The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В ядро Linux 5.4 приняты патчи для ограничения доступа root к внутренностям ядра

30.09.2019 07:53

Линус Торвальдс принял в состав будущего выпуска ядра Linux 5.4 набор патчей "lockdown", предложенный Дэвидом Хоуэллсом (David Howells, работает в Red Hat) и Мэтью Гарретом (Matthew Garrett, работает в Google) для ограничения доступа пользователя root к ядру. Связанная с "lockdown" функциональность вынесена в опционально загружаемый LSM-модуль (Linux Security Module), устанавливающий барьер между UID 0 и ядром, ограничивая определённую низкоуровневую функциональность.

Если злоумышленник в результате атаки добился выполнения кода с правами root, то он может выполнить свой код и на уровне ядра, например, через замену ядра при помощи kexec или чтения/записи памяти через /dev/kmem. Наиболее очевидным следствием подобной активности может стать обход UEFI Secure Boot или извлечение конфиденциальных данных, хранящихся на уровне ядра.

Изначально функции ограничения root развивались в контексте усиления защиты верифицированной загрузки, и дистрибутивы уже достаточно давно применяют сторонние патчи для блокирования обхода UEFI Secure Boot. При этом в основной состав ядра подобные ограничения не включались из-за разногласий в их реализации и опасений нарушения работы существующих систем. Модуль "lockdown" вобрал в себя уже используемые в дистрибутивах патчи, которые были переработаны в форме отдельной подсистемы, не привязанной к UEFI Secure Boot.

В режиме lockdown ограничивается доступ к /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, отладочному режиму kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), некоторым интерфейсам ACPI и MSR-регистрам CPU, блокируются вызовы kexec_file и kexec_load, запрещается переход в спящий режим, лимитируется использование DMA для PCI-устройств, запрещается импорт кода ACPI из переменных EFI, не допускаются манипуляции с портами ввода/вывода, в том числе изменение номера прерывания и порта ввода/вывода для последовательного порта.

По умолчанию модуль lockdown не активен, собирается при указании в kconfig опции SECURITY_LOCKDOWN_LSM и активируется через параметр ядра "lockdown=", управляющий файл "/sys/kernel/security/lockdown" или сборочные опции LOCK_DOWN_KERNEL_FORCE_*, которые могут принимать значения "integrity" и "confidentiality". В первом случае блокируются возможности, позволяющие вносить изменения в работающее ядро из пространства пользователя, а во втором случае помимо этого отключается функциональность, которую можно использовать для извлечения конфиденциальной информации из ядра.

При этом важно отметить, что lockdown лишь ограничивает штатные возможности доступа к ядру, но не защищает от модификаций в результате эксплуатации уязвимостей. Для блокирования внесения изменений в работающее ядро при применении эксплоитов проектом Openwall развивается отдельный модуль LKRG (Linux Kernel Runtime Guard).

  1. Главная ссылка к новости (https://lkml.org/lkml/2019/9/2...)
  2. OpenNews: В Oracle Linux выявлены серьёзные проблемы в реализации UEFI Secure Boot
  3. OpenNews: Для ядра Linux представлены патчи, отключающие поддержку спящего режима при загрузке с UEFI Secure Boot
  4. OpenNews: Для Linux представлена система верификации исполняемых файлов по цифровым подписям
  5. OpenNews: Линус Торвальдс раскритиковал действия Red Hat по продвижению поддержки UEFI Secure Boot с ключами Microsoft
  6. OpenNews: Проект Openwall подготовил модуль для защиты от эксплуатации уязвимостей в ядре Linux
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/51591-linux
Ключевые слова: linux, kernel, kexec
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (231) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, iCat (ok), 09:14, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Коренная дискриминация...
     
     
  • 2.75, Аноним (75), 13:09, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Прямо как во FreeBSD (см. securelevels).
     
     
  • 3.76, анонн (ok), 13:13, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –11 +/
    > Прямо как во FreeBSD (см. securelevels).

    security.bsd.suser_enabled: processes with uid 0 have privilege

    Бздуны, как всегда, оперативно тащат идеи, новшества и инновации из Линуха к себе )))

     
     
  • 4.82, SR_team (?), 13:49, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    наоборот же. Марк Грегер пытался притащить это из BSD ещё 7 лет назад, но тогда оно слишком сильно зависило от UEFI
     
     
  • 5.83, SR_team (?), 13:50, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Мэтью Гаррет*
     
  • 5.99, Аноним (75), 15:18, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > наоборот же. Марк Грегер пытался притащить это из BSD ещё 7 лет назад, но тогда оно слишком сильно зависило от UEFI

    Не вводите людей в заблуждение. securelevels — это штатный механизм защиты во фре, которому 20 лет в обед и который никак не связан с UEFI.

    7 лет назад Гаррет пытался пропихнуть патчи, упрощающие вендорам тивоизацию устройств (практика установки кастрированного линукса без возможности заменить его на нормальный). Был послан Линусом в пешее эротическое.

    Принятые сейчас патчи предоставляют универсальный механизм безопасности, аналогичный securelevels. Упрощение тивоизации — побочное следствие, "налог на добавленную функциональность". Гаррет, надо полагать, стремился именно к этому — чтобы вместе с бочкой мёда приняли и ложку экскрементов.

     
     
  • 6.206, SR_team (?), 08:20, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > который никак не связан с UEFI.

    я не про фрю говорил, а про реализацию для линя, которая предлагалась 7 лет назад

     
     
  • 7.217, Аноним (75), 11:18, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы написали
    > притащить это из BSD ещё 7 лет назад

    хотя предложенные 7 лет назад патчи были посвящены тивоизации загрузчика и не имели ничего общего с механизмами безопасности BSD.

     

  • 1.3, Аноним (3), 09:16, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    что за конфиденциальные данные, хранящиеся на уровне ядра?

    PS "ограничения root развались в контексте"

     
     
  • 2.5, Аноним (5), 09:19, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +18 +/
    Чтобы всякие антикапиталистические юзвери секурбуты и дрм не ковыряли.
     
     
  • 3.8, Аноним (3), 09:22, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    явки и пароли от банковских счетов конфиденциальные данные пользователя, а секурбут - нет. дрм может и конф. данные, но не пользователя.
     
     
  • 4.145, капиталист (?), 17:03, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ну так не юзера это нововведение и защищает
     
  • 3.9, Аноним (9), 09:23, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    secureboot и drm хрен поковыряешь, они теперь аппаратные
     
     
  • 4.29, pripolz (?), 10:37, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > secureboot и drm теперь хрен поковыряешь, они аппаратные

    Fixed.

     
     
  • 5.43, X86 (ok), 11:06, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > secureboot и drm теперь хрен поковыряешь, они аппаратные

    secureboot и drm поковырять можно, но они аппаратные.

     
  • 2.6, Аноним (6), 09:21, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    На вскидку ключи шифрования, содержимое дискового кэша, остатки данных из использованых буферов ввода (например, могут оседать введённые пароли).
     

  • 1.4, Аноним (4), 09:16, 30/09/2019 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –4 +/
     

  • 1.7, Аноним (9), 09:21, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +28 +/
    Вендорам позарез нужно прибить рутинг телефонов.
     
     
  • 2.26, Аноним (26), 10:31, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А сами они патчи накладывать не умеют? Что им мешало делать это раньше?
     
     
  • 3.33, вендор (?), 10:43, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    вой на болотах. А так - "штатная возможность ядра linux - вот и используем!"

     
     
  • 4.151, Аноним (151), 17:19, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Хуавею вой на болотах не мешал. Хотели и делали.
     
  • 2.38, Аноним (38), 10:53, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Причем тут рутинг телефонов...
     
     
  • 3.41, вендор (?), 11:04, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    действительно, мы ж просто заботимся о вас и вашей безопастносте
     
  • 2.74, имя (ok), 13:08, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Они и так его уже давно прибили. Вы давно занимались разблокировкой загрузчика на телефонах Huawei или Nokia?
     
     
  • 3.127, Аноним (127), 16:06, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >Huawei
    >Nokia

    Китайскими зондами не пользуюсь. Американские зонды как-то лучше.

     
     
  • 4.160, Аноним (75), 17:38, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Мсье знает толк в зондах. Расскажите нам, пожалуйста, чем они лучше — возможностью присесть при выезде в АМЛАГ? (Притом, что подавляющее большинство народу регулярно катается в Европу и никогда — в Китай.)
     
     
  • 5.164, Аноним (164), 18:53, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Притом, что подавляющее большинство народу регулярно катается в Европу и никогда — в Китай.)

    Вы там совсем зажрались

     
  • 5.176, Аноним (176), 22:44, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Американские зонды гладкие блестящие в виде самоцветов, девушкам с ними удобно в любое время. А китайские грубые и пластмассовые.
     
     
  • 6.218, Аноним (75), 11:19, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Можно подумать, американские не из пластмассы. Нынче даже Apple made in China.
     
     
  • 7.229, Аноним (229), 16:41, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Там главное слово было зонды, а ты все испортил свои эплом.
     
     
  • 8.235, Аноним (75), 10:41, 02/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А разве эпл 8212 не зонды ... текст свёрнут, показать
     
  • 2.113, KonstantinB (ok), 15:35, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно подумать, вендоры ядро патчить не умеют.

    Для меня один из критериев при выборе телефона - простота получения рута. Я причем даже не рутал, но знаю, что могу :-)

     
     
  • 3.137, Аноним (137), 16:33, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Я причем даже не рутал, но знаю, что могу :-)

    Два телефона этому Анониму!

     
     
  • 4.234, gogo (?), 09:36, 02/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    два айфона ему
     
  • 3.146, китайса ляо суня (?), 17:06, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    неумеют. Моя за миска риса уметь патчить краденая драйвер от похозая моделя. Переделать вся ядро стобы рута не была могла доступ ко всему - моя не умеет.

     
  • 3.153, имя (ok), 17:21, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Для меня один из критериев при выборе телефона - простота получения рута.

    Не поделитесь, кстати, сакральными знаниями о том, где это сейчас делается просто? Я уже задолбался перелопачивать противоречивую информацию на xda/4pda и инструкции про заполнение анкет для отправки на деревню китайским дедам.

     
     
  • 4.187, Аноним (187), 23:31, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    OnePlus же
     
     
  • 5.202, имя (ok), 01:46, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > OnePlus

    Единственная относительно нелопатная модель осталась только б/у.

     
  • 4.200, KonstantinB (ok), 00:58, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы прямо совсем для домохозяйки, не умеющей в adb, это нигде.

    А так, берете список понравившихся моделей и гуглите how to root $modelName.

     
     
  • 5.201, имя (ok), 01:39, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это, к сожалению, ненадёжный и трудоёмкий алгоритм Информация о нерабочем 171... большой текст свёрнут, показать
     
     
  • 6.207, SR_team (?), 08:27, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Сделай каку - купи на MTK.

    Да, зато с рутом проще...

     
  • 6.211, Аноним (9), 08:43, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Google Nexux, не? Хотя лучше что-нибудь на Broadcom, у них драйвера  менее дырявые.
     
  • 6.231, KonstantinB (ok), 18:53, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У меня нормально все гуглится, по первой странице выдачи вполне составляется впечатление.

    Возможно, потому, что у меня hl=en?

     
     
  • 7.232, имя (ok), 19:55, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня нормально все гуглится

    Для каких девайсов?

    > по первой странице выдачи вполне составляется впечатление.

    …обманчивое. По первому же запросу бесполезные дорвеи (и xda с полудохлыми подфорумами): https://i.imgur.com/Fv9Qwzv.png

    > Возможно, потому, что у меня hl=en?

    Всю дорогу только так и пользуюсь.

     
  • 6.245, Groosha (?), 10:16, 17/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы прям даже не было TWRP, надо иметь либо всратое китайское дерьмо (в этом случае, ССЗБ), либо очень старый смартфон (ССЗБ), либо не уметь пользоваться гуглом (снова ССЗБ)
     
     
  • 7.246, имя (ok), 10:46, 17/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Чтобы прям даже не было TWRP, надо иметь

    Ну вот давайте на примере всё того же Nokia 5.1 Plus:

    > всратое китайское дерьмо

    Всратое — потому что «нокия уже не та!111!1»? Китайское — потому что собрано на foxconn?

    > либо очень старый смартфон

    «Released 2018, July» — фууууууу, устарело, не модно!

    > либо не уметь пользоваться гуглом

    Ну давайте, покажите мне что-то отличное от тухлых тредов на xda о том, как все ждут подачки в виде разблокированного рагрузчика.

     
  • 3.204, Аноним (204), 05:57, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • –7 +/
    >Для меня один из критериев при выборе телефона - простота получения рута.

    Принципиально не рутаю телефоны, пользуюсь яблоками, доволен как слон.

     
     
  • 4.212, Аноним (212), 08:46, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Соболезную. Держи в курсе, конечно
     

  • 1.10, Аноним (10), 09:28, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +22 +/
    Свободу Руту! Угнетатели!
     
  • 1.11, Аноним (-), 09:28, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > , запрещается переход в спящий и жрущий режимы

    то есть, sudo pm-suspend/hibernate отменили? Только через GUI, завязанное на systemd?

     
     
  • 2.14, гугель (?), 09:48, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >> , запрещается переход в спящий и жрущий режимы
    > то есть, sudo pm-suspend/hibernate отменили? Только через GUI, завязанное на systemd?

    у нас упcpaт!

    и вообще - зачем вам гибернейт на *нашем* телефоне - он же не сможет получить нотифай что вам поставили ла-а-а-айк!

     
     
  • 3.56, Аноним (56), 11:57, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты вообще в курсе, что ядро линуха в первую очередь НЕ для телефонов делается?
     
     
  • 4.63, жека воробьев (?), 12:22, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А зачем серверам хибернейт?
     
     
  • 5.125, анним (?), 16:02, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зря что-ли существует функция - просыпаться по запросу сети (или включаться)?
     
  • 5.184, Gannet (ok), 23:15, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чтобы электрику зря не расходовали же. А то только стоят и крутят счётчик.
     
     
  • 6.220, Аноним (75), 11:22, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Может быть, просто выбросить, чтобы ещё и места не занимали?
     
     
  • 7.224, Gannet (ok), 12:47, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Может быть, просто выбросить, чтобы ещё и места не занимали?

    Очень даже вариант. По фень-шую.

     
  • 5.244, Zulu (?), 15:08, 03/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Hybernate серверам (точнее виртуальным машинам на них) нужен для миграции.
     
  • 4.84, SR_team (?), 13:56, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну да, гугл явно не о телефонах печется выкатывая подобные патчи
     
     
  • 5.147, пох. (?), 17:10, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а о чем? Для гуглобуков оно, по очевидным (тот же гибернейт) причинам бесполезное, для серверов в общем-то тоже непонятно куда прикрутить и какой от этой "защиты" толк (что и от кого оно защищает-ась?)

    вот для чего-то закрытого где рут не доверенное лицо а наоборот кто-то явно левый - ага. Ну так и что бы это у нас такое могло быть, а?

     
     
  • 6.205, SR_team (?), 07:58, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    вы не можете в сарказм сер. рекомендую вам пройти Fallout4 пару раз
     
  • 3.154, Аноним (151), 17:23, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > зачем вам гибернейт на *нашем* телефоне - он же не сможет получить нотифай что вам поставили ла-а-а-айк!

    Так ведь в момент выключения экрана телефон как раз и переходит в спящий или ждущий режим, не?

     
     
  • 4.177, Аноним (176), 22:50, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет. Отключается экран. С задержкой WiFi. Все железо понижает частоты. Останавливаются активные процессы.
    Линукс так не умеет из коробки.
     
     
  • 5.179, Michael Shigorin (ok), 22:56, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Нет. Отключается экран. С задержкой WiFi. Все железо понижает частоты.
    > Останавливаются активные процессы.
    > Линукс так не умеет из коробки.

    Точно-точно не умеет? :)

    // мне есть ещё чего сказать, хотя тут бы User294 выпустить

     
  • 2.31, Аноним (38), 10:38, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Только в спящий, не в жрущий. Запретили ядру спящий режим.

    Потому что не гарантии что во время сна образ памяти не похакали.

    Вообще конечно надо ещё один флаг или параметр чтобы разрешалось засыпать если свап зашифрован.

     
     
  • 3.35, Аноним (137), 10:48, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что не гарантии что во время сна образ памяти не похакали.

    Нет гарантии, что при работе память не похакали.

     
     
  • 4.36, Аноним (38), 10:50, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Предполагается что поехать память при работе это слишком сложно, да и защититься от этого никак нельзя в принципе
     
     
  • 5.94, Аноним (137), 14:57, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Предполагается что

    противник обладает всеми возможными техническими средствами.

    > поехать память при работе это слишком сложно, да и защититься
    > от этого никак нельзя в принципе

    В принципе невозможно создать не взламываемый алгоритм шифрования. Однако, на практике их реализуют.

     
     
  • 6.101, Аноним (75), 15:20, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В принципе невозможно создать не взламываемый алгоритм шифрования. Однако, на практике их реализуют.

    Кто опять палате №6 интернет подключил?

     
     
  • 7.105, arisu (ok), 15:23, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> В принципе невозможно создать не взламываемый алгоритм шифрования. Однако, на практике их реализуют.
    > Кто опять палате №6 интернет подключил?

    уроки кончились, очередной вундеркинд пришёл рассказывать за крипто.

     
  • 7.120, Аноним (137), 15:47, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто опять палате №6 интернет подключил?

    Резвитесь пока. Может про NP-полные проблемы заодно почитаете.

     
  • 6.111, Michael Shigorin (ok), 15:33, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В принципе не возможно, создать не взламываемый алгоритм, шиф рования.
    > Одна ко, на практике, их реализуют.

    Всё же вряд ли это был герой https://www.youtube.com/watch?v=yIIO7gxOAiY :]

     
     
  • 7.121, Аноним (137), 15:49, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это был Шнайер.
     
  • 6.226, Аноним (226), 15:30, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Сложение по модулю 2
     
     
  • 7.227, Аноним (137), 15:37, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Сложение по модулю 2

    Надеюсь, с одноразовым блокнотом.

     
  • 5.155, анон (?), 17:24, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У AMD для этого SME есть. Если сервер выключился, то даже дампы памяти тебе ничего не выдадут, особенно ключи для дисков.
     

  • 1.12, Аноним (-), 09:32, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +22 +/
    Напоминает старый комикс: "тот, кто не знает пароля root... может получить доступ к истории браузера, кукис, сохраненным паролям, моим файлам, может даже удалить что угодно... НО НЕ МОЖЕТ УСТАНОВИТЬ МОЙ ПРИНТЕР"
     
     
  • 2.57, Аноним (56), 12:00, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    На некоторых принтерах он даже не сможет продолжить печать из софта, если кончится бумага.
     
  • 2.61, Аноним (10), 12:09, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот, нашёл: https://xkcd.com/1200/
     
  • 2.64, iPony129412 (?), 12:26, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это был анекдот про Линуса, когда его дочка в OpenSUSE не могла без рутового пароля напечатать документ.
     
     
  • 3.156, Аноним (151), 17:29, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я юзер opensuse и подтверждаю, все так. Если принтер умеет прикидываться виртуальным дисководом и эта сомнительная фича не была отключена, система может потребовать ввода рутового пароля.
     
     
  • 4.209, SR_team (?), 08:33, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > виртуальным дисководом

    USB-накопителем же. или есть и те, что дисководом представляются?

     

  • 1.13, fooser (?), 09:39, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    короче не видать нам рут-доступа к андроид быдлодевайсам
     
     
  • 2.28, Аноним (26), 10:33, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ага, а до этого вендоры прям никак не могли этого сделать.
     
     
  • 3.196, анонимммнн (?), 00:29, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну теперь еще больше невидать
     

  • 1.15, Аноним (15), 09:50, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Надо-бы ещё систему автоматических обновлений сделать, которую нельзя будет отключить.
     
     
  • 2.193, artenox (?), 00:16, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    "Надо-бы ещё систему автоматических обновлений сделать, которую нельзя будет отключить"
    В убунте и дебиане есть что-то подобное, правда отключается.
    unattended-upgrades называется.
     
     
  • 3.210, SR_team (?), 08:35, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    не парься, вот обновят ядро и нельзя будет отключить
     
  • 3.237, пох. (?), 11:38, 02/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > "Надо-бы ещё систему автоматических обновлений сделать, которую нельзя будет отключить"
    > В убунте и дебиане есть что-то подобное, правда отключается.
    > unattended-upgrades называется.

    прошлый-то раз один местный хсперт показательно лоханулся, когда его попросили показать, КАК он его будет отключать (не то чтобы уже совсем нельзя, но если включилось - а на "десктопах" включено - нужно некоторое количество ненужного сакрального знания, и, разумеется, не почерпнутого в документации. А кажущийся наиболее очевидным метод - диверсия.)

     
     
  • 4.240, artenox (?), 14:49, 02/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    sudo apt-get purge whoopsie apport tumbler unattended-upgrades apt-listchanges apticron
     

  • 1.16, Аноним (16), 09:59, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Почему этот набор патчей не назван как-то вроде "vendor-lockdown", "tivo-lockdown" или "drm-lockdown"? Прекрасно же понятно, где ограничение СУПЕРпользователя будет использовано.
     
     
  • 2.18, Аноним (-), 10:06, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ограничение СУПЕРпользователя

    у тебя опечатка, чувак.  Правильно: СУПЕРограничение пользователя, во!

     
  • 2.178, Аноним (176), 22:54, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ничего, потом введут учётную запись "Администратор".
     

  • 1.17, Аноним (17), 10:03, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    >Если злоумышленник в результате атаки добился выполнения кода с правами root, то он может выполнить свой код и на уровне ядра,

    поэтому сделали lockdown, но при этом

    >важно отметить, что lockdown лишь ограничивает штатные возможности доступа к ядру, но не защищает от модификаций в результате эксплуатации уязвимостей.

    ?! Подвох? Постеснялись писать "было сложно остановить получение root-доступа, поэтому сделаем так, чтобы root стал не root".

     
     
  • 2.39, Аноним (-), 10:59, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Да не, просто кто угодно с эксплойтом теперь будет более root, чем root.
     
     
  • 3.45, X86 (ok), 11:09, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Теперь из под root удалить попавшую в результате действия эксплойта заразу будет крайне затруднительно)
     
     
  • 4.73, Аноним (75), 13:07, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    То есть вы ее удаляете прямо из-под заражённой системы, а загрузить с лайва, вытянуть полезные данные и накатить новую систему с нуля — это для слабаков?
     
     
  • 5.79, анонн (ok), 13:29, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > То есть вы ее удаляете прямо из-под заражённой системы, а загрузить с
    > лайва, вытянуть полезные данные и накатить новую систему с нуля — это для слабаков?

    Нууу, у виндузятников, помню, "чистить на живую" всегда считалось признаком крутости и скиллов - а все, кто указывал на ошибочность такой практики потому-что "хрен знает что там еще понакручено" получали умилительно гордое "не пиши глупостей, ламер! Я проверил в виртуалке и регспайем, там ничего нет!" (кроме стандартной копипастной проверки на пяток самых распространенных виртуалок и заворачивания действия - но для этого же нужно еще и загрузить в дебаггере и знать что искать).

    А современные линухоиды сейчас большей частью пошли "хотим как в винде, только нахаляву!" ;)


     
     
  • 6.95, Anonymoustus (ok), 15:03, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А современные линухоиды сейчас большей частью пошли "хотим как в винде, только
    > нахаляву!" ;)

    Да и не только современные. Ещё тогдашние сопливые хипсторы, как их там — Мигель де Проказа и Федерико Измена — затеяли делать ДОС (mc) и Винду (GNOME). ИЧСХ, оба клоуна работали в Шапке. Все совпадения, разумеется, случайны.

    Кто не опоздали родиться, ржут над пресловутой свободой в линуксе ещё со второй половины девяностых. :)


    ЗЫ

    Ах да, я забыл про Mono — тоже ведь их руконог дело.

     
  • 6.112, zzz (??), 15:33, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Буквально вчера было модно смеяться с пользователей винды, переустанавливающих винду вместо того, чтобы починить, а сейчас погляди ж ты - оказывается, круто переустанавливать винду вместо того, чтобы чинить. Линуксоиды такие последовательные.
     
     
  • 7.115, arisu (ok), 15:38, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    нет, это просто ты очень глупый и не понимаешь, о чём говорят. но не переживай: время лечит.
     
     
  • 8.134, zzz (??), 16:24, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, умник, расскажи, много ты знаешь малварей, которые настолько хитро инжектитс... текст свёрнут, показать
     
     
  • 9.136, arisu (ok), 16:28, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    лекции для альтернативно развитых 8212 только за деньги персонально для тебя... текст свёрнут, показать
     
     
  • 10.141, zzz (??), 16:46, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Слив засчитан ... текст свёрнут, показать
     
     
  • 11.143, arisu (ok), 16:53, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ты ещё и унитаз не то чтобы я сомневался, конечно 8230 ... текст свёрнут, показать
     
  • 7.119, анонн (ok), 15:44, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Буквально вчера было модно смеяться с пользователей винды, переустанавливающих винду вместо того, чтобы починить,

    Где модно и причем тут я? Но да, переустанавливать, особенно винду - "глупая и смешная" (если в терминологии опеннета) трата времени и полностью логичное следствие "я очень ловко сэкономил свое время на бэкапе!".

    >  а сейчас погляди ж ты - оказывается, круто переустанавливать винду вместо того, чтобы чинить.

    Если виндузятники не различают между "чинить систему" и "чистить систему от малвари", то это исключительно проблемы виндузятников.

    > Линуксоиды такие последовательные.

    С чего бы мне быть линуксоидом? oO

     
     
  • 8.131, zzz (??), 16:18, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Малварь малвари рознь Тебя послушать, так каждая первая малварь переписывает за... текст свёрнут, показать
     
     
  • 9.139, анонн (ok), 16:39, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Мне вот интересно, где ты такое от меня наслушал и чем И зачем тебе, умеющему о... текст свёрнут, показать
     
     
  • 10.144, zzz (??), 16:57, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Как ты определяешь, что прямо сейчас на твоем компе нет малвари Нон-стопом мони... текст свёрнут, показать
     
     
  • 11.150, анонн (ok), 17:17, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Посматриваю в logwatch, daily weekly security run output и все такое И ты очень... большой текст свёрнут, показать
     
  • 5.172, КО (?), 21:32, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >а загрузить с лайва, вытянуть полезные данные

    теперь то и будет проблематично.

     

     ....большая нить свёрнута, показать (17)

  • 1.20, Аноним (20), 10:18, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    к /dev/mem запретили доступ..

    а к содержимому активно-подключённого swap-файла?

     
  • 1.22, Аноним (22), 10:22, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А если я захочу залочить и integrity и confidentiality? Такой вариант возможен?
     
     
  • 2.23, Аноним (23), 10:25, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тогда у Вас вообще ничего работать не будет ;)
     
  • 2.25, Аноним (25), 10:27, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Судя по новости в confidentiality входят все ограничения integrity уже
     
     
  • 3.40, Аноним (22), 10:59, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Понятно, спасибо. Надо будет почитать более внимательно оригинал.
     

  • 1.24, матрас (?), 10:26, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    А что, selinux внезапно оказался бессилен?
     
  • 1.27, Аноним (38), 10:32, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    В дебиане и убунте эти lockdown патчи уже много лет применяются, про другие дистры не знаю.

    От того что теперь, наконец, их приняли в мейнлайн ничего не поменялось по сути

     
     
  • 2.81, Аноним (81), 13:44, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы об https://packages.debian.org/unstable/main/lockdown или о чём? Ссылку можно?
     
  • 2.140, Аноним (22), 16:42, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Пруфы будут?
     

  • 1.30, Яхз (?), 10:37, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    А для внесения изменений в защищённые области будет создан новый пользователь sroot, под которым официально нельзя будет войти в систему. Таким образом они переизобретут существующий с Висты в виндах SYSTEM, мвахахахаха, в смысле мяу :)
     
     
  • 2.32, Аноним (38), 10:42, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Для внесения изменений будет проверка цифровой подписи у модулей.
     
     
  • 3.44, Аноним (127), 11:07, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет, требование TEE. А если нет TEE - то такие пользователи вендорам неинтересны - их теперь не продашь, клиент привиредливый стал, требует, чтобы товар носил ошейник.
     
  • 2.37, Аноним (137), 10:51, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    SYSTEM и есть root.
     
     
  • 3.46, X86 (ok), 11:12, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    а Administrator тогда кто? UAC когда запрашивает повышение привилегий - дает именно права Administrator.
     
     
  • 4.60, Аноним (60), 12:05, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если на виндах включен UAC, то программы по-дефолту запускаются с привилегиями группы Users (от которой унаследована группа Administrators). Чтобы этого не происходило, надо где-то в политиках что-то переключить, но это сложно, про такое знают только вендоодмены с сертификатами.
     
  • 4.92, Аноним (137), 14:51, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > а Administrator тогда кто?

    Пользователь.

    > UAC когда запрашивает повышение привилегий - дает именно
    > права Administrator.

    С правами системы работает ядро и services.exe, они вне ACL.

     
     
  • 5.102, Аноним (75), 15:22, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо. Приятно послушать настоящего veteran unix admin-а, столько нового узнаёшь)
     
     
  • 6.118, Аноним (137), 15:43, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а про отличия Zw* Nt* Ps* вы и сами нагуглите.
     
  • 5.103, мяя (?), 15:22, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > они вне ACL

    Это не полностью справедливо, они в ACL, но ACL могут менять.

     
     
  • 6.104, мяя (?), 15:23, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Плюс там у служб есть свои какие-то ограничения и то что они работают от SYSTEM не значит что имеют всего его права.
     
     
  • 7.117, Аноним (137), 15:40, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Плюс там у служб есть свои какие-то ограничения и то что они
    > работают от SYSTEM не значит что имеют всего его права.

    Слыжбы, это которые запускаются в svchost.exe?

     
     
  • 8.163, мяя (?), 18:49, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да, насколько я помню они не имеют токена рабочего стола, то есть не могут показ... текст свёрнут, показать
     
     
  • 9.208, Аноним (137), 08:32, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так я ничего не писал по поводу тредов, запускаемых на выполнение в адресных про... текст свёрнут, показать
     
  • 6.116, Аноним (137), 15:39, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> они вне ACL
    > Это не полностью справедливо, они в ACL, но ACL могут менять.

    Треды ядра?)

     
  • 3.98, Anonymoustus (ok), 15:15, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > SYSTEM и есть root.

    Не всё так просто. В форточках ещё есть TrustedInstaller, который иногда тоже типа за root-а.

     
     
  • 4.123, Аноним (137), 15:54, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> SYSTEM и есть root.
    > Не всё так просто. В форточках ещё есть TrustedInstaller, который иногда тоже типа за
    > root-а.

    Открою тебе секрет. Там в ядре есть треды.

     
  • 4.181, Аноним (176), 23:00, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, он только для msiexec, и системы обновлений. Попробуйте убрать его с c:/windows/temp.
     
  • 2.42, arisu (ok), 11:05, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    …но потом окажется, что sroot имеет слишком большие полномочия, поэтому напишут модуль для ограничения этих полномочий, и добавят пользователя megaroot. и так ad infinitum.
     
  • 2.89, Аноним (89), 14:16, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Таким образом они переизобретут существующий с Висты в виндах SYSTEM

    Дык Лёня Поттеринг уже как бы накалякал...
    Сразу как только только ему стало скучно заниматься изнасилованиями аудио подсистемы...
    Или Вы где-то пропадали последние 10 лет?

     
     
  • 3.108, Аноним (75), 15:28, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Поттеринг изобрел пользователя root? Вот это успех!
    Ждём, когда он изобретёт TCP/IP, а то без сети хреново жить, голуби медленно летают.
     
     
  • 4.149, пох. (?), 17:16, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    накличешь, блин! тебе networkd и немонтирующихся при старте сетевых шар мало? (мы ж такие быстрые, такие быстрые, ой...файловые юниты уже перебрали, а сеть что-то там закопалась... да плевать на _netdev, устаревшее ненужно для баш-портянок, поехали быстре-быстрее, обгонять противные окаменелые иниты!)

     
     
  • 5.159, Аноним (75), 17:35, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Неужели он не висит на монтировании NFS при старте? Да я джвадцать лет ждал эту фичу! Задолбался с autofs костылять. Это уже аргумент, пожалуй, пора с sysV переползать.
     
     
  • 6.213, пох. (?), 08:47, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    нет, он висит еще и на отмонтировании - при шатдауне Вечно Там вообще НЕТ тайм... большой текст свёрнут, показать
     

  • 1.34, Аноним (34), 10:44, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Свершилось давно ожидаемое!Хоть и потайная каморка, но законная,а там и весь дом можно занять уже явно.До взлома ядра линокса осталось немного времени.Будет весело:)
     
  • 1.47, Аноним (47), 11:15, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    > Наиболее очевидным следствием подобной активности может стать обход UEFI Secure Boot или извлечение конфиденциальных данных, хранящихся на уровне ядра.

    UEFI сделает вашу жизнь лучше говорили они.

    напомните мне пожалуйста еще раз о преимуществах UEFI а то я размагнитился

     
     
  • 2.53, DerRoteBaron (ok), 11:34, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Установка нескольких ОС мультибутом без расстрела одного загрузчика другим.
    Возможность обеспечения цепи загрузки, взломать которую могут только Штеуд и АНБ, а не любой мимо крокодил с локальным доступом.
     
     
  • 3.58, Аноним (47), 12:03, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Установка нескольких ОС мультибутом без расстрела одного загрузчика другим.

    основные страдания происходят из за винды, а так ничто не мешает установить свой любимый загрузчик на отдельно выделенный раздел и грузить столько ОС сколько нужно
    > Возможность обеспечения цепи загрузки, взломать которую могут только Штеуд и АНБ, а не любой мимо крокодил с локальным доступом.

    так что получается, 'набор патчей "lockdown"' которые Линус принял на грудь это в назидание АНБ ?

     
     
  • 4.106, Аноним (75), 15:24, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > так что получается, 'набор патчей "lockdown"' которые Линус принял на грудь это в назидание АНБ ?

    Вы точно распарсили предложение, на которое отвечали?
    Для АНБ ничего не поменялось, у них бэкдоры в Intel ME/AMD PSP, которые клали на все программные защиты.

     
  • 3.96, Аноним (-), 15:04, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Установка нескольких ОС мультибутом без расстрела одного загрузчика другим.

    это проблемы конкретных ОС и их инсталлеров (и тех локалхостоадминов, кто эти ОС инсталлирует - тоже).

    http://freebsd.org/cgi/man.cgi?apropos=0&query=boot0cfg придумали очень, очень давно, и если устанавливаемая ОС пишет свой загрузчик в СВОЙ раздел, а не в чужие области диска - всё работает автоматически. Иначе - пишите баг-репорты, требуйте. А EFI не нужен от слова совсем.

     
     
  • 4.183, Аноним (176), 23:04, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Если на пека есть ефи фат32 раздел, в него будут копировать ефи файлы загрузчика инсталляторы, по крайней мере бубунты так делают. А кто так не умеет в 2019 то дистр. этого васяна и нафиг не нужен. По видимому ваша Фрибзд так не умеет, ну вот собственно никому она и не нужна.
     
     
  • 5.194, Аноним (194), 00:24, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы не поняли.

    Во-первых FreeBSD поддерживает как EFI, так и EFIFAT и прочее сопутствующее [censored].

    Во-вторых, сам EFI не нужен - аналогичная (по результату) функциональность в контексте этого разговора была доступна за много-много лет до EFI, на машинах с BIOS, при чём с меньшими затратами.

    В третьих, по теме новости - аналогичная функциональность была доступна в FreeBSD за много лет до версии LINUX 5.4, и это факты.

     
  • 3.197, artenox (?), 00:29, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    "Установка нескольких ОС мультибутом без расстрела одного загрузчика другим"
    У меня только один загрузчик в убунте. А при установке осей в дуалбут, я установку grub в них отключаю. Но позволяет это только Debian и openSUSE. Еще есть хак - подсунуть под grub ненужную флешку.
     
     
  • 4.198, artenox (?), 00:31, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И тоже не все дистры позволяют выбрать куда ставить grub. Например, Fedora не позволяет.
     
  • 4.199, Michael Shigorin (ok), 00:40, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А при установке осей в дуалбут, я установку grub в них отключаю.
    > Но позволяет это только Debian и openSUSE.

    Да ладно, alterator-grub тоже позволяет :-)

     
  • 2.65, Armagor (ok), 12:35, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А мне, пожалуйста, напомните, от какого вектора атаки защищает Secure Boot?
     
     
  • 3.68, arisu (ok), 12:48, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > А мне, пожалуйста, напомните, от какого вектора атаки защищает Secure Boot?

    ну как же: от пользователя, который желает поставить Неправильную ОС.

     
     
  • 4.72, Armagor (ok), 13:01, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это вывод, который невольно напрашивается сам собой. На вики дебиана пишут:
    >SB is a security measure to protect against malware during early system boot

    а есть вообще какие-нибудь примеры руткитов, которые так делают?

     
     
  • 5.91, Аноним84701 (ok), 14:27, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Это вывод, который невольно напрашивается сам собой. На вики дебиана пишут:
    >>SB is a security measure to protect against malware during early system boot
    >  а есть вообще какие-нибудь примеры руткитов, которые так делают?

    Ключевое слово тут "bootkit":
    Stoned Bootkit -> Whistler
    https://habr.com/ru/post/96850/

    Правда, если просто исключить возможность менять очередность бута "всем кому не лень", то тот же самый  эффект "сикурбута" эмулируется и в старом добром BIOS с помощью загрузки с флешки или CD (да хоть перфокарт) и проверки хеша незашифрованного блока загрузчика на диске – но это если бы действительно была такая цель, а не просто "отмазка" ;-)


     
     
  • 6.152, Armagor (ok), 17:21, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    О, большое спасибо за наводку и ссылку.
    Whistler - это самое близкое к оправданию существования секьюрбута, что я видел. Жаль, не известен инфектор буткита.
     
     
  • 7.157, Аноним84701 (ok), 17:32, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Stoned, хоть и был больше PoC, но ЕМНИП, PoC красивый - прописывался в MBR c по... большой текст свёрнут, показать
     
  • 6.189, Аноним (9), 23:43, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >то тот же самый  эффект "сикурбута" эмулируется и в старом добром BIOS с помощью загрузки с флешки или CD (да хоть перфокарт) и проверки хеша незашифрованного блока загрузчика на диске

    Всё гораздо проще. Есть SMM-модуль для биоса, запрещающий запись в загрузочный сектор вообще. Но граб в с ним активированным не обновите.

     
  • 4.88, Michael Shigorin (ok), 14:15, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ну как же: от пользователя, который желает поставить Неправильную ОС.

    В первую очередь -- именно от этой.  Причём то, как нагорбатили 32-битный UEFI, меня в этом наблюдении только утвердило.

     
     
  • 5.238, microsoft (?), 11:52, 02/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а мы тут причем У нас 32битная система стоит ровно столько же, сколько 64 - 0 ... большой текст свёрнут, показать
     
  • 3.77, Stax (ok), 13:17, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    К примеру, от атаки Evil Maid https://en.wikipedia.org/wiki/Evil_maid_attack
     
     
  • 4.80, DerRoteBaron (ok), 13:31, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А еще осложняет cold boot (в особенности при запаянной памяти)
     
     
  • 5.90, Аноним (90), 14:17, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мне кажется, что угроза cold boot из разряда страшилок, имеющих небольшую практическую угрозу в реальных условиях. Для нее практически надо, чтобы в руки атакующего попал невыключенный компьютер, и даже при этом без гарантий успеха.  Для защиты тут проще сделать задержку с подачей напряжений на память при reset. Впрочем она и так есть, вероятность, что в памяти что-то сохранилось после включения невелика.
     
  • 4.86, Аноним (90), 14:09, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Чтобы от этой атаки появилась хотя бы что-то чуть более, чем иллюзия защищенности, надо из UEFI удалить ВСЕ ключи, кроме собственноручно сгенерированных.  Вопрос, многие ли системы позволяют это сделать?

    При этом еще надеяться, что у атакующего нет бекдоров для SB и он не сможет, например, просто всю материнскую плату подменить или некоторые микросхемки с uefi перепаять на ней.

     
     
  • 5.142, Stax (ok), 16:47, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Погодите, а это почему Наличие ключа MS при условии, что приватным ключом MS ко... большой текст свёрнут, показать
     
     
  • 6.166, Аноним (90), 19:08, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Наличие ключа MS при условии, что приватным ключом MS кого попало не подписывает - не нарушает безопасность.

    Что знают двое - то знает и свинья (c) "17 мгновений весны".

    Нет уж, если действительно безопасность, то дайте мне возможность всё (включая винду, если ее использую) подписать своим и только своим ключом, который кроме меня вообще никто не знает.  А кому там MS дает, кому не дает  в таком случае не волнует совершенно.

     
     
  • 7.182, Stax (ok), 23:03, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, возможность у вас есть.
     
  • 6.167, AlexYeCu_not_logged (?), 19:26, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Наличие ключа MS при условии, что приватным ключом MS кого попало не подписывает - не нарушает безопасность.

    Собственно, это условие и не соблюдается. И, кстати говоря, не может быть соблюдено.

     
  • 6.185, Анонимный этот (?), 23:22, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Это очень правильная идея, на самом деле, и обидно что линуксу глубоко
    > безразлично, что там происходило до его загрузки - вот какое-то ядро
    > загрузилось, теперь вводи пассфразу от luks и пожалуйста, открыт полный доступ
    > к системе.

    А чем это хуже этого вашего "ключа Bitlocker"? И не полный доступ.

     
     
  • 7.186, Stax (ok), 23:25, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Есть разница между короткой пассфразой, выбранной пользователем и вводимой каждую загрузку и длинной специализированной, которая требуется только если произошло что-то подозрительное и изменилась цепочка загрузчика.
     
     
  • 8.190, Анонимный этот (?), 23:54, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то эта ваша длинная специализированная смахивает на очередное плацебо, пот... текст свёрнут, показать
     
     
  • 9.191, Stax (ok), 23:59, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В каком смысле не требуется Нет, оно будет требоваться даже если вернуть все на... текст свёрнут, показать
     
  • 6.239, microsoft (?), 11:56, 02/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    на минуточку - у нас не один ключ И ваши шимы мы подписываем _другим_ ключом Ч... большой текст свёрнут, показать
     
  • 5.180, Анонимный этот (?), 22:56, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > он не сможет, например, просто всю материнскую плату подменить или некоторые
    > микросхемки с uefi перепаять на ней.

    Ага. Не сможет. В ряде случаев.
    В других случаях проще будет изъять так сказать диск. А там своя защита работающая в паре с UEFI... Правда сейчас в том что в широкой так сказать продаже не очень работающая, но...
    Короче придётся атаккеру паять свою плату к своему компу... >:-)

     
  • 4.133, Armagor (ok), 16:22, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за ссылку.
    >An evil maid attack is an attack on an unattended device

    И чтобы защититься от такой атаки, мы делаем SB с Microsoft в качестве Certification Authority. Что бы могло пойти не так?

     
     
  • 5.188, Аноним84701 (ok), 23:34, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https www opennet ru opennews art shtml num 44950 И правда, что ... большой текст свёрнут, показать
     
     
  • 6.192, Stax (ok), 00:01, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А почитать внимательнее не судьба, да Тем, что утекло - свой зловредный загрузч... большой текст свёрнут, показать
     
     
  • 7.195, Аноним84701 (ok), 00:28, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Читать внимательно желательно оригинал https gist github com anonymous c94cad... большой текст свёрнут, показать
     

     ....большая нить свёрнута, показать (36)

  • 1.48, eganru (?), 11:17, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Если сделают один флаг в menuconfig, который это все разом отключает, то почему нет?
     
     
  • 2.52, Наненим (?), 11:34, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да они код скоро закроют, флаг,ага
     
  • 2.62, anonymous (??), 12:17, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Если сделают один флаг в menuconfig, который это все разом отключает, то почему нет?

    Потому что ядро будет прошито прямо в UEFI и поменять ты его не сможешь. Точнее не ядро, а его подпись. И те, кто подпись дают, отключать опцию в menuconfig не позволят.

     
     
  • 3.71, Аноним (71), 12:58, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зато исходники открыты смотри сколько угодно, а потом уже ешь то что дают.
     
     
  • 4.148, Аноним (148), 17:14, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Толку от открытости, если не сможешь свои изменения прошить в систему.
     
  • 4.169, anonymous (??), 20:00, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому GPLv3 лучше чем GPLv2. И именно поэтому линукс никогда не перейдёт на новый GPL.
     

  • 1.49, Аноним (49), 11:24, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В этом есть смысл. Не для этих ваших десктопов, но для серверов и (как ни странно) смартфончиков. Которые настраиваются раз, а потом работают в режиме только накатывания обновлений с / в режиме RO.
     
     
  • 2.51, Аноним (47), 11:29, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    может тогда проще будет переписать на микро ядерную архитектуру где по идее такой ситуации не должно возникнуть в принципе
     
     
  • 3.54, Аноним (49), 11:44, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Немного лучше? Да. Но не проще.
     
     
  • 4.59, Аноним (56), 12:04, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Но ведь с вейландом именно путем переписывания с нуля и пошли. Вы явно недооцениваете масштабы NIH-синдрома в опенсорсе.
     
     
  • 5.66, arisu (ok), 12:37, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Но ведь с вейландом именно путем переписывания с нуля и пошли.

    получилось, что характерно, полное гуано.

     
     
  • 6.107, Аноним (75), 15:25, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что бы ни получилось, всяко лучше, чем иксы.
    Потому что хуже сделать невозможно...
     
     
  • 7.110, arisu (ok), 15:32, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Что бы ни получилось, всяко лучше, чем иксы.
    > Потому что хуже сделать невозможно...

    это не ты там про невозможность создания неломаемого крипто рассказывал? если нет — беги туда, там твой собрат по отсутствию разума, будете чудесной парой.

     
     
  • 8.126, Аноним (75), 16:05, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, я второй анонимус, который над этим рассказчикам стeбaлся, с чего у вас под... текст свёрнут, показать
     
     
  • 9.129, arisu (ok), 16:09, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а, тот который не понял ответа странно, ведь интеллект у тебя такой же, как и у... текст свёрнут, показать
     
     
  • 10.158, Аноним (75), 17:33, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это хорошо, что вы объективно оцениваете интеллектуальный уровень своего круга о... текст свёрнут, показать
     
     
  • 11.162, Аноним (162), 17:42, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И таким людям кто-то дает root доступ Я бы таким людям root давал только после ... текст свёрнут, показать
     
     
  • 12.165, Аноним (164), 19:01, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Некоторым лучше не давать чтобы не размножались - ... текст свёрнут, показать
     
     
  • 13.221, Аноним (75), 11:29, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Нынче даже в коровниках серверы появились А от админа сервера в коровнике много... текст свёрнут, показать
     
  • 2.67, анонн (ok), 12:42, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Конечно есть у некоторых замшелых и отсталых уже лет 20 как есть code ... большой текст свёрнут, показать
     

     ....большая нить свёрнута, показать (13)

  • 1.50, Аноним (47), 11:26, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    осталось добавить в систему уровень гада(god) и будет зашибись
     
     
  • 2.168, Аноним (168), 19:59, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Он уже там, intel me, amd psp, на них очевидно предложенная в новости "защита" не распространяется.
     

  • 1.55, Анонимно (?), 11:53, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    и все это выполняется на мельтдаунах и спектре процессорах. Б - безопастность
     
     
  • 2.161, Аноним (162), 17:38, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Представь что теперь без решения вендора никто не сможет использовать ядро с патчем от уязвимости. Представь что мельтдаун есть, а Интел такая решит нефиг вам патчи в ядро сувать мы их не одобряем, никакой уязвимости нет, используйте то что даем или дохлый амд. Это не баг, а фича.
     

  • 1.69, Аноним (71), 12:53, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Линус посмотрел на Столлмана и решил не выёживаться. Второй отпуск ему уже вряд ли дадут.
     
  • 1.70, Аноним (70), 12:55, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Подготовка инфраструктуры для drm и прочих зондов.
     
  • 1.78, Ананд (?), 13:26, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Закончится как на Mac OS
    https://en.wikipedia.org/wiki/System_Integrity_Protection
    Ограничат досту root для разных "важных" каталогов вроде /bin, /sbin
     
  • 1.85, _kp (ok), 14:00, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Linux  1991-2019
    Linuk$ 2019..
    А там и окончательно "доработают" ядро для запуска window$
    С такими патчами кончится тем, что.. Торвальдс внезапно покинул...
     
     
  • 2.236, Торвальц (?), 11:30, 02/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    да щас, внезапно кинул... Кинешь тут, когда ипотека, дочка-идиотка, каждый потенциальный работодатель вспоминает трансмету. Так и буду до впадения в полный маразм ишачить на редгад.

    Скорее уж самого кинут, но им пока незачем - я и так нормально реализую их хотелки. Точнее, комичу неглядя все что не понаприсылают с правильных From:

     
     
  • 3.243, Anonymoustus (ok), 17:40, 02/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > да щас, внезапно кинул... Кинешь тут, когда ипотека, дочка-идиотка, каждый потенциальный
    > работодатель вспоминает трансмету. Так и буду до впадения в полный маразм
    > ишачить на редгад.

    Обидные слова пишешь про Линуса, обидные. Особенно про дочку-идиотку. Но правдивы твои слова, правдивы.

     

  • 1.93, Anonymoustus (ok), 14:52, 30/09/2019 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     

     ....ответы скрыты (3)

  • 1.128, Аноним (128), 16:08, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ссылка на альтернативу: https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configu
     
  • 1.173, Аноним (173), 21:42, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну вот вы себя поставьте на место вендора, у него бигдата на пользователя собирается-обрабатывается-продается, а вы берете и все сносите и блочите, да так что сам google выпиливается, а еще там разные фаерволы adblock в hosts, ну кому это интересно. Правда таких 1/1000000 процентов, поэтому сомнительно все выше перечисленное для этих целей. А если спецОС, то там наверное умеют компилировать, правда там компилятор тоже "пропатчен" особым образом, но на то только узкий круг имеет доступ, наверное. Но помните если до вас вдруг "домагаются" значит Вас "любят", может сзади, а может спереди, по крайней мере в чьих-то фантазиях, может и в собственных. Короче не пускайте жизнь по ветру из-за всякой х..ни, если это не "гостайна", или если вы не "хакер" и не знающий своих Хозяев.
     
  • 1.203, Аноним (203), 02:33, 01/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    root может modprobe чего угодно, что все эти ограничения может снять.

    // b.

     
     
  • 2.215, SR_team (?), 09:25, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то у меня на телефончике нет никакого modprobe
     
  • 2.223, Аноним (6), 12:21, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > root может modprobe чего угодно, что все эти ограничения может снять.

    Левые модули грузить не получится, так как в режиме верифицированной загрузки можно грузить только модули, заверенные той же цифровой подписью, что и само ядро.


     
     
  • 3.228, Аноним (203), 15:45, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В новости нет ни слова про secure (boot) UEFI.

    // b.

     
     
  • 4.230, sage (??), 18:46, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Э… Эти патчи, в основном, только для работы с Secure Boot, и в новости об этом написано.
     

  • 1.214, Аноним (212), 08:48, 01/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Откуда эти люди в комментах взяли вендоров, телефоны и ведро, я не понимаю
     
     
  • 2.216, Аноним (216), 09:38, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тараканы в голове нашептали.
     

  • 1.219, Аноним (219), 11:22, 01/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Они там что, с машиной Тьюринга вся жизнь борьба?
     
  • 1.222, Zenitur (ok), 12:05, 01/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дайте угадаю - root "порезали", потому что Systemd имеет уязвимость?
     
     
  • 2.225, Аноним (219), 13:18, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да, угадал! У всего есть уязвимость, это все можно выпилить и выбросить. Но видать кто-то очень не хочет.
     

  • 1.241, rihad (ok), 15:25, 02/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это ядро само выпустило патч для себя? Восстание машин не за горами )
     
  • 1.242, сосед (?), 17:23, 02/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://www.opennet.ru/docs/RUS/lids/lids1.html - давно все уже придумано, зачем опять велосипед?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру