| |
| |
| 3.61, анончик (?), 21:22, 09/04/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +2 +/– |
у птички, пьющей нектар, экзистенциальный кризис очень давно, лет так 7 точно. Разрабы чето коммитят, но у проекта вообще никаких целей нет. Полная разруха и анархия
| | |
|
| 2.13, Alen (??), 14:12, 09/04/2021 [^] [^^] [^^^] [ответить] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –2 +/– |
В статье нет самого главного!
Для тех у кого есть голова и руки, в ядре опция:
/Networking support/Networking options/enable BPF Just In Time compiler
должна быть отлкюченной. Н этом инцидент исчерпывается.
| | |
| 2.22, kai3341 (ok), 14:48, 09/04/2021 [^] [^^] [^^^] [ответить] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +4 +/– |
 > это ядро монструозно, в нём слишком много кода и, соответственно, ошибок
Если бы всё было так просто. eBPF -- попытка выжать максимум производительности. Производительности же всегда мало -- как однажды сказал мой друг, задачи в идеале должны выполняться за отрицательное время
| | |
|
| 1.2, пох. (?), 13:46, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
sysctl net.core.bpf_jit_enable=0
sysctl: setting key "net.core.bpf_jit_enable": Invalid argument
(с echo все прокатит, но внутри файлика останется 1)
Что-то этот хак редхата, похоже, только для редхата. У которого там и так 0
| | |
| |
| 2.64, bpf (?), 21:36, 09/04/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +2 +/– | |
$ man 2 bpf
Since Linux 4.15, the kernel may configured with the
CONFIG_BPF_JIT_ALWAYS_ON option. In this case, the JIT compiler
is always enabled, and the bpf_jit_enable is initialized to 1 and
is immutable. (This kernel configuration option was provided as
a mitigation for one of the Spectre attacks against the BPF
interpreter.)
| | |
|
| |
| 2.19, Урри (ok), 14:40, 09/04/2021 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +4 +/– |
 В данном случае проблема алгоритма реализации. Ваш модномолодежный язык такие проблемы не умеет решать.
Впрочем, никого из использующих модномолодежные языки к реализации таких сложных задач и не подпускают.
| | |
| 2.55, Аноним (55), 20:33, 09/04/2021 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
Дурачок?
Тебе тут целый Jit запилили. Можешь хоть на Расте писать и в него перегонять.
Проблема, таже, что и у JS. Не должен никакой левый код выполняться в ядре, как и в браузере.
| | |
| |
| 3.105, Аноним (105), 23:25, 10/04/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
> Не должен никакой левый код выполняться в ядре, как и в браузере.
Несравнимо. В ядре, в отличие от браузера, будет выполнятся только тот eBPF-код, которому ты позволишь выполниться и это не будет код от любой программы в системе. И программ в твоей системе меньше чем сайтов, которые ты посещаешь в интернете. А в браузер тебе прилетает нечто обфускированное в мегабайт весом, что ты не в силах проанализировать до конца жизни. И сайтов этих "тыщи"
| | |
|
|
| 1.14, Аноним (14), 14:12, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
Никогда не было и вот опять. Я и в polkit отключил жит и в qml, хотя непроверенный уод вроде не собираюсь исполнять.
А от eBPF мне до сих пор щекотно, потому что позволять пользователю загружать код в вм с житом прямо в ядре, ну то такое. К сожалению, это единственная надежда для динамического файервола (чтобы блокировать и фильтровать исходящий трафик на уровне приложений, скажем).
| | |
| |
| 2.16, Аноним (14), 14:16, 09/04/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
Я пытался отключить в ядре, но оно что-то больше не отключается. Однако, в proc не светится. Т.е. никаких /proc/sys/net/core/bpf_*
CONFIG_BPF=y
# CONFIG_BPF_SYSCALL is not set
CONFIG_ARCH_WANT_DEFAULT_BPF_JIT=y
# CONFIG_NETFILTER_XT_MATCH_BPF is not set
# CONFIG_BPFILTER is not set
# CONFIG_BPF_JIT is not set
CONFIG_HAVE_EBPF_JIT=y
| | |
| |
| 3.80, Аноним (14), 00:27, 10/04/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
>> Я и в polkit отключил жит
> Как?
Собрал spidermoney с которым тот линукется без жита. И надеюсь, что этого достаточно. Наверно достаточно, я не проверял.
| | |
|
| 2.84, Гриша (?), 03:27, 10/04/2021 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
 Какие-же вы странные все.
Этот JIT очень простой, он, просто транслирует байткод в машинные инструкции практически 1-в-1. Никакой сложной логики обычно ассоциированной со словом JIT там нет, там файл на 2к строк кода всего.
Ошибка не связанна с JIT. Это, насколько я понимаю, обычный buffer overrun при копированнии массива. Там как-то не так проверяют его длинну.
| | |
| |
| |
| |
| 5.98, Аноним (14), 18:46, 10/04/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
> Чем это отличается от загрузки модуля ядра, о великий эксперт openneta?
Модуль может загрузить только пользователь с правами рута, тут же смысл в том чтобы позволять это делать всем пользователям.
| | |
| 5.100, Аноним (14), 18:49, 10/04/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
> Чем это отличается от загрузки модуля ядра, о великий эксперт openneta?
Причём, левые модули не загружаются в норме, рут имеет только возможность выбирать из готового и подписанного набора модулей. Так что, отличается.
| | |
|
|
|
|
| 1.15, Аноним (15), 14:12, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– | |
>>в специальной виртуальной машине с JIT
Это из самого названия понятно что это не может быть без дыр априори. Это два сложных непонятных механизма закрученный один в другой.
| | |
| |
| |
| 3.50, пох. (?), 18:35, 09/04/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– | |
> да ещё и в юзерспейсе
там не юзерспейс, там именно kernel space, с доступом к коду из userspace.
Причем, если мой эклер мне опять изменяет, еще и с возможностью доступа от непривиллегированного юзера в некоторых комбинациях настроек.
| | |
|
|
| 1.17, Алексей (??), 14:21, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +4 +/– | |
> уязвимость может быть эксплуатирована при включении BPF JIT и наличии у пользователя прав CAP_SYS_ADMIN
То есть root может взломать сам себя? Галактика в опасности!
| | |
| |
| 2.18, Аноним (14), 14:27, 09/04/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– | |
Я тоже был уверен, что старательно везде убрал на всех бинарях (а ты проверь кстати в своём дистре), а потом ой /usr/bin/PCSX2 cap_net_admin,cap_net_raw=eip какие-то лишние права.
А вот cap_sys_admin я отключал у кучи софта. Хорошо теперь есть cap_checkpoint_restore и можно убрать sys_admin и с criu.
| | |
| |
| 3.20, Онаним (?), 14:44, 09/04/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
Как-то всё проще.
/usr/bin/newgidmap = cap_setgid+ep
/usr/bin/ping = cap_net_admin,cap_net_raw+p
/usr/bin/newuidmap = cap_setuid+ep
/usr/sbin/arping = cap_net_raw+p
/usr/sbin/clockdiff = cap_net_raw+p
/usr/sbin/fping = cap_net_raw+ep
И всё, в общем-то. А пользовательские файлухи вообще с noxattr монтируются, поэтому идут нафиг.
| | |
|
|
| 1.21, Аноним (94), 14:46, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +5 +/– | |
Эх, не умеют они готовить святой C и C++. Сплошные дыры в безопасности (включая прошлые новости с конфы по взлому всего и вся на C и C++)
Вот туда бы экспертов с opennet...ууууххх
...они бы показали обезьяно-макакам (JS) и ржавым петушкам (Rust) как писать идеальный код без ошибок!
| | |
| |
| |
| 3.51, пох. (?), 18:36, 09/04/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +3 +/– |
> Порядочные люди при сборке ядра выключают всякое ненужное непотребство используемое лишь
> в редких сценариях.
порядочные люди не занимаются пересборками ведра, у них дел и так полно.
К тому же определить, что там нужно, а что не очень - задача для несреднего васяна.
| | |
| |
| |
| |
| 6.81, Alen (??), 00:32, 10/04/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –3 +/– | |
>Всё-таки "уметь" и "заниматься" - понятия разные.
И часто у вас "уметь" наступает без "заниматься"? Вы теоретик ядерного удара?
А главное, основная мысль была не в том, что все должны уметь, а в том, что я написал - невежеством хвалиться стыдно.
| | |
|
|
|
|
|
| 1.54, Ingener (??), 19:07, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– | |
>уязвимость (CVE-2021-29154), позволяющая локальному пользователю добиться выполнения свого кода на уровне ядра
Что и говорили. В Лин полно закладок. Еще десятки лет их будут находить.
| | |
| |
| |
| 3.86, пох. (?), 09:31, 10/04/2021 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– | |
у вас опечатка в слове "добавлять"
Индуса в ms-то и выпороть могут за такое. А тут пожалуйста -
Signed-off-by: Dave Chinner <dchinner@redhat.com>
Reviewed-by: Carlos Maiolino <cmaiolino@redhat.com>
Reviewed-by: Darrick J. Wong <darrick.wong@oracle.com>
Signed-off-by: Darrick J. Wong <darrick.wong@oracle.com>
(трогательное сотрудничество редхатовского мекса с оракловым китаезой, не правда ли? Да, это подпись под изменением, делающим fs нерабочей. И ни один тысячекосоглаз не выступил - тут кого надо нога! Даже две!)
| | |
| |
| 4.104, пох. (?), 22:40, 10/04/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Конечно же редхатовский кумар очень поинтересуется твоим мнением, и конечно же тысячегласс непременно помешает обновлению его авторства добраться до твоей б-жественной бубунточки.
(нет)
| | |
| |
| 5.108, Ananimasss (?), 12:29, 11/04/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
> Конечно же редхатовский кумар очень поинтересуется твоим мнением, и конечно же тысячегласс
> непременно помешает обновлению его авторства добраться до твоей б-жественной бубунточки.
> (нет)
С бубунточкой мимо, у меня бсд, но у лин.упсов автоапдейты хотя бы опциональны, а еще есть генту, где непонятная бинарь прилетит разве что с блобиками в ядре.
А у шиндовс стали хотя бы спрашивать о перезагрузке после неотключаемых обновлениях?
Я вообще в шоке от шиндусятников, когда в 7ке микрософт без спроса обновил проверку лицензионности, с отключенными автообновлениями, ор поднялся выше гор, а как пришла 8ка с неубиваемым дефендером и 10ка с неотключаемыми обновлениями, так все просто проглотили и попросили добавить унижений.
До сих пор ржу с "игрового режима" десяточки, когда отключалась вся ненужная пользователю деятельность, просто чтобы хотя бы выдавать схожую с 7кой производительность.
| | |
| |
| 6.117, пох. (?), 15:45, 13/04/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
> С бубунточкой мимо, у меня бсд, но у лин.упсов автоапдейты хотя бы
> опциональны, а еще есть генту, где непонятная бинарь прилетит разве что
угу, опциональны, поэтому меня долбят sshшные трояны от таких необновлянцев.
> А у шиндовс стали хотя бы спрашивать о перезагрузке после неотключаемых обновлениях?
У нее круче - она уже три года как ПЕРЕСТАЛА под руку спрашивать эти глупости, и просто аккуратно перезагружается во время, по данным ее телеметрии, когда тебе точно не нужен компьютер.
Да, это можно на некоторое небесконечное время - отложить (ну и правильно написанный софт просто не даст перезагружаться пока обрабатывает фоновую задачу). Но обычно ненужно. Все делает за тебя, и ест тоже.
> Я вообще в шоке от шиндусятников, когда в 7ке микрософт без спроса
> обновил проверку лицензионности, с отключенными автообновлениями, ор поднялся выше гор,
у мелких воришек-то? Я вот ничего не заметил.
Наверное, потому что ей нечего там было проверять?
> До сих пор ржу с "игрового режима" десяточки, когда отключалась вся ненужная
> пользователю деятельность, просто чтобы хотя бы выдавать схожую с 7кой производительность.
признак дурачины, угу.
А на деле - убираются всего лишь интерактивные оповещения, лезущие не в том графрежиме или пытающиеся управлять звуком.
| | |
|
|
|
|
|
| |
| |
| |
| 4.87, пох. (?), 09:35, 10/04/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– | |
iptables - нет. Но он несовременный и его срочно надо выбросить.
А над тем что вы хотите - работают, но пока, вроде, ничего кроме нерабочих poc не родили, nft только планирует перевестись на bpf-машину, когда-нибудь, потом.
| | |
|
|
|
|
