Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Ubuntu ограничит доступ к user namespace" | +/– | |
Сообщение от opennews (??), 09-Окт-23, 23:50 | ||
Компания Canonical объявила о внесении в Ubuntu 23.10 изменений, ограничивающих доступ пользователей к пространствам имён идентификаторов пользователя (user namespace), что позволит повысить защищённость систем, использующих контейнерную изоляцию, от уязвимостей, для эксплуатации которых необходимы манипуляции с user namespace. По данным Google, 44% эксплоитов, участвующих в программе по выплате денежных вознаграждений за выявление уязвимостей в ядре Linux, требуют наличия возможности создания пространств имён идентификаторов пользователя... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по ответам | RSS] |
2. Сообщение от Аноним (2), 09-Окт-23, 23:53 | –3 +/– | |
Может они когда-нибудь исправят ужасный suid? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #3, #10 |
3. Сообщение от swarus (ok), 10-Окт-23, 00:13 | +5 +/– | |
зачем, не используй его и всё | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #2 Ответы: #75 |
4. Сообщение от scriptkiddis (?), 10-Окт-23, 00:53 | –7 +/– | |
Вааау бубунта закрыла это, типо вы сами не могли. Целую новлсть из ничего, профи. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
5. Сообщение от DeerFriend (?), 10-Окт-23, 01:06 | +1 +/– | |
Напомните, зачем гуглу этот доступ нужно оставлять? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #6, #11, #22, #47 |
6. Сообщение от Bob (??), 10-Окт-23, 03:14 | +/– | |
Other applications, such as Google Chrome make use of namespaces to isolate its own processes which are at risk from attack on the internet. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #5 |
9. Сообщение от Аноним (9), 10-Окт-23, 05:06 | +/– | |
> возможность создавать user namespace при наличии профиля AppArmor | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #19, #49 |
10. Сообщение от Аноним (10), 10-Окт-23, 05:46 | +4 +/– | |
Исправил, не благодари: https://www.opennet.ru/openforum/vsluhforumID3/131681.html#157 | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #2 |
11. Сообщение от Аноним (10), 10-Окт-23, 05:56 | –1 +/– | |
Вкладки браузера изолируются через user namespaces. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #5 Ответы: #71 |
12. Сообщение от academiq (ok), 10-Окт-23, 06:08 | +1 +/– | |
Есть ли нечто подобное для SELinux? Или это чисто решение (выборочное ограничение user namespace) для AppArmor? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #13, #29, #33, #51 |
13. Сообщение от Аноним (10), 10-Окт-23, 06:17 | +1 +/– | |
Ну, CAP_SYS_ADMIN должно быть можно выборочно заблокировать. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #12 Ответы: #67 |
18. Сообщение от Аноним (18), 10-Окт-23, 09:02 | +/– | |
К чему эти нежности? Нужно просто запретить пользователю включать компьютер. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #30 |
19. Сообщение от пох. (?), 10-Окт-23, 09:02 | +1 +/– | |
Так тебе понимать ничего и не надо. Она просто будет через пару промежуточных итераций - работать. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #9 Ответы: #21 |
20. Сообщение от onanim (?), 10-Окт-23, 09:18 | +/– | |
думаю, речь идёт об kernel.unprivileged_userns_clone, который во всех нормальных дистрибутивах по умолчанию выключен, и только в убунте включён, и для которого уже штук 20 local privilege escalation эксплоитов написано. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #24, #28 |
21. Сообщение от Аноним (22), 10-Окт-23, 09:25 | –1 +/– | |
> Так тебе понимать ничего и не надо. Она просто будет через пару | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #19 |
22. Сообщение от Аноним (22), 10-Окт-23, 09:27 | +1 +/– | |
> Напомните, зачем гуглу этот доступ нужно оставлять? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #5 Ответы: #38 |
23. Сообщение от Аноним (23), 10-Окт-23, 09:44 | +2 +/– | |
Короче, линукс идёт дорогой андроида - всё больше огораживаний. Лет через пять отберут рут - небезопасно же... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #25 |
24. Сообщение от Аноним (10), 10-Окт-23, 10:13 | +2 +/– | |
Как раз, наоборот. Включен по умолчанию. Отключен только на hardened-ядрах и в некоторых дистрибутивах, которые никто как десктоп использовать не планировал. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #20 Ответы: #27 |
25. Сообщение от Аноним (10), 10-Окт-23, 10:17 | +/– | |
> Лет через пять отберут рут - небезопасно же... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #23 Ответы: #26, #32 |
26. Сообщение от Anonim (??), 10-Окт-23, 10:22 | +/– | |
И как в этой ситуации обходите "нажмите Ctrl-D или введите пароль root"?? Или у профи таких ситуаций не бывает? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #25 Ответы: #57, #58, #73 |
27. Сообщение от Аноним (27), 10-Окт-23, 10:39 | –3 +/– | |
Ну всё понятно, Убунту под предлогом "безопасности" упрощает жизнь малвари. Видно, кто оплатил услуги, и для чего. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #24 |
28. Сообщение от Аноним (44), 10-Окт-23, 11:19 | +/– | |
> речь идёт об kernel.unprivileged_userns_clone, который во всех нормальных дистрибутивах по умолчанию выключен | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #20 Ответы: #52 |
29. Сообщение от OpenEcho (?), 10-Окт-23, 11:34 | +/– | |
РТФМ setcap и | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #12 |
30. Сообщение от OpenEcho (?), 10-Окт-23, 11:36 | +/– | |
> К чему эти нежности? Нужно просто запретить пользователю включать компьютер. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #18 |
31. Сообщение от Аноним (33), 10-Окт-23, 11:40 | +/– | |
Какого шлака только не понапридумывали лишь бы не использовать стандартные права на запись,чтение,исполнение файлов. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #34 |
32. Сообщение от Аноним (33), 10-Окт-23, 11:42 | +/– | |
Скоро закроют всё кроме /home/username и sudo запретят. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #25 Ответы: #35 |
33. Сообщение от Аноним (33), 10-Окт-23, 11:43 | –5 +/– | |
> Есть ли нечто подобное для SELinux? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #12 Ответы: #44 |
34. Сообщение от Аноним (44), 10-Окт-23, 11:53 | +1 +/– | |
Какого шлака только не понапридумывали лишь бы не использовать MS-DOS где можно было не задумываться по поводу прав | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #31 Ответы: #36 |
35. Сообщение от pic (?), 10-Окт-23, 11:55 | +/– | |
Уже. Fedora Silverblue, Vanilla OS, Endless OS, и Ubuntu (GNOME) через 4 релиза. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #32 |
36. Сообщение от Аноним (33), 10-Окт-23, 11:57 | +1 +/– | |
Я бы с удовольствием использовал MS-DOS если бы это было уместно в нынешних реалиях. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #34 Ответы: #37 |
37. Сообщение от Аноним (44), 10-Окт-23, 11:58 | –1 +/– | |
Я бы с удовольствием использовал стандартные права на запись,чтение,исполнение файлов если бы это было уместно в нынешних реалиях. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #36 |
38. Сообщение от Всем Анонимам Аноним (?), 10-Окт-23, 12:04 | +/– | |
Если вам не нравится изоляция одной вкладки от другой, то выключите это просто | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #22 Ответы: #68 |
40. Сообщение от 12yoexpert (ok), 10-Окт-23, 12:05 | +3 +/– | |
повысить безопасность позволит выпиливание к хренам контейнеров | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
44. Сообщение от Аноним (44), 10-Окт-23, 12:23 | +4 +/– | |
нужно просто перекомпилить ядро с отключенной опцией MULTIUSER. Тогда в линуксе кроме рута ничего не будет, совсем как в MS-DOS! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #33 Ответы: #79 |
47. Сообщение от КО (?), 10-Окт-23, 12:35 | +/– | |
Кто платит - того и ботинки | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #5 |
49. Сообщение от Аноним (49), 10-Окт-23, 13:15 | +2 +/– | |
Да забей на AppArmor. Просто используй SELinux. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #9 |
51. Сообщение от пох. (?), 10-Окт-23, 13:45 | –2 +/– | |
> Есть ли нечто подобное для SELinux? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #12 |
52. Сообщение от Аноним (52), 10-Окт-23, 13:46 | –1 +/– | |
> Во-первых, это устаревший sysctl | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #28 Ответы: #55 |
55. Сообщение от Аноним (44), 10-Окт-23, 14:08 | +/– | |
> > Во-первых, это устаревший sysctl | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #52 |
56. Сообщение от Kuromi (ok), 10-Окт-23, 16:06 | +/– | |
"Вместо полной блокировки доступа к user namespace в Ubuntu применена гибридная схема, выборочно оставляющая некоторым программам возможность создавать user namespace" | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #60 |
57. Сообщение от И это очень хороший вопрос (?), 10-Окт-23, 17:41 | +/– | |
а действительно, как? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #26 |
58. Сообщение от пох. (?), 10-Окт-23, 19:07 | +/– | |
Да просто - переустановил винд...э...линoops и живет дальше. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #26 Ответы: #74 |
60. Сообщение от пох. (?), 10-Окт-23, 20:07 | +/– | |
> "Вместо полной блокировки доступа к user namespace в Ubuntu применена гибридная схема, | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #56 Ответы: #61 |
61. Сообщение от Kuromi (ok), 10-Окт-23, 20:22 | +/– | |
>> "Вместо полной блокировки доступа к user namespace в Ubuntu применена гибридная схема, | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #60 Ответы: #62 |
62. Сообщение от пох. (?), 10-Окт-23, 20:27 | +/– | |
> Разработчики браузера используют максимум фич им доступных, почему бы и нет? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #61 Ответы: #63 |
63. Сообщение от Аноним (27), 10-Окт-23, 20:41 | +/– | |
Конкретно эта не особо, механизм изоляции работает таким образом, что получить дополнительные права не получится. Рут несколько раз был у приложений, которые используют права виртуального рута в неймспейсе. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #62 Ответы: #64 |
64. Сообщение от пох. (?), 10-Окт-23, 20:56 | +/– | |
так весь фокус в том что в неймспейсе у тебя сброшены (в смысле - в исходное состояние, даже если были посброшены до clone) capabilities, и рут там тоже вполне себе может быть - причем для создания такого рута не надо иметь прав рута в системе. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #63 Ответы: #65, #72 |
65. Сообщение от Аноним (27), 10-Окт-23, 21:25 | +/– | |
Так это значит, что уже есть возможность исполнять произвольный код и создавать свои неймспейсы. Но например доступа в сеть в изолированном неймспейсе не появится, придётся для начала сбежать и получить права вне изоляции. При этом, песочницы изолируют gpu-процесс, исполняющий рандомные шейдеры, у которых в противном случае будет слишком много прав (привет майнеры). И обычно контентный тоже (привет libvpx). Что является более актуальным. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #64 Ответы: #66 |
66. Сообщение от пох. (?), 10-Окт-23, 22:41 | +/– | |
> Так это значит, что уже есть возможность исполнять произвольный код и создавать | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #65 Ответы: #69, #70 |
67. Сообщение от пох. (?), 10-Окт-23, 22:43 | +1 +/– | |
> Ну, CAP_SYS_ADMIN должно быть можно выборочно заблокировать. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #13 |
68. Сообщение от yet another anonymous (?), 10-Окт-23, 22:45 | +/– | |
А дело не "нравится/не нравится". А в пропихивании всеми доступными и не очень способами принципиально ущербных подходов с последующей выборочной "изоляцией". Почти все довольны: выпуск очень нужных обновлений от истинных вендоров, сложность сопровождения --- сертфицированные дорогие обслуживатели, нужные люди про технологические отверстия в курсе, ну и т.д., все при деле. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #38 |
69. Сообщение от yet another anonymous (?), 10-Окт-23, 22:58 | +/– | |
Действительно, настойчивое проталкивание wayland-only --- с доступом к GPU и около --- начинает играть новыми красками ;) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #66 |
70. Сообщение от Аноним (27), 11-Окт-23, 00:16 | +/– | |
Так у кода в браузере есть только возможность исполнять жс/вебассембли, это не то же самое, что дёргать произвольный код в произвольных либах. Эксплуатация уязвимостей значительно усложняется. Альтернатива неймспейсам это суидный рутовый бинарь. Ну, либо вообще, твори, что желаешь. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #66 |
71. Сообщение от Аноним (71), 11-Окт-23, 01:51 | +1 +/– | |
В чём я не прав? Хоть бы аргументировали минусы, что ли. Мне всё равно, а окружающих в заблуждение вводите, господа эксперты. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #11 |
72. Сообщение от Аноним (71), 11-Окт-23, 01:58 | +/– | |
https://github.com/containers/bubblewrap/blob/main/bubblewrap.c | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #64 |
73. Сообщение от Аноним (71), 11-Окт-23, 02:15 | +/– | |
Забыл ещё в /etc/sudoers{,.d/*} проверить наличие "%wheel ALL=(ALL:ALL) ALL". | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #26 |
74. Сообщение от Аноним (71), 11-Окт-23, 02:19 | +/– | |
За 15 лет свой Арч только один раз переустанавливал, когда сносил дуалбут с Виндой и объединял разделы в один (LUKS+Btrfs). | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #58 |
75. Сообщение от noc101 (ok), 11-Окт-23, 04:32 | +1 +/– | |
а ныть как? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #3 |
79. Сообщение от Пряник (?), 17-Окт-23, 11:39 | +/– | |
Анонимус научился выполнять menuconfig. Как мило! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #44 |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |