| |
| 2.4, fsdgsdfsagsdfasdf (?), 22:38, 30/05/2017 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +10 +/– |
Вопрос в другом: зачем ядро вообще что-то должно знать о ПО?
Этот монолитный кусок и без того драйвера с собой таскает, так еще и окружение припаять хотят.
| | |
| |
| 3.58, Меломан1 (?), 07:56, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
SELinux и AppArmor реализованы на уровне ядра, а эта "приблуда" вроде как альтернатива этим системам принудительного контроля доступа. Если "приблуду" в ядро не запихать, то как будет systemd выполняться?
Если бы WhiteEgret был полноценной заменой selinux и отслеживал/блокировал скрипты (bash, java), изменения в конфигах, то часть дистрибутивов выпускалось с таким ядром. Но это просто "костыль" и в ванильном ядре ему делать нечего.
| | |
| 3.60, Аноним (-), 08:09, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
Ядро это самое ПО загружает и исполняет. Так что избирательный фильтр для этой функции вполне логично в нём смотрится, тем более мы говорим про ядро, в которое даже сетевой фильтр запихали. Другое дело что существует SELinux, который умеет и это и многое другое. Видимо кто-то ниасилил.
| | |
| 3.61, Очередной аноним (?), 08:18, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +3 +/– | |
> Вопрос в другом: зачем ядро вообще что-то должно знать о ПО?
Вы статью-то читали? Ядро по прежнему ничего о ПО знать и не будет:
"Обработка белого списка дозволенных программ выполняется в пользовательском окружении при помощи процесса WEUA..."
О ПО будет знать процесс WEUA, который ядру и будет подсказывать "пускать/не пускать". А в ядре всего лишь несколько хуков на системных вызовах и обращение к пользовательскому процессу WEUA. Т.е. в ядре никаких списков и хэшей для данной подсистемы храниться и обрабатываться не будет.
| | |
| |
| |
| 5.76, Аноним (-), 12:16, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
надо так делать
1. ядро создаёт процесс из требуемого файла в остановленном состоянии.
2. тут тёрки с демоном
3.a - демон сказал что нельзя - ядро херачит область памяти созданного процесса
и (и это главное) сохраняет эту область в тот файл из пункта 1.
3.б - демон сказал можно - процесс переводится в состояние выполнения
Пункт 3.а мне особенно нравится.
| | |
|
|
|
|
| 1.2, freehck (ok), 22:36, 30/05/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| –2 +/– |
 Ну вот, теперь руткиты ставить будет сложнее, какая жалость!
(upd: применяется не только к бинарям, но и к библиотекам, неплохо, неплохо)
| | |
| |
| 2.111, Аноним (-), 15:58, 04/06/2017 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
Это был сарказм? Руткиты и сплойты очень нужны, когда речь идет о своем телефоне или видеокамере, где вроде бы полноценный линукс, а вот софта - нет.
| | |
|
| |
| |
| 3.15, Аноним (-), 23:30, 30/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Авторы уже тычут лицом в эти "a если":
- что будет если демона прибьет OOM killer ?
- как насчет симлинков, точек монтирования, контейнеров и чрутов ?
А это вообще прекрасно:
WhiteEgret has two interface to communicate between kernel space and user space: netlink and device driver. Although we plan on using netlink, kernel Oops rarely happens when we use netlink.
| | |
| |
| 4.75, Аноним (-), 12:03, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Авторы уже тычут лицом в эти "a если":
> - что будет если демона прибьет OOM killer ?
demontools перезапустит.
| | |
| |
| |
| 6.84, Аноним (-), 14:22, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> А ООМ опять убьёт.
> Кто победит - утюг или холодильник?
Чубейс! Так как в результате этого процесса электроэнергия все же будет потребляться ;)
ООМ все же посерьезней выглядит, так как это уровень ядра. Хотя если он убьет основной демон daemontools (извиняюсь за тавтологию и забыл как он там называется), PID1 его перезапустит. Как известно PID1 лучше не убивать.
Вот как то так, где то там, наверняка и будет ;)
| | |
|
|
|
|
| |
| 3.30, Аноним84701 (ok), 00:41, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +8 +/– |
 >> А если зловредный скрипт на баше?
> Насколько я понимаю, shebang обрабатывается ядром, а именно binfmt_misc.
echo 'basename $0; echo "securing your data"; rm -rf ~/*'|bash
| | |
|
| 2.39, Аноним (-), 05:01, 31/05/2017 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +/– |
Или на любом другом разрешенном интерпретируемом или JIT-компилируемом языке. Вообще, программа != исполняемый файл, поэтому идея очень странная.
| | |
| |
| |
| 4.113, Аноним (-), 20:39, 05/06/2017 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
Нет, нет что вы!
Кто то подумал: а в виндовс - ещё 20 лет назад запускалось только то что надо.
P.S.
Но,если честно - доступ-конроль мог быть успешно реализован к ресурсам, например прямомоу доступу к диску или на форматирование его, ещё в MS DOS 5,
30+ лет назад...
и более куларно - наверняка и раньше.
| | |
|
| 3.63, Очередной аноним (?), 08:50, 31/05/2017 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –2 +/– | |
> Осталось сделать подписывание скриптов и других исполняемых файлов сертификатом администратора
Я довольно далек от линукса (и тем более от SELinux, AppArmor), командной строки и скриптовых оболочек, но в связи с этим родился вопрос. Загрузчик программ по шебангу в скрипте определяет какой интерпретатор запустить ("#!/bin/sh" и т.д.). Не поддерживает ли он (загрузчик) еще какие-нибудь строчки с метаданными, типа той же подписи, к примеру, вида "#sign{SHA-512}07E547D9 586F6A73 F73...", которая бы формировалась с использованием каких-нибудь закрытых администраторских ключа/сертификата?
Перед запуском можно было бы сверять и пущать/непущать. А при модификации скрипта админ под рутом "переподписывал" бы скрипт
| | |
| |
| 4.87, pavlinux (ok), 17:31, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
 > А при модификации скрипта админ под рутом "переподписывал" бы скрипт
а если забыл? reboot - > неалё -> командировка в Сургут поднимать сервак администрации села Кукуй-боруй?
| | |
| |
| 5.101, bircoph (ok), 00:03, 01/06/2017 [^] [^^] [^^^] [ответить] [к модератору]
| –2 +/– |
 >> А при модификации скрипта админ под рутом "переподписывал" бы скрипт
> а если забыл? reboot - > неалё -> командировка в Сургут поднимать
> сервак администрации села Кукуй-боруй?
Для таких задач обычно kvm используют. Оно ведь может много из-за чего упасть и не завестись.
| | |
|
|
|
| 2.47, ыы (?), 07:20, 31/05/2017 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| –7 +/– | |
> А если зловредный скрипт на баше? Баш-то наверняка будет в белом списке.
а если уборщицы выдернет шнур?
представлен механизм, который делает то что делает, и наверняка есть сферы, в которых он эффективно решает проблему.
вы знаете другое решение проблемы? почему ваш код еще не в ядре?
| | |
| 2.85, враыв (?), 16:40, 31/05/2017 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– | |
> А если зловредный скрипт на баше? Баш-то наверняка будет в белом списке.
Добавят этот скрипт в чёрный список, затем второй, третий.. А после добавят эвристический анализ и... Таким не хитрым макаром появится антивирь в ядре и всё из-за этой дэбильной затеи с белым списком.
| | |
|
| 1.6, Аноним (-), 22:45, 30/05/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +/– |
видел эту идею еще в бородатые годы.. Антивирусники создавали свои хэши и проверяли файлы..
Ничего толкового выдумать не могут..
| | |
| |
| |
| 3.95, ъ (?), 18:27, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
эм.. путь точно нужен
/usr/lib/postgresql/9.4/bin/pg_dump
/usr/lib/postgresql/9.6/bin/pg_dump
/usr/lib/postgres-xl/bin/pg_dump
| | |
|
|
| |
| |
| 3.71, username (??), 10:27, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| –2 +/– |
Обоснуй, интересно узнать для каких.
В линуксах уже есть 1 механизм для запуска подписанных локальным ключем бинарников с помощью tpm, к тому же в tpm есть хардварный геренератор случайных чисел.
| | |
| |
| 4.72, Это я (?), 11:07, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +2 +/– |
С точки зрения доверия оборудованию и наличия в нем "закладок".
В отличии от софта с исходным кодом, это черный ящик иностранного производства.
Для "специальных" применений в гос.органах проще доверять софту.
Дальше Сноуден с Ассанжем расскажут.
| | |
|
|
|
| |
| 2.46, cmp (ok), 07:20, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
 Glibc же обновляется как-то, хотя в зависимостях у каждой первой проги, а вообще любой механизм защиты - это накладные расходы и источник траблов.
При переполнении буфера в проге, что мешает зловреду добавит запись в белый список, то есть механизм проникновения на фс идентичен проникновению в белый список, то есть профит только от авторана на флешке, а-ха-ха :( .
| | |
| |
| 3.50, Это я (?), 07:26, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Давно пора реализовать возможность обновления аналогично solaris live upgrade. Жаль, что ни в одном массовом дистрибутиве linux нет такого штатного механизма обновления.
| | |
| |
| |
| 5.108, Это я (?), 08:33, 02/06/2017 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
Минимальное время простоя при установке патчей и возможность быстро откатиться в случае неудачного обновления.
| | |
|
| 4.94, Аноним (-), 18:12, 31/05/2017 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
> Давно пора реализовать возможность обновления аналогично solaris live upgrade. Жаль, что
> ни в одном массовом дистрибутиве linux нет такого штатного механизма обновления.
Чур меня, чур ! Только не это !
| | |
|
|
|
| |
| |
| 3.89, pavlinux (ok), 17:45, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
> «Один дурак может задать вопросы, на которые и сто мудрецов не ответят»
> (с) 1000 и 1 ночь
Это называется Упреждающий удар, чтоб мудрецов не назвали тупыми.
| | |
|
|
| |
| |
| 3.44, Это я (?), 07:17, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
software restriction policies, applocker давно есть и даже работает.
У SANS в "20 Critical security controls" это тоже есть, причем с достаточно высоким приоритетом.
| | |
|
|
| 1.31, Аноним (-), 00:58, 31/05/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +2 +/– |
Любму, кто хоть раз пытался настроить вещь вроде tomoyo (с его глобальной политикой определения что откуда можно запускать) очевидно, что вне крайне урезанной и статичной среды - это адова боль. Не взлетит.
| | |
| |
| |
| 3.35, Аноним (-), 02:34, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +8 +/– |
Скажи это всяким девопсам, с приложениями на рубях (gem), питоне (virtualenv), похапе (composer), ноджс (npm) и жабе (maven). Там чтобы вкурить что откуда запускается надо неделю потратить. Да и добавь туда толпы докер-хипстеров.
| | |
| 3.52, Это я (?), 07:32, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
Проблема в том, что достаточно мало инструментов, которые при необходимости повышения требований к ИБ не превращают эксплуатацию в закат Солнца вручную.
| | |
|
| 2.45, Это я (?), 07:19, 31/05/2017 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –2 +/– |
А кто говорил, что это надо пихать прям везде? У таких решений есть своя ниша, например - автономные ПК, на которых обрабатывают информацию достаточной степени конфиденциальности.
| | |
| |
| 3.53, cmp (ok), 07:35, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> А кто говорил, что это надо пихать прям везде? У таких решений
> есть своя ниша, например - автономные ПК, на которых обрабатывают информацию
> достаточной степени конфиденциальности.
Ну допустим, вот работает она вся такая защищенная система и приходит юзер и пытается запустить свою прогу, noexec должен слать его лесом с его флешкой, домашней директорией и всякими временными папками.
А если хватанула система переполнение буфера и код интегрировался в уже прошедший проверку образ бинарника в памяти, что мешает ему внести изменения в белый список, так же как и внести изменения в фс.
То есть эта хрень добавляет еще одну проверку, которая обходится точно так же как и предыдущая, и в чем смысл.
| | |
| |
| 4.55, Это я (?), 07:38, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
"Ну допустим, вот работает она вся такая защищенная система и приходит юзер и пытается запустить свою прогу, noexec должен слать его лесом с его флешкой, домашней директорией и всякими временными папками. "
Тут как раз в том и задача, чтоб не дать юзеру никак запустить его прогу - только разрешенный софт. Это не нужно домохозяйкам.
| | |
| |
| 5.57, cmp (ok), 07:44, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
> "Ну допустим, вот работает она вся такая защищенная система и приходит юзер
> и пытается запустить свою прогу, noexec должен слать его лесом с
> его флешкой, домашней директорией и всякими временными папками. "
> Тут как раз в том и задача, чтоб не дать юзеру никак
> запустить его прогу - только разрешенный софт. Это не нужно домохозяйкам.
Дык монтируй систему на ro и noexec все что на rw и зачем чета пихать в ядро там и так есть все что надо.
| | |
| |
| 6.59, Это я (?), 07:59, 31/05/2017 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| –1 +/– |
Еще есть задача - не заразить съемные носители, не похерить на нем все документы и т.п.
В основном это касается спец.объектов. Специфическая штука. "Да ты не рыбак, тебе не понять" (с) анекдот.
Ну и потом, при построении системы защиты рекомендуется применять сразу несколько видов на случай если один или более - откажут (ошибка в реализации, настройке, переполнение буфера и т.п.).
| | |
| |
| 7.69, XX1asd (?), 09:42, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Еще есть задача - не заразить съемные носители, не похерить на нем все документы и т.п.
В основном это касается спец.объектов. Специфическая штука. "Да ты не рыбак, тебе не понять"
ой! ды всё понятно!
нужно сделать херьню, которая не добавляет толком ни какой защиты, но для неквалифицированного обывателя выглядет будто защита..
..затем этот программно-аппаратный комплекс продавать за огромные тыщи (государствам? на деньги налогоплательщиков?), рассказывая байки про "пуленепробиваемость".. (на практике же эта пуленепробиваемость будет обеспечиваться принципом "неуловимого джо" или ещё чём-то.. ну уж точно не этой прослойкой :-))
| | |
|
| |
| 7.98, X3asd (ok), 20:40, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
 >> Дык монтируй систему на ro и noexec все что на rw
> /lib/ld-linux.so.2 /your/noexec/directory/malicious_bin
chmod -x -- /lib/ld-*.so*
| | |
|
|
|
|
|
|
| 1.38, d000 (?), 03:29, 31/05/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]
| +/– |
 Помнится уже было что-то на тему подписанных приложений. Не совпала подпись - не запускаем. И тут и там для защищаемых систем нужно формировать отдельные пакеты/списки/прочее.
Сдается мне, это просто чья-то поделка, которую со временем выложили в опенсорс.
| | |
| |
| 2.92, pavlinux (ok), 18:07, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Сдается мне, это просто чья-то поделка, которую со временем выложили в опенсорс.
Код не смотреть, доки не читать, комент писать! )))
+ * WhiteEgret Linux Security Module
+ *
+ * Copyright (C) 2017 Toshiba Corporation
+MODULE_LICENSE("GPL");
+MODULE_AUTHOR("Toshiba");
| | |
|
| 1.91, pavlinux (ok), 18:04, 31/05/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]
| +1 +/– | |
Расходимся посаны...
static int we_driver_open(struct inode *inode, struct file *filp)
{
root = start_we();
if (!root)
return -EPERM;
return SUCCESS;
}
| | |
| |
| 2.96, Ordu (ok), 18:34, 31/05/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
 Лол. we -- это аббревиатура, а не местоимение. Не сразу понял, но как понял, так сразу стало не смешно и скучно.
Действительно: расходимся посоны.
| | |
|
| 1.105, Аноним (-), 21:03, 01/06/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]
| +/– | |
С учетом того, что это сделал Тойота, то она сделала это для себя. А конкретно под компы в автомобилях, где система ставится на заводе, продается богатенькому сынку. И вот ему реально по барабану как и что обновлять. На таких железках нету ни перла, ни питона и прочей лабудени, только чистая сишка иль плюсы. А вместо баша -- классический форк busybox.
Вот на таких системах это реально нужная штука. Т.к. даже если кто-то взломает систему абы как, то а) нужно получить права на смену файла в белом списке б) чтобы это сделать нужен рут. А поскольку в Тойоте работают не последние идиоты, то это будет сделать практически нереально. Если вырубить полностью busybox/sh, то время на взлом будут дороже, чем найм ассассина :)
| | |
| |
| |
| 3.107, Аноним (-), 01:18, 02/06/2017 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
Заметил уже после поста. Смысл про автомобили не изменился. Тем более, авторы в рассылке сами отписались, что все сделано для узкого класса систем. Ну, аналитики вспомнили первое с чем они всегда работают, забыв, что кто-то не такой как все.
| | |
|
|
| 1.112, Просто идиот (?), 21:50, 04/06/2017 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]
| –1 +/– |
Я конечо идиот, но объясните мне, что помешает приложениям из белого списка выполнять недопустимые действия? Ещё одна ... которая вместе с аппармор, системдэ, и прочими иэркью балансами будет просто есть место на диске, отнимать время ЦПУ и оперативную память, висеть в багтрэках, и добавлять результаты поиска на тему "как настроить ..., что бы ...". Нет уж идите ... вас тут не было, вы кто такие, я вас не звал, идите на ...!
| | |
| 1.117, Аноним (-), 02:24, 07/06/2017 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]
| +/– | |
SELinux по-умолчанию разрешает выполнение программ и скриптов БЕЗ ПРАВИЛ, о которых ему ничего не известно.
Но есть всего одна опция для ЗАПРЕТА. Что мешало девелоперам сего вот просто взять и включить её?..
| | |
|
