| |
| |
| |
| 4.20, анонимоус7657 (?), 13:17, 16/07/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +6 +/– |
Господин Тео, может вообще снести систему, перекрасить компьютер в зеленой цвет и выбросить в поле чтобы никто не нашел? Думаю таким образом проблема уязвимостей будет окончательно решена.
| | |
|
| 3.14, ы (?), 11:26, 16/07/2016 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –4 +/– |
Тео скажет что молодые программисты нынче не те. Часть лезет на IT форум ничего не понимая и не интересуясь в разработке чтобы прокомментировать чужую работу, а часть - чтобы прокомментировать тех кто комментирует. Но самой разработкой никто не интересуется, да и знаний и навыков нет, хватает только тяфкунуть. Вот как я сейчас. Хотя хотел бы найти работу связанную с разработкой ОС
| | |
| |
| 4.30, nuclight (??), 15:33, 16/07/2016 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
 > Хотя хотел бы найти работу связанную с разработкой ОС
Легко. Например, хоть те же средства доверенной загрузки, работающие до старта "полноценной" ОС (скажем на базе UEFI, Grub2) - им нужно уметь в файловые системы, интерфейсы отрисовывать, etc., вполне себе получаются миниатюрные узкоспециализированные ОС.
С "большими" ОС типа линукса тоже достаточно легко можно найти работу, связанную, скажем, с написанием/допилом драйверов... да много всего.
P.S. Но, конечно, всегда можно поступить проще, записаться в майнтейнеры/тестировщики какого-нибудь дистрибутива, и всем гордо говорить "я разработчик операционных систем", гы-гы. Встречал таких.
| | |
| |
| 5.31, жабабыдлокодер (ok), 15:41, 16/07/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
 А системным программистом еще проще стать, чем разработчиком операционных систем. Я вот на днях посматривал вакансии, читаю: "Системный программист". Думаю, что за хрень? Кому тут у нас системный программист понадобился? Полез в вакансию, а там: "Требуется программист для работы в системе 1С"...
| | |
|
|
|
|
| 1.3, iZEN (ok), 01:40, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +2 +/– |
 Ещё запретите писать в /tmp - для верности. А то ещё переполнят невзначай системный раздел. И ещё на Си нужно запретить писать - в нём часто случаются меморилики, выходы за пределы массивов и разрушения куч и стэков, что может сыграть на руку хакерам-террористам. :))
| | |
| |
| |
| 3.53, Аноним (-), 16:11, 17/07/2016 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
тогда уж на Оберон-2 обьектные форки.
вот уж где файловер допилен "из коробки" и обработка исключений "для ленивых".
ну или ванильный эрланг(в форках/ампутациях - там наоборот урезано чуток.в тч - как раз это)
| | |
|
|
| 1.12, Аноним (-), 09:59, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
Такой ход открывает путь всем тем "уязвимостям", для которых нужен привилегированный доступ, потому как использоваться такой доступ будет чаще.
Поэтому это решение, возможно, временное.
| | |
| |
| 2.15, ssh (ok), 11:30, 16/07/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
 > Такой ход открывает путь всем тем "уязвимостям", для которых нужен привилегированный доступ,
> потому как использоваться такой доступ будет чаще.
> Поэтому это решение, возможно, временное.
doas/sudo позволяют предоставить пользователю возможность монтирования устройств практически с тем же уровнем комфорта. Честное слово, не вижу в запрете никакой драмы.
| | |
| |
| 3.17, Аноним (-), 12:19, 16/07/2016 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
проблема не в админе, а в самостоятельных скриптах, которые теперь может потребоваться выполнять из-под рута; с живым админом проблемы тут действительно нет, потому что при ручном монтировании он будет с привелегиями выполнять только само монтирование (подразумевается разумный админ).
| | |
| |
| 4.18, Аноним (-), 12:28, 16/07/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –3 +/– |
костыль: можно в скрипте команду заменить на "echo $USERPWD | sudo -S --prompt="" mount ...", и соответственно настроить sudoers; проблема в том, что $USERPWD тут в скрипте лежать должен, что совсем плохая практика.
| | |
| |
| 5.24, Аноним (-), 14:22, 16/07/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +2 +/– |
> костыль: можно в скрипте команду заменить на "echo $USERPWD | sudo -S
> --prompt="" mount ...", и соответственно настроить sudoers; проблема в том,
> что $USERPWD тут в скрипте лежать должен, что совсем плохая практика.
man sudo | grep NOPASSWD
| | |
| |
| 6.33, Аноним (-), 16:29, 16/07/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
Убрать пароль - это очень меткое решение. Продвинутые Windows уже 20 лет как позволяют админу без паролей в систему входить. Очень нехватает этого в юниксах и - особенно - в OpenBSD.
| | |
|
|
|
| |
| 4.54, angra (ok), 18:22, 17/07/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
 Чудак, об этом все нормальные админы знают и только ты открыл для себя Америку. Хочешь я тебе еще несколько столь же страшных "уязвимостей" расскажу, а ты новую статейку тиснешь в бложик?
| | |
| |
| 5.56, Comdiv (ok), 00:04, 18/07/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– |
 > Чудак, об этом все нормальные админы знают и только ты открыл для
> себя Америку.
Очень рад за нормальных админов, у которых есть время покрасноглазить, но есть и ведь и такая разновидность, как админы локалхостов, и безопасность им тоже нужна. И моё мнение просто - в основных дистрибутивах наиболее безопасное поведение должно быть настроено по умолчанию, а если нет, то хотя бы пользователи должны знать об этом. И для этого, как ни страннно, в том числе, нужно писать об этом в бложиках.
> Хочешь я тебе еще несколько столь же страшных "уязвимостей"
> расскажу, а ты новую статейку тиснешь в бложик?
Зачем? Напишите об этом в свой бложик. Вместо того, чтобы высокомерно дартаньянить, гордясь своей причастностью к тру-специалистам, распространяйте информацию и способствуйте повышению общего уровня. Такую деятельность нужно не высмеивать, а поддерживать.
| | |
| |
| 6.57, angra (ok), 03:08, 18/07/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
Да причем здесь красноглазие? Или вы думаете, что это какая-то особо тайная информация, доступная избранным? Это просто здравый вывод делаемый _самостоятельно_ админом из понимания того, что такое PATH, а также из понимания разграничения прав пользователя. В качестве мощнейшей подсказки выступает невозможность запустить программу непосредственно из текущей директории. А если чуть лучше изучить вопрос и практику работы админов, то окажется, что проблема вообще надумана.
Хотя если судить по предлагаемым путям решения, то создается впечатление, что кое-кто очень слабо понял как работают права, шелл, пользователи, переменные окружения и запуск привелигированных программ. И вместо реального понимания черпает представления из опыта винды. Вот расскажи мне реальный сценарий получения прав с использованием данной "уязвимости". Ну создал ты юзером файлик sudo со своим кодом, добавил его в _свой_ PATH, а дальше что? Ведь у тебя сразу четыре проблемы:
1. Заставить админа переключится на твоего пользователя
2. Заставить его при этом загрузить твое окружение
3. Убедить его запустить sudo, которое ему нафиг не нужно под твоим пользователем.
4. Хоть что-то из этого поиметь, кроме получения своего же собственного пароля, который тебе и так известен.
| | |
| |
| 7.59, Comdiv (ok), 12:04, 18/07/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– |
> Да причем здесь красноглазие? Или вы думаете, что это какая-то особо тайная
> информация, доступная избранным?
Об этом догадается любой, кто об этом задумается, но не все задумываются, потому что для них ОС второстепенна, и думают они над решаемыми задачами, а не настройке. Обратите внимание, на чьё сообщение я отвечал. Он об этом догадывался?
Вы полагаете, что я считаю это тайной информацией, и поэтому говорю об этом в интернете для всех? Сарказм должен быть уместным, иначе он только усиливает сказанную глупость.
> А если чуть лучше изучить вопрос и
> практику работы админов, то окажется, что проблема вообще надумана.
Ещё раз, не все являются админами, а безопасность нужна везде и по умолчанию, а не после долгих настроек. Я исхожу из фактов - почти все рецепты в сети подаются неправильно, даже ОС услужливо подсказывает неправильно. И это свидетельствует о том, что проблема надумана?
> использованием данной "уязвимости". Ну создал ты юзером файлик sudo со своим
> кодом, добавил его в _свой_ PATH, а дальше что? Ведь у
Я же написал, для чего это может быть применено - для повышения привилегий и получения пароля пользователя. Надеюсь, как грамотный админ Вы понимаете, что речь не идёт о проникновении с одной стороны, а с другой стороны, что такие вещи должны исправляться независимо, чтобы у злоумышленника не было возможности совместить обе вещи.
Итак:
1. Запускаем злонамеренный код через троян или уязвимость.
2. Если скопрометирован терминал, вызываем setenv, если нет - правим .bashrc
3. Создаём свой sudo, считывающий пароль пользователя и незаметно выполняющим подставной код.
4. Ждём, когда пользователю потребуется sudo
5. Profit
Есть такая возможность или нет? Или я из Windows что-то притащил?
| | |
|
|
|
|
|
|
| |
| 2.34, Аноним (-), 16:32, 16/07/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +4 +/– |
Переезжайте в Россию - тут всё свободно. Даже борцунов с кровавым режимом не сажают и не расстреливают (если не заводить романы с моделями из соседнего государства).
| | |
|
| 1.50, Аноним (-), 23:42, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
У них там fuse есть?
Вообще, если у системы вообще есть (непривилегированные) пользователи, то монтировать нужно. А если система этого немогет, то это делает ее менее юзабильной.
| | |
| |
| 2.68, Аноним (-), 00:35, 20/07/2016 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– | |
> У них там fuse есть?
Есть. Работает.
> Вообще, если у системы вообще есть (непривилегированные) пользователи, то монтировать
> нужно. А если система этого немогет, то это делает ее менее
> юзабильной.
doas mount
| | |
|
|
