Microsoft предложил систему управления доступом IPE для ядра Linux

29.02.2024 13:40

Компания выставила на обсуждение в списке рассылки разработчиков ядра Linux код LSM-модуля с реализацией механизма IPE (Integrity Policy Enforcement), расширяющего существующие системы мандатного управления доступом. Вместо привязки к меткам и путям в IPE решение о разрешении или запрете операции принимается на основе постоянных свойств системного компонента, с которым выполняется операция. Модуль позволяет определить общую политику обеспечения целостности для всей системы, указывающую какие операции допустимы и каким способом следует верифицировать подлинность компонентов.

IPE нацелен на создание полностью верифицируемых систем, целостность которых подтверждена от начального загрузчика и ядра до конечных исполняемых файлов, конфигурации и загружаемых файлов. Например, при помощи IPE можно указать какие исполняемые файлы разрешено запускать с учётом проверки их соответствия эталонной версии при помощи криптографических хэшей, предоставляемых системой dm-verity. В случае изменения или подмены файла IPE может блокировать операцию или журналировать факт нарушения целостности.

Предложенный механизм может применяться в прошивках для встраиваемых устройств, в которых всё программное обеспечение и настройки специально собираются и предоставляются владельцем, например, в датацентрах Microsoft IPE применяется в оборудовании для межсетевых экранов. От других систем проверки целостности, таких как IMA, IPE отличается независимостью от метаданных в ФС - все свойства, определяющие допустимость операций, хранятся непосредственно в ядре.

Правила задаются в текстовой форме с использованием наборов ключ-значение. Базовыми являются ключ "op", определяющий операцию, к которой применяется правило (например, op=EXECUTE сработает при попытке выполнения), и "action", определяющий действие (например, "action=DENY" для блокировки). Правила привязываются к свойствам, предоставляемым внешними подсистемами, такими как dm-verity и fs-verity.

Например, правила


   op=EXECUTE boot_verified=TRUE action=ALLOW
   op=EXECUTE dmverity_signature=FALSE action=DENY
   op=EXECUTE fsverity_digest=sha256:401fce...0dec146938 action=DENY

разрешат только загрузку с верифицированного раздела, запретят запуск файлов с разделов, не имеющих подписей в dm-verity, а также выборочно будет запрещено выполнение файла с хэшем "401fce...0dec146938".

Начальный набор загрузочных правил определяется при помощи настройки SECURITY_IPE_BOOT_POLICY и включается в состав сборки ядра, а остальные правила добавляются по мере необходимости через файл /sys/kernel/security/ipe/new_policy. Передаваемые правила шифруются с использованием сертификата, определённого в SYSTEM_TRUSTED_KEYRING.

На системах общего назначения предлагается применять IPE в сочетании с механизмом DIGLIM, развиваемым компанией Huawei. DIGLIM реализован при помощи eBPF и позволяет легко реализовать контроль целостности на уровне отдельных файлов в обычных дистрибутивах, не требуя их переработки (преподносится как вариант Secure Boot, работающий на прикладном уровне). Суть DIGLIM в поддержании пула проверочных хэшей для файлов и метаданных, и предоставления доступа к исполняемым файлам только если его хэш присутствует в пуле. Список хэшей может быть получен от пакетного менеджера RPM или вручную сгенерирован пользователем.

исправить –3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/60695-ipe

Ключевые слова: ipe, integrity, policy, lsm, microsoft, kernel, linux, verity

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (167)

1.2, Аноним (2), 14:06, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+/–
Это в обмен на sudo?) а по факту: это альтернатива SELinux и AppArmor?

2.4, Аноним (4), 14:13, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
MS ещё chmod и chown не осилило, не говоря о расширенных аттрибутах. А необходимость перезапускать хосты потому что NAS ребутнулся, когда самбе было просто пофиг - это вообще песня

3.7, Минона (ok), 14:22, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> необходимость перезапускать хосты потому что NAS ребутнулся Хост на винде? Зачем?

3.11, Аноним (-), 14:26, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	–3 +/–
Мне кажется или ты сам себе сделал проблемы, потом героически их решал, но получилось все равно криво? -_-ʼ Возможно что-то не так с твоими настройками.

3.16, Аноним (16), 14:31, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
NTFS/ntoskrnl ACL на порядок (!) круче, чем то, что есть в Linux.

4.23, GaB4taa6 (?), 14:50, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–3 +/–
А чего вы дизлайкаете? Он ведь правду говорит. В винде можно создать, например несколько групп пользователей, и для кажой из групп настроить права доступа, когда в линуксе у тебя только настройки для одного пользователя, одной грппы и для всех остальных.

Часть нити удалена модератором

6.34, commiethebeastie (ok), 15:05, 29/02/2024 [ответить] [↓] [к модератору]	+/–
> ps насколько я помню в макоси так же, но что характерно она > основана на бздяшных кодах и ядре XNU. > вот оно превосходство академического кода, над поделками студней. Ты даже понятия не имеешь что ты несешь. ACL это лютый антипаттерн программирования, когда вместо группировки, выдергивают отдельные части наружу и делают лапшу.

7.40, User (??), 15:20, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Да-да, надо только организовать работу так, чтобы один человек работал над одной задачей и у каждой задачи был один набор данных - и все-все нормально без вот этих вот ваших acl будет!

8.43, commiethebeastie (ok), 15:30, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Еще раз, ты понятия не имеешь, что несёшь Apple и Microsoft сами не пишут код в... текст свёрнут, показать

9.61, User (??), 16:56, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Я тоби одну вещь скажу - только ты не обижайся Ты, как программист, её не пойме... большой текст свёрнут, показать

10.67, commiethebeastie (ok), 17:03, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	–2 +/–
Правильно, большой бизнес выбрал ACL в базе данных облака , а не в файловой сис... текст свёрнут, показать

7.215, Аноним (215), 23:09, 03/03/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Я давно не читал столь отборную ахинею, даже не поленился лог модерирования откр... большой текст свёрнут, показать

8.221, EULA (?), 09:54, 04/03/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
ACL такая классная вещь, которую можно сломать такой простой операцией, как удал... большой текст свёрнут, показать

9.222, Аноним (215), 17:03, 04/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
О Очередная ахинея Вы просто каталогами пользоваться не умели, что в 2000 году... большой текст свёрнут, показать

10.224, EULA (?), 12:41, 05/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Я где-то заявлял обратное Ваша первая ошибка в понимании аналогичных объектов в... большой текст свёрнут, показать

11.228, Аноним (228), 22:11, 05/03/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Понятно, это не молодой дурак, а старый, что делает ситуацию еще печальнее 1 Я... большой текст свёрнут, показать

12.231, EULA (?), 06:01, 06/03/2024 Скрыто ботом-модератором [к модератору]	+/–

11.229, Аноним (228), 22:18, 05/03/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Разработчикам же специально выдали S-1-4- для неуникальных идентификаторов в ... текст свёрнут, показать

12.232, EULA (?), 07:53, 06/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Вопрос не про неуникальные, а про неизвестные для ОС ... текст свёрнут, показать

13.235, Аноним (235), 03:48, 07/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Твой предыдущий пост скушал бот-модератор поэтому отвечу тебе тут Вот тебе RFC4... большой текст свёрнут, показать

14.236, EULA (?), 06:12, 07/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Нотация определяет UID пользователя для его идентификации По твоей ссылке же на... большой текст свёрнут, показать

8.233, commiethebeastie (ok), 18:38, 06/03/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
It supports many processor architectures and both FreeBSD and Linux А шо случил... большой текст свёрнут, показать

6.132, Аноним (132), 23:45, 29/02/2024 [ответить] [↑] [к модератору]	+/–
Мантра? Про взаимосвязь системы мандатного доступа и системы контроля целостности пояснить сможите? А как насчет опасений, связанных с использованием сертификата?

5.87, glad_valakas (-), 18:07, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
предлагаю вам настроить для группы Users политику W^X для файлов. хотя бы внутри юзерских профилей. хотя бы внутри уже существующих профилей. при этом она должна применяться для всех вновь создаваемых файлов (иначе нет смысла). желаю удачи и попутного ветра в куда-нибудь.

5.137, Аноним (137), 00:24, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
>в линуксе у тебя только настройки для одного пользователя, одной грппы и для всех остальных Товарисч, тебя когда в криокамеру-то поместили? Ты застрял во временах классических прав UNIX. В Linux давно есть ACL, расширенные атрибуты.

5.138, Аноним (137), 00:37, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>В винде можно создать, например несколько групп пользователей, и для кажой из групп настроить права доступа В Linux можно создать 2^32 групп и для каждой группы свои права.

6.161, User (??), 09:43, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>>В винде можно создать, например несколько групп пользователей, и для кажой из групп настроить права доступа > В Linux можно создать 2^32 групп и для каждой группы свои права. А еще из буханки хлеба - троллейбус сделать можно. Да.

7.183, aname (?), 21:31, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Т.е. Линукс

4.30, User (??), 15:01, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+1 +/–
Вопрос: "Считать ли что nfsv4acl "есть в linux'е" или не считать?" С одной стороны - они почти что и не накосячили, передирая ntfs'ную модель доступа (Ну, подумаешь - нет ордеринга ACE и легким движением руки можно создать "вотпрямсовсем" неработоспособную конфигурацию... которую винда при монтировании шары через SMB любезно предлагает привести в удобоваримый вид - и что характерно, приводит!) - с другой, в тех ФС, где оно есть - реализовано вот это прям линупц-стайл вида "шел костыль через костыль" так, что немножко даже и стыдно. В общем "на порядки" - не "на порядки", но хуже преизрядно, да.

5.104, ананим.orig (?), 19:51, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
вы ведь в курсе, что nfs вообще и nfsv4 в частности - не ноухау линуха? зыж лично для меня отлично работает на проксмоксе с АД на самбе и вантузными (и макос, и линукс) клиентами. уже лет десять как

6.111, User (??), 21:00, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Оттож Линуксовая реализация как раз таки изрядно кривая Ну, разве что отлично ... большой текст свёрнут, показать

7.125, ананим.orig (?), 22:37, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
кушать вы можете что угодно у меня же и nfs и самба на одних шарах с win/linux/mac-клиентов входящими в домен отлично работают уже лет 7-10. были интересные моменты при переходе nfsv3, nfsv4 (на 4.0 и 4.1), но давно и деталей уже не помню. помню что связано именно со стандартом и решалось параметрами монтирования как nfs, так и локальных фс

8.158, User (??), 09:37, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ну вот про отлично работают - рассказывайте пожалуйста тем, кто эту связку на ... текст свёрнут, показать

4.102, ананим.orig (?), 19:42, 29/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
сто лет в обед уже как и один в один как в винде называется NFS4_ACL ну матчасть... большой текст свёрнут, показать

4.126, yet another anonymous (?), 22:39, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+2 +/–
Заканчивайте уже таскать эти сказки про несравненную NTFS. Там, например, метаинформация FS --- это обычный файл на той же FS, разве что его пользователю не показывают. Что ведёт к эпичной камасутре при определённых операциях над FS.

