forum.opennet.ru - "Проект OpenPaX развивает аналог механизмов защиты Grsecurity/PaX для ядра Linux" (50)

"Проект OpenPaX развивает аналог механизмов защиты Grsecurity/PaX для ядра Linux"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Проект OpenPaX развивает аналог механизмов защиты Grsecurity/PaX для ядра Linux"	+/–
Сообщение от opennews (?), 31-Окт-24, 09:37
Компания Edera, развивающая решения для защиты инфраструктуры Kubernetes и AI-систем, представила проект OpenPaX, представляющий собой... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62143
Ответить \| Правка \| Cообщить модератору

Оглавление

Параноики напряглись , Афроним (?), 09:37 , 31-Окт-24, (1) +4

а когда это они успели расслабиться, а , Аноним (3), 09:54 , 31-Окт-24, (3) +17

Наверное, в прошлой жизни , Аноним (5), 10:03 , 31-Окт-24, (5) +5

Участники секты Свидетелей Тысячеглаза догадались, что их обнуляют, и принялись , n00by (ok), 12:19 , 31-Окт-24, (17) +1

Гики сидят на коре дуба и в ус не дуют, а остальным придется изворачиваться , Афроним (?), 12:40 , 31-Окт-24, (21)
Покерфейс - это интерфейс к Покеру , Аноним (23), 13:01 , 31-Окт-24, (23)

Это интерфейс поккера - face of pokker devil , голос_из_леса (ok), 14:33 , 31-Окт-24, (28)
Скрыто модератором, Аноним (-), 16:25 , 31-Окт-24, (35)
Покерфейс - это когда ставки сделаны, у партнёров флешрояль, а эксперт невозмути, n00by (ok), 11:42 , 01-Ноя-24, (47) +1

Если выбирая сторону сильных думаешь, что так всегда будешь на коне, то нет, э, Тысячеглаз рулез (?), 21:42 , 31-Окт-24, (41)

Откуда взялись кони В народном творчестве за морём тёлушка полушка , а тут , n00by (ok), 11:38 , 01-Ноя-24, (46)

Принцип неуловимого Джо пока неплохо работает Поставь любой дырявый linux vpn f, Megacock (ok), 21:43 , 31-Окт-24, (42)

У меня ещё лет 20 назад логи тестовых веб-серверов были забиты запросами, направ, AlexYeCu (ok), 13:24 , 01-Ноя-24, (48) +2

Боты ломятся за вполне определенными и легко эксплуатируемыми уязвимостями, как , Megacock (ok), 22:03 , 01-Ноя-24, (56)

Чел,вот зачем такую простыню писать Читать устанешь , Афроним (?), 14:17 , 01-Ноя-24, (49) –1

Чукча не читатель , Megacock (ok), 22:30 , 01-Ноя-24, (57) +1

Ну вот, теперь придётся ещё и OpenPaX отключать при каждой установке , Соль земли (?), 09:49 , 31-Окт-24, (2) +3
Похоже что авторы программы огорчились почему их бекдоров нет в ядре и решили са, Аноним (5), 10:02 , 31-Окт-24, (4) +5

Пока их патчины не навязывают в глотку всем - любо , Жироватт (ok), 10:33 , 31-Окт-24, (9) +1

Окно овертона, тогда и поговорим , а когда пришли за мной и прочием мемы про , Аноним (5), 13:34 , 31-Окт-24, (25) +3

Всегда прикол Не вижу никакой причины не отпустить шутку черного юмора Так он и, Аноним (-), 13:47 , 31-Окт-24, (27)

Так то товарищ и говорит что не надо ничего делать потому что любо Дальше давай, Аноним (5), 14:49 , 31-Окт-24, (30)
Так и замечательно, не будет больше выжирать в одно рыло всю полосу у провайдера, YetAnotherOnanym (ok), 16:18 , 31-Окт-24, (33)

А DRM будет , Аноним (7), 10:09 , 31-Окт-24, (7)

Его и без этого можно сделать Видишь ли, польза пушки очень сильно зависит от т, Аноним (37), 20:45 , 31-Окт-24, (37)

На что только готовы погромисты, лишь бы дырявый код продолжать писать А защит, Аноним (-), 11:37 , 31-Окт-24, (12)

Согласен, нет бы сразу на расте и питоне писать, Аноним (-), 11:48 , 31-Окт-24, (13) +2
128ядерный кластер с жидкостным охлаждением 640 гигабайт рамы в домашнем ПК-ба, Жироватт (ok), 12:11 , 31-Окт-24, (15) +1

Тут даже пожизненная кАмпЕляция в BHC-релизенгах не поможет , n00by (ok), 12:27 , 31-Окт-24, (18) +1
Ого ты выдал Прямо буллщит бинго Правильно я понимаю, что ты из тех, кто готов , Аноним (-), 12:29 , 31-Окт-24, (19) –1

Вин 98 светили в локальную сеть годами При том что была возможность с ними дела, Аноним (5), 13:38 , 31-Окт-24, (26) –1

ГыГы, а ты смешной Тогда локальные сети были только в организациях - и чем там , Pahanivo (ok), 15:14 , 31-Окт-24, (32)

Про пикоядро забыл упомянуть , Аноним (23), 13:04 , 31-Окт-24, (24)
А чего такое хилое то Уже вон Ampere 192 и даже 256 ядер выкатили Впрочем AMD , Аноним (39), 20:48 , 31-Окт-24, (39)
В цитатник , bdrbt (ok), 09:21 , 01-Ноя-24, (45)

Через 10 лет закроются и будут продавать по 300 000 за патч , pavlinux (ok), 20:22 , 31-Окт-24, (36)

Возможно, это их полное право Но 1 даже столлман говорил что GPL это не обязател, Аноним (40), 21:05 , 31-Окт-24, (40) +1

Они могли бы и во время развивать, а смена лицензии стала бы вообще невозможна, Аноним (43), 21:48 , 31-Окт-24, (43)

Oй oтcтoй 1 добавим свой член в tasc_struct- mm_stuct current- mm- pax_f, pavlinux (ok), 20:47 , 31-Окт-24, (38)

Ты просто не понимаешь о чём говоришь Исключить выполнение для страниц доступны, Тролололо (?), 14:45 , 01-Ноя-24, (51)

Он не про это говорит, а про детали реализации того must have , n00by (ok), 19:19 , 01-Ноя-24, (55)

Ложь Читаем пункт 2 B лицензии GPL-2 https www opennet ru openforum vsluhf, Аноним (50), 14:25 , 01-Ноя-24, (50)

Сразу видно человека далёкого от разработки ядра Это много где востребованно и , Тролололо (?), 14:51 , 01-Ноя-24, (52)

У меня в системе запрещено и нигде не используется Писать правильно надо, чтоб , Аноним (50), 16:49 , 01-Ноя-24, (53)
Все ПО обычного пользователя должно работать без привилегий Привилегии нужны не , Аноним (50), 16:54 , 01-Ноя-24, (54)

должно онониму с интернета это именно то, что аноним выше предлагает лимитироват, мяв (?), 09:42 , 02-Ноя-24, (58)

https www opennet ru openforum vsluhforumID10 5622 htmlCAP не для раздачи прив, Аноним (59), 20:24 , 02-Ноя-24, (59)

сами решили свою неграмотность показать возможности caps нужны что б приложения, мяв (?), 23:43 , 02-Ноя-24, (60)

CAP разработан в конце 1970-тых, начала 1980-тых для UNIX как расширение безопас, Аноним (61), 09:11 , 03-Ноя-24, (61)

С full привилегиями в системе не должен работать ни один процесс pscap не долже, Аноним (62), 09:04 , 04-Ноя-24, (62)

Сообщения [Сортировка по времени | RSS]

1. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +4 +/–

Сообщение от Афроним (?), 31-Окт-24, 09:37

Параноики напряглись.

Ответить | Правка | Наверх | Cообщить модератору

3. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +17 +/–

Сообщение от Аноним (3), 31-Окт-24, 09:54

а когда это они успели расслабиться, а?

Ответить | Правка | Наверх | Cообщить модератору

5. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +5 +/–

Сообщение от Аноним (5), 31-Окт-24, 10:03

Наверное, в прошлой жизни!

Ответить | Правка | Наверх | Cообщить модератору

17. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +1 +/–

Сообщение от n00by (ok), 31-Окт-24, 12:19

> Параноики напряглись.
Участники секты Свидетелей Тысячеглаза догадались, что их обнуляют, и принялись делать покерфейс.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

21. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Афроним (?), 31-Окт-24, 12:40

Гики сидят на коре дуба и в ус не дуют, а остальным придется изворачиваться.

Ответить | Правка | Наверх | Cообщить модератору

23. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Аноним (23), 31-Окт-24, 13:01

Покерфейс - это интерфейс к Покеру?

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

28. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от голос_из_леса (ok), 31-Окт-24, 14:33

Это интерфейс поккера - face of pokker (devil). ))

Ответить | Правка | Наверх | Cообщить модератору

35. Скрыто модератором +/–

Сообщение от Аноним (-), 31-Окт-24, 16:25

> Покерфейс - это интерфейс к Покеру?
Ну зот не к полупокеру.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

47. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +1 +/–

Сообщение от n00by (ok), 01-Ноя-24, 11:42

Покерфейс - это когда ставки сделаны, у партнёров флешрояль, а эксперт невозмутимо заявляет "всем водки, всем икры! медведей сюда и цыганей -- бюджет всё равно не мой"

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

41. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Тысячеглаз рулез (?), 31-Окт-24, 21:42

Если выбирая сторону "сильных" думаешь, что так всегда будешь на коне, то нет, этим самым конём и будешь.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

46. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от n00by (ok), 01-Ноя-24, 11:38

> Если выбирая сторону "сильных" думаешь, что так всегда будешь на коне, то
> нет, этим самым конём и будешь.
Откуда взялись кони? В народном творчестве "за морём тёлушка полушка...", а тут её бесплатно отдают.

Ответить | Правка | Наверх | Cообщить модератору

42. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Megacock (ok), 31-Окт-24, 21:43

Принцип неуловимого Джо пока неплохо работает. Поставь любой дырявый linux/vpn/firewall/mongodb/ПО на java использующее Log4j в небольшую компанию и вопрос взлома откладывается на годы. Я редко патчу exim, у меня нет и десятка пользователей и спам-фильтра. Всю некондицию я банально отправляю в /dev/null. И работает. Уже лет 8-9 как. За это время в спам-репорт не пришло, ни уведомлений о том что ваш сервер в блэк-листах, ни одного abuse со стороны хостера. Один раз пришло письмо что хостер мной "недоволен". Но это быстро удалось опровергнуть - просто поискать свой адрес в "черных" списках и указать, что в списках подсеть /16, а не конкретно я. При этом большая часть подсети хостеру не принадлежит. Благо опыт исключения из блэклистов у меня богатый, я раньше администрировал корпоративный почтовик. Потому поиск причин много времени не занял.
Вишенка на торте. На том хостере, что пожаловался и почтовика-то не было, иначе последствия я бы раньше заметил в виде недоходящих писем или писем отправляемых в спам.
С другой стороны, вот пример атаки на относительно крупную компанию 1000-2000 рабочих мест разбросанных по сотням филиалов от 1-2 до 10 машин + 100 в центральном офисе + 10-30 в региональных + 40 серверов. Шифровальщик присланный в отдел кадров смог вывести из строя три компа у HR. Вот Win32.Kido был гораздо большей проблемой в нулевые. Но к моменту атаки домены и файловые серверы на samba +POS-терминалы на java+linux + мобильные терминалы на winCE, а будь там вся инфраструктура основана на современном MS?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

48. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +2 +/–

Сообщение от AlexYeCu (ok), 01-Ноя-24, 13:24

>Принцип неуловимого Джо пока неплохо работает.
У меня ещё лет 20 назад логи тестовых веб-серверов были забиты запросами, направленными на попытку замены прошивки роутеров популярных моделей через уязвимости в вебморде и телнете. Это всё давно автоматизировано, никакого особого внимания привлекать не надо. Что до нужности: для добавления в ботнет годится — значит нужно.
Знакомый в одной мелкой конторе работал, как-то ради смеха визуализировали запросы к его серверам (была какая-то софтина, что из логов сервера делала анимацию на манер Арканоида, где шарики запросы изображали),было забавно видеть, как несколько раз в сутки боты долбятся по несуществующим адресам этакой струёй запросов.
Ещё помню, эта активность резко сошла на нет, когда египетское правительство из-за беспорядков в стране рубануло доступ населению.
Ещё лет 5 назад попытка выставить ненастроенный прокси в инет в течение 5 минут приманивала туда легион китайцев.
Так что принцип Джо давно уже не работает. Прмерно со времён изобретения ботов.

Ответить | Правка | Наверх | Cообщить модератору

56. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Megacock (ok), 01-Ноя-24, 22:03

Боты ломятся за вполне определенными и легко эксплуатируемыми уязвимостями, как правило в web. exim уж точно не самая популярная цель в этом плане. Останавливаться и целенаправленно ломать его ботоводам не интересно, когда есть много других "вкусных" целей. Да и сама идея взлома VPS для ботнета, так себе - заметно, разве что командный центр разместить или сервер раздачи. По моим наблюдениям, никто даже нестандартные порты не сканирует:
1. Проверили web.
2. Если нет или быстро забанили, то проверили SSH или RDP.
3. Если та же песня с баном, то пошли дальше, может потом когда вернутся.
Притом там не то чтобы какие-то изощренные методы атаки, просто проверили уязвим ли web, и попробовали перебрать пароли. Все. Из всего перечисленного только RDP может проблем доставить, т. к. ддосится легко. При большой атаке не пускает владельца VPS. Нут так нечего выставлять наружу. Есть vpn, там пусть хоть обддосятся. Но не будут, много других легких целей.

Ответить | Правка | Наверх | Cообщить модератору

49. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." –1 +/–

Сообщение от Афроним (?), 01-Ноя-24, 14:17

Чел,вот зачем такую простыню писать? Читать устанешь.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

57. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +1 +/–

Сообщение от Megacock (ok), 01-Ноя-24, 22:30

"Чукча не читатель".

Ответить | Правка | Наверх | Cообщить модератору

2. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +3 +/–

Сообщение от Соль земли (?), 31-Окт-24, 09:49

Ну вот, теперь придётся ещё и OpenPaX отключать при каждой установке.

Ответить | Правка | Наверх | Cообщить модератору

4. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +5 +/–

Сообщение от Аноним (5), 31-Окт-24, 10:02

Похоже что авторы программы огорчились почему их бекдоров нет в ядре и решили сами их внедрить под предлогом борьбы с  другими бекдорами.

Ответить | Правка | Наверх | Cообщить модератору

9. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +1 +/–

Сообщение от Жироватт (ok), 31-Окт-24, 10:33

Пока их патчины не навязывают в глотку всем - любо.

Ответить | Правка | Наверх | Cообщить модератору

25. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +3 +/–

Сообщение от Аноним (5), 31-Окт-24, 13:34

Окно овертона, "тогда и поговорим", "а когда пришли за мной" и прочием мемы про то что сначала вроде прикол, а потом у тебя ютуб не грузится и ты ничего не можешь сделать.

Ответить | Правка | Наверх | Cообщить модератору

27. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Аноним (-), 31-Окт-24, 13:47

> Окно овертона, "тогда и поговорим", "а когда пришли за мной" и прочием мемы про то что сначала вроде прикол,
Всегда прикол) Не вижу никакой причины не отпустить шутку черного юмора.
> а потом у тебя ютуб не грузится и ты ничего не можешь сделать.
Так он и не грузится потому что ты "ничего не делал")
От такие пироги с котятами.

Ответить | Правка | Наверх | Cообщить модератору

30. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Аноним (5), 31-Окт-24, 14:49

Так то товарищ и говорит что не надо ничего делать потому что любо. Дальше давай думай сам. Разворачивай аналогию.

Ответить | Правка | Наверх | Cообщить модератору

33. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от YetAnotherOnanym (ok), 31-Окт-24, 16:18

Так и замечательно, не будет больше выжирать в одно рыло всю полосу у провайдера.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

7. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Аноним (7), 31-Окт-24, 10:09

А DRM будет?

Ответить | Правка | Наверх | Cообщить модератору

37. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Аноним (37), 31-Окт-24, 20:45

> А DRM будет?
Его и без этого можно сделать. Видишь ли, польза пушки очень сильно зависит от того с какой стороны от нее ты находишься и куда она повернута.

Ответить | Правка | Наверх | Cообщить модератору

12. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Аноним (-), 31-Окт-24, 11:37

> механизм W^X
> механизм эмуляции с функциями-трамплинами
> методы защиты могут нарушить нормальную работу JIT-компиляторов
На что только готовы погромисты, лишь бы дырявый код продолжать писать)))
А защиту где-то там размажем.

Ответить | Правка | Наверх | Cообщить модератору

13. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +2 +/–

Сообщение от Аноним (-), 31-Окт-24, 11:48

Согласен, нет бы сразу на расте и питоне писать

Ответить | Правка | Наверх | Cообщить модератору

15. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +1 +/–

Сообщение от Жироватт (ok), 31-Окт-24, 12:11

128ядерный кластер с жидкостным охлаждением / 640 гигабайт рамы в домашнем ПК-балдёжнике точно хватит, чтобы запустить БЕЗОПАСНЫЙ стек от низкоуровнего БЕЗОПАСНОГО ассемблера до БЕЗОПАСНЫХ js-скриптов внутри интерпретатора внутри песочницы браузерного движка внутри контейнера внутри прозрачной виртуалки над интерпретируемым сервисом поверх БЕЗОПАСТНОСТНОГО и ВЕРИФИЦИРОВАННОГО микроядра, крутящегося поверх ещё более безопасного наноядра?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

18. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +1 +/–

Сообщение от n00by (ok), 31-Окт-24, 12:27

Тут даже пожизненная кАмпЕляция в BHC-релизенгах не поможет.

Ответить | Правка | Наверх | Cообщить модератору

19. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." –1 +/–

Сообщение от Аноним (-), 31-Окт-24, 12:29

Ого ты выдал! Прямо буллщит бинго.
Правильно я понимаю, что ты из тех, кто готов голым задом светить?
Ну типа если комп - проходной двор, то "ничего страшного, дело житейское"?

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

26. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." –1 +/–

Сообщение от Аноним (5), 31-Окт-24, 13:38

Вин 98 светили в локальную сеть годами. При том что была возможность с ними делать  через локальную сеть скажем так очень многое.

Ответить | Правка | Наверх | Cообщить модератору

32. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Pahanivo (ok), 31-Окт-24, 15:14

ГыГы, а ты смешной. Тогда локальные сети были только в организациях - и чем там искать, когда файло и базы лежали на каком-нибудь новел-нетваре?

Ответить | Правка | Наверх | Cообщить модератору

24. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Аноним (23), 31-Окт-24, 13:04

Про пикоядро забыл упомянуть.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

39. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Аноним (39), 31-Окт-24, 20:48

> 128ядерный кластер с жидкостным охлаждением / 640 гигабайт рамы в домашнем ПК-балдёжнике
> точно хватит, чтобы запустить БЕЗОПАСНЫЙ стек от низкоуровнего БЕЗОПАСНОГО ассемблера
> до БЕЗОПАСНЫХ js-скриптов
А чего такое хилое то? Уже вон Ampere 192 и даже 256 ядер выкатили. Впрочем AMD тоже смогли столько в EPYC, хоть и "dense" огрызки урезаные. А у тебя 128 всего - фу, прошлый век.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

45. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от bdrbt (ok), 01-Ноя-24, 09:21

В цитатник!!!

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

36. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от pavlinux (ok), 31-Окт-24, 20:22

Через 10 лет закроются и будут продавать по 300.000$ за патч?

Ответить | Правка | Наверх | Cообщить модератору

40. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +1 +/–

Сообщение от Аноним (40), 31-Окт-24, 21:05

Возможно, это их полное право.
Но
1 даже столлман говорил что GPL это не обязательно бесплатно
2 все десять лет потреблятели будут получать код нахаляву
3 весь код до смены лицензии останется открытым и пользователи смогли бы сами его развивать и дальше, если бы не были такими бесполезными

Ответить | Правка | Наверх | Cообщить модератору

43. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Аноним (43), 31-Окт-24, 21:48

> пользователи смогли бы сами его развивать и дальше, если бы не были такими бесполезными
Они могли бы и "во время" развивать, а смена лицензии стала бы вообще невозможна, если бы держатели лицензии не требовали передавать им права на каждый пулл-реквест.

Ответить | Правка | Наверх | Cообщить модератору

38. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от pavlinux (ok), 31-Окт-24, 20:47

Oй oтcтoй ....
1. добавим свой член в tasc_struct->mm_stuct:  current->mm->pax_flags
2. устанoвим фляг:

if (snapshot_randomize_va_space) {
        set_bit(PAXF_RANDMMAP, ¤t->mm->pax_flags);
}

3. Проверим фляг:

#ifdef CONFIG_OPENPAX
        && test_bit(PAXF_RANDMMAP, ¤t->mm->pax_flags)
#endif

Проверка флага в бинарнике ... parse_flag('r', 'R', PAXF_RANDMMAP);
Фляг в файл пишется естественно "своей новой" утилью (ниасилили objcopy)
Так работают все детские системки защиты.  :D

Ответить | Правка | Наверх | Cообщить модератору

51. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Тролололо (?), 01-Ноя-24, 14:45

Ты просто не понимаешь о чём говоришь. Исключить выполнение для страниц доступных для записи и наоборот это must have.

Ответить | Правка | Наверх | Cообщить модератору

55. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от n00by (ok), 01-Ноя-24, 19:19

Он не про это говорит, а про детали реализации того "must have".

Ответить | Правка | Наверх | Cообщить модератору

50. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Аноним (50), 01-Ноя-24, 14:25

> аналог набора патчей PaX от проекта Grsecurity, который с 2017 года поставляется только в составе платного продукта.
Ложь. Читаем пункт 2.B лицензии GPL-2 !!!
https://www.opennet.ru/openforum/vsluhforumID3/120167.html#80
https://www.linux.org.ru/forum/linux-hardware/7895968?cid=16...
> при маппинге страниц памяти механизма W^X (write XOR execute), не допускающем создание страниц памяти, одновременно доступных на запись и исполнение, а также блокирующем смену типа маппинга страниц с записи на исполнение.
Для обеспечения корректной работы ядра OS с памятью необходимо и достаточно:
  1. запрет изменения на исполняемую области памяти которая исполняемой не создавалась (W^X),
  2. запрет изменения на запись памяти которая выделена как исполняемая (W^X),
  3. запрет создания исполняемой памяти из анонимной памяти (W^X),
  4. запрет изменения на запись памяти выделеной только для чтения (RELRO).
https://www.opennet.ru/openforum/vsluhforumID3/129886.html#312
Компилятор важен, но гарантии безопасности должны быть даны во время исполнения процом и ядром OS.
https://www.opennet.ru/openforum/vsluhforumID3/129886.html#310

Ответить | Правка | Наверх | Cообщить модератору

52. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Тролололо (?), 01-Ноя-24, 14:51

>3. запрет создания исполняемой памяти из анонимной памяти (W^X),
Сразу видно человека далёкого от разработки ядра. Это много где востребованно и должно быть, но для этого нужно ввести новую привелегию типа CAP_ANON_MAP_EXEC.

Ответить | Правка | Наверх | Cообщить модератору

53. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Аноним (50), 01-Ноя-24, 16:49

>> 3. запрет создания исполняемой памяти из анонимной памяти (W^X),
> Это много где востребованно и должно быть
У меня в системе запрещено и нигде не используется. Писать правильно надо, чтоб дыр не было.
> Сразу видно человека далёкого от разработки ядра
Забросил лет 15 назад.

Ответить | Правка | Наверх | Cообщить модератору

54. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Аноним (50), 01-Ноя-24, 16:54

> нужно ввести новую привелегию типа CAP_ANON_MAP_EXEC.
Все ПО обычного пользователя должно работать без привилегий.
Привилегии нужны не для раздачи их пользователям, а для понижения правилегий рутовых процессов до необходимого и достаточного минимума.
    # pscap
не должен выводить процессов с full привилегиями.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

58. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от мяв (?), 02-Ноя-24, 09:42

должно онониму с интернета?
>для понижения правилегий рутовых процессов до необходимого и достаточного минимума.
это именно то, что аноним выше предлагает.
лимитировать доступ к потенциально небезопасной операции.
>не должен выводить процессов с full привилегиями.
Вы переводчик неосилили, или слово "полными" уже немодное среди ононимов?
с "full привелегиями" работают только суиды и рутовые процессы. Вы вообще о чем?
о "не должно быть процессов с доп. возможностями"? ping google.com сделайте - сильно удивитесь. раньше он вовсе был суидным.

Ответить | Правка | Наверх | Cообщить модератору

59. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Аноним (59), 02-Ноя-24, 20:24

https://www.opennet.ru/openforum/vsluhforumID10/5622.html
CAP не для раздачи привилегий процессам пользователя, а для ограничения привилегий рутовых процессов до необходимого и достаточного минимума.
Да, ping должен иметь привилегию net_raw для создания сокета, но он ее должен сразу сбросить. И раздача, и контроль за привилегиями должен быть https://www.opennet.ru/openforum/vsluhforumID10/5622.html#8
У меня в системе pscap не показывает процессов с full приведениями, все процессы, включая матовые, ограниченные до необходимого и достаточного минимума с гарантией невозможности повышения своих привилегий.

Ответить | Правка | Наверх | Cообщить модератору

60. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от мяв (?), 02-Ноя-24, 23:43

>https://www.opennet.ru/openforum/vsluhforumID10/5622.html
>>чтобы root его запускал и процесс имел пониженные привилегии
сами решили свою неграмотность показать?
возможности(caps) нужны что б приложениям, вместо суида, давать огран. к.-во привелегий. не для "понижения привелегий рута".
>https://www.opennet.ru/openforum/vsluhforumID10/5622.html#8
>>Мое мнение:
Вы, наверно, очень удивитесь, когда узнаете, что "разработчики дистрибутива" заранее не знают, что Вы ставить будете и как юзеров назовете.
если посмотрите чуть внимательнее - заметите и отсутствия условной "capabilities.conf.d"  .. как предложите при удалении пакета, удалять разрешения? файл post-rm  скриптами парсить?
>включая матовые
даже спрашивать не буду.
тем не менее, Вы адекватное что-то по поводу идеи анонима выше так и не смогли - его подход более, чем рационален.
"вместо того, чтобы давать доступ к потенциально небезопасной операции всем, давать его по атрибуту бинарника".
lsm, вроде SARA, делают это так же. только там не cap, а обычный атрибут.

Ответить | Правка | Наверх | Cообщить модератору

61. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Аноним (61), 03-Ноя-24, 09:11

CAP разработан в конце 1970-тых, начала 1980-тых для UNIX как расширение безопасности MULTICS, который определял только DAC и MAC. Назначением CAP есть понижение привилегий рутовых процессов до необходимого и достаточного минимума. Требование наличие CAP в OS юридически закреплено в описании уровня B3 "Оранжевой книги".
CAP как побочные эффект, в GNU/Linux адаптирован не только для понижения рутовых привилегий, но и для раздачи привилегий пользовательским процессам. Например ping можно дать привилегию net_raw, но при этом надо проверить код ping и проконтролировать сбрасывает ли ping привилегию сразу после открытия сокета! Для контроля раздачи привилегий пользователям есть файл: /etc/security/capability.conf в котором админ прописывает какой пользователь, какие привилегии имеет право унаследовать.
https://www.opennet.ru/openforum/vsluhforumID10/5622.html#8
При удалении бинаря с атрибутом CAP с системы пользователь не будет иметь возможность повысить привилегию процесса. Потому что для создания процесса с привилегией, лично я предлагаю требование наличия двух условий: явного права пользователя наследовать некую привилегию и наличие возможности унаследовать эту привилегию в CAP атрибуте конкретного бинаря.
В CAP атрибуты бинарей прописываю "i", а не "ep", а в /etc/security/capability.conf право пользователей наследовать привилегии.
У меня в системе pscap не показывает процессов с full привилегиями, все процессы, включая рутовые, ограниченные до необходимого и достаточного минимума с гарантией невозможности повышения своих привилегий.

Ответить | Правка | Наверх | Cообщить модератору

62. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..." +/–

Сообщение от Аноним (62), 04-Ноя-24, 09:04

> с "full привелегиями" работают только суиды и рутовые процессы.
С full привилегиями в системе не должен работать ни один процесс! pscap не должен показывать процессов с full привилегиями.
В GNU/Linux  есть возможность раздавать и отбирать привилегии у пользователей и процессов, оставляя им лиш необходимый и достаточный минимум привилегий. Например у меня пользователь root (USERID=0) везде лишён привилегии net_raw и пингануть не может!!! А пользователь admin (USERID=1000) имеет возможность пользоваться привилегией net_raw при запуске утилиты ping...

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+4 +/–
Сообщение от Афроним (?), 31-Окт-24, 09:37
Параноики напряглись.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+17 +/–
	Сообщение от Аноним (3), 31-Окт-24, 09:54
	а когда это они успели расслабиться, а?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+5 +/–
	Сообщение от Аноним (5), 31-Окт-24, 10:03
	Наверное, в прошлой жизни!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+1 +/–
	Сообщение от n00by (ok), 31-Окт-24, 12:19
	> Параноики напряглись. Участники секты Свидетелей Тысячеглаза догадались, что их обнуляют, и принялись делать покерфейс.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	21. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+/–
	Сообщение от Афроним (?), 31-Окт-24, 12:40
	Гики сидят на коре дуба и в ус не дуют, а остальным придется изворачиваться.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+/–
	Сообщение от Аноним (23), 31-Окт-24, 13:01
	Покерфейс - это интерфейс к Покеру?
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	28. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+/–
	Сообщение от голос_из_леса (ok), 31-Окт-24, 14:33
	Это интерфейс поккера - face of pokker (devil). ))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. Скрыто модератором	+/–
	Сообщение от Аноним (-), 31-Окт-24, 16:25
	> Покерфейс - это интерфейс к Покеру? Ну зот не к полупокеру.
	Ответить \| Правка \| К родителю #23 \| Наверх \| Cообщить модератору


	47. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+1 +/–
	Сообщение от n00by (ok), 01-Ноя-24, 11:42
	Покерфейс - это когда ставки сделаны, у партнёров флешрояль, а эксперт невозмутимо заявляет "всем водки, всем икры! медведей сюда и цыганей -- бюджет всё равно не мой"
	Ответить \| Правка \| К родителю #23 \| Наверх \| Cообщить модератору


	41. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+/–
	Сообщение от Тысячеглаз рулез (?), 31-Окт-24, 21:42
	Если выбирая сторону "сильных" думаешь, что так всегда будешь на коне, то нет, этим самым конём и будешь.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	46. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+/–
	Сообщение от n00by (ok), 01-Ноя-24, 11:38
	> Если выбирая сторону "сильных" думаешь, что так всегда будешь на коне, то > нет, этим самым конём и будешь. Откуда взялись кони? В народном творчестве "за морём тёлушка полушка...", а тут её бесплатно отдают.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+/–
	Сообщение от Megacock (ok), 31-Окт-24, 21:43
	Принцип неуловимого Джо пока неплохо работает. Поставь любой дырявый linux/vpn/firewall/mongodb/ПО на java использующее Log4j в небольшую компанию и вопрос взлома откладывается на годы. Я редко патчу exim, у меня нет и десятка пользователей и спам-фильтра. Всю некондицию я банально отправляю в /dev/null. И работает. Уже лет 8-9 как. За это время в спам-репорт не пришло, ни уведомлений о том что ваш сервер в блэк-листах, ни одного abuse со стороны хостера. Один раз пришло письмо что хостер мной "недоволен". Но это быстро удалось опровергнуть - просто поискать свой адрес в "черных" списках и указать, что в списках подсеть /16, а не конкретно я. При этом большая часть подсети хостеру не принадлежит. Благо опыт исключения из блэклистов у меня богатый, я раньше администрировал корпоративный почтовик. Потому поиск причин много времени не занял. Вишенка на торте. На том хостере, что пожаловался и почтовика-то не было, иначе последствия я бы раньше заметил в виде недоходящих писем или писем отправляемых в спам. С другой стороны, вот пример атаки на относительно крупную компанию 1000-2000 рабочих мест разбросанных по сотням филиалов от 1-2 до 10 машин + 100 в центральном офисе + 10-30 в региональных + 40 серверов. Шифровальщик присланный в отдел кадров смог вывести из строя три компа у HR. Вот Win32.Kido был гораздо большей проблемой в нулевые. Но к моменту атаки домены и файловые серверы на samba +POS-терминалы на java+linux + мобильные терминалы на winCE, а будь там вся инфраструктура основана на современном MS?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	48. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+2 +/–
	Сообщение от AlexYeCu (ok), 01-Ноя-24, 13:24
	>Принцип неуловимого Джо пока неплохо работает. У меня ещё лет 20 назад логи тестовых веб-серверов были забиты запросами, направленными на попытку замены прошивки роутеров популярных моделей через уязвимости в вебморде и телнете. Это всё давно автоматизировано, никакого особого внимания привлекать не надо. Что до нужности: для добавления в ботнет годится — значит нужно. Знакомый в одной мелкой конторе работал, как-то ради смеха визуализировали запросы к его серверам (была какая-то софтина, что из логов сервера делала анимацию на манер Арканоида, где шарики запросы изображали),было забавно видеть, как несколько раз в сутки боты долбятся по несуществующим адресам этакой струёй запросов. Ещё помню, эта активность резко сошла на нет, когда египетское правительство из-за беспорядков в стране рубануло доступ населению. Ещё лет 5 назад попытка выставить ненастроенный прокси в инет в течение 5 минут приманивала туда легион китайцев. Так что принцип Джо давно уже не работает. Прмерно со времён изобретения ботов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+/–
	Сообщение от Megacock (ok), 01-Ноя-24, 22:03
	Боты ломятся за вполне определенными и легко эксплуатируемыми уязвимостями, как правило в web. exim уж точно не самая популярная цель в этом плане. Останавливаться и целенаправленно ломать его ботоводам не интересно, когда есть много других "вкусных" целей. Да и сама идея взлома VPS для ботнета, так себе - заметно, разве что командный центр разместить или сервер раздачи. По моим наблюдениям, никто даже нестандартные порты не сканирует: 1. Проверили web. 2. Если нет или быстро забанили, то проверили SSH или RDP. 3. Если та же песня с баном, то пошли дальше, может потом когда вернутся. Притом там не то чтобы какие-то изощренные методы атаки, просто проверили уязвим ли web, и попробовали перебрать пароли. Все. Из всего перечисленного только RDP может проблем доставить, т. к. ддосится легко. При большой атаке не пускает владельца VPS. Нут так нечего выставлять наружу. Есть vpn, там пусть хоть обддосятся. Но не будут, много других легких целей.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	–1 +/–
	Сообщение от Афроним (?), 01-Ноя-24, 14:17
	Чел,вот зачем такую простыню писать? Читать устанешь.
	Ответить \| Правка \| К родителю #42 \| Наверх \| Cообщить модератору


	57. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+1 +/–
	Сообщение от Megacock (ok), 01-Ноя-24, 22:30
	"Чукча не читатель".
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+3 +/–
Сообщение от Соль земли (?), 31-Окт-24, 09:49
Ну вот, теперь придётся ещё и OpenPaX отключать при каждой установке.
Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+5 +/–
Сообщение от Аноним (5), 31-Окт-24, 10:02
Похоже что авторы программы огорчились почему их бекдоров нет в ядре и решили сами их внедрить под предлогом борьбы с другими бекдорами.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+1 +/–
	Сообщение от Жироватт (ok), 31-Окт-24, 10:33
	Пока их патчины не навязывают в глотку всем - любо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+3 +/–
	Сообщение от Аноним (5), 31-Окт-24, 13:34
	Окно овертона, "тогда и поговорим", "а когда пришли за мной" и прочием мемы про то что сначала вроде прикол, а потом у тебя ютуб не грузится и ты ничего не можешь сделать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+/–
	Сообщение от Аноним (-), 31-Окт-24, 13:47
	> Окно овертона, "тогда и поговорим", "а когда пришли за мной" и прочием мемы про то что сначала вроде прикол, Всегда прикол) Не вижу никакой причины не отпустить шутку черного юмора. > а потом у тебя ютуб не грузится и ты ничего не можешь сделать. Так он и не грузится потому что ты "ничего не делал") От такие пироги с котятами.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+/–
	Сообщение от Аноним (5), 31-Окт-24, 14:49
	Так то товарищ и говорит что не надо ничего делать потому что любо. Дальше давай думай сам. Разворачивай аналогию.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+/–
	Сообщение от YetAnotherOnanym (ok), 31-Окт-24, 16:18
	Так и замечательно, не будет больше выжирать в одно рыло всю полосу у провайдера.
	Ответить \| Правка \| К родителю #27 \| Наверх \| Cообщить модератору

7. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+/–
Сообщение от Аноним (7), 31-Окт-24, 10:09
А DRM будет?
Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+/–
	Сообщение от Аноним (37), 31-Окт-24, 20:45
	> А DRM будет? Его и без этого можно сделать. Видишь ли, польза пушки очень сильно зависит от того с какой стороны от нее ты находишься и куда она повернута.
	Ответить \| Правка \| Наверх \| Cообщить модератору

12. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+/–
Сообщение от Аноним (-), 31-Окт-24, 11:37
> механизм W^X > механизм эмуляции с функциями-трамплинами > методы защиты могут нарушить нормальную работу JIT-компиляторов На что только готовы погромисты, лишь бы дырявый код продолжать писать))) А защиту где-то там размажем.
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+2 +/–
	Сообщение от Аноним (-), 31-Окт-24, 11:48
	Согласен, нет бы сразу на расте и питоне писать
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+1 +/–
	Сообщение от Жироватт (ok), 31-Окт-24, 12:11
	128ядерный кластер с жидкостным охлаждением / 640 гигабайт рамы в домашнем ПК-балдёжнике точно хватит, чтобы запустить БЕЗОПАСНЫЙ стек от низкоуровнего БЕЗОПАСНОГО ассемблера до БЕЗОПАСНЫХ js-скриптов внутри интерпретатора внутри песочницы браузерного движка внутри контейнера внутри прозрачной виртуалки над интерпретируемым сервисом поверх БЕЗОПАСТНОСТНОГО и ВЕРИФИЦИРОВАННОГО микроядра, крутящегося поверх ещё более безопасного наноядра?
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	18. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	+1 +/–
	Сообщение от n00by (ok), 31-Окт-24, 12:27
	Тут даже пожизненная кАмпЕляция в BHC-релизенгах не поможет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Проект OpenPaX развивает аналог механизмов защиты Grsecurity..."	–1 +/–
	Сообщение от Аноним (-), 31-Окт-24, 12:29
	Ого ты выдал! Прямо буллщит бинго. Правильно я понимаю, что ты из тех, кто готов голым задом светить? Ну типа если комп - проходной двор, то "ничего страшного, дело житейское"?
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору