| 1.1, Аноним (1), 12:31, 15/09/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
Надеюсь когда-нибудь я увижу такую же сноску про Раст.
"Об особенностях реализации безопасной работы с памятью в Rust можно прочитать в первом анонсе проекта".
Камень в огород редакции.
| | |
| |
| |
| 3.13, Анонин (?), 16:23, 15/09/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Скорее всего к повторяющемуся описанию "Безопасная работа с памятью обеспечивается..." из новости в новость про релиз раста. Такое ощущение, что новостедел бере просто тест с предыдущего релиза и заменяет часть текста на новый.
| | |
|
|
| |
| 2.23, Аноним (23), 06:32, 16/09/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Мне нравится больше классический подход:
Строгое W^X
Для неизменяемых данных строгое RO
> предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов
Считаю все технологии позволяющие вносить любые изменения в работающие ядро - БЕКДОРОМ!
Все что исполняется никогда не должно изменятся, а что изменяется никогда не должно исполнятся. Это фундамент ИТ ИБ определён математиками в конце 1960-тых и принят как стандарт в 1983г. Нарушать его нельзя.
Все технологии требующие WX надо выкинуть с ядра, системного и прикладного ПО, это самый минимум для ИБ.
А ловить вири, когда те уже ЗАПУСТИЛИСЬ С ПРАВАМИ ЯДРА в системе, неблагодарное занятие.
Еще один аналогичный плохой пример:
eBPF-based Security Observability and Runtime Enforcement solution, named Tetragon,(Isovalent) https://grsecurity.net/tetragone_a_lesson_in_security_fundamentals
| | |
|
| |
| 2.17, Аноним (17), 19:43, 15/09/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> This repository has been archived by the owner on Aug 29, 2023. It is now read-only.
Не будет?
| | |
| |
| 3.19, Аноним (4), 20:25, 15/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
Долго приходилось самостоятельно поддерживать работоспособность и копаться в ядре. Удовольствие не из приятных, учитывая частоту, с которой патчи отваливались. Вот бы кто-нибудь подхватил, отличная вещь была же.
| | |
| |
| 4.20, Аноним (20), 21:23, 15/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
В красивой упаковке передайте Linux Foundation, типа как Мазила свои разработки. ;)
| | |
|
|
|
| 1.5, swarus (ok), 12:45, 15/09/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 первый антивирус онли Linux на старт, смотрите что популярность творит
| | |
| 1.6, Аноним (6), 13:13, 15/09/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А что если в модуле по защите от уязвимостей тоже есть уязвимость 🤔?
| | |
| |
| 2.7, Аноним (7), 13:33, 15/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
То это не уязвимость, а фича, кого надо фича.
Название смотрим: Openwall > open wall > открой стену.
| | |
|
| 1.9, Аноним (9), 14:38, 15/09/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Вызывает проблемы со звуком на некоторых сочетаниях аудиокарт и процессоров (у меня - двухядерный, на 8ядерном я проблем не слышал, но это не значит, что их не было).
Неплохо бы сделать модуль PipeWire, который будет отключать LKRG во время воспроизведения звука, как временный костыль.
| | |
| |
| 2.16, 1 (??), 17:34, 15/09/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Неплохо бы сделать модуль PipeWire, который будет отключать LKRG во время воспроизведения звука, как временный костыль.
Подменять его функции и сигналить сиреной в колонки если зловред пытается нарушить структуры ядра.
P.S. Разве Kernel Panic не защищает ядро от нарушения структур ядра ?
| | |
| |
| 3.21, Минона (ok), 22:02, 15/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
 Паника это следствие каких то нарушений в ядре, а не превентивная мера защиты от них.
| | |
|
|
| 1.10, Аноним (10), 14:40, 15/09/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>В usermodehelper в список разрешённых файловых путей добавлен /usr/bin/modprobe, используемый в Arch Linux.
А не проще ли список путей грузить из файла? Если уже есть рут, то терять особо нечего, а если рута нет - то файл особо и не модифицировать (ну разве что грязной коровой).
| | |
| |
| 2.22, Аноним (22), 23:55, 15/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
А если файл недоступен, что делать? А если доступен, но неправильного формата? А если прочиталась только половина файла? А если… Короче, такие вещи лучше захардкодить сразу, чем потом ифать каждый угол. Динамическая конфигурация сама по себе дыра в безопасности.
| | |
| |
| 3.31, Аноним (31), 20:46, 16/09/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
>А если
>Короче, такие вещи лучше захардкодить
А если захардкодишь неверно? А если во рту грибы выросли?
>А если файл недоступен, что делать?
Отключать эту защиту, писать в dmesg.
>А если доступен, но неправильного формата?
Отключать эту защиту, писать в dmesg.
>А если прочиталась только половина файла?
Если ошибка чтения - отключать эту защиту, писать в dmesg.
Если нет ошибки чтения - применять все прочитанные пути, включать защиту. Если у тебя сбойный диск - то ты не можешь гарантировать, что сам модуль ядра и вообще сам бинарь ядра верно прочитан. В таких условиях все гарантии аннулированны и ты вообще должен сказать спасибо, что у тебя хоть что-то работает.
| | |
|
|
| |
| 2.29, Аноним (27), 15:19, 16/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
Сдается мне, что установить не самое главное.
Тут важно, как правильно приготовить и как его есть
| | |
|
| |
| 2.33, Пряник (?), 12:03, 18/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
Вопрос времени. Другой вопрос: почему не использовать AppArmor, SELinux?
| | |
|
| 1.25, Аноним (27), 13:20, 16/09/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Kernel Self Protection Settings
Whonix uses strong Kernel Hardening Settings as recommended by the Kernel Self Protection Project (KSPP).
| | |
|