5.159, User (??), 09:38, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Заканчивайте уже таскать эти сказки про несравненную NTFS. Там, например, метаинформация > FS --- это обычный файл на той же FS, разве что > его пользователю не показывают. Что ведёт к эпичной камасутре при определённых > операциях над FS. Ну, она работает и решает пользовательские задачи, связанные с управлением доступом\совместным владением в многопользовательской среде - чего, в общем, не скажешь про зоопарк ФС linux'а.

4.145, Аноним (-), 02:46, 01/03/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
> NTFS/ntoskrnl ACL на порядок (!) круче, чем то, что есть в Linux. Ну так покажи как им вообще вооон то сделать?!

4.153, Аноним (-), 05:20, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> NTFS/ntoskrnl ACL на порядок (!) круче, чем то, что есть в Linux. Так то забавная штука если хочется обломать легитимного админа, зарубив ему доступ нафиг, да так что он нифига его не снимет так сходу. Еще очень удобно себе оставлять левые доступы на что попало - все равно в этих наворотах никто никогжа ничего не найдет, там черт ногу сломит.

5.160, User (??), 09:42, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
>> NTFS/ntoskrnl ACL на порядок (!) круче, чем то, что есть в Linux. > Так то забавная штука если хочется обломать легитимного админа, зарубив ему доступ > нафиг, да так что он нифига его не снимет так сходу. > Еще очень удобно себе оставлять левые доступы на что попало - > все равно в этих наворотах никто никогжа ничего не найдет, там > черт ногу сломит. Да-да, разумеется, если постараться выстрелить себе в ногу аналогичным образом, настроив те же самые ACL в linux'е - результат будет совсем-совсем другим, правда? А то, что доступ у лапчатых можно отхреначить - вот просто задав acl не в том порядке - патамучта в ордеринг ACE они нишмагли - так это фича такая, наверное.

6.195, Аноним (-), 11:06, 02/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Внезапно - да Во первых, на рута это все не действует и обломать рута в линухе ... большой текст свёрнут, показать

7.200, User (??), 20:41, 02/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Воу Считать эту ДЫРЕНЬ такой фичей - прям так замечательно что просто замечател... большой текст свёрнут, показать

3.60, OpenEcho (?), 16:54, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]

–1 +/–

> MS ещё chmod и chown не осилило,

Спецы опен нет а :(

'''
   mkdir supertest && cd supertest
   cp /usr/bin/sh . &&  chmod 600 ./sh
   /lib64/ld-linux-x86-64.so.2 ./sh -c 'echo "Привет а нон им!"'
'''

Помог чмод ?

4.124, ананим.orig (?), 22:23, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]

+1 +/–

ух ты, ld-linux-x86-64.so.2 может запускать программы!
а шел может запускать скрипты!

круто!

cd .. && chmod -x supertest/
/lib64/ld-linux-x86-64.so.2 ./supertest/sh -c 'echo "Привет OpenEcho"'
./supertest/sh: error while loading shared libraries: ./supertest/sh: cannot open shared object file: Permission denied

5.171, OpenEcho (?), 14:39, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> ух ты, ld-linux-x86-64.so.2 может запускать программы!

аха, даже те, у которых нет executable bit

> cd .. && chmod -x supertest/

и так будешь охотится с -х за каждым юзверским экаунтом?
И перекрывать им кислород в их же каталоги?

6.184, Аноним (184), 21:45, 01/03/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
> и так будешь охотится с -х за каждым юзверским экаунтом? > И перекрывать им кислород в их же каталоги? Для этого существуют user namespaces (mount namespace) и MAC (AppArmor, SELinux, Smack, etc).

7.189, OpenEcho (?), 00:49, 02/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>> и так будешь охотится с -х за каждым юзверским экаунтом? >> И перекрывать им кислород в их же каталоги? > Для этого существуют user namespaces (mount namespace) и MAC (AppArmor, SELinux, Smack, > etc). Вы это не мне, а тому анониму которому чмод-а достаточно обьясните

7.202, ананим.orig (?), 22:09, 02/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
для начала для этого есть umask но обсуждать пример гражданина выше, в котором пользователю разрешен и доступ к файлу, и запуск программ - шизофрения

6.204, ананим.orig (?), 02:44, 03/03/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]

–1 +/–

>> ух ты, ld-linux-x86-64.so.2 может запускать программы!
> аха, даже те, у которых нет executable bit

именно. и в этом то весь смысл
а баш может запускать скрипты, и перл, и питон, и … кто угодно
и тоже без executable bit

вам нужно пересмотреть свое понимание на «access permissions»

7.225, OpenEcho (?), 15:10, 05/03/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> вам нужно пересмотреть свое понимание на «access permissions»

Да, ну ?! Сильная заява!

А как же мелкософт "который не одолел" chmod? Им тоже совет "опытного анонима" нужен, ну чтоб от запуска защищать c chmod

4.174, PnD (??), 16:21, 01/03/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
Следите за руками. # file /usr/bin/sh /usr/bin/sh: symbolic link to bash Фокусник, блин. "А вы за что сидите? Да, за фокусы…"© анекдот.

5.178, OpenEcho (?), 17:37, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> Следите за руками.
> # file /usr/bin/sh
> /usr/bin/sh: symbolic link to bash

У кого как, у тех кто понимает опастность баша, то у них симлинк на dash

Ну скопируй бинарник, /usr/bin/dash && chmod 644
А в чем фокус то?

6.226, PnD (??), 15:14, 05/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Ну скопируй бинарник, /usr/bin/dash && chmod 644 > А в чем фокус то? Да, тут погорячился (показалось что копировали ссылку, но на самом-то деле — цель ссылки). Исполнителю, да, пофиг на атрибуты. Запуск "в лоб" обломается только на ФС с noexec. Но если уж задаться такой целью, можно наверное придумать и "по лбу.

4.185, Аноним (184), 21:59, 01/03/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+/–

> Помог чмод ?

Он прежде всего для read/write. Для exec/mmap нужны более комплексные средства. В любой пользовательской ОС.

5.190, OpenEcho (?), 00:52, 02/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>> Помог чмод ? > Он прежде всего для read/write. Для exec/mmap нужны более комплексные средства. В > любой пользовательской ОС. Именно !

5.205, ананим.orig (?), 02:50, 03/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
не совсем хинт - если вы не cможете прочитать, то не сможете это и запустить ну и записать :D

6.227, OpenEcho (?), 19:08, 05/03/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> не совсем
> хинт - если вы не cможете прочитать, то не сможете это и
> запустить
> ну и записать :D

Тебе заняться не чем вместо троллинга?

Статья про "IPE решение о разрешении или запрете операций" и твое предложение поучить мелкосовт пользоваться chmod вместо ... есть просто тролинг т.к. имея права на чтение, этого достаточно чтоб запустить файл на выполнение, к чему в итоге ты и пришел

3.182, aname (?), 21:28, 01/03/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
s/MS/ты/

2.95, Аноним (95), 18:50, 29/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+3 +/–
> а по факту: это альтернатива SELinux и AppArmor? Скорее IMA/EVM от IBM.

2.117, L29Ah (ok), 21:22, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Нет, это новый раунд тивоизации.

3.197, Аноним (-), 11:10, 02/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Нет, это новый раунд тивоизации. Или подготовка к тому чтобы ядро NT таки бортануть - и уволить зиллион индусов, кодящих тормощную безблагодатную гамняку.

2.219, Андрей04091977 (ok), 08:09, 04/03/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Есть ещё PARSEC от астры

....большая нить свёрнута, показать (60)

1.3, Аноним (2), 14:08, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+7 +/–
> Список хэшей может быть получен от пакетного менеджера RPM Угадаю в коопе с кем это будет проталкиваться с семи нот...

2.162, жорик (?), 11:01, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
линукс это виндовс.

3.196, Аноним (-), 11:09, 02/03/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> линукс это виндовс.

Не, просто майкрософт кажется шутку про MS Linux воспринял довольно серьезно. Есть скажем некий CBL Mariner (дистр Linux!!!) для ... внутреннего использования мс в основном. Оказывается и такое вот бывает.

Так что если в винде 12, или что уж там, 13 лучше подойдет - кернель заменят, ну, упс, давно к этому шло.

1.5, Аноним (5), 14:19, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+14 +/–
А потом окажется, что всё это должно быть подписано ключом M$.

2.22, LinAlex (ok), 14:45, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+5 +/–
.... потому что другие биос не пропустит.

1.6, Cyber100 (ok), 14:20, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+3 +/–
ну все - это киста... следующий шаг - лицензирование ms kernel home, pro, datacenter, edu...

2.10, Аноним (-), 14:25, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–5 +/–
Странное сравнение. То что su/sudo это просто дыярвое шерето и так понятно, достаточно посмотреть сколько новостей про очередную уязвимость находится на этом сайте. То что они что-то предложили, не факт что его примут вообще, не факт что примут в том виде как оно предложено сейчас. Но то что управление доступом в линуксе сделано через одно место... Для того чтобы его исправить, нужно хотя бы признать наличие проблемы.

3.186, Аноним (184), 22:03, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]

+1 +/–

> достаточно посмотреть сколько новостей про очередную уязвимость находится на этом сайте

Чтобы понять, что в sudo уязвимости ищут и исправляют.

> просто дыярвое шерето

Тот Неуловимый Джо, о котором не пишут новостей.

> Но то что управление доступом в линуксе сделано через одно место...

Опеннет-экспертиза подъехала.

2.12, Минона (ok), 14:27, 29/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
> ms kernel home, pro, datacenter, edu... MS/Linux ...

2.17, Аноним (17), 14:32, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
А вы друг друга предупреждали, товыарищи )

2.28, xxx000111 (?), 14:59, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+3 +/–
не просто лицензирование, а отдельно покупаются лицензии на 1) ядра 2) сервера 3) юзеров 4) число строк правил 5) день рождения Билла Гейтса

3.101, Аноним (5), 19:31, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
7) Code of Conduckt

2.64, OpenEcho (?), 17:00, 29/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+/–

> следующий шаг - лицензирование ms kernel home, pro, datacenter, edu...

Не... это сыр, халявный(!!!), зачем?

Данные для ИИ - то к чему это все двигается, каждая херня должна быть идентифицирована и скормлена

Так что следующий шаг будет "для заботы о мышах", - быстрое обновление хэш таблиц с облачков и в случае not found -> send samples для анализа

1.9, Аноним (-), 14:25, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+4 +/–
А что удивительного? Если платиновому спонсору Linux Foundation понадобилась какая-то фича для своих серваков и WSL, то им же не будут отказывать! И ведь сделают, негоже из-за мнения каких-то из "сообщества" отношения с ним портить.

2.15, Минона (ok), 14:29, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
> платиновому спонсору Linux Foundation Пора переименовать в Linux Corporation.

3.21, Аноним (-), 14:41, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
Я не против. Все равно 80% кода пишут корпы, а васяны только пользуются плодами их трудов. Ну и плюют в колодец) Хотя Linux Foundation for money of Corporation будет совсем идеально.

4.66, OpenEcho (?), 17:02, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Все равно 80% кода пишут корпы Вы уверены что остальные 20% - коммунисты, работающих за идею и за корочку хлеба???

4.77, Аноним (77), 17:29, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ваши 80%, это показатель на сколько глубоко Linux вошел корпам. Не правда ли!?

5.79, Аноним (-), 17:39, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Скорее насколько рука корпов прочно засела в Linux Foundation. Ну как у перчаточной куклы. Кукловод слегка пальцем пошевелит, а кукла презабавно паясничает и кланяется. Фишка в том, что корпы с линуксом пока им выгодно. И корпы без линукса выживут, возможно им будет плохо и дорого переходить на что-то другое, но примеры есть: винда, бздя, макось - это все системы разработанные корпорациями (плюс жменя встраеваемых) А без корпов линукс помрет, опустится на уровень хурда. Вот такие пирожки(

6.98, Аноним (77), 19:20, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
С Вами интересно! Но на сегодня хватит. Спасибо.

6.149, Вася (??), 05:07, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
корпы тут пока им выгодно, факт, но ведь выгодно от этого всем. выгодно корпам выгодно разрабам - их кормят корпы, может они и так бы этим занимались, но тут им еще и платят - минусы есть? выгодно юзерам - корпоративного уровня софт и прочее в доступе бесплатно. а все минусы, которые приносят корпы - ну так они всегда тут и были, но без плюсов

7.165, Аноним (-), 13:25, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> выгодно юзерам

Так почему столько нытья?
Что в новости про ХОрг "азаза! корпы навязывают вейланд", что в теме про всякие УЕФИ, про хром и хромиум (зонды, зонды везде) и тд тысячи их.

Ну и тут.
Вроде юзерам выгодно получать "корпоративного уровня софт и прочее в доступе бесплатно", а не Хурд-без-соли, но что-то они опять ноют и бухтят.

8.167, Вася (??), 13:39, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
линуксоиды, сэр вейланд все ещё не готов, я б не против был, если б его nvidia н... текст свёрнут, показать

3.45, Аноним (45), 15:32, 29/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
>> платиновому спонсору Linux Foundation > Пора переименовать в Linux Corporation. Лучше сразу в Linux Submission Inc

3.72, anonymous (??), 17:19, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Linux Consortium же.

2.119, penetrator (?), 21:50, 29/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
прям для серваков? что-то мне подсказывает, что для сурфейса это все в котором WSL

2.187, Аноним (184), 22:11, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> И ведь сделают

Уже сделали. Корпоративные рабы из M$.

> платиновому спонсору Linux Foundation понадобилась какая-то фича

LF не принимает технических решений, в том числе о принятии/отклонении кода в конкретный проект.

1.13, Аноним (13), 14:28, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+2 +/–
Ух какие шустрые. Сами придумали, сами предложили. А почему ядерный модель для их ФС написали и предложили не они?

2.19, SharkKey follower (?), 14:34, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+5 +/–
Потому что они уже сами не знают, как их ФС работает

2.25, oficsu (ok), 14:54, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Пишут код только для того, чем сами пользуются. Н̶у̶ ̶н̶е̶ ̶б̶у̶д̶у̶т̶ ̶ж̶е̶ ̶о̶н̶и̶ ̶N̶T̶F̶S̶ ̶у̶ ̶с̶е̶б̶я̶ ̶и̶с̶п̶о̶л̶ь̶з̶о̶в̶а̶т̶ь

2.31, Аноним (-), 15:01, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
Если найти немамонта который тебе бесплатно напишет код, а ты его можешь просто взять и использовать.. Так это просто win ситуация! Не зря что ли всякие аппологеты опенсорса, на гранты от корпов, рассказывают "как клево писать открытый код на благо Сообщества (и вон того уважаемого господина, который отслюнавил мне котлету денег)"

2.118, Аноним (118), 21:42, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
А нафига он им нужен в Azure?

1.18, Аноним (18), 14:33, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+1 +/–
Поясните, в чем подвох?

Часть нити удалена модератором

3.44, Аноним (44), 15:30, 29/02/2024 Скрыто ботом-модератором [к модератору]	+1 +/–

3.46, Аноним (46), 15:34, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Вы просто забываете, что Linux был написан и долгое время поддерживался энтузиастами, а твои любимые корпы налезли потому как им понадобилась специфическая корпарасткая хрень, которой в ядре не было, а Linux то бесплатный - экономия. Так, что не надо ля-ля.... Прям картина перед глазами злые ЖПЛщики силой заставляют несчастных копорастов писать код для ядра.

4.54, Аноним (-), 15:57, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Начали писать в 91 Версия 2 0 вышла в 96 году и была уже более менее пригодна ... большой текст свёрнут, показать

4.55, Карлос Сношайтилис (ok), 16:03, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Вы просто забываете, что Linux был написан и долгое время поддерживался энтузиастами Hurd и сейчас "поддерживался энтузиастами". А вот корпами хурд не поддерживается. Результат поддержки корпами налицо.

2.103, Аноним (95), 19:44, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Наезд на IMA/EVM от IBM. Точнее сабж аналог IMA, а dm-veriti, fs-verity аналог EVM.

3.173, n00by (ok), 15:19, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Наезд на IMA/EVM от IBM. > Точнее сабж аналог IMA, а dm-veriti, fs-verity аналог EVM. Не понятно, на кого делать ставку. Вдруг выиграет Трамп, а тут помимо Микрософт еще и Хуавэй, явно мешает делать Америку снова великой.

1.36, Аноним (-), 15:07, 29/02/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+4 +/–

1.41, Аноним (41), 15:23, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]

+/–

> файла с хэшем "401fce...0dec146938".

А кукушка не поедет всё это сопровождать?

2.42, Аноним (44), 15:29, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Возможно в будущем сделают опцию запускать только файл с этим хешем, тогда не придется блеклитить все исполняемые файлы в мире.

3.62, Аноним (62), 16:57, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Каноничный вендорлок, не?

4.69, OpenEcho (?), 17:08, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Ну зачем вы так? Здесь много-ходовка

4.73, Аноним (73), 17:21, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
> вендорлок Значение знаешь?

1.47, Аноним (47), 15:36, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
Вот поэтому и нужен хурд - чтобы кто попало коммитил гадость в свой форк сервера, а не в ядро.

2.51, Аноним (-), 15:47, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> Вот поэтому и нужен хурд - чтобы кто попало коммитил гадость в
> свой форк сервера, а не в ядро.

Хурд, это вообще что? Какая-то кривая подделка 1,5 калек которую пилят лет 30?
Ну... можешь им пользоваться.
Но это отличнй пример, чем бы было ядро линукса без корпораций, их программеров. их денег.

3.100, Аноним (5), 19:26, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Ожил Хурд в последнее время. 64 бита пилят.

4.164, Онанимб (?), 12:23, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Отлично, ещё пару десятилетий и сделают.

1.50, Котофалк (?), 15:40, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+4 +/–
Данайцы с дарами подъехали...

2.70, OpenEcho (?), 17:10, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Да они уже давно не данайцы, а руководяйцы

3.97, Аноним (5), 19:17, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Не смогли победить, возглавили?

4.210, Аноним (210), 15:53, 03/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
возглавить тоже не смогли, но пытаются всё ещё

2.152, Аноним (152), 05:15, 01/03/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
> Данайцы с дарами подъехали... Да у этих нанайцев просто линуха уже используется больше чем винды, они и чешут репу как с этим жить. Так, глядишь, выкинут NT kernel скоро...

1.52, Бывалый Смузихлёб (ok), 15:51, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+2 +/–
Ну вот хомяков и загоняют окончательно в клетку. Добавить ещё ту хреновину по проверке целостности ОЗУ и памяти конкретных процессов и потоков - и практически идеальная тюрьма, которая не снилась ни винде ни яблоку

2.58, Аноним (-), 16:14, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]

–1 +/–

> Ну вот хомяков и загоняют окончательно в клетку.

Неправда, никто никого в клетку не загонял
Хомячки сами туда зашли. С радостью и под лозунги об "открытом коде, свободе и сообществе энтузиастов".
Сначала убедили, что код должен быть бесплатный, что копировать можно сколько влезет, а потом оказалось ВНЕЗАПНО, что найти немамонтов писать код нашару очень сложно.
Пришлось делать прогиб под корпов и их грантики.

> Добавить ещё ту хреновину по проверке целостности ОЗУ и памяти конкретных процессов и потоков -
> и практически идеальная тюрьма, которая не снилась ни винде ни яблоку

Думаю добавят) Не в этом году конечно, но цель видна, осталось реализовать.

3.80, Бывалый Смузихлёб (ok), 17:39, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
да даже на опеннете недавно публиковались новости по тому проекту это настолько анальная эксплуатация, что даже венда с принудительным обновлением иным покажется сказкой Ведь, даже динамических правок в систему внести не удастся ибо проверка целостности ОЗУ

4.96, Аноним (-), 18:55, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Спасибо за упоминание, со второго раза нашел) www.opennet.ru/opennews/art.shtml?num=52691 Т.е это довольно новый проект, всего 4 года пилят. Но опасения у форумчан возникли еще тогда))

1.53, Аноним (53), 15:52, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+2 +/–
Как они задрали пытаться "верифицировать" мою систему! Кстати, перед тем, как говорить мне что все отключаемо, попробуйте отключить selinux.

2.56, Аноним (-), 16:05, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]

+1 +/–

> Как они задрали пытаться "верифицировать" мою систему!

А вообще, кто тебе сказал, что это "твоя" система?

> Кстати, перед тем, как говорить мне что все отключаемо, попробуйте отключить selinux.

Ядро открытое, всегда можно накатить патчи и выпилить.
Есть же могучее Сообщество™, которое пишет ядро, а корпы им только мешают.
Ну так пусть форкнут, сделают LibreKernel и избавятся от гнет корпораций!

3.133, Аноним (137), 00:02, 01/03/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Установленную на его хосте систему GNU/Linux он точно может считать своей и делать с ней, что хочет. Ибо, в отличие от системы под EULA, никто ему на его компе не диктует, как использовать систему.

4.147, _ (??), 04:45, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Хороший анекдот, надо таки рассказать Сарочке(С) ;-D

5.151, Аноним (-), 05:12, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Хороший анекдот, надо таки рассказать Сарочке(С) ;-D Анекдот, не анекдот - а я по совету того анона 137 и действую. Если я сам отстроил кернел, модули подписаны моими ключами, и в конфиге ядра то что я посчитал нужным - как вы собираетесь мне вообще там что-то указывать? Я чисто технически свое при таком раскладе всегда отспорю. Если ончень надо - окей, я пропатчу кернел. Скажем regulatory вафли - подбешивает, поэтому у меня для него есть аморальный но полезный патч. Вам я его ессно не дам - и вас оно таки будет строить. Потому что тем кому это на самом деле надо - сами его себе и сделают. Это такой тест на разумность существа - если может, очевидно, понимает что делает. А позволить каждому хомяку произвольно гадить в эфир - не очень осмотрительная идея. В целом.

3.134, Аноним (137), 00:05, 01/03/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
LibreKernel, как бы, уже довольно давно существует. Новости о нём на OpenNet регулярно постят.

4.148, _ (??), 04:46, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
И кто из вас его пользует? А чесно? :)

5.175, Аноним (175), 17:00, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Из замеченного мной. Видеокарта работает только в текстовых режимах. Если графика ненужна (сервер), пользовать можно.

2.59, Аноним (-), 16:18, 29/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+/–

> мою систему

Ты всего лишь безымянный юзер, пользующийся их ядром и их системой потому что...
А потому что так исторически сложилось. И всё.

И выбор у тебя, учитывая что selinux ты отключить не в состоянии, только один - "жричодают".
Ну и жаловаться в коммента, как же без этого.

2.120, penetrator (?), 21:52, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
setenforce 0

2.150, Аноним (-), 05:08, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
> Как они задрали пытаться "верифицировать" мою систему! > Кстати, перед тем, как говорить мне что все отключаемо, попробуйте отключить selinux. Ну вот у меня в моем линухе - никакого SELinux вообще совсем нету. А в чем собственно проблема? :)

1.68, Kuromi (ok), 17:03, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+5 +/–
Даже не вчитываясь видно что это очередной голый DRM. Вот такая вот свобода.

2.74, OpenEcho (?), 17:22, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
> Даже не вчитываясь видно что это очередной голый DRM. Да нет, - это покруче будет. Задумка она конечно не плохая, но и давно и не новая (привет mtree !), хотя защищать систему, этой же самой системой - классический тупой антивирус, которые обходились, обходятся и будут обходиться тем кому надо, но вот лакомый кусок под видом заботы о мышах, - можно будет потом привязать к клаудам (ну да,"верю", - исключительно для реал-тайма защиты) и собирать samples

3.82, Kuromi (ok), 17:47, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Не, я понимаю что применение там не одно единственное, но в консумерском сегмен... большой текст свёрнут, показать

4.172, OpenEcho (?), 14:49, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> Уверен, легко можно будет прикрутить это к "авторизованному" магазину приложений.

Я не думаю что это грозит в ближайшем будующем, т.к. на их же уровне есть им равные и они не поведутся на такой безпредел, но если гуглы лягут под них, то все возможно

> И да, идея "разрешить запуск только разрешенных исполняемых файлов" - не новая, но тут вопрос
> насколько во эта реализация обходима.

Судя по тому как появляются новые вирусы, которые просачиваются через
real-time cloud protection + samples submission
то это подтверждает старую как мир правду:
"Защищать систему самой системой - не получится", всегда были, есть и будут дыры.

2.136, Аноним (137), 00:09, 01/03/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
>Предложенный механизм может применяться в прошивках для встраиваемых устройств, в которых всё программное обеспечение и настройки специально собираются и предоставляются владельцем Тивоизатор

1.75, Аноним (75), 17:25, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	–1 +/–
Пора дистростроителям переходить на какое-то другое ядро, тянуть дальше чревато. Линукса зохватили корпорасты, хурд ни жив ни мёртв... Остаётся illumos. Заодно и zfs искаропки получим.

2.84, Kuromi (ok), 17:49, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
> Пора дистростроителям переходить на какое-то другое ядро, тянуть дальше чревато. Линукса > зохватили корпорасты, хурд ни жив ни мёртв... Остаётся illumos. Заодно и > zfs искаропки получим. В теории можно воставить ядро собранное без всего вот этого. Кастомные ядра тоже не новость, были же на заре нетбуков (помните) ядра собранные специально для eeePC.

2.85, Аноним (-), 17:53, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
А код писать кто будет? Дистростроители в большинстве своем, просто собирают из уже готовых блоков. Ну макисимум системд выпилят. Зато у нас 100500 дистров с нескучными обоями)

3.220, Андрей04091977 (ok), 08:12, 04/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Астра PARSEC написали

1.76, Аноним (73), 17:28, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	–3 +/–
В очередной раз Майкрософт делает за день для опенсорс больше, чем все комментаторы опеннета за год вместе взятые. То, что происходит с правами доступа в Линуксе — это позор, который с нами с 70х. Даже такую простую штуку как SELinux не осилили настолько, что все гайды начинаются с «setenforce 0». Принесли на блюдечке готовое решение чтобы сделать уже наконец-то Линукс многопользовательской системой по современным меркам, но местная нердота всё равно воет про данайцев и оспяные одеяла. Не нать нам ваша безопасность. Диды от рута запускали, и мы будем.

2.83, Аноним (-), 17:48, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
О, тебе еще не попадались упорыши (обычно в темах про Раст) рассказывющие, что уязвимости в ядре это хорошо ? Потому что, та-дам, так можно рутануть телефон на который уже забил производитель. Так что неудивительна такая реакция)

3.141, Аноним (141), 01:18, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Попадались, куда ж без них? Скоро очередной виток будет, CloudFlare отрыла исходники своей замены Nginx на Расте, которая и быстрее, и гибче, и безопаснее.

2.155, Аноним (155), 09:18, 01/03/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
потому что selinux совсем не простой и малопригоден для практического применения

3.181, Аноним (73), 19:07, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
SELinux простой настолько, что для тех, кто не умеет читать текст выпустили руководство в виде комикса. А его пригодность к повседневному использованию зависит только от тебя. С установкой линукса разобрался, значит и с RBAC не должно возникнуть проблем.

4.208, Аноним (210), 15:50, 03/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
тыкающие в интернете ни к чему не пригодны практикой доказано

2.176, Аноним (175), 17:11, 01/03/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Ну вот всё запускать от админа или назначить своего юзера админом, это к 90% виндохомячков.

3.180, Аноним (73), 19:00, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Вторая проблема линуксоидов заключается а том, что они склонны путать прод и локалхост.

1.89, anonymous (??), 18:16, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+1 +/–
О, у нас такая система на работе стоит и работает. Определяет, какие программы можно запускать, какие нет.

2.91, Аноним (-), 18:39, 29/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
И как впечатления? Предположу, что для работы нормально, особенно админы будут довольны. А вот любители позалипать во вконтактик или скачать паруторрентов с рабочего компа могут расстроиться.

3.146, Аноним (146), 04:23, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]

+1 +/–

Ну как... во-первых, git видит все файлы как двоичные, из-за чего пользоваться им неудобно.

Во-вторых, пароль от сервера, который это контролирует, написан на бумажке, наклеенной на монитор, потому что иначе заставить это нормально работать, невозможно.

В-третьих, эта система крайне нестабильно работает на виртуалках и вообще не работает в докере, потому что виртуалка воспринимается как tampering.

Но в целом, это штука хорошая, потому что босс теперь имеет ощущение, что "у него всё безопасно", а значит не докапывается до того, что у каждого на компе стоит TeamViewer.

4.166, Аноним (-), 13:30, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

С гитом звчит неудобно(

> пароль от сервера, который это контролирует, написан на бумажке

Думаю если у кого-то есть физический доступ в помещение с серваком, то это гораздо большая проблема, чем пародль на бумажке))

> нестабильно работает на виртуалках и вообще не работает в докере

Тоже неприятно, но если нет виртуалок, то можно использовать.
Главное знать о таком ограничении.

5.193, anonymous (??), 07:51, 02/03/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

>Тоже неприятно, но если нет виртуалок, то можно использовать.

Если бы эта система администрировалась компетентным администратором, работать было бы невозможно.

2.209, Аноним (210), 15:52, 03/03/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
товарищ маеор внедрил?

1.99, Анонист (?), 19:22, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+5 +/–
> Microsoft предложил систему управления доступом IPE для ядра Linux Как это поможет исправить рваный скроллинг в линпусе? Когда уже запилят нормальный десктоп, хотя бы как в винде? (не заикаюсь про божественный как в macOS)

2.105, Аноним (-), 19:53, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
> Когда уже запилят нормальный десктоп, хотя бы как в винде? С этим вопросом лучше в соседнюю тему про КДЕ6. Там тебе сразу расскажут что линуксовый декстоп лучше и винды и мака вместе взятых, но не на гноме или кедах, а на каком-ир васяноДЕ для особенных. При этом все что кривое - "вы просто не поняли задумку художника", а все что не работает - оно нинужна. И да, вяленый тоже нинужон!

3.108, Аноним (108), 20:44, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+3 +/–
Думаю посыл анона выше был к тому что вся эта мышиная возня не имеет значения если сама система неюзабельна на десктопе из-за отстойного GUI

3.121, penetrator (?), 21:55, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
KDE вполне себе лучше и мака и винды, есть конечно огрехи, но даже не замечаешь по сравнению с двумя последними

4.122, Аноним (122), 21:58, 29/02/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> KDE вполне себе лучше и мака и винды Если решил набрасывать, пиши про федору, гном и гтк.

1.110, 12yoexpert (ok), 20:52, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+4 +/–
> IPE нацелен на создание полностью контролируемых корпорастами систем поправил

1.127, Леонид (??), 23:08, 29/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	–2 +/–
Это настолько круто, что даже представить сложно не админам и не ИБ спецам какая карусель с мороженым нас закружила! Теперь реально загрузится то что нужно, а не что попало. Если в вашей организации хранятся реально ценные данные, то исключение из возможности запуска с сторонних устройств хранения и/или загрузочных образов (для сетевой загрузки актуально) с белым списком на запуск с ФС это оч. круто и сужает возможности атак до минимума.

2.140, Аноним (140), 01:10, 01/03/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
Но только не припомню, чтоб какое-либо начинание мелкомягких хорошо кончилось одновременно качественным софтом и применением дома. Поэтому - выбросить.

3.142, Аноним (141), 01:24, 01/03/2024 Скрыто ботом-модератором [к модератору]	+/–

3.179, anonymous (??), 18:07, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Lsp/dap

2.154, n00by (ok), 08:23, 01/03/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Да, занятная карусель. Что бы вот это вот всё имело смысл в Windows, потребовался PatchGuard. А что бы PG работал, он должен быть: закрыт, обфусцирован и обновляться оперативно.

2.169, Аноним (169), 14:07, 01/03/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
а кто мешает сделать свой загрузчик?

1.217, Аноним (217), 07:37, 04/03/2024 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+/–
Хана Linux-у ! Насуёт ему майфкософт анальных зондов и развалит :( Они так Borland убили

1.218, Diozan (ok), 07:55, 04/03/2024 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]	+/–
Ждём сертификат от ФСТЭК?

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: