 10:46 
> Чтобы прям даже не было TWRP, надо иметь

Ну вот давайте на примере всё того же Nokia 5.1 Plus:

> всратое китайское дерьмо

Всратое — потому что «нокия уже не та!111!1»? Китайское — потому что собрано на foxconn?

> либо очень старый смартфон

«Released 2018, July» — фууууууу, устарело, не модно!

> либо не уметь пользоваться гуглом

Ну давайте, покажите мне что-то отличное от тухлых тредов на xda о том, как все ждут подачки в виде разблокированного рагрузчика.

Ответить | Правка | ^ к родителю #245 | Наверх | Cообщить модератору

204. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –7 +/
Сообщение от Аноним (204), 01-Окт-19, 05:57 
>Для меня один из критериев при выборе телефона - простота получения рута.

Принципиально не рутаю телефоны, пользуюсь яблоками, доволен как слон.

Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

212. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +10 +/
Сообщение от Аноним (212), 01-Окт-19, 08:46 
Соболезную. Держи в курсе, конечно
Ответить | Правка | ^ к родителю #204 | Наверх | Cообщить модератору

10. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +22 +/
Сообщение от Аноним (10), 30-Сен-19, 09:28 
Свободу Руту! Угнетатели!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Аноним (-), 30-Сен-19, 09:28 
> , запрещается переход в спящий и жрущий режимы

то есть, sudo pm-suspend/hibernate отменили? Только через GUI, завязанное на systemd?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –3 +/
Сообщение от гугель (?), 30-Сен-19, 09:48 
>> , запрещается переход в спящий и жрущий режимы
> то есть, sudo pm-suspend/hibernate отменили? Только через GUI, завязанное на systemd?

у нас упcpaт!

и вообще - зачем вам гибернейт на *нашем* телефоне - он же не сможет получить нотифай что вам поставили ла-а-а-айк!

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

56. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (56), 30-Сен-19, 11:57 
Ты вообще в курсе, что ядро линуха в первую очередь НЕ для телефонов делается?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

63. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от жека воробьев (?), 30-Сен-19, 12:22 
А зачем серверам хибернейт?
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

125. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от анним (?), 30-Сен-19, 16:02 
Зря что-ли существует функция - просыпаться по запросу сети (или включаться)?
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

184. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Gannetemail (ok), 30-Сен-19, 23:15 
Чтобы электрику зря не расходовали же. А то только стоят и крутят счётчик.
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

220. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (75), 01-Окт-19, 11:22 
Может быть, просто выбросить, чтобы ещё и места не занимали?
Ответить | Правка | ^ к родителю #184 | Наверх | Cообщить модератору

224. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Gannetemail (ok), 01-Окт-19, 12:47 
> Может быть, просто выбросить, чтобы ещё и места не занимали?

Очень даже вариант. По фень-шую.

Ответить | Правка | ^ к родителю #220 | Наверх | Cообщить модератору

244. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Zulu (?), 03-Окт-19, 15:08 
Hybernate серверам (точнее виртуальным машинам на них) нужен для миграции.
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

84. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от SR_team (?), 30-Сен-19, 13:56 
ну да, гугл явно не о телефонах печется выкатывая подобные патчи
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

147. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –1 +/
Сообщение от пох. (?), 30-Сен-19, 17:10 
а о чем? Для гуглобуков оно, по очевидным (тот же гибернейт) причинам бесполезное, для серверов в общем-то тоже непонятно куда прикрутить и какой от этой "защиты" толк (что и от кого оно защищает-ась?)

вот для чего-то закрытого где рут не доверенное лицо а наоборот кто-то явно левый - ага. Ну так и что бы это у нас такое могло быть, а?

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

205. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от SR_team (?), 01-Окт-19, 07:58 
вы не можете в сарказм сер. рекомендую вам пройти Fallout4 пару раз
Ответить | Правка | ^ к родителю #147 | Наверх | Cообщить модератору

154. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Аноним (151), 30-Сен-19, 17:23 
> зачем вам гибернейт на *нашем* телефоне - он же не сможет получить нотифай что вам поставили ла-а-а-айк!

Так ведь в момент выключения экрана телефон как раз и переходит в спящий или ждущий режим, не?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

177. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Аноним (176), 30-Сен-19, 22:50 
Нет. Отключается экран. С задержкой WiFi. Все железо понижает частоты. Останавливаются активные процессы.
Линукс так не умеет из коробки.
Ответить | Правка | ^ к родителю #154 | Наверх | Cообщить модератору

179. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –2 +/
Сообщение от Michael Shigorinemail (ok), 30-Сен-19, 22:56 
> Нет. Отключается экран. С задержкой WiFi. Все железо понижает частоты.
> Останавливаются активные процессы.
> Линукс так не умеет из коробки.

Точно-точно не умеет? :)

// мне есть ещё чего сказать, хотя тут бы User294 выпустить

Ответить | Правка | ^ к родителю #177 | Наверх | Cообщить модератору

31. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (38), 30-Сен-19, 10:38 
Только в спящий, не в жрущий. Запретили ядру спящий режим.

Потому что не гарантии что во время сна образ памяти не похакали.

Вообще конечно надо ещё один флаг или параметр чтобы разрешалось засыпать если свап зашифрован.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

35. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (137), 30-Сен-19, 10:48 
> Потому что не гарантии что во время сна образ памяти не похакали.

Нет гарантии, что при работе память не похакали.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

36. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (38), 30-Сен-19, 10:50 
Предполагается что поехать память при работе это слишком сложно, да и защититься от этого никак нельзя в принципе
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

94. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –1 +/
Сообщение от Аноним (137), 30-Сен-19, 14:57 
> Предполагается что

противник обладает всеми возможными техническими средствами.

> поехать память при работе это слишком сложно, да и защититься
> от этого никак нельзя в принципе

В принципе невозможно создать не взламываемый алгоритм шифрования. Однако, на практике их реализуют.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

101. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +2 +/
Сообщение от Аноним (75), 30-Сен-19, 15:20 
> В принципе невозможно создать не взламываемый алгоритм шифрования. Однако, на практике их реализуют.

Кто опять палате №6 интернет подключил?

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

105. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от arisu (ok), 30-Сен-19, 15:23 
>> В принципе невозможно создать не взламываемый алгоритм шифрования. Однако, на практике их реализуют.
> Кто опять палате №6 интернет подключил?

уроки кончились, очередной вундеркинд пришёл рассказывать за крипто.

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

120. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (137), 30-Сен-19, 15:47 
> Кто опять палате №6 интернет подключил?

Резвитесь пока. Может про NP-полные проблемы заодно почитаете.

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

111. "(offtopic) 'не только лишь реализуют'"  –1 +/
Сообщение от Michael Shigorinemail (ok), 30-Сен-19, 15:33 
> В принципе не возможно, создать не взламываемый алгоритм, шиф рования.
> Одна ко, на практике, их реализуют.

Всё же вряд ли это был герой https://www.youtube.com/watch?v=yIIO7gxOAiY :]

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

121. "(offtopic) 'не только лишь реализуют'"  –2 +/
Сообщение от Аноним (137), 30-Сен-19, 15:49 
Это был Шнайер.
Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

226. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (226), 01-Окт-19, 15:30 
Сложение по модулю 2
Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

227. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (137), 01-Окт-19, 15:37 
> Сложение по модулю 2

Надеюсь, с одноразовым блокнотом.

Ответить | Правка | ^ к родителю #226 | Наверх | Cообщить модератору

155. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от анон (?), 30-Сен-19, 17:24 
У AMD для этого SME есть. Если сервер выключился, то даже дампы памяти тебе ничего не выдадут, особенно ключи для дисков.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

12. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +22 +/
Сообщение от Аноним (-), 30-Сен-19, 09:32 
Напоминает старый комикс: "тот, кто не знает пароля root... может получить доступ к истории браузера, кукис, сохраненным паролям, моим файлам, может даже удалить что угодно... НО НЕ МОЖЕТ УСТАНОВИТЬ МОЙ ПРИНТЕР"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +3 +/
Сообщение от Аноним (56), 30-Сен-19, 12:00 
На некоторых принтерах он даже не сможет продолжить печать из софта, если кончится бумага.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

61. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Аноним (10), 30-Сен-19, 12:09 
Вот, нашёл: https://xkcd.com/1200/
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

64. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от iPony129412 (?), 30-Сен-19, 12:26 
Это был анекдот про Линуса, когда его дочка в OpenSUSE не могла без рутового пароля напечатать документ.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

156. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Аноним (151), 30-Сен-19, 17:29 
Я юзер opensuse и подтверждаю, все так. Если принтер умеет прикидываться виртуальным дисководом и эта сомнительная фича не была отключена, система может потребовать ввода рутового пароля.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

209. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от SR_team (?), 01-Окт-19, 08:33 
> виртуальным дисководом

USB-накопителем же. или есть и те, что дисководом представляются?

Ответить | Правка | ^ к родителю #156 | Наверх | Cообщить модератору

13. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –1 +/
Сообщение от fooser (?), 30-Сен-19, 09:39 
короче не видать нам рут-доступа к андроид быдлодевайсам
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +3 +/
Сообщение от Аноним (26), 30-Сен-19, 10:33 
Ага, а до этого вендоры прям никак не могли этого сделать.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

196. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от анонимммнн (?), 01-Окт-19, 00:29 
Ну теперь еще больше невидать
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

15. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +3 +/
Сообщение от Аноним (15), 30-Сен-19, 09:50 
Надо-бы ещё систему автоматических обновлений сделать, которую нельзя будет отключить.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

193. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от artenox (?), 01-Окт-19, 00:16 
"Надо-бы ещё систему автоматических обновлений сделать, которую нельзя будет отключить"
В убунте и дебиане есть что-то подобное, правда отключается.
unattended-upgrades называется.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

210. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от SR_team (?), 01-Окт-19, 08:35 
не парься, вот обновят ядро и нельзя будет отключить
Ответить | Правка | ^ к родителю #193 | Наверх | Cообщить модератору

237. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –1 +/
Сообщение от пох. (?), 02-Окт-19, 11:38 
> "Надо-бы ещё систему автоматических обновлений сделать, которую нельзя будет отключить"
> В убунте и дебиане есть что-то подобное, правда отключается.
> unattended-upgrades называется.

прошлый-то раз один местный хсперт показательно лоханулся, когда его попросили показать, КАК он его будет отключать (не то чтобы уже совсем нельзя, но если включилось - а на "десктопах" включено - нужно некоторое количество ненужного сакрального знания, и, разумеется, не почерпнутого в документации. А кажущийся наиболее очевидным метод - диверсия.)

Ответить | Правка | ^ к родителю #193 | Наверх | Cообщить модератору

240. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от artenox (?), 02-Окт-19, 14:49 
sudo apt-get purge whoopsie apport tumbler unattended-upgrades apt-listchanges apticron
Ответить | Правка | ^ к родителю #237 | Наверх | Cообщить модератору

16. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +15 +/
Сообщение от Аноним (16), 30-Сен-19, 09:59 
Почему этот набор патчей не назван как-то вроде "vendor-lockdown", "tivo-lockdown" или "drm-lockdown"? Прекрасно же понятно, где ограничение СУПЕРпользователя будет использовано.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (-), 30-Сен-19, 10:06 
> ограничение СУПЕРпользователя

у тебя опечатка, чувак.  Правильно: СУПЕРограничение пользователя, во!

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

178. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +2 +/
Сообщение от Аноним (176), 30-Сен-19, 22:54 
Ничего, потом введут учётную запись "Администратор".
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

17. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +6 +/
Сообщение от Аноним (17), 30-Сен-19, 10:03 
>Если злоумышленник в результате атаки добился выполнения кода с правами root, то он может выполнить свой код и на уровне ядра,

поэтому сделали lockdown, но при этом

>важно отметить, что lockdown лишь ограничивает штатные возможности доступа к ядру, но не защищает от модификаций в результате эксплуатации уязвимостей.

?! Подвох? Постеснялись писать "было сложно остановить получение root-доступа, поэтому сделаем так, чтобы root стал не root".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +8 +/
Сообщение от Аноним (-), 30-Сен-19, 10:59 
Да не, просто кто угодно с эксплойтом теперь будет более root, чем root.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

45. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +2 +/
Сообщение от X86 (ok), 30-Сен-19, 11:09 
Теперь из под root удалить попавшую в результате действия эксплойта заразу будет крайне затруднительно)
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

73. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (75), 30-Сен-19, 13:07 
То есть вы ее удаляете прямо из-под заражённой системы, а загрузить с лайва, вытянуть полезные данные и накатить новую систему с нуля — это для слабаков?
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

79. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +2 +/
Сообщение от анонн (ok), 30-Сен-19, 13:29 
> То есть вы ее удаляете прямо из-под заражённой системы, а загрузить с
> лайва, вытянуть полезные данные и накатить новую систему с нуля — это для слабаков?

Нууу, у виндузятников, помню, "чистить на живую" всегда считалось признаком крутости и скиллов - а все, кто указывал на ошибочность такой практики потому-что "хрен знает что там еще понакручено" получали умилительно гордое "не пиши глупостей, ламер! Я проверил в виртуалке и регспайем, там ничего нет!" (кроме стандартной копипастной проверки на пяток самых распространенных виртуалок и заворачивания действия - но для этого же нужно еще и загрузить в дебаггере и знать что искать).

А современные линухоиды сейчас большей частью пошли "хотим как в винде, только нахаляву!" ;)


Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

95. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +2 +/
Сообщение от Anonymoustus (ok), 30-Сен-19, 15:03 
> А современные линухоиды сейчас большей частью пошли "хотим как в винде, только
> нахаляву!" ;)

Да и не только современные. Ещё тогдашние сопливые хипсторы, как их там — Мигель де Проказа и Федерико Измена — затеяли делать ДОС (mc) и Винду (GNOME). ИЧСХ, оба клоуна работали в Шапке. Все совпадения, разумеется, случайны.

Кто не опоздали родиться, ржут над пресловутой свободой в линуксе ещё со второй половины девяностых. :)


ЗЫ

Ах да, я забыл про Mono — тоже ведь их руконог дело.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

112. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от zzz (??), 30-Сен-19, 15:33 
Буквально вчера было модно смеяться с пользователей винды, переустанавливающих винду вместо того, чтобы починить, а сейчас погляди ж ты - оказывается, круто переустанавливать винду вместо того, чтобы чинить. Линуксоиды такие последовательные.
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

115. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  –1 +/
Сообщение от arisu (ok), 30-Сен-19, 15:38 
нет, это просто ты очень глупый и не понимаешь, о чём говорят. но не переживай: время лечит.
Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

134. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от zzz (??), 30-Сен-19, 16:24 
Ну, умник, расскажи, много ты знаешь малварей, которые настолько хитро инжектится в систему, что её не отыскать на загруженной системе и надо лезть дебаггером или выявлять на тестовом стенде.
Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

136. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от arisu (ok), 30-Сен-19, 16:28 
лекции для альтернативно развитых — только за деньги. персонально для тебя — за ОЧЕНЬ большие деньги.
Ответить | Правка | ^ к родителю #134 | Наверх | Cообщить модератору

141. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от zzz (??), 30-Сен-19, 16:46 
Слив засчитан.
Ответить | Правка | ^ к родителю #136 | Наверх | Cообщить модератору

143. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от arisu (ok), 30-Сен-19, 16:53 
> Слив засчитан.

ты ещё и унитаз. не то чтобы я сомневался, конечно…

Ответить | Правка | ^ к родителю #141 | Наверх | Cообщить модератору

119. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от анонн (ok), 30-Сен-19, 15:44 
> Буквально вчера было модно смеяться с пользователей винды, переустанавливающих винду вместо того, чтобы починить,

Где модно и причем тут я? Но да, переустанавливать, особенно винду - "глупая и смешная" (если в терминологии опеннета) трата времени и полностью логичное следствие "я очень ловко сэкономил свое время на бэкапе!".

>  а сейчас погляди ж ты - оказывается, круто переустанавливать винду вместо того, чтобы чинить.

Если виндузятники не различают между "чинить систему" и "чистить систему от малвари", то это исключительно проблемы виндузятников.

> Линуксоиды такие последовательные.

С чего бы мне быть линуксоидом? oO

Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

131. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –1 +/
Сообщение от zzz (??), 30-Сен-19, 16:18 
Малварь малвари рознь. Тебя послушать, так каждая первая малварь переписывает загрузочную запись, инжектится в ядро, модифицирует драйвера и полностью скрывает следы присутствия на запущенной системе.
Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

139. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от анонн (ok), 30-Сен-19, 16:39 
> Малварь малвари рознь. Тебя послушать, так каждая первая малварь переписывает загрузочную запись, инжектится в ядро, модифицирует драйвера и полностью скрывает следы присутствия на запущенной системе.

Мне вот интересно, где ты такое от меня наслушал и чем?

И зачем тебе, умеющему отличать малварь от малвари по звуку работы харда, слушать глупого меня, видевшего не один раз "слоеный пирог" из какого нибудь Зевса, крутого почти полиморфного "криптора" и скрипткиддивского filedropper-хрень-crypt0r, на который и лает антивирь, при этом в упор не замечая  процесс-клон чего-нибудь, с подгруженным туда после распаковки "громовержцем"?

Ответить | Правка | ^ к родителю #131 | Наверх | Cообщить модератору

144. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от zzz (??), 30-Сен-19, 16:57 
Как ты определяешь, что прямо сейчас на твоем компе нет малвари? Нон-стопом мониторишь системные вызовы, грепаешь логи tcpdump'а, анализируешь raw-поток с диска, и всё это из-под гипервизора? Потому что в противном случае ты точно так же отличаешь малварь "на глазок".
Ответить | Правка | ^ к родителю #139 | Наверх | Cообщить модератору

150. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от анонн (ok), 30-Сен-19, 17:17 
> Как ты определяешь, что прямо сейчас на твоем компе нет малвари? Нон-стопом
> мониторишь системные вызовы, грепаешь логи tcpdump'а, анализируешь raw-поток с диска, и всё это из-под гипервизора?
> Потому что в противном случае ты точно так же отличаешь малварь "на глазок".

Посматриваю в logwatch, daily/weekly security run output и все такое.

И ты очень ловко подменил понятия, проведя знак равенства между "лечить малварь" и "быть в любой момент на 100% уверенным в отсутствии малвари".

Объясняю еще раз, кратко и четко: малварь или подозрение на малварь надежно и быстро лечится только чистой переустановкой. С бэкапа, если умный или с 0, если "сэкономивший время". Потому что задетектеный антивирем или "на глаз" "DownloaderX.FileDropperY" мог накачать черт знает что с "lifetime FUD guarantee 10$ only", которое ты, даже будучи неплохим знатоком ядра, дебагера, подсистемы ОС и прочего, будешь разгребать заведомо дольше (причем, будучи знатоком дебагера & Co, как раз будешь сомневаться, не пропустил ли ты что-то особо хитрожопое).

Если есть сохраненная разновидность system integrity check - можно в принципе использовать ее, загрузившись со заведомо чистого носителя, удаляя все "неправильное", но вряд ли тут получится сэкономить время.

А вот все эти высмеивания предпочтения именно такого подхода как единственно более-менее гарантирующего хоть что-то - как раз очень неплохая характеристика и детектор "профисианалов", да.

Ответить | Правка | ^ к родителю #144 | Наверх | Cообщить модератору

172. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от КО (?), 30-Сен-19, 21:32 
>а загрузить с лайва, вытянуть полезные данные

теперь то и будет проблематично.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

20. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –2 +/
Сообщение от Аноним (20), 30-Сен-19, 10:18 
к /dev/mem запретили доступ..

а к содержимому активно-подключённого swap-файла?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –1 +/
Сообщение от Аноним (22), 30-Сен-19, 10:22 
А если я захочу залочить и integrity и confidentiality? Такой вариант возможен?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –1 +/
Сообщение от Аноним (23), 30-Сен-19, 10:25 
Тогда у Вас вообще ничего работать не будет ;)
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +3 +/
Сообщение от Аноним (25), 30-Сен-19, 10:27 
Судя по новости в confidentiality входят все ограничения integrity уже
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

40. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (22), 30-Сен-19, 10:59 
Понятно, спасибо. Надо будет почитать более внимательно оригинал.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

24. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +9 +/
Сообщение от матрас (?), 30-Сен-19, 10:26 
А что, selinux внезапно оказался бессилен?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +4 +/
Сообщение от Аноним (38), 30-Сен-19, 10:32 
В дебиане и убунте эти lockdown патчи уже много лет применяются, про другие дистры не знаю.

От того что теперь, наконец, их приняли в мейнлайн ничего не поменялось по сути

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

81. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (81), 30-Сен-19, 13:44 
Вы об https://packages.debian.org/unstable/main/lockdown или о чём? Ссылку можно?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

140. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (22), 30-Сен-19, 16:42 
Пруфы будут?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +12 +/
Сообщение от Яхз (?), 30-Сен-19, 10:37 
А для внесения изменений в защищённые области будет создан новый пользователь sroot, под которым официально нельзя будет войти в систему. Таким образом они переизобретут существующий с Висты в виндах SYSTEM, мвахахахаха, в смысле мяу :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (38), 30-Сен-19, 10:42 
Для внесения изменений будет проверка цифровой подписи у модулей.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

44. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +2 +/
Сообщение от Аноним (127), 30-Сен-19, 11:07 
Нет, требование TEE. А если нет TEE - то такие пользователи вендорам неинтересны - их теперь не продашь, клиент привиредливый стал, требует, чтобы товар носил ошейник.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

37. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (137), 30-Сен-19, 10:51 
SYSTEM и есть root.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

46. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +3 +/
Сообщение от X86 (ok), 30-Сен-19, 11:12 
а Administrator тогда кто? UAC когда запрашивает повышение привилегий - дает именно права Administrator.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

60. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Аноним (60), 30-Сен-19, 12:05 
Если на виндах включен UAC, то программы по-дефолту запускаются с привилегиями группы Users (от которой унаследована группа Administrators). Чтобы этого не происходило, надо где-то в политиках что-то переключить, но это сложно, про такое знают только вендоодмены с сертификатами.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

92. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (137), 30-Сен-19, 14:51 
> а Administrator тогда кто?

Пользователь.

> UAC когда запрашивает повышение привилегий - дает именно
> права Administrator.

С правами системы работает ядро и services.exe, они вне ACL.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

102. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (75), 30-Сен-19, 15:22 
Спасибо. Приятно послушать настоящего veteran unix admin-а, столько нового узнаёшь)
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

118. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (137), 30-Сен-19, 15:43 
Ну а про отличия Zw* Nt* Ps* вы и сами нагуглите.
Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

103. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от мяя (?), 30-Сен-19, 15:22 
> они вне ACL

Это не полностью справедливо, они в ACL, но ACL могут менять.

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

104. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от мяя (?), 30-Сен-19, 15:23 
Плюс там у служб есть свои какие-то ограничения и то что они работают от SYSTEM не значит что имеют всего его права.
Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

117. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –1 +/
Сообщение от Аноним (137), 30-Сен-19, 15:40 
> Плюс там у служб есть свои какие-то ограничения и то что они
> работают от SYSTEM не значит что имеют всего его права.

Слыжбы, это которые запускаются в svchost.exe?

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

163. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от мяя (?), 30-Сен-19, 18:49 
Да, насколько я помню они не имеют токена рабочего стола, то есть не могут показывать интерактивные окна и взаимодействовать с ними.
Кроме этого часть служб запускается от NT AUTHORITY\LOCAL SERVICE
У винды помимо ACL есть ещё привилегии пользователя и на SYSTEM они тоже распространяются. Есть ещё другие механизмы безопасности которые я уже не помню.
Короче говоря надо windows internal читать, ковыряться в process hacker, subinacl...
Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору

208. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (137), 01-Окт-19, 08:32 
Так я ничего не писал по поводу тредов, запускаемых на выполнение в адресных пространствах процессов svchost.exe штатными средствами. Только services.exe, где по дизайну посторонний код выполняться не должен, но почему-то такое случается.

Прошу заметить, в Винде "сервис" это не только то, что запускается в юзерленде в АП svchost.exe, но и модули ядра. Они имеют возможность запускать потоки, которые выполняются ядре, попросту не вызывая проверки ACL. Могут запускать треды в пространстве пользователя, в том же services.exe.

Напрямую, как в *nix, там нельзя запустить в консоли процесс под пользователем root. Сначала надо почитать то что раньше называлось DDK, в частности про UserMode APC. Потому моё заявление произвело фурор среди здешних админов. :)

Ответить | Правка | ^ к родителю #163 | Наверх | Cообщить модератору

116. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (137), 30-Сен-19, 15:39 
>> они вне ACL
> Это не полностью справедливо, они в ACL, но ACL могут менять.

Треды ядра?)

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

98. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Anonymoustus (ok), 30-Сен-19, 15:15 
> SYSTEM и есть root.

Не всё так просто. В форточках ещё есть TrustedInstaller, который иногда тоже типа за root-а.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

123. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –2 +/
Сообщение от Аноним (137), 30-Сен-19, 15:54 
>> SYSTEM и есть root.
> Не всё так просто. В форточках ещё есть TrustedInstaller, который иногда тоже типа за
> root-а.

Открою тебе секрет. Там в ядре есть треды.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

181. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (176), 30-Сен-19, 23:00 
Нет, он только для msiexec, и системы обновлений. Попробуйте убрать его с c:/windows/temp.
Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

42. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +4 +/
Сообщение от arisu (ok), 30-Сен-19, 11:05 
…но потом окажется, что sroot имеет слишком большие полномочия, поэтому напишут модуль для ограничения этих полномочий, и добавят пользователя megaroot. и так ad infinitum.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

89. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (89), 30-Сен-19, 14:16 
>Таким образом они переизобретут существующий с Висты в виндах SYSTEM

Дык Лёня Поттеринг уже как бы накалякал...
Сразу как только только ему стало скучно заниматься изнасилованиями аудио подсистемы...
Или Вы где-то пропадали последние 10 лет?

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

108. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (75), 30-Сен-19, 15:28 
Поттеринг изобрел пользователя root? Вот это успех!
Ждём, когда он изобретёт TCP/IP, а то без сети хреново жить, голуби медленно летают.
Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

149. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –1 +/
Сообщение от пох. (?), 30-Сен-19, 17:16 
накличешь, блин! тебе networkd и немонтирующихся при старте сетевых шар мало? (мы ж такие быстрые, такие быстрые, ой...файловые юниты уже перебрали, а сеть что-то там закопалась... да плевать на _netdev, устаревшее ненужно для баш-портянок, поехали быстре-быстрее, обгонять противные окаменелые иниты!)

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

159. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (75), 30-Сен-19, 17:35 
Неужели он не висит на монтировании NFS при старте? Да я джвадцать лет ждал эту фичу! Задолбался с autofs костылять. Это уже аргумент, пожалуй, пора с sysV переползать.
Ответить | Правка | ^ к родителю #149 | Наверх | Cообщить модератору

213. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от пох. (?), 01-Окт-19, 08:47 
> Неужели он не висит на монтировании NFS при старте?

нет, он висит еще и на отмонтировании - при шатдауне. Вечно. Там вообще НЕТ таймера.
У меня вместо nfs - dav, который действительно не всегда может отмонтироваться нормально. Если забыл собственную инструкцию - "сперва вручную отмонтируй, потом убей процесс, если не сложилось, потом только перезагружайся" - звиздюхай искать себе консоль.

Лотерею с "то ли смонтирует, то ли плюнет и так запустит (и хорошо еще если запускаемое аварийно завершается, а не начинает писать в пустую точку монтирования)" еще можно обойти, отказавшись от немодной не новостандартной "портянки" в три строки под именем fstab и написав модную-новостандартную-непортянку на два экрана ручного mount-unit, вручную там указав зависимости (от запуска сервиса ДО монтирования не поможет, разумеется), а вот сделать forced umount при разумном таймауте при шатдауне - невозможно вообще никак.

Пожалуй, пора тебе с sysV переползать, сколько всего полезного и интересного проходит мимо тебя!

Ответить | Правка | ^ к родителю #159 | Наверх | Cообщить модератору

34. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –2 +/
Сообщение от Аноним (34), 30-Сен-19, 10:44 
Свершилось давно ожидаемое!Хоть и потайная каморка, но законная,а там и весь дом можно занять уже явно.До взлома ядра линокса осталось немного времени.Будет весело:)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +7 +/
Сообщение от Аноним (47), 30-Сен-19, 11:15 
> Наиболее очевидным следствием подобной активности может стать обход UEFI Secure Boot или извлечение конфиденциальных данных, хранящихся на уровне ядра.

UEFI сделает вашу жизнь лучше говорили они.

напомните мне пожалуйста еще раз о преимуществах UEFI а то я размагнитился

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –2 +/
Сообщение от DerRoteBaron (ok), 30-Сен-19, 11:34 
Установка нескольких ОС мультибутом без расстрела одного загрузчика другим.
Возможность обеспечения цепи загрузки, взломать которую могут только Штеуд и АНБ, а не любой мимо крокодил с локальным доступом.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

58. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (47), 30-Сен-19, 12:03 
> Установка нескольких ОС мультибутом без расстрела одного загрузчика другим.

основные страдания происходят из за винды, а так ничто не мешает установить свой любимый загрузчик на отдельно выделенный раздел и грузить столько ОС сколько нужно
> Возможность обеспечения цепи загрузки, взломать которую могут только Штеуд и АНБ, а не любой мимо крокодил с локальным доступом.

так что получается, `набор патчей "lockdown"` которые Линус принял на грудь это в назидание АНБ ?

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

106. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Аноним (75), 30-Сен-19, 15:24 
> так что получается, `набор патчей "lockdown"` которые Линус принял на грудь это в назидание АНБ ?

Вы точно распарсили предложение, на которое отвечали?
Для АНБ ничего не поменялось, у них бэкдоры в Intel ME/AMD PSP, которые клали на все программные защиты.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

96. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Аноним (-), 30-Сен-19, 15:04 
> Установка нескольких ОС мультибутом без расстрела одного загрузчика другим.

это проблемы конкретных ОС и их инсталлеров (и тех локалхостоадминов, кто эти ОС инсталлирует - тоже).

http://freebsd.org/cgi/man.cgi?apropos=0&query=boot0cfg придумали очень, очень давно, и если устанавливаемая ОС пишет свой загрузчик в СВОЙ раздел, а не в чужие области диска - всё работает автоматически. Иначе - пишите баг-репорты, требуйте. А EFI не нужен от слова совсем.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

183. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –3 +/
Сообщение от Аноним (176), 30-Сен-19, 23:04 
Если на пека есть ефи фат32 раздел, в него будут копировать ефи файлы загрузчика инсталляторы, по крайней мере бубунты так делают. А кто так не умеет в 2019 то дистр. этого васяна и нафиг не нужен. По видимому ваша Фрибзд так не умеет, ну вот собственно никому она и не нужна.
Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

194. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Аноним (194), 01-Окт-19, 00:24 
Вы не поняли.

Во-первых FreeBSD поддерживает как EFI, так и EFIFAT и прочее сопутствующее [censored].

Во-вторых, сам EFI не нужен - аналогичная (по результату) функциональность в контексте этого разговора была доступна за много-много лет до EFI, на машинах с BIOS, при чём с меньшими затратами.

В третьих, по теме новости - аналогичная функциональность была доступна в FreeBSD за много лет до версии LINUX 5.4, и это факты.

Ответить | Правка | ^ к родителю #183 | Наверх | Cообщить модератору

197. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от artenox (?), 01-Окт-19, 00:29 
"Установка нескольких ОС мультибутом без расстрела одного загрузчика другим"
У меня только один загрузчик в убунте. А при установке осей в дуалбут, я установку grub в них отключаю. Но позволяет это только Debian и openSUSE. Еще есть хак - подсунуть под grub ненужную флешку.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

198. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от artenox (?), 01-Окт-19, 00:31 
И тоже не все дистры позволяют выбрать куда ставить grub. Например, Fedora не позволяет.
Ответить | Правка | ^ к родителю #197 | Наверх | Cообщить модератору

199. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Michael Shigorinemail (ok), 01-Окт-19, 00:40 
> А при установке осей в дуалбут, я установку grub в них отключаю.
> Но позволяет это только Debian и openSUSE.

Да ладно, alterator-grub тоже позволяет :-)

Ответить | Правка | ^ к родителю #197 | Наверх | Cообщить модератору

65. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +2 +/
Сообщение от Armagor (ok), 30-Сен-19, 12:35 
А мне, пожалуйста, напомните, от какого вектора атаки защищает Secure Boot?
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

68. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +9 +/
Сообщение от arisu (ok), 30-Сен-19, 12:48 
> А мне, пожалуйста, напомните, от какого вектора атаки защищает Secure Boot?

ну как же: от пользователя, который желает поставить Неправильную ОС.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

72. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от Armagor (ok), 30-Сен-19, 13:01 
Это вывод, который невольно напрашивается сам собой. На вики дебиана пишут:
>SB is a security measure to protect against malware during early system boot

а есть вообще какие-нибудь примеры руткитов, которые так делают?

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

91. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +1 +/
Сообщение от Аноним84701 (ok), 30-Сен-19, 14:27 
> Это вывод, который невольно напрашивается сам собой. На вики дебиана пишут:
>>SB is a security measure to protect against malware during early system boot
>  а есть вообще какие-нибудь примеры руткитов, которые так делают?

Ключевое слово тут "bootkit":
Stoned Bootkit -> Whistler
https://habr.com/ru/post/96850/

Правда, если просто исключить возможность менять очередность бута "всем кому не лень", то тот же самый  эффект "сикурбута" эмулируется и в старом добром BIOS с помощью загрузки с флешки или CD (да хоть перфокарт) и проверки хеша незашифрованного блока загрузчика на диске – но это если бы действительно была такая цель, а не просто "отмазка" ;-)


Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

152. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от Armagor (ok), 30-Сен-19, 17:21 
О, большое спасибо за наводку и ссылку.
Whistler - это самое близкое к оправданию существования секьюрбута, что я видел. Жаль, не известен инфектор буткита.
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

157. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +2 +/
Сообщение от Аноним84701 (ok), 30-Сен-19, 17:32 
> О, большое спасибо за наводку и ссылку.
> Whistler - это самое близкое к оправданию существования секьюрбута, что я видел.
> Жаль, не известен инфектор буткита.

Stoned, хоть и был больше PoC, но ЕМНИП, PoC красивый -  прописывался в MBR c помощью сплойта в PDF :)
Ну и нашумело оно немного в СМИ как "расшифровщик" ТруЪКрипта (хотя по факту перехватывался вводиммый пользователем пароль).
А так подмена загрузчика малварщикам (тогда) особо никуда не уперлось.

Но таки что-то было:
https://www.ghacks.net/2010/09/01/how-to-detect-a-64-bit-alu.../
>  new variant of Alureon that infects the Master Boot Record (MBR) instead of an infected driver.
> While this new variant did not affect 64-bit machines, it had an inert file called ldr64 as part of its virtual file system.
> More recently, we discovered an updated variant that successfully infected 64-bit machines running Windows Vista or
> higher, while rendering 64-bit Windows XP and Server 2003 machines unbootable.

Ответить | Правка | ^ к родителю #152 | Наверх | Cообщить модератору

189. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от Аноним (9), 30-Сен-19, 23:43 
>то тот же самый  эффект "сикурбута" эмулируется и в старом добром BIOS с помощью загрузки с флешки или CD (да хоть перфокарт) и проверки хеша незашифрованного блока загрузчика на диске

Всё гораздо проще. Есть SMM-модуль для биоса, запрещающий запись в загрузочный сектор вообще. Но граб в с ним активированным не обновите.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

88. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от Michael Shigorinemail (ok), 30-Сен-19, 14:15 
> ну как же: от пользователя, который желает поставить Неправильную ОС.

В первую очередь -- именно от этой.  Причём то, как нагорбатили 32-битный UEFI, меня в этом наблюдении только утвердило.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

238. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от microsoft (?), 02-Окт-19, 11:52 
>> ну как же: от пользователя, который желает поставить Неправильную ОС.
> В первую очередь -- именно от этой.  Причём то, как нагорбатили
> 32-битный UEFI, меня в этом наблюдении только утвердило.

а мы тут причем? У нас 32битная система стоит ровно столько же, сколько 64 - $0 если в составе oem сборки компьютера.

Мы на этом ничего не приобрели. А загружать 64битную систему uefi32 - извините, вы тоже не очень-то умеете, те смешные костыли и подпорки у вас и работают-то только при отключенном secboot.

Так что зачем и по чьей просьбе интел такое наколбасил - мы тоже не в курсе. Подозреваем что ни по чьей - просто их разработчики справились с задачей "поддерживать еще и 32битную версию" - ну вот так, как шмагли.
Нас, в принципе, устроило - для китайских планшетов и так сойдет, нам три копейки за наклейку всяко отчисляют. А ваш линoops им как корове седло.


Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

77. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Stax (ok), 30-Сен-19, 13:17 
К примеру, от атаки Evil Maid https://en.wikipedia.org/wiki/Evil_maid_attack
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

80. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от DerRoteBaron (ok), 30-Сен-19, 13:31 
А еще осложняет cold boot (в особенности при запаянной памяти)
Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

90. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Аноним (90), 30-Сен-19, 14:17 
Мне кажется, что угроза cold boot из разряда страшилок, имеющих небольшую практическую угрозу в реальных условиях. Для нее практически надо, чтобы в руки атакующего попал невыключенный компьютер, и даже при этом без гарантий успеха.  Для защиты тут проще сделать задержку с подачей напряжений на память при reset. Впрочем она и так есть, вероятность, что в памяти что-то сохранилось после включения невелика.
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

86. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +3 +/
Сообщение от Аноним (90), 30-Сен-19, 14:09 
Чтобы от этой атаки появилась хотя бы что-то чуть более, чем иллюзия защищенности, надо из UEFI удалить ВСЕ ключи, кроме собственноручно сгенерированных.  Вопрос, многие ли системы позволяют это сделать?

При этом еще надеяться, что у атакующего нет бекдоров для SB и он не сможет, например, просто всю материнскую плату подменить или некоторые микросхемки с uefi перепаять на ней.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

142. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Stax (ok), 30-Сен-19, 16:47 
> Чтобы от этой атаки появилась хотя бы что-то чуть более, чем иллюзия
> защищенности, надо из UEFI удалить ВСЕ ключи, кроме собственноручно сгенерированных.  
> Вопрос, многие ли системы позволяют это сделать?

Погодите, а это почему?
Наличие ключа MS при условии, что приватным ключом MS кого попало не подписывает - не нарушает безопасность.

А своим ключом MS вроде как кого попало и не подписывает. Свои загрузчики, ну и еще некоторые конкретные сборки shim (которые попросили у них подписать) и еще некоторые вполне конкретные *бинарные* загрузчики. Собрать свой загрузчик-зловред и подписать его сборку у MS - хоть возможно в теории, но на практике из разряда фантазий, не настолько же они идиоты, что попало подписывать.

> При этом еще надеяться, что у атакующего нет бекдоров для SB и
> он не сможет, например, просто всю материнскую плату подменить или некоторые
> микросхемки с uefi перепаять на ней.

Строго говоря, правильное взаимодействие ядра и TPM решило бы эту проблему. Но его нет.

Кстати, сама винда тут весьма правильно делает: она проверяет всю цепочку загрузчиков (*всю* цепочку тех, кто ее загружал - т.е. например конкретный UEFI + конкретный bootmgfw.efi, или же цепочку UEFI + shim + grub + bootmgfw). И если что-то серьезное изменилось в настройках UEFI (к примеру, выключили Secure Boot) или загрузили по другой цепочке (например раньше грузили без grub, а теперь его вставили в цепочку) или же изменился конкретный бинарник shim, она тут же навостряет уши и требует ввести длинный ключ Bitlocker, который сообщался при шифровании диска. При этом это не имеет отношения собственно к пассфразе или отпечатку пальца или другому методу аутентификации, который потом будет использоваться для расшифровки. И это работает в т.ч. при выключенном Secure Boot.

Это очень правильная идея, на самом деле, и обидно что линуксу глубоко безразлично, что там происходило до его загрузки - вот какое-то ядро загрузилось, теперь вводи пассфразу от luks и пожалуйста, открыт полный доступ к системе.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

166. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (90), 30-Сен-19, 19:08 
> Наличие ключа MS при условии, что приватным ключом MS кого попало не подписывает - не нарушает безопасность.

Что знают двое - то знает и свинья (c) "17 мгновений весны".

Нет уж, если действительно безопасность, то дайте мне возможность всё (включая винду, если ее использую) подписать своим и только своим ключом, который кроме меня вообще никто не знает.  А кому там MS дает, кому не дает  в таком случае не волнует совершенно.

Ответить | Правка | ^ к родителю #142 | Наверх | Cообщить модератору

182. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Stax (ok), 30-Сен-19, 23:03 
Ну, возможность у вас есть.
Ответить | Правка | ^ к родителю #166 | Наверх | Cообщить модератору

167. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от AlexYeCu_not_logged (?), 30-Сен-19, 19:26 
>Наличие ключа MS при условии, что приватным ключом MS кого попало не подписывает - не нарушает безопасность.

Собственно, это условие и не соблюдается. И, кстати говоря, не может быть соблюдено.

Ответить | Правка | ^ к родителю #142 | Наверх | Cообщить модератору

185. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Анонимный этот (?), 30-Сен-19, 23:22 
> Это очень правильная идея, на самом деле, и обидно что линуксу глубоко
> безразлично, что там происходило до его загрузки - вот какое-то ядро
> загрузилось, теперь вводи пассфразу от luks и пожалуйста, открыт полный доступ
> к системе.

А чем это хуже этого вашего "ключа Bitlocker"? И не полный доступ.

Ответить | Правка | ^ к родителю #142 | Наверх | Cообщить модератору

186. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Stax (ok), 30-Сен-19, 23:25 
Есть разница между короткой пассфразой, выбранной пользователем и вводимой каждую загрузку и длинной специализированной, которая требуется только если произошло что-то подозрительное и изменилась цепочка загрузчика.
Ответить | Правка | ^ к родителю #185 | Наверх | Cообщить модератору

190. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Анонимный этот (?), 30-Сен-19, 23:54 
Что-то эта ваша "длинная специализированная" смахивает на очередное плацебо, потому что не требуется...
Ответить | Правка | ^ к родителю #186 | Наверх | Cообщить модератору

191. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Stax (ok), 30-Сен-19, 23:59 
> Что-то эта ваша "длинная специализированная" смахивает на очередное плацебо, потому что
> не требуется...

В каком смысле не требуется?

Нет, оно будет требоваться даже если вернуть все назад. Обнаружив, что были изменения в цепочке загрузки, с этого момента система будет отказываться грузится (этот ключ требуется на самом раннем этапе), пока он не введен.

Этот же ключ требуется если загружаться в режиме восстановления или пытаться подключить диск к другой системе, и подобное.

Ответить | Правка | ^ к родителю #190 | Наверх | Cообщить модератору

239. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от microsoft (?), 02-Окт-19, 11:56 
> А своим ключом MS вроде как кого попало и не подписывает. Свои
> загрузчики, ну и еще некоторые конкретные сборки shim (которые попросили у

на минуточку - у нас не один ключ!
И ваши шимы мы подписываем _другим_ ключом. Что и позволило огрызку их не загружать. В отличие от б-жественной десяточки.

> них подписать) и еще некоторые вполне конкретные *бинарные* загрузчики. Собрать свой
> загрузчик-зловред и подписать его сборку у MS - хоть возможно в

напоминаем что для подписи даже тем, вторым ключом - надо предоставить нам исходники, и бинарник мы собираем из них - сами, после ручного анализа, что это такое подсунуто.

И да, у нас очень много денег, и мы можем еще себе позволить пару вменяемых специалистов для этой цели.

> Это очень правильная идея, на самом деле, и обидно что линуксу глубоко
> безразлично, что там происходило до его загрузки - вот какое-то ядро

потому что вашего Линуса - мак!

Ответить | Правка | ^ к родителю #142 | Наверх | Cообщить модератору

180. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Анонимный этот (?), 30-Сен-19, 22:56 
> он не сможет, например, просто всю материнскую плату подменить или некоторые
> микросхемки с uefi перепаять на ней.

Ага. Не сможет. В ряде случаев.
В других случаях проще будет изъять так сказать диск. А там своя защита работающая в паре с UEFI... Правда сейчас в том что в широкой так сказать продаже не очень работающая, но...
Короче придётся атаккеру паять свою плату к своему компу... >:-)

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

133. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Armagor (ok), 30-Сен-19, 16:22 
Спасибо за ссылку.
>An evil maid attack is an attack on an unattended device

И чтобы защититься от такой атаки, мы делаем SB с Microsoft в качестве Certification Authority. Что бы могло пойти не так?

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

188. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +2 +/
Сообщение от Аноним84701 (ok), 30-Сен-19, 23:34 
> Спасибо за ссылку.
>>An evil maid attack is an attack on an unattended device
> И чтобы защититься от такой атаки, мы делаем SB с Microsoft в
> качестве Certification Authority. Что бы могло пойти не так?

https://www.opennet.ru/opennews/art.shtml?num=44950
> Утечка мастер-ключа Microsoft скомпрометировала защиту Secure Boot
> 11.08.2016 19:22
> [...] ключ был найден в составе отладочного инструментария, который был забыт на одном из устройств.

[...]
> По сути, все устройства с верифицированной загрузкой Windows скомпрометированы и решить проблему выпуском обычного обновления не получается

[...]
> Устранить проблему просто не получится, так как загрузчик уже поставляется в установочных носителях, а отзыв связанного с ним ключа повлечёт за собой неработоспособность установочных образов, разделов для восстановления и резервных копий.

И правда, что? :)

Ответить | Правка | ^ к родителю #133 | Наверх | Cообщить модератору

192. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Stax (ok), 01-Окт-19, 00:01 
>> Спасибо за ссылку.
>>>An evil maid attack is an attack on an unattended device
>> И чтобы защититься от такой атаки, мы делаем SB с Microsoft в
>> качестве Certification Authority. Что бы могло пойти не так?
> https://www.opennet.ru/opennews/art.shtml?num=44950
>> Утечка мастер-ключа Microsoft скомпрометировала защиту Secure Boot
>> 11.08.2016 19:22
>> [...] ключ был найден в составе отладочного инструментария, который был забыт на одном из устройств.
> [...]
>> По сути, все устройства с верифицированной загрузкой Windows скомпрометированы и решить проблему выпуском обычного обновления не получается

А почитать внимательнее не судьба, да?

> Важно подчеркнуть, что это не PKI-ключ, применяемый для формирования цифровых подписей к исполняемым файлам, а ключ для отключения проверки в загрузчике, не влияющий на надёжность работы прошивок UEFI

Тем, что утекло - свой зловредный загрузчик вы не подпишете.

Ответить | Правка | ^ к родителю #188 | Наверх | Cообщить модератору

195. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним84701 (ok), 01-Окт-19, 00:28 
> А почитать внимательнее не судьба, да?
>> Важно подчеркнуть, что это не PKI-ключ, применяемый для формирования цифровых подписей к исполняемым файлам, а ключ для отключения проверки в загрузчике, не влияющий на надёжность работы прошивок UEFI
> Тем, что утекло - свой зловредный загрузчик вы не подпишете.

Читать внимательно желательно оригинал:
https://gist.github.com/anonymous/c94cadade3a8b87dcdc52c639f...

> The "supplemental" policy does NOT contain a DeviceID. And, because they were meant to be merged into a base policy, they don't contain any BCD rules either,
> which means that if they are loaded, you can enable testsigning. Not just for windows (to load unsigned driver, ie rootkit), but for the {bootmgr} element as well, which allows bootmgr to run what is effectively an unsigned .efi (ie bootkit)!!! (In practise, the .efi file must be signed, but it can be self-signed)   You can see how this is very bad!! A backdoor, which MS put in to secure boot because they decided to not let the user turn it off in certain devices, allows for secure boot to be disabled everywhere!
>  You can see the irony. Also the irony in that MS themselves provided us several
> nice "golden keys" (as the FBI would say ;) for us to use for that purpose :)
>

Ответить | Правка | ^ к родителю #192 | Наверх | Cообщить модератору

48. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –1 +/
Сообщение от eganruemail (?), 30-Сен-19, 11:17 
Если сделают один флаг в menuconfig, который это все разом отключает, то почему нет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +2 +/
Сообщение от Наненим (?), 30-Сен-19, 11:34 
Да они код скоро закроют, флаг,ага
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

62. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от anonymous (??), 30-Сен-19, 12:17 
> Если сделают один флаг в menuconfig, который это все разом отключает, то почему нет?

Потому что ядро будет прошито прямо в UEFI и поменять ты его не сможешь. Точнее не ядро, а его подпись. И те, кто подпись дают, отключать опцию в menuconfig не позволят.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

71. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (71), 30-Сен-19, 12:58 
Зато исходники открыты смотри сколько угодно, а потом уже ешь то что дают.
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

148. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (148), 30-Сен-19, 17:14 
Толку от открытости, если не сможешь свои изменения прошить в систему.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

169. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +2 +/
Сообщение от anonymous (??), 30-Сен-19, 20:00 
Потому GPLv3 лучше чем GPLv2. И именно поэтому линукс никогда не перейдёт на новый GPL.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

49. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (49), 30-Сен-19, 11:24 
В этом есть смысл. Не для этих ваших десктопов, но для серверов и (как ни странно) смартфончиков. Которые настраиваются раз, а потом работают в режиме только накатывания обновлений с / в режиме RO.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –3 +/
Сообщение от Аноним (47), 30-Сен-19, 11:29 
может тогда проще будет переписать на микро ядерную архитектуру где по идее такой ситуации не должно возникнуть в принципе
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

54. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (49), 30-Сен-19, 11:44 
Немного лучше? Да. Но не проще.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

59. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (56), 30-Сен-19, 12:04 
Но ведь с вейландом именно путем переписывания с нуля и пошли. Вы явно недооцениваете масштабы NIH-синдрома в опенсорсе.
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

66. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  –4 +/
Сообщение от arisu (ok), 30-Сен-19, 12:37 
> Но ведь с вейландом именно путем переписывания с нуля и пошли.

получилось, что характерно, полное гуано.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

107. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от Аноним (75), 30-Сен-19, 15:25 
Что бы ни получилось, всяко лучше, чем иксы.
Потому что хуже сделать невозможно...
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

110. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +1 +/
Сообщение от arisu (ok), 30-Сен-19, 15:32 
> Что бы ни получилось, всяко лучше, чем иксы.
> Потому что хуже сделать невозможно...

это не ты там про невозможность создания неломаемого крипто рассказывал? если нет — беги туда, там твой собрат по отсутствию разума, будете чудесной парой.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

126. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от Аноним (75), 30-Сен-19, 16:05 
> это не ты там про невозможность создания неломаемого крипто рассказывал?

Нет, я второй анонимус, который над этим рассказчикам стeбaлся, с чего у вас подгорело. Такие дела.

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

129. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от arisu (ok), 30-Сен-19, 16:09 
>> это не ты там про невозможность создания неломаемого крипто рассказывал?
> Нет, я второй анонимус, который над этим рассказчикам стeбaлся, с чего у
> вас подгорело. Такие дела.

а, тот который не понял ответа. странно, ведь интеллект у тебя такой же, как и у того, над которым ты «стебался» — а подрались. загадочные нюансы поведения полуразумных существ.

Ответить | Правка | ^ к родителю #126 | Наверх | Cообщить модератору

158. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от Аноним (75), 30-Сен-19, 17:33 
Это хорошо, что вы объективно оцениваете интеллектуальный уровень своего круга общения :)
Ответить | Правка | ^ к родителю #129 | Наверх | Cообщить модератору

162. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от Аноним (162), 30-Сен-19, 17:42 
И таким людям кто-то дает root доступ. Я бы таким людям root давал только после обучения и сертификации. Хорошо что новость как раз об этом.
Ответить | Правка | ^ к родителю #158 | Наверх | Cообщить модератору

165. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от Аноним (164), 30-Сен-19, 19:01 
Некоторым лучше не давать чтобы не размножались :-)
Ответить | Правка | ^ к родителю #162 | Наверх | Cообщить модератору

221. "В ядро Linux 5.4 приняты патчи для ограничения доступа..."  +/
Сообщение от Аноним (75), 01-Окт-19, 11:29 
Нынче даже в коровниках серверы появились. А от админа сервера в коровнике много и не требуется. Им может быть даже arisu)
Ответить | Правка | ^ к родителю #165 | Наверх | Cообщить модератору

67. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +2 +/
Сообщение от анонн (ok), 30-Сен-19, 12:42 
> В этом есть смысл. Не для этих ваших десктопов, но для серверов
> и (как ни странно) смартфончиков. Которые настраиваются раз, а потом работают
> в режиме только накатывания обновлений с / в режиме RO.

Конечно есть (у некоторых "замшелых и отсталых" уже лет 20 как есть )) )


Author: rwatson <rwatson@FreeBSD.org>
Date:   Wed Dec 5 18:49:20 2001 +0000
    o Make kern.security.bsd.suser_enabled TUNABLE.
    
    Requested by:   green
$ sysctl -d security.bsd.suser_enabled 
security.bsd.suser_enabled: processes with uid 0 have privilege

в связке с kern.securelevel:

The security
     levels are:
     -1    Permanently insecure mode - always run the system in insecure mode.
           This is the default initial value.
     0     Insecure mode - immutable and append-only flags may be turned off.
           All devices may be read or written subject to their permissions.
     1     Secure mode - the system immutable and system append-only flags may
           not be turned off; disks for mounted file systems, /dev/mem and
           /dev/kmem may not be opened for writing
<snip>
     2     Highly secure mode - same as secure mode, plus disks may not be
           opened for writing (except by mount(2)) whether mounted or not.
<snip>
           In addition, kernel time changes are restricted to less than or
           equal to one second.  Attempts to change the time by more than this
           will log the message “Time adjustment clamped to +1 second”.
     3     Network secure mode - same as highly secure mode, plus IP packet
           filter rules (see ipfw(8), ipfirewall(4) and pfctl(8)) cannot be
           changed and dummynet(4) or pf(4) configuration cannot be adjusted.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

50. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Аноним (47), 30-Сен-19, 11:26 
осталось добавить в систему уровень гада(god) и будет зашибись
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

168. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +2 +/
Сообщение от Аноним (168), 30-Сен-19, 19:59 
Он уже там, intel me, amd psp, на них очевидно предложенная в новости "защита" не распространяется.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

55. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +3 +/
Сообщение от Анонимно (?), 30-Сен-19, 11:53 
и все это выполняется на мельтдаунах и спектре процессорах. Б - безопастность
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

161. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –1 +/
Сообщение от Аноним (162), 30-Сен-19, 17:38 
Представь что теперь без решения вендора никто не сможет использовать ядро с патчем от уязвимости. Представь что мельтдаун есть, а Интел такая решит нефиг вам патчи в ядро сувать мы их не одобряем, никакой уязвимости нет, используйте то что даем или дохлый амд. Это не баг, а фича.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

69. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +15 +/
Сообщение от Аноним (71), 30-Сен-19, 12:53 
Линус посмотрел на Столлмана и решил не выёживаться. Второй отпуск ему уже вряд ли дадут.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

70. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +4 +/
Сообщение от Аноним (70), 30-Сен-19, 12:55 
Подготовка инфраструктуры для drm и прочих зондов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

78. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Ананд (?), 30-Сен-19, 13:26 
Закончится как на Mac OS
https://en.wikipedia.org/wiki/System_Integrity_Protection
Ограничат досту root для разных "важных" каталогов вроде /bin, /sbin
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

85. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от _kp (ok), 30-Сен-19, 14:00 
Linux  1991-2019
Linuk$ 2019..
А там и окончательно "доработают" ядро для запуска window$
С такими патчами кончится тем, что.. Торвальдс внезапно покинул...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

236. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Торвальц (?), 02-Окт-19, 11:30 
да щас, внезапно кинул... Кинешь тут, когда ипотека, дочка-идиотка, каждый потенциальный работодатель вспоминает трансмету. Так и буду до впадения в полный маразм ишачить на редгад.

Скорее уж самого кинут, но им пока незачем - я и так нормально реализую их хотелки. Точнее, комичу неглядя все что не понаприсылают с правильных From:

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

243. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Anonymoustus (ok), 02-Окт-19, 17:40 
> да щас, внезапно кинул... Кинешь тут, когда ипотека, дочка-идиотка, каждый потенциальный
> работодатель вспоминает трансмету. Так и буду до впадения в полный маразм
> ишачить на редгад.

Обидные слова пишешь про Линуса, обидные. Особенно про дочку-идиотку. Но правдивы твои слова, правдивы.

Ответить | Правка | ^ к родителю #236 | Наверх | Cообщить модератору

93. Скрыто модератором  –2 +/
Сообщение от Anonymoustus (ok), 30-Сен-19, 14:52 
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

97. Скрыто модератором  –2 +/
Сообщение от Аноним (137), 30-Сен-19, 15:12 
Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

100. Скрыто модератором  –1 +/
Сообщение от Anonymoustus (ok), 30-Сен-19, 15:19 
Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

122. Скрыто модератором  +/
Сообщение от Аноним (137), 30-Сен-19, 15:51 
Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

128. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –1 +/
Сообщение от Аноним (128), 30-Сен-19, 16:08 
Ссылка на альтернативу: https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecuri...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

173. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  –1 +/
Сообщение от Аноним (173), 30-Сен-19, 21:42 
Ну вот вы себя поставьте на место вендора, у него бигдата на пользователя собирается-обрабатывается-продается, а вы берете и все сносите и блочите, да так что сам google выпиливается, а еще там разные фаерволы adblock в hosts, ну кому это интересно. Правда таких 1/1000000 процентов, поэтому сомнительно все выше перечисленное для этих целей. А если спецОС, то там наверное умеют компилировать, правда там компилятор тоже "пропатчен" особым образом, но на то только узкий круг имеет доступ, наверное. Но помните если до вас вдруг "домагаются" значит Вас "любят", может сзади, а может спереди, по крайней мере в чьих-то фантазиях, может и в собственных. Короче не пускайте жизнь по ветру из-за всякой х..ни, если это не "гостайна", или если вы не "хакер" и не знающий своих Хозяев.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

203. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (203), 01-Окт-19, 02:33 
root может modprobe чего угодно, что все эти ограничения может снять.

// b.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

215. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от SR_team (?), 01-Окт-19, 09:25 
Что-то у меня на телефончике нет никакого modprobe
Ответить | Правка | ^ к родителю #203 | Наверх | Cообщить модератору

223. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (6), 01-Окт-19, 12:21 
> root может modprobe чего угодно, что все эти ограничения может снять.

Левые модули грузить не получится, так как в режиме верифицированной загрузки можно грузить только модули, заверенные той же цифровой подписью, что и само ядро.


Ответить | Правка | ^ к родителю #203 | Наверх | Cообщить модератору

228. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (203), 01-Окт-19, 15:45 
В новости нет ни слова про secure (boot) UEFI.

// b.

Ответить | Правка | ^ к родителю #223 | Наверх | Cообщить модератору

230. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от sage (??), 01-Окт-19, 18:46 
Э… Эти патчи, в основном, только для работы с Secure Boot, и в новости об этом написано.
Ответить | Правка | ^ к родителю #228 | Наверх | Cообщить модератору

214. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (212), 01-Окт-19, 08:48 
Откуда эти люди в комментах взяли вендоров, телефоны и ведро, я не понимаю
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

216. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Аноним (216), 01-Окт-19, 09:38 
Тараканы в голове нашептали.
Ответить | Правка | ^ к родителю #214 | Наверх | Cообщить модератору

219. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +1 +/
Сообщение от Аноним (219), 01-Окт-19, 11:22 
Они там что, с машиной Тьюринга вся жизнь борьба?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

222. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Zenitur (ok), 01-Окт-19, 12:05 
Дайте угадаю - root "порезали", потому что Systemd имеет уязвимость?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

225. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от Аноним (219), 01-Окт-19, 13:18 
Да, угадал! У всего есть уязвимость, это все можно выпилить и выбросить. Но видать кто-то очень не хочет.
Ответить | Правка | ^ к родителю #222 | Наверх | Cообщить модератору

241. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от rihad (ok), 02-Окт-19, 15:25 
Это ядро само выпустило патч для себя? Восстание машин не за горами )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

242. "В ядро Linux 5.4 приняты патчи для ограничения доступа root ..."  +/
Сообщение от соседemail (?), 02-Окт-19, 17:23 
https://www.opennet.ru/docs/RUS/lids/lids1.html - давно все уже придумано, зачем опять велосипед?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру