1.1, G.NercY.uR (?), 11:12, 29/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –7 +/– |
Как обычно, новые костыли привнесут неожиданные проблемы и такие же неожиданные ошибки приводящие к проблемам с безопасностью.
| |
|
|
3.29, Crazy Alex (ok), 13:31, 29/07/2013 [^] [^^] [^^^] [ответить]
| –3 +/– |
Именно так. В комплекте с использованием только открытого софта всё вполне приятно получается.
IMHO цианоген не в ту сторону пошел. Им бы пропагандировать открытый софт, отказ от гугловских сервисов и тому подобное, а не пытаться как можно лучше ограничить заведомую проприетарную гадость...
| |
|
|
|
6.110, Аноним (-), 22:41, 29/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Людей с ленивыми мозгами всегда раздражают любые нововведения и улучшения.
Если Андроид настолько плох, что его не стоит даже пытаться улучшить, проще не пользоваться самим Андроидом, чем не пытаться его улучшать.
Но некоторые упорно продолжают пользоваться и изучать при всем богатстве выбора именно то, что по их мнению улучшить невозможно.
| |
|
|
4.39, Fyjybv (?), 14:15, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
К несчастью, в открытость исходного кода не является гарантией безопасности. Да, бэкдоры, заботливо оставленные любимым проприетарщиком там отсутствуют, но все остальные критические уязвимости также возможны.
| |
|
5.42, Crazy Alex (ok), 14:42, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Не без того, но опасность становится достаточно незначимой, чтобы не окупать мороку напианием и использованием очередного UAC. Ну слабо я представляю использование бэкдоров в файрволле в таком сценарии.
Как ни крути, сейчас на андроиде основная опасность - не баги, а более или менее злонамеренный софт. А чтобы именно через дыры трояны/вирусы свои дела делали - и не припомню.
| |
5.53, Аноним (-), 15:22, 29/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> заботливо оставленные любимым проприетарщиком там отсутствуют, но все остальные
> критические уязвимости также возможны.
И что характерно, любой уважающий себя сплойт экскалации прав первым делом срубает SELinux чтобы под ногами не мешался :). По поводу чего он создает много головняка с написанием правил, но эффект от него не то чтобы особо заметный.
| |
|
6.65, Аноним (-), 15:54, 29/07/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
>первым делом срубает SELinux чтобы под ногами не мешался
Есть бородатая шутка, что хавту в федорке всегда начинаются с "1. Отключите SELinux".:)
| |
|
|
4.41, egress (ok), 14:41, 29/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Лично вы, анализируете абсолютно все исходные коды программ, которые используете?
| |
|
5.82, Crazy Alex (ok), 17:13, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
На то и опенсорс, чтобы каждому все подряд не смотреть. Кое-что гляжу, конечно. Остальное посмотрят другие. Но в любом случае что-то я не припомню опенсорс-софта, который бы пытался сливать мою адресную книгу без спроса, посылать SMS/звонить на короткие номера и тому подобное. Теоретически такое возможно, конечно - но вот в жизни не бывает.
Сама концепция "наставить мусора и потом от него защищаться" ущербна.
В принципе, идеи цианогеновцев не так плохи (хотя, как мне кажется, не стоят мороки) - если будет простой способ дать продвинутому пользователю работать так, как ему удобно - включая использование скриптов и софта с нормальных компьютеров, которые про андроидскую специфику ничего не знают и не должны.
| |
|
|
|
2.102, Sabakwaka (ok), 18:58, 29/07/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> костыли привнесут...
КОСТЫЛЁМ, в данном конкретном случае является, как раз, предоставление доступа руту вместо наделения адекватными полномочиями нужных процессов.
Рут в Андроиде — это явная ошибка проектирования системы.
| |
|
3.114, Аноним (-), 23:36, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>Рут в Андроиде — это явная ошибка проектирования системы.
Рут в GNU/Linux — это явная ошибка проектирования системы. Чо уж мелочиться-то.
| |
|
4.115, Sabakwaka (ok), 00:22, 30/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Рут в GNU/Linux мильён лет уж, как ОТСУТСТВУЕТ как оператор, кагбе.
Через строчку «рут нема давай!» в конфиге SSH.
Кагбе, sudo. Это раз.
И ДВА: из недоступного тебе напрочь контекста новости явствует, что речь идет о том, чтобы рут НЕ ПОЛУЧАЛ ДОСТУПА к персональным данным пользователя, например.
Как это заведено в приличных системах: создать юзера и наделить полномочиями админ может, а почитать его мыло — как бы шиш. Даже из под рута.
Рут с неограниченными полномочиями — это самая роскошная дыра изо всех, что можно вообразить.
| |
|
5.117, ананим (?), 00:58, 30/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>Как это заведено в приличных системах: создать юзера и наделить полномочиями админ может, а почитать его мыло — как бы шиш. Даже из под рута.
Да-да, в приличных системах рут не может. Только пользователь и АНБ. :D
| |
|
6.118, Sabakwaka (ok), 01:20, 30/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Да-да, в приличных системах рут не может. Только пользователь и АНБ. :D
Речь идет об обуздании зловредного софта, которого в Андроиде уже более, чем достаточно.
Но вашему пониманию, повторюсь, это недоступно.
| |
|
7.120, ананим (?), 01:41, 30/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
1. Вы не тому «повторяетесь» (по крайней мере я лично с вами не общался).
2. Зловредного софта хватает и в "приличных", проприетарных системах.
3. Утверждать, что админ не может читать почту (когда чуть ли не в каждой конторе вся почта дублируется безопасникам), как минимум наивно. А в случае с проприетарью, как вдруг(!!!) оказалось, ещё и безопасникам из АНБ. Даже если шифруется и тд, знающий админ всегда может пнуть скрипты обработки и переложить/переслать. Другое дело зачем ему на опу приключений.
| |
|
|
|
|
|
|
1.4, Василий (??), 11:18, 29/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Поправьте если не так, но избавление от root это разве не механизм sudo? Стив предлагает "sudo" в Android?
| |
|
2.7, koblin (ok), 11:26, 29/07/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
Нет, sudo это тот же root и полные права. Тут предлагают разграничивать доступ с помощью SELinux, т.е. разрешать приложениям только то, что им действительно необходимо..
| |
|
3.10, Антон (??), 11:40, 29/07/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
sudo позволяет довольно детально настраивать права. Никто не заставляет вас писать
root ALL = (ALL) ALL
| |
|
4.11, bircoph (ok), 11:55, 29/07/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
> sudo позволяет довольно детально настраивать права. Никто не заставляет вас писать
> root ALL = (ALL) ALL
sudo не позволяет управлять capabilities, а даёт всё сразу для заданного пользователя и приложения. Впрочем, я не понимаю, зачем использовать SELinux, если для описанных в статье целей достаточно capabilities.
| |
4.13, rshadow (ok), 11:55, 29/07/2013 [^] [^^] [^^^] [ответить]
| +21 +/– |
Речь идет о контроле программ, чем SELinux и занимается. Доступ программы к файлам, сокетам и т.д.
А судо это доступ для пользователя. Это совсем разные вещи. Запустив программу от судо вы ее уже никак не контролируете, если конечно нет механизма вроде SELinux.
Вот собственно и предлагается от контроля пользователя (вы и так знаете какую программу поставили и явно хотите ее запустить, не зная что у нее там внутри) перейти к полному контролю программ.
Ситуация кстати похожа на текущие доступы программ и планы цианогена. Сейчас устанавливая прогу тебе показывается что она может ходить в нет, читать контакты ... и все что ты можешь это либо согласиться, либо не устанавливать. Большинство просто забили и не читают уже эти разрешения. Но вот цианоген обьявили что хотят дать пользователю контроль за разрешениями чтоб ты мог сам отобрать какие то права у программы, и это было бы очень круто.
| |
|
5.22, ананим (?), 12:54, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Тем более что sudo в android не имеет смысла, т.к. каждое приложение в android запускается под отдельным пользователем, т.е. под отдельным uid — Android assigns each application a UID (User ID) at install time
| |
|
6.30, Lain_13 (ok), 13:52, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Ну как-раз смысл-то имеет, позволяя запускать этому пользователю код с правами другого пользователя (обычно рута). Но когда есть SELinux можно отдельные операции отвязать от рута и просто предоставлять конкретным приложениям доступ к этим функциям независимо от прав пользователя, от имени которого приложение запущено без делегирования ему полномочий другого пользователя.
| |
|
7.38, ананим (?), 14:12, 29/07/2013 [^] [^^] [^^^] [ответить] | +1 +/– | Вдумайтесь, Android assigns each application a UID User ID at install timе ... большой текст свёрнут, показать | |
|
8.50, Аноним (-), 15:19, 29/07/2013 [^] [^^] [^^^] [ответить] | +/– | SELinux позволяет эти действия прекратить Правильно, нафига АНБ сдался твой рез... текст свёрнут, показать | |
|
|
|
5.33, Mihail Zenkov (ok), 13:56, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Что-то мне подсказывает, что программы которым ограничили доступ будут либо заваливать пользователя кучей сообщений об ошибках либо вообще падать. И в итоге пользователи не будут ограничивать права.
| |
|
6.68, Аноним (-), 16:00, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Не факт. Можно сделать как в PDroid - вместо реальных полномочий предоставлять заглушки
| |
|
7.132, Алексей Морозов (ok), 07:10, 30/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Тогда это будет уже не SELinux.
Вообще, идея неплохая. Понятно, что будет некоторый переходный период, в течение которого неаккуратно написанные программы будут получать по мордасам на ровном месте. А дальше всё зависит от соотношения общего числа пользователей, перешедших на "безопасный режим", к общему числу пользователей и от динамики изменения этого соотношения.
Если инициативу удастся "стандартизовать" (в рамках андроидовой экосистемы в целом, а не только CGM), то производители софта никуда не денутся, будут вынуждены писать софт аккуратнее. А если оно окажется развлекушкой для гиков, то тогда никто особенно чесаться не будет - проблемы индейцев шерифа не...
| |
|
|
5.36, Аноним (-), 14:09, 29/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Но вот цианоген обьявили что хотят дать пользователю контроль за разрешениями чтоб ты мог сам отобрать какие то права у программы, и это было бы очень круто.
В седьмом cyanogen уже было управление правами приложений, они его убрали по требованию google так как это позволяло например отключить показ рекламы в приложении.
| |
|
6.51, Аноним (-), 15:20, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>это позволяло например отключить показ рекламы в приложении.
Еретики!:)
| |
6.54, Аноним (-), 15:23, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> В седьмом cyanogen уже было управление правами приложений, они его убрали по
> требованию google так как это позволяло например отключить показ рекламы в приложении.
Отлично, то-есть, они свою поделку делают для гугля, а не для пользователей? Ну и чем это лучше стокового ведроида, если заподляны те же самые?
| |
|
7.58, Аноним (-), 15:36, 29/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
>а не для пользователей?
А ты им хто такой? Ты им хоть бакс задонатил, чтобы они хоть вообще имели представление о твоем существовании?
>если заподляны те же самые?
Заподляны те же самые, но не те же самые. Твой кэп.
| |
|
|
|
4.93, Khariton (?), 18:24, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> sudo позволяет довольно детально настраивать права. Никто не заставляет вас писать
> root ALL = (ALL) ALL
Вы можете в судо написать правила для всех написанных и ненаписанных программ да еще и с абсолютными путями? вы представляете размер файла sudoers?
SeLinux - это хорошо, но он позволяет только описывать доступ к прописанным политикам внутри ядра. А если мне надо будет что-то что там не прописано?
В общем ЦМ сделал годный вброс. Бурление будет дай боже...
| |
|
|
2.9, Hellraiser (??), 11:36, 29/07/2013 [^] [^^] [^^^] [ответить]
| –7 +/– |
Нет, это ни разу не sudo. Написано же - "специальный API". Чувак явно хочет переплюнуть в экстравагантности поттеринга с его systemd.
| |
2.12, Аноним (-), 11:55, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>Поправьте если не так, но избавление от root это разве не механизм sudo?
Нет, это polkit.
| |
2.20, mma (?), 12:43, 29/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
>механизм sudo
Нет такого механизма.
sudo is a program for Unix-like computer operating systems that allows users to run programs with the security privileges of another user
| |
2.26, Конь (?), 13:14, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Имеется ввиду специальной API, чтобы и в маркете было сразу видно, какие "супер" разрешения нужны программам и т.д. Sudo то есть, и как раз через него работают всякие менеджеры рут прав.
| |
2.109, FrBrGeorge (ok), 22:41, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> избавление от root это разве не механизм sudo?
Читаю man: "sudo allows a permitted user to execute a command as the superuser or another user". За вычетом "anoter user" (то есть запуска программ с правами другого пользователя, что в самом деле позволяет не запускать программы с правами root), sudo -- не просто не "избавление от root", а наоборот, расширение возможности использовать процессы с правами root (за счёт фильтрации того, кто, как и когда их может запускать).
Все примеры Кондика действительно можно реализовать без рута, чуть ли не одними только capabilities.
| |
2.124, ADR (ok), 02:37, 30/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
SUDO=SuperUserDo (исполнить от имени супер пользователя)
| |
|
3.147, aborodin (??), 11:08, 31/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> SUDO=SuperUserDo (исполнить от имени супер пользователя)
su -- это "switch user", а не "super user", как некоторые думают.
| |
|
4.150, ADR (ok), 17:36, 31/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> SUDO=SuperUserDo (исполнить от имени супер пользователя)
> su -- это "switch user", а не "super user", как некоторые думают.
действительно...
| |
|
|
|
1.5, Нанобот (ok), 11:24, 29/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –9 +/– |
без рут-доступа шк0л0та не сможет прокачивать собственное ЧСВ мыслями типа "я - СУПЕРпользователь", потому не оценят
| |
|
2.8, Аноним (-), 11:29, 29/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Почему не сможет? Сможет. Достаточно просто создать СУПЕРприложение, которому разрешён доступ ко всему.
| |
2.94, Khariton (?), 18:26, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> без рут-доступа шк0л0та не сможет прокачивать собственное ЧСВ мыслями типа "я -
> СУПЕРпользователь", потому не оценят
Так будет еще круче! Я - Секюре Линукс Админ чуть ли не сертифицированный NSA...
| |
|
|
2.15, ананим (?), 12:03, 29/07/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
лишь бы бзднуть.
зыж
>Capsicum?
man capabilities, SELinux, grsecurity RBAC, PaX, SSP, PIE,… , chroot, lxc,…
сабж же хочет НЕ просто фрэймворк (чем и является Capsicum, а также всё выше перечисленное как по-отдельности, так и в составе к примеру hardened), а API, чтобы жаба(и не только)-кодеры могли создать видимость легального запроса полномочий у пользователя в стиле андроид.
Типа «мне нужны ваши персональные данные, место-положение, выход в интернет, 3Г и возможность изменения системных данных», но теперь в вафельном стаканчике (selinux).
«И да! Мы теперь возьмём у вас только это, а не как с рутом, т.е. всё.»
| |
|
3.21, ананим (?), 12:48, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
ззыж
и не забываем, что каждое приложение в android запускается под отдельным пользователем, т.е. под отдельным uid.
Который в своюб очередь — Android assigns each application a UID (User ID) at install time;
| |
3.134, Тётя Соня (?), 10:16, 30/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ага, сначала
> «мне нужны ваши персональные данные, место-положение, выход в интернет, 3Г и возможность изменения системных данных»
а потом глядишь и
> - Мне нужна твоя одежда ботинки и мотоцикл. ©
...шютка юмора.
| |
|
|
1.16, vbv (ok), 12:26, 29/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Пусть поставит MS и нет рута. Все сразу стало хорошо.
Можно подумать, что это единственная проблема Android.
| |
|
2.18, ананим (?), 12:32, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
А логин "Администратор" в винде уже забанили?
Или забанили через зонд в той части мозга, что отвечает за логику?
зыж
Хинт!
меняем в /etc/passwd (первую строчку):
root:x:0:0:root:/root:/bin/bash
на
Administrator:x:0:0:Administrator:/users/Administrator:/bin/bash
и проблема решана! Рута в системе нет! Ура! Винда рулит! :D
| |
|
3.34, Mihail Zenkov (ok), 14:02, 29/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А логин "Администратор" в винде уже забанили?
> Или забанили через зонд в той части мозга, что отвечает за логику?
"Администратор" в винде очень далек от root, ближе к пользователю с дополнительными правами.
зыж
Хинт!
Попробуй удалить c:\windows\system* в работающей системе.
| |
|
4.43, ананим (?), 14:42, 29/07/2013 [^] [^^] [^^^] [ответить] | +5 +/– | Это не хинт, это глюк работы из-за устаревшего подхода к управлению виртуальной ... большой текст свёрнут, показать | |
|
5.56, Аноним (-), 15:31, 29/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
>Что практически ставит крест на винде, как серверной платформе, т.к. выкрики «всем >покинуть 1ц! я буду обновлять» — это нонсенс и воспринимать серьёзно его могут только >эникейные админы.
Убунтуйные кульхаксоры обновляют сервера во время, когда юзвери работают? Круто, чо.
| |
|
6.61, ананим (?), 15:45, 29/07/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
>>Что практически ставит крест на винде, как серверной платформе, т.к. выкрики «всем покинуть 1ц! я буду обновлять» — это нонсенс и воспринимать серьёзно его могут только эникейные админы.
>Убунтуйные кульхаксоры обновляют сервера во время, когда юзвери работают? Круто, чо.
Да-да, недостаток знаний и своё невежество вы выразили в одном слове — Убунтуйные.
Я знаю что и когда я делаю, деточка. Вот уже 20 лет как знаю.
Если юзер-спейс ПО требует для своего обновления (не апгрэйда) выгнать всех пользователей, то это ПО писали руко-жoпые идиoты.
| |
|
7.63, Аноним (-), 15:51, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Да не, я ж не против, я ж только за. Я за то, чтобы мне чаще звонили вечером и ночью и сльозно умоляли поднять порушенную очередным школохаксором базу, при этом соглашаясь на названную мной весьма нескромную цену.
| |
|
|
9.70, Аноним (-), 16:13, 29/07/2013 [^] [^^] [^^^] [ответить] | +/– | Дык а я что поделаю, ежели сейчас в эникеи идет поколение next , которое вчера ... большой текст свёрнут, показать | |
|
10.71, ананим (?), 16:24, 29/07/2013 [^] [^^] [^^^] [ответить] | +/– | Что-то мне подсказывает, что 171 Убунтуйные 187 взялись у вас не из этих пре... большой текст свёрнут, показать | |
|
|
12.84, ананим (?), 17:21, 29/07/2013 [^] [^^] [^^^] [ответить] | +1 +/– | http www opennet ru openforum vsluhforumID3 91034 html 56 Я 8212 обновляю ... большой текст свёрнут, показать | |
|
13.87, Аноним (-), 18:05, 29/07/2013 [^] [^^] [^^^] [ответить] | –1 +/– | Я имел в виду ссылку на вашу версию libastral so Осспадя Я что, ваш босс Мн... большой текст свёрнут, показать | |
|
14.90, ананим (?), 18:18, 29/07/2013 [^] [^^] [^^^] [ответить] | +1 +/– | Стыдно, гражданин, так себя вести зыж Аминь D Это штатная работа, регламентир... большой текст свёрнут, показать | |
|
|
|
|
18.121, Аноним (-), 02:19, 30/07/2013 [^] [^^] [^^^] [ответить] | +/– | Ну, я в свое время тоже не считал это зазорным Пока не понял, что так и буду вс... большой текст свёрнут, показать | |
|
|
|
|
|
|
|
|
|
|
|
|
8.73, ананим (?), 16:28, 29/07/2013 [^] [^^] [^^^] [ответить] | +/– | Ну проведи апгрэйд мажорной версии например субд оракл 9 до 10 или любой друго... текст свёрнут, показать | |
|
|
|
5.95, Khariton (?), 18:27, 29/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
ага... еще вы можете удалить в винде все открытые на чтение или запись файлы...)))
Вы ж админ! А не лицо которому разрешили что-то делать в юзерспейсе...)))
| |
|
6.100, ананим (?), 18:38, 29/07/2013 [^] [^^] [^^^] [ответить] | +/– | читай до конца 8212 http www opennet ru openforum vsluhforumID3 91034 html ... большой текст свёрнут, показать | |
|
7.101, ананим (?), 18:42, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
ззыж
и да, снять любые блокировки может только админ. :D
если он не полный идиoт и хоть немного понимает как работает его вантуз.
| |
|
|
|
|
3.55, Аноним (-), 15:25, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> А логин "Администратор" в винде уже забанили?
Не, просто в новых виндах сделали декоративным - UAC постоянно имеет мозг подтверждениями на каждый пук. При том софт который явно не в курсе UAC'а имеет свойство или не работать совсем или дико глючить. Гениальное решение, бэть.
| |
|
4.59, ананим (?), 15:40, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>Не, просто в новых виндах сделали декоративным - UAC постоянно имеет мозг подтверждениями на каждый пук. При том софт который явно не в курсе UAC'а имеет свойство или не работать совсем или дико глючить. Гениальное решение, бэть.
Ну и что, после этого он не принимает пароль рута?
Типа, «Нет, этот напиток не хочешь ты?»
зыж
Просто возможности рута… пардон, Администратора стали подтверждать интерактивно.
И то не всегда. Вот запилю прогу как сервис и запущу её от имени сислогина и всё, нет больше вопросов. При этом админиских полномочий мне ничего другого для этого не надо.
Весь этот UAC, как затычки в розетки для детей.
Да, от «червя за 5 минут и на коленке» может и поможет, но если у вас есть рут (… пардон, Администратор) это не поможет.
| |
|
|
|
1.17, бедный буратино (ok), 12:30, 29/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
А если я захочу chroot сделать, а мне "не дадутъ, потому что не учтено".
Чем пользователь root конкретно мешает?
| |
|
2.19, ананим (?), 12:40, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Вообще-то chroot меняет не пользователя root, а root'овую фс для запускаемой команды.
А это как бы разные сущности.
зыж
Очевидно, прописываешь политики selinux и работаешь.
Вот например — How to setup openssh chrooted sftp and SELinux in Fedora 16 http://bachradsusi.livejournal.com/2239.html
Так же очевидно что будут пользователь(ли), которые смогут менять/создавать эти политики.
| |
|
3.23, Okarin (ok), 12:55, 29/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
>прописываешь политики
Да так мы и до уровня Active Directory дорастем!
| |
|
4.27, ананим (?), 13:26, 29/07/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
Политики в АД деклоративные (типа, я не буду шпионить за вами в АНБ) и находятся в файле, который подключается как ветка реестра при логине пользователя через обычную шару по сети по протоколу cifs/smb.
Политики selinux хранятся как атрибут самого файла где бы он не валялся и влияют на аспекты работы запущенного(!!!) приложения даже если "видит" это приложение впервые.
А не только на возможность его запуска и хранение его же настроек.
Зыж
Ну, в общем думаю без удаления зонда тяжело разобраться вот так сразу.
| |
|
3.25, бедный буратино (ok), 13:08, 29/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Вопрос был не совсем об этом. И даже в случае chroot там не всё так однозначно, и даже не двузначно.
| |
|
4.28, ананим (?), 13:30, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Так спрашивайте точнее.
Зыж
chroot НЕ отличается ничем от остальных программ.
Просто меняет root (фс, не пользователя) для приложения, которое запускает.
| |
|
5.75, vitalif (ok), 16:31, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Так спрашивайте точнее.
> Зыж
> chroot НЕ отличается ничем от остальных программ.
> Просто меняет root (фс, не пользователя) для приложения, которое запускает.
Отличается тем, что только root может сделать chroot.
| |
|
|
7.112, angra (ok), 23:31, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Ты хоть сам прочитал свою ссылку? Сделать при помощи suid программы это и есть "может только рут".
| |
|
|
9.122, angra (ok), 02:27, 30/07/2013 [^] [^^] [^^^] [ответить] | +/– | Про fakechroot я само собой в курсе, сколько виртуалок и пакетов собрал с его по... текст свёрнут, показать | |
|
|
|
|
|
|
3.74, vitalif (ok), 16:30, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Что-то смотрел я пару раз на этот селинукс - открывал и закрывал.
Геморрой один, по-моему, с нулевым выхлопом.
| |
3.76, vitalif (ok), 16:34, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Кстати имхо - всё, под что можно запилить специальное АПИ для выдачи селинукс-полномочий, можно завернуть в сервис и проверять доступ на уровне этого сервиса.
И это будет проще, т.к. эти монструозные селинукс-политики очень уж похожи на карточный домик - ткни, развалится.
| |
3.97, Khariton (?), 18:31, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Очевидно, прописываешь политики selinux и работаешь.
Ага и компилим ядро ибо политики вкомпилены в ядро...)))
менять соответствие файлов домену безопасности или портов - это можно и в юзерспесе.
А вото создать политику - надо ядро менять да и думаю далеко не каждый админ локалхоста сие сможет сделать...)))
| |
|
4.103, ананим (?), 19:16, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
откуда травка? это тогда что:
># eix selinux|head -20
>* app-vim/selinux-syntax
>…
>* sec-policy/selinux-abrt
>…
>* sec-policy/selinux-acct
>…
>* sec-policy/selinux-ada
>…
и вообще:
># eix selinux|wc
> 1196 4762 78768
зыж
>SELinux borrowed the concept of modules from the Linux kernel and implemented a similar approach for its policies. Just like how you can dynamically add in (and remove) driver support in the Linux kernel through kernel modules, you can add in (and remove) policies using SELinux modules.
>The list of SELinux modules that are currently loaded on a system can be obtained with semodule -l.
>root # semodule -l
>alsa 1.11.4
>apache 2.6.10
>apm 1.11.4
>application 1.2.0
>...
подробности тут https://wiki.gentoo.org/wiki/SELinux/Tutorials/How_is_the_policy_provided_and_
И не путайте модули linux-ядра и модули selinux!!! Это модули для модуля! :D
| |
|
|
|
1.24, Crazy Alex (ok), 13:02, 29/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вот только непонятно - работать на такой системе как на нормальном линуксе-то получится? Пока что - кое-как можно. Или всё надо будет отдельно юзеру подтверждать, как в виндовом UAC?
Хотя ладно, вынести эту механику, если что, вряд ли будет особо сложно.
| |
1.31, Аноним (-), 13:53, 29/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Даже в убунте root всё равно есть (см. вывод программы top). А тут его собираются убирать насовсем. Это как? Установили систему, убрали root, и всё, теперь системные файлы невозможно модифицировать?
| |
|
2.35, Mihail Zenkov (ok), 14:06, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Даже в убунте root всё равно есть (см. вывод программы top). А
> тут его собираются убирать насовсем. Это как? Установили систему, убрали root,
> и всё, теперь системные файлы невозможно модифицировать?
Под виндой примерно так и получается, что в прочем не мешает вирусам делать свое дело.
| |
|
3.46, ананим (?), 14:57, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>Под виндой примерно так и получается
Нет.
Администратор в винде может всё тоже, что и root в linux.
То что ему ("администратору") мс не выдало штатных инструментов для этого «всё», ни разу не оправдание — может создать сам или скачать и установить.
зыж
И откуда вы это всё берёте? Из разряда «ntfs не подвержена фрагментации»:
>В самом начале утверждалось, что NTFS не подвержена фрагментации файлов. Это оказалось не совсем так, и утверждение сменили - NTFS препятствует фрагментации. Оказалось, что и это не совсем так. То есть она, конечно, препятствует, но толк от этого близок к нулю... Сейчас уже понятно, что NTFS -система, которая как никакая другая предрасположена к фрагментации
http://www.oszone.net/1285/
| |
|
4.99, Khariton (?), 18:34, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Администратор в винде может всё тоже, что и root в linux.
Ага удалите в винде все процессы в юзерспейсе или все файлы на системном диске...)))
| |
|
5.104, ананим (?), 19:22, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Читая ваши комментарии, создаётся ощущение, что невежество в лице неучей пошло в атаку.
Зыж
Всё уже обсудили выше. Удаляется и по отдельности и format C: скопом.
И да, попробуйте в линухе удалить [kthreadd], [ksoftirqd/0], [kworker/0:0H]
| |
|
4.135, iZEN (ok), 14:21, 30/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>Под виндой примерно так и получается
> Нет.
> Администратор в винде может всё тоже, что и root в linux.
> То что ему ("администратору") мс не выдало штатных инструментов для этого «всё»,
> ни разу не оправдание — может создать сам или скачать и
> установить.
> зыж
> И откуда вы это всё берёте? Из разряда «ntfs не подвержена фрагментации»:
>>В самом начале утверждалось, что NTFS не подвержена фрагментации файлов. Это оказалось не совсем так, и утверждение сменили - NTFS препятствует фрагментации. Оказалось, что и это не совсем так. То есть она, конечно, препятствует, но толк от этого близок к нулю... Сейчас уже понятно, что NTFS -система, которая как никакая другая предрасположена к фрагментации
> http://www.oszone.net/1285/
NTFS подвержена дикой фрагментации в процессе перезаписи кластеров (блоков ФС), но вот деградация скорости обмена данными с диском от этого незаметна. И в этом смысле специалисты MS преуспели. И очень долго после своего внедрения NTFS не имела фирменного дефрагментатора в качестве необходимого инструмента обслуживания ФС именно по этой причине. То же самое можно сказать и о ФС в Unix: да, со временем и они фрагментируются, но это не значит, что нужно (прям кровь из ушей) иметь инструмент дефрагментации — для многих ФС (в том числе CoW ФС) такие утилиты так и не появились. Скорость доступа к данным на диске всё равно достаточна для 95% запущенных задач.
| |
|
5.141, ананим (?), 16:17, 30/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>NTFS подвержена дикой фрагментации в процессе перезаписи кластеров (блоков ФС), но вот деградация скорости обмена данными с диском от этого незаметна.
Вот в windows деградация как раз очень заметна. И это связано как раз с костыльным управлением виртуальной памятью, которая в этом случае не просто блокирует файлы, а блокирует их фрагменты. В итоге, по результатам записи файла размером 4 ГБ, Ubuntu 10.04 с ядром Linux 2.6.32 была на 26,5% быстрее, чем Windows 7 x64.
http://www.linuxcenter.ru/news/2010/05/07/10832/
Что впрочем и на глаз видно любому желающему. Винт под линухом просто "оживает" после винды.
>И очень долго после своего внедрения NTFS не имела фирменного дефрагментатора
Угу, она же не подвержена фрагментации, как утверждалось, поэтому держали лицо.
При этом Нортоновские утилиты были САМЫМ распространённым ПО на клиентских машинах.
И да, функции АПИ по дефрагментации существовали в винде всегда, имей в виду когда будешь в следующий раз этот бред писать, как и АПИ для VSS, и бэкапов, которые обходят блокировки, но и то с грехом по-полам и не во всех версиях винды. Пруф как пример http://kb.acronis.com/content/2697 или сразу тут http://support.microsoft.com/kb/840781
А вот пруф от разраба мс http://habrahabr.ru/post/179333/ — причины низкой производительности ОС:
>«Господи, код NTFS — это багровый роман ужасов, написанный под опиумом в средневековье, где используются глобальные рекурсивные блокировки и управление потоком выполнения программы при помощи структурной обработкой исключений (SEH).»
Так что… Хотя, тебе как мимикрирующему, это как в одно ухо влетело.
| |
5.146, pavel_simple (ok), 07:51, 31/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
> NTFS подвержена дикой фрагментации в процессе перезаписи кластеров (блоков ФС), но вот
> деградация скорости обмена данными с диском от этого незаметна. И в
> этом смысле специалисты MS преуспели. И очень долго после своего внедрения
> NTFS не имела фирменного дефрагментатора в качестве необходимого инструмента обслуживания
> ФС именно по этой причине. То же самое можно сказать и
> о ФС в Unix: да, со временем и они фрагментируются, но
> это не значит, что нужно (прям кровь из ушей) иметь инструмент
> дефрагментации — для многих ФС (в том числе CoW ФС) такие
> утилиты так и не появились. Скорость доступа к данным на диске
> всё равно достаточна для 95% запущенных задач.
как? как может _любая_ файловая система повлиять на "скорости обмена данными с диском "? скорость обмена регламентируется на "уровне L1" - т.е. физическими показателями интерфейса - но ты настолько туп что не можешь отличить маркетоидный бред от технической составляющей.
Специально для любителей UFS2 - несмотря на то что UFS2 имеет древнючий дизайн и не является эффективной FS, она тожа не приводит к деградации скорости обмена с диском. </наброс>
[сообщение отредактировано модератором]
| |
|
|
|
|
1.52, Аноним (-), 15:20, 29/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Все круто, только пользователь потом опухнет пользоваться этими их кульными апи и настраивать selinux. И получится по принципу "хотели как лучше, а получилось как всегда".
| |
|
2.64, ананим (?), 15:52, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>пользователь потом опухнет пользоваться этими их кульными апи и настраивать selinux.
пользователь даже этих словов то не знает (и не будет).
зыж
а АПИ как раз и хотят придумать для того, чтобы не настраивать selinux.
этот АПИ как раз и будет фронтэндтом… Ну например как firewalld (http://fedorahosted.org/firewalld) является фронтэндом над iptables с АПИ через D-BUS
| |
|
|
4.85, ананим (?), 17:28, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
в руках идиoта всё есть коробочка.
а мне к примеру по работе нужен скайп без его доступа к /etc/shadow и пр.
так что сабж лучше, чем то что есть в андроиде сейчас.
ну и плюс всегда эти политики можно будет подправить в случае зеро-дей и с софтом в стиле исправления уязвимостей как в винде.
| |
|
5.88, Аноним (-), 18:11, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>ну и плюс всегда эти политики можно будет подправить в случае зеро-дей и с софтом в стиле исправления уязвимостей как в винде.
Только если производитель твоего ведроидофона не решит что это слишком для тебя сложно и вообще тебе не нyжно. Кстати, если рут выпилят, наверное это создаст некоторые проблемы для джейлбрейка и смены прошивки на некошерную?
| |
|
6.96, ананим (?), 18:30, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>Кстати, если рут выпилят, наверное это создаст некоторые проблемы для джейлбрейка и смены прошивки на некошерную?
Не более, чем "Администратор" в винде мешает переформатировать С: в ext4 и поставить на её место linux.
зыж
>Только если производитель твоего ведроидофона не решит что это слишком для тебя сложно и вообще тебе не нyжно.
Даже и не знаю кто это СЕЙЧАС может быть.
Самсунг у меня позволяет, хтц тоже,… кто там не?
Вот не на все модели есть сборки сабжа, вот с этим встречался.
Насколько я понял, вендоры перестали этого боятся (по принципу "баба с возу, гарантийному отделу работы меньше")
| |
|
7.129, vitalif (ok), 03:13, 30/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Не факт, не факт. Опенсорсом там и не пахнет, и позволяют они все сейчас "с барского плеча". Кто тебе гарантирует, что они и в будущем оставят такую возможность, особенно с учётом изначальной "криминализации" рута?
| |
|
|
|
|
|
|
1.67, Аноним (-), 16:00, 29/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
забавно. особенно забавно что предложил пользователь Именно CyanogenMod ;)
когнитивный диссонанс вызывают не понимающие или даже "не читал но осоуждаю" зачем/почему был создан проект.
а так по-хорошему, надо пилить нормальный Linux на таблеты а не мучать монстр от гуглья, весь из зондов и монструозностей, состоящий чуть менее чем полностью.
| |
|
2.78, ананим (?), 16:41, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>надо пилить нормальный Linux на таблеты
Именно.
Но последнего пилящего Элоп уже по миру пустил. Уже и мс хотели продаться, но, говорят, дороговато пока… https://www.opennet.ru/opennews/art.shtml?num=37232
зыж
но от нормального фронтэнда и АПИ по настройке SELinux я бы не отказался.
Не столько сложно, сколько муторно его использовать.
| |
|
3.108, Аноним (-), 22:11, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
проще ре-генерировать идели заложеные в SELinux, в что-то более юзабельное чем пытаться его "использовать".
самоочевидно что софтверные инженеры - рук не прикладывали к.
| |
|
|
1.81, Дмитрий Седлов (?), 17:05, 29/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Теперь лично мне ясно как умрёт Android. Ничто не вечно, так что вопрос был только в том "как именно Android уйдёт в историю".
Сначала ввели многопользовательские возможности на верхнем уровне (с версий 4.2.x), а потом решили уравнять потенциал всех пользователей с рутом. "Грамотеи"! :-) "Рождённые в мухософте". :)
| |
1.89, Denjs (ok), 18:17, 29/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
ога) отличная мысль!)))
в итоге андроида надо будет переименовать в осьминога.
Ведь у осьминога значительная часть мозга находится в щупальцах, он "каг-бэ" "децентрализован в управлении".... и андроид будет точно таким-же - значительная часть полномочий будет раскидана по разным пользователям без возможности гарантированно управлять всем этим хозяйством централизованно))))
молодец, парниша, мне нравится. только пусть он в цианогенмоде и играется. а я пока попкорн поем)))
| |
|
2.98, ананим (?), 18:31, 29/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>а я пока попкорн поем
да, некоторым лучше жевать, чем говорить.
| |
|
3.145, ml6 (?), 20:31, 30/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Ты просто не осилил разобраться. Ничего неправильного в его словах нет.
| |
|
|
3.144, Denjs (ok), 18:19, 30/07/2013 [^] [^^] [^^^] [ответить] | +/– | Какие вы все тут авторитетные специалисты я просто стекаю от собственного нич... большой текст свёрнут, показать | |
|
|
1.105, Аноним (-), 19:27, 29/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
"предоставление отдельных полномочий будет контролироваться пользователем устройства, что исключит ситуации ... "
гы-гы.
| |
|
2.137, Аноним (-), 15:07, 30/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> "предоставление отдельных полномочий будет контролироваться пользователем устройства,
> что исключит ситуации ... "
> гы-гы.
Ага. Чо, RBAC еще не изобрели?
| |
|
|