| |
| 2.14, Аноним (-), 13:56, 28/07/2016 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> загрузчик удалите, безопасность вырастет до недосягаемого уровня
Не поможет, так как можно загрузится с флешки/CD.
| | |
| |
| 3.17, бедный буратино (ok), 14:28, 28/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >> загрузчик удалите, безопасность вырастет до недосягаемого уровня
> Не поможет, так как можно загрузится с флешки/CD.
разница между boot, cdboot и pxeboot - минимальна, и это всё - загрузчики :)
| | |
| 3.22, Аноним (-), 14:53, 28/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
Нельзя - системе для этого всё-равно нужен загрузчик. Лучше удалить процесс init.
| | |
| |
| 4.32, Аноним (-), 15:18, 28/07/2016 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Нельзя - системе для этого всё-равно нужен загрузчик. Лучше удалить процесс init.
Ну-ну. Потом будет "ой, не удалить, а заменить! Только инит!".
Знаем, проходили … и вообще, Леннарт залогинтесь!
| | |
|
|
|
| |
| 2.19, бедный буратино (ok), 14:36, 28/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
фишка в том, что в некоторых подсистемах версия i386 тупит, как комментаторы на опеннете в день релиза OpenBSD. и официальная позиция отвечающих за эти подсистемы: "и фиг с ним". чтобы сравнить, достаточно запустить в kvm openbsd/i386 и openbsd/amd64 - если, конечно, дождётесь запуска версии i386. поэтому версия amd64 применяется всегда, когда это возможно: а эмуляции linux нигде, кроме i386, никогда не было. если после этих изменений версия для i386 будет работать в kvm и на реальном железе, я тоже скажу "ура, наконец-то я этого дождался"
| | |
| |
| 3.34, Аноним (-), 15:50, 28/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> фишка в том, что в некоторых подсистемах версия i386 тупит, как комментаторы
> на опеннете в день релиза OpenBSD. и официальная позиция отвечающих за
> эти подсистемы: "и фиг с ним". чтобы сравнить, достаточно запустить в
> kvm openbsd/i386 и openbsd/amd64 - если, конечно, дождётесь запуска версии i386.
> поэтому версия amd64 применяется всегда, когда это возможно: а эмуляции linux
> нигде, кроме i386, никогда не было. если после этих изменений версия
> для i386 будет работать в kvm и на реальном железе, я
> тоже скажу "ура, наконец-то я этого дождался"
Я даже в виртуалках со сравнительно небольшим объёмом памяти использую amd64, чисто из-за параноидальности. Дело в том, что у amd64 чисто по определению куда более эффективный ASLR.
| | |
| |
| 4.36, бедный буратино (ok), 16:05, 28/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Я даже в виртуалках со сравнительно небольшим объёмом памяти использую amd64, чисто
> из-за параноидальности. Дело в том, что у amd64 чисто по определению
> куда более эффективный ASLR.
случаи всякие бывают. иногда и i386 нужно.
| | |
| |
| |
| 6.66, ssh (ok), 02:21, 29/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > Поделитесь опытом, если не сложно.
Какое-нибудь старое железо используемое в качестве лабы. У меня например для этих целей служит пожилой старикан Asus S200n.
| | |
|
|
|
|
|
| 1.6, Аноним (-), 12:33, 28/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
Когда уже оставят одно ядро? А то сколько векторов для атак в юзерспейсе.
| | |
| |
| 2.10, Аноним (-), 13:23, 28/07/2016 [^] [^^] [^^^] [ответить]
| +8 +/– |
> Когда уже оставят одно ядро? А то сколько векторов для атак в
> юзерспейсе.
Ядро первым делом надо убрать. Вона сколько у него системных вызовов, и вы только подумайте что они позволяют! Все хакеры ими пользуются!
| | |
|
| 1.9, Аноним (-), 13:22, 28/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я что-то не понял:как от удаления средства ограничения сисколов может стать безопаснее? Тео был под шафэ?
| | |
| |
| 2.13, Аноним84701 (?), 13:42, 28/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Я что-то не понял:как от удаления средства ограничения сисколов может стать безопаснее?
> Тео был под шафэ?
Баян какой-то.
http://daemonforums.org/showthread.php?t=9795
>[оверквотинг удален]
>required a review and revision of the permitted system calls. At one time, there
>was a central repository of user-suggested policies -- called the "Hairy Eyeball
>Project" -- but each user had to conduct their own audit, and once the project
>ceased operations (2004? 2005?), users became completely responsible for their
>own policy development, and usage waned. In addition, a carefully crafted
>application could circumvent systrace() policy enforcement, and when that was
>discovered and published, the use of systrace() as a security tool ended.
> In addition, a carefully crafted application could circumvent systrace() policy
> enforcement, and when that was discovered and published, the use of systrace() as a security tool ended.
> Finally, a much simpler and more deployable system call policy management tool has replaced systrace(): pledge(2).
| | |
| 2.33, Аноним (-), 15:47, 28/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Я что-то не понял:как от удаления средства ограничения сисколов может стать безопаснее?
> Тео был под шафэ?
Нет, это автор новости (переводчик?) что-то странное написал. Всё проще: как уже написал номерной аноним выше, в OpenBSD появилась pledge. Дело в том, что systrace по факту мало использовалась, только в нескольких системных сервисах и (опционально) при сборке портов. При этом systrace добавлял до 25% времени на эту самую сборку. Сейчас espie@ допиливает dpb и, в частности, proot, что вместе с pledge банально делает systrace излишним.
Хотя я по нему, всё же, немного скучаю. Он был прикольный. :)
| | |
|
| 1.15, бедный буратино (ok), 14:25, 28/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
новости удаления подсистемы эмуляции Linux - примерно полгода. а в состоянии "не поддерживается, будет удалено" она пребывает и того больше.
| | |
| |
| 2.69, Аноним (-), 06:53, 29/07/2016 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> /sbin/sysctl anal.fence=1
По этой команде на админа одеваются бронетрусы?
| | |
|
| |
| |
| 3.49, Аноним (-), 17:40, 28/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> песенок будет 6
Походу песенки они пишут быстрее чем операционки. Может ну его нафиг эти операционки и лучше им в эстраду податься?
| | |
| |
| 4.54, Аноним (-), 18:57, 28/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Походу песенки они пишут быстрее чем операционки. Может ну его нафиг эти
> операционки и лучше им в эстраду податься?
Учитывая количество пишущего народа и возможности этой самой операционки, лапчатые отчаянно завидуют эффективности.
| | |
| |
| 5.70, Аноним (-), 06:55, 29/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Действительно, разработчики линя все вместе взятые и полстолько песенок не написали. Лохи, что с них взять.
| | |
| |
| 6.71, Аноним (-), 13:14, 29/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Действительно, разработчики линя все вместе взятые и полстолько доков не написали.
fix.
> Лохи, что с них взять.
вам виднее.
| | |
|
|
|
|
|
| |
| 2.41, бедный буратино (ok), 16:08, 28/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> В OpenBSD из соображений безопасности полностью удален код OpenBSD
тогда получится NetBSD 1.1 :)
| | |
| |
| 3.64, Led (ok), 00:59, 29/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
 >> В OpenBSD из соображений безопасности полностью удален код OpenBSD
> тогда получится NetBSD 1.1 :)
нет BSD - нет уязвимостей.
| | |
| |
| 4.73, _ (??), 16:56, 29/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Неуч! Нет BSD - BSD-уязвимостей.
Но для тебя останутся все уязвимости твоей убунты в VB, твоего VB в фииндовсе, и твоего фииндовса :) Ну то есть неуязимым остается только силовой кабкль к компу :)
PS: Led - я стебусь. Я знаю что ты не винтузятник, но пятница и душа просит веселухи :)
| | |
| |
| 5.74, Led (ok), 21:13, 29/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> но пятница
У вас, петросянов, она уже седьмая на этой неделе.
| | |
| 5.77, Аноним (-), 07:39, 02/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
> в фииндовсе, и твоего фииндовса :) Ну то есть неуязимым остается
> только силовой кабкль к компу :)
Кабель уязвим к топору атакующего и уборщице со шваброй.
| | |
|
|
|
|
| 1.42, _ (??), 16:09, 28/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
А что кто то сомневался что Тео - знатный тролль?! :-)
| | |
| 1.72, ram_scan (?), 16:50, 29/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> добавлены настройки sysctl net.inet.tcp.rootonly и net.inet.udp.rootonly, позволяющие выборочно запретить приём соединений по указанным в списке сетевым портам непривилегированными процессами.
Могучее решение, учитывая что сбиндить порт на общеупотребимый привилегированный сервис и так без рута низзя. А тут с такой дефолтной фичей если уж присовывать будут то сразу гарантированно в привилегированный процесс, иба чо уж мелочиться то. А абизяны будут непривилегированные процессы от рута пушшать, кто эту настройку ниасилил.
| | |
| |
| 2.75, Аноним (-), 17:19, 30/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
>> добавлены настройки sysctl net.inet.tcp.rootonly и net.inet.udp.rootonly, позволяющие выборочно запретить приём соединений по указанным в списке сетевым портам непривилегированными процессами.
> Могучее решение, учитывая что сбиндить порт на общеупотребимый привилегированный сервис
> и так без рута низзя. А тут с такой дефолтной фичей
> если уж присовывать будут то сразу гарантированно в привилегированный процесс, иба
> чо уж мелочиться то. А абизяны будут непривилегированные процессы от рута
> пушшать, кто эту настройку ниасилил.
google:priviledge%20dropping
| | |
|
|
