Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Проект Landrun развивает непривилегированную систему изоляции приложений"	+/–
Сообщение от opennews (??), 23-Мрт-25, 13:28
Проект Landrun начал развитие новой системы для изолированного выполнения отдельных приложений. Для изоляции задействован  LSM-модуль ядра Linux Landlock, позволяющий обойтись без выполнения привилегированных операций во время создания  sandbox-окружения. По своим задачам Landrun близок к утилите Firejail, но отличается более простой реализацией, легковесностью и возможностью работы под обычным непривилегированным пользователем без поставки с флагом suid. Код проекта написан на языке Go и распространяется под лицензией GPLv2... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62934
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 23-Мрт-25, 13:28	+8 +/–
Хорошо с самого начали стали делать на быстром и безопасном языке Go на котором легко писать и поддерживать код.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #23, #37, #71

2. Сообщение от Аноним (1), 23-Мрт-25, 13:33	+1 +/–
Изолированные приложения можно переместить на другой сервер без остановки или поменять версии библиотек. Очень удобно.
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Аноним (3), 23-Мрт-25, 13:40	–2 +/–
На гитхабе есть проект go-is-not-good. Долгое, но любопытное чтиво. Впрочем фанатики и тролли, как всегда, пройдут мимо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #9, #10, #38

4. Сообщение от Аноним (4), 23-Мрт-25, 13:42	–3 +/–
Почему просто либо не запускать не доверенные приложения, либо запускать их под отдельным пользователем или на отдельной системе?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #16

5. Сообщение от Аноним (5), 23-Мрт-25, 13:46	–1 +/–
Я сам тут пишу что-то подобное, но на питоне. Вылезли гигантские проблемы даже без изоляции сторонних приложений, а даже на самоизоляции.
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Werwolf (ok), 23-Мрт-25, 13:46	+/–
systemd-run позволяет делать то же самое но есть из коробки firejail позволяет описать это в конфиге а не в команде чем это будет лучше? P.S.: не тролю, правда интересно..
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #41, #49

7. Сообщение от Аноним (5), 23-Мрт-25, 13:48	+/–
>позволяющие использовать подсистему ядра Landlock для изоляции без suid-бита и повышения привилегий Неэффективно. landlock в данный момент не позволяет ограничивать  сисколлы, это работа сейчас для seccomp-BPF, который, как и всё BPFное, требует привилегий.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

8. Сообщение от Аноним (5), 23-Мрт-25, 13:50	+/–
И да, firejail с самого начала следовало использовать не костыли, а на лету генерировать apparmor-профили. Но apparmor очень хреново документирован, их дока - полнейшая помойка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #50

9. Сообщение от Аноним (9), 23-Мрт-25, 14:01	–4 +/–
> go-is-not-good Надо почитать, я вот тоже склоняюсь к тому что всякие go и rust, не очень хорошее. Должна быть унификация.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #14, #17

10. Сообщение от Аноним (10), 23-Мрт-25, 14:09	+2 +/–
Там последний пост от 18го года(уже 6 лет!) и он не открывается. Всё остальное вообще уже протухшее и не актуальное. Куча однотипных жалоб на "нет дженериков" которые добавили 3 года назад в 1.18. Go отличный язык и экосистема у него богатая. Если интересует язык лучше чем go где реально поправили мешающие вещи(а не этот бредовый перечень), то есть V. Но с экосистемой там пока печально
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #15

11. Сообщение от Werwolf (ok), 23-Мрт-25, 14:12	+3 +/–
1) для работы часто требуется запускать ПО к которому ноль доверия, но без которого работа не работает 2) ты удивишься как многое может выудить в системе софт работая под другим пользователем из того чего ему не стоит знать 3) запускать такой софт в виртуалке или на другом железе конечно можно, но это лишний оверхед, можно и в контейнере, но это то же самое только больше места на диске займёт
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

12. Сообщение от Аноним (12), 23-Мрт-25, 14:20	+6 +/–
Сложный процесс изобретения jail продолжался.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #95

13. Сообщение от Аноним (13), 23-Мрт-25, 14:29	–2 +/–
>Механизм Landlock позволяет непривилегированным программам ограничить использование объектов ядра Linux, таких как иерархии файлов, сетевые сокеты и ioctl ... без suid-бита и повышения привилегий. Т.е., произвольный непривилегированный процесс может управлять доступом к ресурсам ядра других процессов. Бред какой-то!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #21, #22

14. Сообщение от Аноним (14), 23-Мрт-25, 14:33	+9 +/–
Один Язык, чтобы править всеми… осталось только договориться, какой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #19, #40

15. Сообщение от Аноним (15), 23-Мрт-25, 14:36	+/–
Список большой, весь не читал, но то, что написано, в основном не исправили: defer, nil, обработка ошибок, слабая ситема типов, наличие указателей, требование к обязательному использованию символов. Самое главное, что в отличии от дженериков это даже не собираются исправлять
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #47

16. Сообщение от Аноним (15), 23-Мрт-25, 14:40	+/–
>либо не запускать не доверенные приложения, весь код проверить невозможно, особенно проприетарный >либо запускать их под отдельным пользователем попробуй текстовой редактор запустить под отдельнымпользователем, расскажешь про проблмы с правами >или на отдельной системе? Не у всех есть десяток неиспользуемых компьютеров
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #26

17. Сообщение от WE (?), 23-Мрт-25, 14:50	+2 +/–
Как вы докажете, что есть только один истинный Язык? а всё остальное язычество (простите).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #20

18. Сообщение от Аноним (5), 23-Мрт-25, 14:50	+2 +/–
Ты ничего не понимаешь. landlock - это та вещь, которая вообще должна была быть изначально из коробки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

19. Сообщение от Аноним (19), 23-Мрт-25, 15:03	+7 +/–
Си. Чистый Си.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #27, #64, #73

20. Сообщение от Аноним (19), 23-Мрт-25, 15:05	+5 +/–
Чистый Си являет нам истинность и язычество в одном лице.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #119

21. Сообщение от ЛучДонаХуана (?), 23-Мрт-25, 15:12	+/–
не управлять, у делать exec дочерного процесса с привелегиями ниде чем он сам
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

22. Сообщение от дохтурЛол (?), 23-Мрт-25, 15:14	+/–
Не "других", а своего собственного, либо собственных дочерних.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #42

23. Сообщение от Аноним (23), 23-Мрт-25, 15:56	–3 +/–
Ага. Язык со сборкой мусора - лучший выбор для системного программирования.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #31, #35, #60

24. Сообщение от Аноним (23), 23-Мрт-25, 16:00	+4 +/–
Оба требуют передачи привилегий. systemd-run через Polkit, firejail - через setUID bit.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

25. Сообщение от Аноним (23), 23-Мрт-25, 16:04	+/–
Главная проблема всех этих jail-ов: как их встраивать в готовый дистрибутив с готовым пакетным менеджером?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

26. Сообщение от Аноним (4), 23-Мрт-25, 16:10	+/–
Системе, а не машине.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

27. Сообщение от Нуину (?), 23-Мрт-25, 16:13	+/–
Туда мы пойдем семь проездов по памяти, а обратно полетим на расте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

28. Сообщение от Нуину (?), 23-Мрт-25, 16:15	+/–
Конретно firejail от пакетов не зависит, изолирует уже установленный софт через профили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #29

29. Сообщение от Аноним (23), 23-Мрт-25, 16:21	+1 +/–
О чём и речь. Firejail изолирует malware, но никак не изолирует /usr/bin/malware или ./malware.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #30, #46, #59

30. Сообщение от Нуину (?), 23-Мрт-25, 16:24	+/–
Нет же, как раз будет изолирован /usr/bin/malware. ./malware нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #33, #43

31. Сообщение от Аноним (1), 23-Мрт-25, 16:51	+/–
Не нравится отключи. Твой написанный на коленке коллектор для раста в разы хуже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #34

33. Сообщение от Аноним (23), 23-Мрт-25, 17:05	+/–
А вот и нет. Будет изолирован только процесс, вызванный из специально сконфигурированной оболочки командой, требующей поиска пути в PATH. А вот вызов с указанием пути, в т.ч. с абсолютным путём (/usr/bin/*), будет пропущен как есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

34. Сообщение от Аноним (23), 23-Мрт-25, 17:08	+/–
А что, если я на Си/С++/Зиг пишу?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #54

35. Сообщение от OpenEcho (?), 23-Мрт-25, 17:17	+/–
> лучший выбор для системного программирования Для системного програмирования достаточно даже Баша... вообще-то, ну если вы конечно знаете определение "системного програмирования"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #36

36. Сообщение от Аноним (23), 23-Мрт-25, 17:33	–1 +/–
> Для системного програмирования достаточно даже Баша... Напишите это под новостью об очередной уязвимости в GRUB (например). Но речь, ведь, шла не о "достаточности".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #39

37. Сообщение от титомир (?), 23-Мрт-25, 18:08	–1 +/–
опять никому не нужный софт
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

38. Сообщение от OpenEcho (?), 23-Мрт-25, 18:16	+/–
> На гитхабе есть проект go-is-not-good. Пояснение: для тех кто в хайп > Впрочем фанатики и тролли, как всегда, пройдут мимо Да, точно, там достойное сборище троллей-блогеров, которые не втыкают почему есть вилка и почему есть ложка... если не ООП и не обмазка абстракциями, то всё - "отстой", причем с "авторитетами" там "полный порядок", просто кишат "авторитеты"... полное 100% "доверие". Ну и то, что 10 летней давности - ваще не проблема... главное ведь нагадить на вентилятор мнениями "авторитетных" блоггеров, которые будут "определенно поумней гугла" Уж лучше был бы фанатиком и троллем и прошел правда мимо, спасибо конечно, но лопайте сами
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #83

39. Сообщение от OpenEcho (?), 23-Мрт-25, 18:19	+1 +/–
> Напишите это под новостью об очередной уязвимости в GRUB (например). Тролим или не втыкаем ? Какое отношение имеют уязвимости к опеределию "системного програмирования" ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #70, #106

40. Сообщение от Аноним (40), 23-Мрт-25, 18:23	+4 +/–
ada конечно хотя импортозамещение же потому рая
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #53

41. Сообщение от OpenEcho (?), 23-Мрт-25, 18:27	+/–
> systemd-run есть не везде > firejail позволяет описать это в конфиге а не в команде чем это будет лучше? То же самое, - не везде есть, а с LSM единстевенное что нужно - линуксовый кернел и работать будет без рута, учитывая что в Го легко в статику, а значит очень портабельно в пределах платформы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #108

42. Сообщение от Аноним (42), 23-Мрт-25, 18:29	+/–
Т.е. если кто-то другой запустил прогу, а не этот ландрас, то ничего изолироваться не будет?! Это как ворота в пустыне. Спасибо, уж лучше аппармор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #44

43. Сообщение от Аноним (42), 23-Мрт-25, 18:34	+/–
читаем внимательно: > ... работы под обычным непривилегированным пользователем потому ограничения только на дочерние процессы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

44. Сообщение от Аноним (23), 23-Мрт-25, 18:35	+/–
Они все так работают (firejail, bubblewrap/flatpak).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

46. Сообщение от Аноним (46), 23-Мрт-25, 19:15	+/–
>/usr/bin/malware Если вам кто-то от рута поставил malware - то это Game Over, не находите?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

47. Сообщение от _ (??), 23-Мрт-25, 20:00	+1 +/–
Там написан сок мозга от волшебных на всю голову идиотов, уж извините за прямоту :-) Даже generics зря вкрутили. Не, даже так - ну вот вкрутили ... И?!?!?! И нах никому не надо! И так будет по всему тому списку :) Вообще то, кому не нравится - вокруг Ёзыков же на любой вкус, вот и идте ... туда :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #82

48. Сообщение от Анонимм (??), 23-Мрт-25, 20:14	+/–
Отлично! Теперь GIMP и прочие замечательные опенсорс приложения заиграют новыми красками.
Ответить | Правка | Наверх | Cообщить модератору

49. Сообщение от _ (??), 23-Мрт-25, 20:23	+/–
>firejail ... заявили что берут $Subj как один из бакэндов ... Как ты думаешь - почему? ;-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

50. Сообщение от _ (??), 23-Мрт-25, 20:25	+/–
>apparmor А что он хоть кому то нужен? Кому нужно _формальная_ сертификация (с бумагами и штампами, ага) - всё равно на selinux-е ... ;-P :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #67, #89

53. Сообщение от Анонимм (??), 23-Мрт-25, 20:39	+1 +/–
Но чтобы сразу и все, как сказал Главкодер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

54. Сообщение от Аноним (54), 23-Мрт-25, 21:15	+/–
Там коллекторы хорошие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #76

57. Сообщение от Аноним (57), 23-Мрт-25, 21:51	+/–
Просто парад "крепостестроения". Вторая новость за неделю. Читаешь идеи проекта и ловишь себя на мысли, что всё это делает SELinux.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #74

58. Сообщение от Аноним (59), 23-Мрт-25, 21:59	–1 +/–
> Код проекта написан на языке Go Значит продолжим использовать firejail, спасибо что написали :). Экосистема с телеметрией в компилере от гугли - такое себе.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #62, #103

59. Сообщение от Аноним (59), 23-Мрт-25, 22:01	+/–
> О чём и речь. Firejail изолирует malware, но никак не изолирует > /usr/bin/malware или ./malware. Если у меня /usr/bin/malware в системе лежит - изолировать что-то уже поздняк, ибо какой-то м...к получил рут в системе и делает там что хочет :). Как вы от рута изолироваться собрались?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #78, #88

60. Сообщение от Нуину (?), 23-Мрт-25, 23:07	+/–
Тут же задача просто все настроить и запустить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

61. Сообщение от Нуину (?), 23-Мрт-25, 23:16	+1 +/–
Чем это отличается от bubblewrap, который также не требует suid?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #66

62. Сообщение от Нуину (?), 23-Мрт-25, 23:17	+/–
Можно собрать gccgo?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #69

64. Сообщение от Аноним (64), 23-Мрт-25, 23:59	+/–
#include <stdio.h> int main() {   int a = -100;   unsigned int b = 5;   int c = a / b;   printf("Результат деления %d на %d равен %d\n", a, b, c);   return 0; } $ gcc -Wall -Wextra 1.c && ./a.out Результат деления -100 на 5 равен 858993439 классно правда? Впрочем С++ ещё хуже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #65, #75, #85, #87

65. Сообщение от Специальный Агент Секретной Службы (?), 24-Мрт-25, 01:09	+4 +/–
вас не учили что неявное приведение типов плохо? c = a / (int)b;
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #72, #80

66. Сообщение от Аноним (66), 24-Мрт-25, 06:42	+/–
Без suid он требует включения user namespace, что огромный вектор для атак на всю систему с учётом постоянно всплывающих в ядре уязвимостей, которые можно эксплуатировать при включённом user namespace.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #68, #79

67. Сообщение от нах. (?), 24-Мрт-25, 08:47	+/–
А кому была нужна именно защита уровня приложений (а не совершенно бесполезный мандатный доступ) - куды бечь? selinux в targeted - единственное _реалистичное_ применение этой технологии - а)забивание гвоздей кривым микроскопом b) слишком сложен для смертных (поэтому и не используется никем кроме rhbm) apparmor был более здоровым подходом - "ок, мандатный доступ не получился, давайте сделаем хотя бы ограничение доступа приложениям из списка с помощью изначально для этого предназначенного инструмента". Но что-то снова пошло не так... И да, кому-то нужен - от suse до бабуинты. service apparmor stop && service apparmor teardown ихнее всьо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #98

68. Сообщение от нах. (?), 24-Мрт-25, 08:50	+/–
этот требует еще недописанного толком нового модуля ведра. Что, что может тут пойти не так?! (диды вообще-то не по желанию левой пятки сделали jail и его линуксные костылеаналоги работающим только от рута)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #92

69. Сообщение от нах. (?), 24-Мрт-25, 08:52	+/–
можно, разрешаю. (работать правда не будет, но собирать-то никто не против)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

70. Сообщение от 12yoexpert (ok), 24-Мрт-25, 10:16	+/–
какое отношение определение имеет к системному программированию?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #107

71. Сообщение от Анониссимус (?), 24-Мрт-25, 10:37	+/–
А вы хоть сами писали на нём? По-моему, это вообще wo-язык. Пока продерёшься через тонну бойлерплейта, уже забудешь, о чём шла речь несколько страниц назад.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #97

72. Сообщение от Анониссимус (?), 24-Мрт-25, 10:39	+/–
А есть языки, в которых неявное приведение работает очень даже хорошо. Почему бы не пользоваться ими, вместо того чтобы жрать кактус и писать бойлерплейт?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

73. Сообщение от Гром (?), 24-Мрт-25, 10:44	+/–
На чистом Си писать - сумасшествие! С++ лучше, если убрать исключения и добавить строгую типизацию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

74. Сообщение от Анониссимус (?), 24-Мрт-25, 10:46	+/–
Мог бы делать, но почему-то не делает. Почему бы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #102

75. Сообщение от Аноним Анонимович Анонимов (?), 24-Мрт-25, 11:45	+2 +/–
Что приведённым выше примером вы хотите сказать, на ЯП отличимых от Си это нормальный код? Или вы хотите сказать, что данная бредятина является нормой для Си?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #81

76. Сообщение от Аноним (76), 24-Мрт-25, 11:49	+/–
Пожалуй, да, new/delete лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #77

77. Сообщение от Аноним (76), 24-Мрт-25, 11:50	+/–
Для системного программирования.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

78. Сообщение от Аноним (78), 24-Мрт-25, 12:08	+/–
Изоляция нужна только чтобы специально подготовленные данные, полученные от злоумышленника, не имели слишком много возможностей после эксплуатации уязвимости. А вообще, рута ограничивают всевозможные rbac и selinux, обойти их совершенно отдельная ресурсоёмкая задача, посильная только преступнику уровня state.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #91

79. Сообщение от Аноним (78), 24-Мрт-25, 12:10	–1 +/–
Без user namespace ты пятую точку выставляешь в дыру, каждый раз, когда открываешь веббраузер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

80. Сообщение от Аноним (80), 24-Мрт-25, 12:24	+/–
В нормальный языках будет ошибка компиляции. В си будет порождён бинарник с мусором. Уже по этой причине - си однозначно плохой язык.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

81. Сообщение от Аноним (80), 24-Мрт-25, 12:25	+/–
>на ЯП отличимых от Си это нормальный код? В нормальных языках ошибочный код просто не компиллируется
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

82. Сообщение от Аноним (80), 24-Мрт-25, 12:29	+/–
>Даже generics зря вкрутили. Не, даже так - ну вот вкрутили ... И?!?!?! Правильно, вместо добавления generic нужно просто объявить весь код на go deprecated, и переключится на другой язык >Вообще то, кому не нравится - вокруг Ёзыков же на любой вкус, вот и идте ... туда :) Проблема не в том, что в голанге много чего нет. Проблема в том, что язык с технологиями устаревшими ещё в конце восьмидесятых усиленно толкается в массы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #94

83. Сообщение от Аноним (80), 24-Мрт-25, 12:34	+/–
>Да, точно, там достойное сборище троллей-блогеров, которые не втыкают почему есть вилка и почему есть ложка... если не ООП Хорошо, делайте язык без ООП, но с ФП. Хотя-бы на уровне окамла >и не обмазка абстракциями, то всё - "отстой" В этом то и проблема, что абстракций на голанге почти нет. Отказались от исключений, но зато вместо ошибок нетипизированный err. Ни эффектов, ни полиморфных вариантов, ни алгебраических типов данных, ни монад, ни чего-то другого - ничего. Не забывайте писать if err != nil {   return _, err }
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #105

84. Сообщение от Аноним (80), 24-Мрт-25, 14:48	+/–
>По своим задачам Landrun близок к утилите Firejail, Firejail из коробки ограничивает доступ не ко всем ресурсам, что делает побег из песочницы очень простым
Ответить | Правка | Наверх | Cообщить модератору

85. Сообщение от гулигули (?), 24-Мрт-25, 15:02	+/–
Ты не пройдёшь. -Wconversion -Werror
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

86. Сообщение от Аноним (86), 24-Мрт-25, 15:20	+/–
мне сегодня syncthing изолировали. ещё одна местная разработка.
Ответить | Правка | Наверх | Cообщить модератору

87. Сообщение от zionist (ok), 24-Мрт-25, 15:27	+/–
Да, в Go такой код даже не скомпилируется     var a int = -100     var b uint = 5     var c int = a / b Тут уже на третьей строке ошибка компиляции.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

88. Сообщение от Аноним (88), 24-Мрт-25, 16:48	+/–
Рут тут вообще ни при чем. Речь шла о том, что все эти джейлы встраиваются в систему через симлинк с именем программы по пути /usr/local/bin (или ~/.local/bin), добавленного в начало переменной PATH. То есть проскочить мимо песочницы супер тривиально. Достаточно вам (или любому запущенному процессу вместо вас) вызвать, например, веб-браузер по абсолютному пути, и вы даже не заметите, что браузер запущен в обход песочницы. Тоже самое, если запустить его из окружения, в котором переменная PATH настроена иначе. Различные MAC-средства (SELinux, AppArmor, Tomoyo) предотвращают такие казузы, а эти джейлы-запускалки (bubblewrap, firejail и т.п.) - нет. (Flatpak использует bubblewrap, но таскает своё окружение (и собранное под него ПО) с собой.) P.S. Само-собой, что песочницы не предназначены для запуска недоверенного кода. Это никогда не безопасно. Они нужны, чтобы уменьшить риск эксплуатации уязвимостей в доверенном коде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #93

89. Сообщение от Аноним (89), 24-Мрт-25, 17:03	+/–
selinux защищает всю систему. Он нужен исключительно для герметичных образов, где все бинарники ставятся разработчиком образа ОС, напр. гуглом или сисадминами NSA. Пользователь на таких системах 1. программы сам не ставит. 2. использует заведомо оговоренные программы заведомо оговоренным способом. То есть аналитик NSA или CIA на рабочей станции - чтобы инфу налево не смог скопировать. Или пользователь ведроида - чтобы DRM работало лучше (чтобы было труднее обойти без сжигания efuse). Вот предназначение selinux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #90, #99

90. Сообщение от Аноним (89), 24-Мрт-25, 17:06	+/–
Соответственно, сертификации - они как раз с прицелом на то, что сисадмины дали образ - вот, используем его, а данные не сливаем налево не сливаем, и рабочую машину в посторонних целях не юзаем. Собственно, для чего selinux и создавался. На персональных машинах ему не то что бы не место, просто не подходит он для этого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #100, #109

91. Сообщение от Аноним (89), 24-Мрт-25, 17:12	+/–
То то на XDA Developers "преступники уровня state" рутилки делают. selinux обошли так: пропатчили 2nd-stage bootloader, который почему-то оказался доступен на запись ... после чего после перезагрузки патченный bootloader патчит ФС, и восстанавливает себя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #96

92. Сообщение от Аноним (89), 24-Мрт-25, 17:13	+/–
landlock никогда не будет дописан. Он изначально дизайнился как расширяемый.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

93. Сообщение от Аноним (80), 24-Мрт-25, 17:22	+/–
>Различные MAC-средства (SELinux, AppArmor, Tomoyo) предотвращают такие казузы С SELinux понятно, там это через аттрибуты файлов, а как AppArmor и Tomoyo в этом помогут? Тем более, что следующим шагом можно скопировать бинарник, и путь у него поменяется >Достаточно вам (или любому запущенному процессу вместо вас) вызвать, например, веб-браузер по абсолютному пути, и вы даже не заметите, что браузер запущен в обход песочницы При наличии песочницы, это уже работает. Суть в том, что недоверенный код запускается уже внутри песочницы сразу, а доверенный что попало не запускает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #104

94. Сообщение от _ (??), 24-Мрт-25, 17:22	+1 +/–
>Правильно, вместо добавления generic нужно просто объявить весь код на go deprecated, и переключится на другой язык Буду вам премного благодарен! Звиздуйте в раст или куда там нынче модно :) >Проблема не в том, что в голанге много чего нет. Ого! Ты типа НЕ безнадёжен?! :) >Проблема в том, что язык с технологиями устаревшими ещё в конце восьмидесятых усиленно толкается в массы. Скорее же ставь треугольные колёса на свой велик!!! :) Go - просто сказка для программинга во времена "компьютер - это сеть" если кто помнит солнечные девизы :) Ну а если вы родились уже после - поищите :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

95. Сообщение от Аноним (80), 24-Мрт-25, 17:23	+/–
Что, jail в bsd по вашему уже сейчас может предоставить аналогичную функциональность?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #101

96. Сообщение от Аноним (78), 24-Мрт-25, 17:24	+/–
При физическом доступе не оч интересно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

97. Сообщение от _ (??), 24-Мрт-25, 17:25    Скрыто ботом-модератором	+/–
8-о Ты эта ... к доктору сходи ... если гошка нечитаем - у тебя реально проблемы с головой :(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #116

98. Сообщение от _ (??), 24-Мрт-25, 17:53	+/–
>А кому была нужна именно защита уровня приложений (а не совершенно бесполезный мандатный доступ) - куды бечь? Хорошего ответа для линукса у меня нет :( Есть много ответов уровня такси-бЭ - $subj к приеру :) Кста, те кто на фряхе - вы всё ещё jail пользуете? Оно живое ещё? >selinux в targeted - единственное _реалистичное_ применение этой технологии - а)забивание гвоздей кривым микроскопом b) слишком сложен для смертных (поэтому и не используется никем кроме rhbm) А никто и не делает формальную (прям с бумажкой!) сертификацию на EAL/FIPS на чём то другом кроме RHEL-a :) Ну ОК - лично я уж лет 15 такого не видел, может и не прав. >apparmor был более здоровым подходом ... >Но что-то снова пошло не так... Аудит с ним пройти - это ... Тут и с полностью сертифицированным инструментарием взпотеешь :( >И да, кому-то нужен - от suse до бабуинты. >service apparmor stop && service apparmor teardown ихнее всьо Возможно. Я ж говорю: мне лично не встречался, когда попробовали сами прикинуть (пытались денег сЪЫкономить) как то совсем оно ... не то чтоли... PS: Дошло. Я всё что выше говорил - говорил про сервера! Я _про_сервера_! Как оно на десктопе в промышленных масштабах - я не в курсе, у нас там винда \ яббл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #121

99. Сообщение от _ (??), 24-Мрт-25, 18:03	+/–
>Он нужен исключительно для герметичных образов, где все бинарники ставятся разработчиком образа ОС, напр. гуглом или сисадминами NSA. Ну то есть как это реально работает в любой финансовой, биржевой, медицинской или говернметской среде - ты ни разу не видел? Но мнение имеешь? :) Предсказуемо важное мнение для тех кто на этом работает :-D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

100. Сообщение от _ (??), 24-Мрт-25, 18:04	+/–
>Собственно, для чего selinux и создавался. >На персональных машинах ему не то что бы не место, просто не подходит он для этого. Возможно и так, но вот ваша Fedora - почему то считает наеборот :) чЁтаГто?!? (С)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

101. Сообщение от _ (??), 24-Мрт-25, 18:08	+/–
Он >80% от всего что надо ещё в нулевые умел, аЧпеТа!(С) :) Потом я спрыгнул, но всё-же в курсе что прикрутили к примеру сеть ... чего он нынче "не умеет" - я не в курсе, алЁ фряшники! - нуна чутка разЪяснений! Есть тут кто?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #120

102. Сообщение от _ (??), 24-Мрт-25, 18:12	+/–
Как не делает? Ты его в новых rhel вообще выключи попробуй! ;-) PS: Я - могу. Но не буду. Порешили порешить(С)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #117

103. Сообщение от _ (??), 24-Мрт-25, 18:16	+1 +/–
>> Код проекта написан на языке Go > Значит продолжим использовать firejail, спасибо что написали :). Но это не надолго снежинка :) Текст новости надо _читать_ ВНЕЗАПНО! :-))) А там: "... в кодовую базу Firejail уже приняты изменения, позволяющие использовать подсистему ядра Landlock для изоляции без suid-бита..."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

104. Сообщение от Аноним (106), 24-Мрт-25, 18:25	+/–
> С SELinux понятно, там это через аттрибуты файлов, а как AppArmor и Tomoyo в этом помогут? Тем более, что следующим шагом можно скопировать бинарник, и путь у него поменяется 1) Помогает блокировка альтернативных, обычно разрешенных на запись пользователю, мест запуска. Например, через mount.FS noexec или отдельным AA-профилем для /{home,tmp}/**. 2) Но можно и через атрибуты файлов. См. man 7 apparmor_xattrs. > При наличии песочницы, это уже работает. Наличия недостаточно. Нужно правильно встроить. Я уже объяснял, почему. "Перехват" вызова "голой" программы через переменную PATH - это несерьезно. > Суть в том, что недоверенный код запускается уже внутри песочницы сразу, а доверенный что попало не запускает Доверенный код, запущенный в песочнице, может косвенно вызвать другую (в т.ч. недоверенную) программу через доверенный механизм (например, DBus+Portal). И другой родительский процесс (системный менеджер), запущенный от рута, мимо нашей песочницы, породит, что попросят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

105. Сообщение от OpenEcho (?), 24-Мрт-25, 18:33	+/–
> Ни эффектов, ни полиморфных вариантов, ни алгебраических типов данных, ни монад, ни чего-то другого - ничего. Это то, о чем я говорил, - есть ложка, а есть вилка и у каждого свое предназначение. Смысл всех этих абстракций вы перечислили, по большому счету нужен только в интерпрайзах, и если внимательно покопать, то всё это сделанно исключительно чтоб Маша не сделала глобальную переменную "Cool", которую Вася тоже умудрился придумать в совместном проекте. Го же специализируется не на интерпрайзном уровне как Жаба, Шарп... а как инстурмент "стрельнул и забыл", в контейнерах, лямбдах, там где "do one thing but do it best". Смысл языка - простота и легкость и гибкость
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

106. Сообщение от Аноним (106), 24-Мрт-25, 18:36	+/–
Уязвимости имеют отношение к достаточности. А к системному программированию имеет отношение GRUB, написанный, в т.ч., на sh.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

107. Сообщение от OpenEcho (?), 24-Мрт-25, 18:37	+/–
> какое отношение определение имеет к системному программированию? Какое отношение тролли имеют вообще к програмированнию ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #112

108. Сообщение от Аноним (108), 24-Мрт-25, 18:54	+/–
>> systemd-run >есть не везде То есть сабж — исключительно для локалхостов на девуанах? Ок, действительно им такое нужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #114

109. Сообщение от Аноним (108), 24-Мрт-25, 19:03	+/–
> На персональных машинах ему не то что бы не место, просто не подходит он для этого. Да как раз наоборот, именно на локалхостах он больше всего и нужен! С рабочей машины я максимум на Stack Overflow хожу, и в прод через VPN с 2FA и все джамп-хосты ещё попробуй залезь. А вот со своего локалхоста я что только ни открываю. Украдут через дырку в браузере логины-пароли от банкинга и будет головняка на месяц деньги вернуть, если не на три. Вот это реальный риск.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

112. Сообщение от 12yoexpert (ok), 24-Мрт-25, 20:25	+/–
никакого, за это их и выперли из мейнтейнеров ядра, а какое это имеет отношение к теме?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #113

113. Сообщение от OpenEcho (?), 24-Мрт-25, 22:44	+/–
> никакого, за это их и выперли из мейнтейнеров ядра, а какое это > имеет отношение к теме? while true {   https://www.opennet.me/openforum/vsluhforumID3/136379.html#35 }
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

114. Сообщение от OpenEcho (?), 24-Мрт-25, 22:45	+/–
>>> systemd-run >>есть не везде > То есть сабж — исключительно для локалхостов на девуанах? Ок, действительно им такое нужно. - Alpine Linux? - "Не, не слышал..."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #115

115. Сообщение от Аноним (108), 25-Мрт-25, 01:38	+/–
> Продакшен > musl Что ещё интересного расскажете?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114 Ответы: #118

116. Сообщение от Анониссимус (?), 25-Мрт-25, 02:31	+/–
Если го -- читаемый, то эталоном читаемости надо назначить брейнфайк: 8 символов и ничего лишнего. Красота!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

117. Сообщение от Анониссимус (?), 25-Мрт-25, 02:33	+/–
> Как не делает? Ты его в новых rhel вообще выключи попробуй! ;-) Красношапки не касался. Если там это работает -- молодцы, что сказать. Но мне интереснее -- не десктопного использования. Например, интернет отрубить подозрительному приложеньицу. Для этого до сих пор не придумано ничего подходящего, работающего из коробки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

118. Сообщение от OpenEcho (?), 25-Мрт-25, 08:12	+/–
А смысл? Безполезно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

119. Сообщение от Аноним (119), 25-Мрт-25, 15:55	+/–
Ибо нет языка больше кроме Си!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

120. Сообщение от Аноним (-), 25-Мрт-25, 19:23	+/–
Есть, а тебе что надо-то конкретно? А маны почитать с минуту - вообще никак, да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

121. Сообщение от Аноним (-), 25-Мрт-25, 19:30	+/–
>те кто на фряхе - вы всё ещё jail пользуете? Оно живое ещё? Пользуем, а что ему сделается? Хотя, общая тенденция именно у фри не радует давно уже... Однако есть и другие BSD, и солярки, если линуксоидизация (привет KMS) вообще прижмёт...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема