The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проект по портированию механизма изоляции pledge для Linux

15.07.2022 14:30

Автор стандартной Си-библиотеки Cosmopolitan и платформы Redbean объявил о реализации механизма изоляции pledge() для Linux. Изначально pledge разработан проектом OpenBSD и позволяет выборочно запретить приложениям обращения к неиспользуемым системным вызовам (для приложения формируется подобие белого списка системных вызовов, а остальные вызовы запрещаются). В отличие от доступных в Linux механизмов ограничения доступа к системным вызовам, таких как seccomp, механизм pledge изначально разработан с оглядкой на максимальное упрощение применения.

Завершившаяся неудачей инициатива изоляции приложений базового окружения OpenBSD с использованием механизма systrace показала, что изоляция на уровне отдельных системных вызовов слишком сложна и трудоёмка. В качестве альтернативы был предложен pledge, который позволял создавать правила изоляции не вникая в детали и манипулируя готовыми классами доступа. Например, предлагаются классы stdio (ввод/вывод), rpath (только чтение файлов), wpath (запись файлов), cpath (создание файлов), tmppath (работа со временными файлами), inet (сетевые сокеты), unix (unix-сокеты), dns (резолвинг в DNS), getpw (доступ на чтение к базе пользователей), ioctl (вызов ioctl), proc (управление процессами), exec (запуск процессов) и id (управление правами доступа).

Правила работы с системными вызовами задаются в форме аннотаций, включающих список разрешённых классов системных вызовов и массив файловых путей, куда разрешён доступ. После сборки и запуска модифицированного приложения, ядро берёт на себя работу по контролю соблюдения заданных правил.

Отдельно развивается реализация pledge для FreeBSD, которая отличается возможностью изоляции приложений без внесения изменений в их код, в то время как в OpenBSD вызов pledge нацелен на тесную интеграцию с базовым окружением и добавление аннотаций в код каждого приложения.

Разработчики порта pledge для Linux воспользовались примером FreeBSD и вместо внесения изменений в код подготовили утилиту-надстройку pledge.com, позволяющую применить ограничения без изменения кода приложения. Например, для запуска утилиты curl с открытиям доступа только к классам системных вызовов stdio, rpath, inet и threadstdio достаточно выполнить "./pledge.com -p 'stdio rpath inet thread' curl http://example.com".

Утилита pledge работает во всех дистрибутивах Linux, начиная с RHEL6, и не требует root-доступа. Дополнительно на базе библиотеки cosmopolitan предоставляется API для управления ограничениями в коде программ на языке Си, позволяющий в том числе создавать анклавы для выборочного ограничения доступа в привязке к определённым функциям приложения.

Реализация не требует внесения изменений в ядро - ограничения pledge транслируются в правила SECCOMP BPF и обрабатываются при помощи родного для Linux механизма изоляции системных вызовов. Например, вызов pledge("stdio rpath", 0) будет преобразован в BPF-фильтр 


   static const struct sock_filter kFilter[] = {
       /* L0*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, syscall, 0, 14 - 1),
       /* L1*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[0])),
       /* L2*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 2, 4 - 3, 0),
       /* L3*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 10, 0, 13 - 4),
       /* L4*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[1])),
       /* L5*/ BPF_STMT(BPF_ALU | BPF_AND | BPF_K, ~0x80800),
       /* L6*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 1, 8 - 7, 0),
       /* L7*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 2, 0, 13 - 8),
       /* L8*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[2])),
       /* L9*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 0, 12 - 10, 0),
       /*L10*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 6, 12 - 11, 0),
       /*L11*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 17, 0, 13 - 11),
       /*L12*/ BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_ALLOW),
      /*L13*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(nr)),
       /*L14*/ /* next filter */
   };


  1. Главная ссылка к новости (https://justine.lol/pledge/...)
  2. OpenNews: Для FreeBSD развивается механизм изоляции, похожий на pledge и unveil
  3. OpenNews: Выпуск OpenBSD 7.0
  4. OpenNews: В Firefox для OpenBSD реализована поддержка unveil
  5. OpenNews: OpenBSD развивает Pledge, новый механизм изоляции приложений
  6. OpenNews: Планы по усилению механизма защиты W^X в OpenBSD
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57505-pledge
Ключевые слова: pledge, linux, chroot, syscall, limit
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (79) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, Аноним (4), 14:39, 15/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –13 +/
    FreeBSD обгадили pledge(), хотя работа там уже большая проделана, думаю этот проект тоже не взлетит, никто ревьювить не будет, как и во фре. Время впустую.

    // b.

     
     
  • 2.78, Аноним (-), 10:56, 18/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Сабжу похрен будет его кто ревьюить или нет. У них там своя либа и свой враппер, поэтому они для желающих изображают "а линукс, типа, тоже умеет pledge()" путем трансляции.

    Можете ревьюить, можете не ревьюить, а чтобы это получить есть я и есть вон тот автор. Третий в этой схеме лищний и оно состоится если 2 участника кодинга так решили, независимо от ващих ревью. Насколько оно надо - вопрос интересный, конечно. А эти клоуны из фри предложили чего-то лучше? Или как обычно промямлили "не надо, вот еще - кодить?!"

     

  • 1.6, Аноним (6), 14:42, 15/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Оно не будет адски тормозить со всеми этими проверками?
     
     
  • 2.8, Аноним (8), 14:43, 15/07/2022 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    Будет но что ты называешь адски? Это зависит от твоего самоощущения.  
     
     
  • 3.54, Аноним (54), 12:32, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    > После сборки и запуска модифицированного приложения...
    > Утилита pledge ... не требует root-доступа
    > Реализация не требует внесения изменений в ядро
    > ...транслируются в правила SECCOMP BPF...

    Юзера пускают с BPF в ядро, чтобы фильтровать этого самого юзера?!

     
     
  • 4.56, Аноним (54), 12:39, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    P.S. И вообще, что значит "модифицированного приложения"? Огораживаемое приложение надо сначала модифицировать?
     
     
  • 5.58, n00by (ok), 13:04, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    > P.S. И вообще, что значит "модифицированного приложения"? Огораживаемое приложение надо
    > сначала модифицировать?

    Это может иметь смысл для компонентов системы. Хэккер обнаружил технологическое отверстие, проник в систему и ничего толком не может сделать.

     
     
  • 6.60, Аноним (54), 13:37, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > технологическое отверстие, проник в систему

    Значит, псевдо-защита уже не сработала, если прошла удалённая атака.

     
     
  • 7.62, n00by (ok), 14:31, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Подменять "ошибка в программе" на "защита" - так себе приём риторики. Складывается впечатление, что оратор не видит разницы.
     
     
  • 8.66, Аноним (54), 17:02, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Хорошо Хэккер ошибочно попал на твой комп Он не хотел, но попал ... текст свёрнут, показать
     
     
  • 9.67, n00by (ok), 19:39, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ну вот, попал он и пишет привычно perl exe --skompilirovat-sploet а тот ему в о... текст свёрнут, показать
     
     
  • 10.81, Аноним (-), 11:13, 18/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    По такой же технологии некто тигар на freebsd вырусы на хостинге тролил, мол, п... текст свёрнут, показать
     
     
  • 11.86, n00by (ok), 11:34, 18/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Так то да Но в условном банке есть СБ, камеры, сигнализация, сейф с ключами А ... текст свёрнут, показать
     
     
  • 12.91, Аноним (91), 01:14, 19/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Да, необычное окружение - может поломать вредителю планы, демаскировать его и пр... текст свёрнут, показать
     
  • 7.79, Аноним (-), 11:01, 18/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > Значит, псевдо-защита уже не сработала, если прошла удалённая атака.

    Ну конечно, многоступенчатые системы защиты, несколько линий обороны и прочие ненужно придумали лохи.

     
  • 6.61, Аноним (54), 13:40, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > может иметь смысл для компонентов системы

    Если твой "Хэккер" уже в системе, сдались ему системные компоненты, он будет свои использовать, ведь сабжу рут не нужен.

     
     
  • 7.63, n00by (ok), 14:37, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > он будет свои использовать, ведь сабжу рут не нужен.

    Боюсь, это слишком сложный сценарий атаки, что бы я мог его понять.

     
     
  • 8.65, Аноним (54), 17:00, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Учись, студент с ... текст свёрнут, показать
     
     
  • 9.68, n00by (ok), 19:49, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Я и так могу с ещё более меньшим содержанием смысла произвольные слова скомбинир... текст свёрнут, показать
     
  • 8.80, Аноним (-), 11:12, 18/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    На mirai позырь Делает такой себе libc-типа минимальный прямо из сисколов ядр... текст свёрнут, показать
     
     
  • 9.85, n00by (ok), 11:25, 18/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Так тут вызовы в ядре фильтруются, какая разница, если ли связывание с libc Как... текст свёрнут, показать
     
     
  • 10.89, Аноним (89), 13:54, 18/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Если вот именно в ядре, и мы в его контексте - тогда по идее упс Mirai линуксны... большой текст свёрнут, показать
     
  • 6.73, john_erohin (?), 19:31, 17/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > проник в систему

    1) предлагаю вам уточнить - что значит "проник в систему" ?
    иначе разговор ни о чем. а точнее - каждый о своем.

    2) и можно ли с этой позиции повысить свои привилегии ?

     
     
  • 7.76, n00by (ok), 08:44, 18/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Предлагаю оставлять при цитировании контекст Это может иметь смысл для компоне... большой текст свёрнут, показать
     
     
  • 8.104, john_erohin (?), 20:10, 24/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    ок вот что значит проник в систему пусть так будет а далее произвольный ко... текст свёрнут, показать
     
     
  • 9.106, n00by (ok), 07:03, 26/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Код никуда на ходит, а располагается в памяти Исполняет его процессор При этом... текст свёрнут, показать
     
     
  • 10.107, john_erohin (?), 13:17, 26/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    это были данные они сперва оказались в памяти ядра, а потом почему-то выполнили... текст свёрнут, показать
     
     
  • 11.108, n00by (ok), 14:43, 27/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Это сценарий с отличной от нуля вероятностью Полная вероятность события 171 п... большой текст свёрнут, показать
     
  • 2.12, Жироватт (ok), 15:04, 15/07/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Всего лишь до уровня первопня на i9-11xxx
     
  • 2.36, Аноним (-), 00:42, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Это как бы от программы сильно зависит. Скажем чтобы активно считать вообще не надо системные вызовы делать.
     
  • 2.42, Аноним (42), 07:47, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Если программа которую Вы используете "лезет" туда, куда не следует, то ИМХО необходимо в консерватории что подкручивать.
    А вот как подкручивать, это уже варианты различные.
     
     
  • 3.64, Аноним (54), 16:58, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > программа ... "лезет" туда, куда не следует

    Уже дырища в системе, поздно лечить.

     

  • 1.16, кофейник (?), 16:37, 15/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    чой-та не понял...

    можно ли этой штуковиной скрыть для приложения системный файл и запретить приложению выход в интернет?

    а то не могу песочницу найти простенькую...

     
     
  • 2.25, Аноним (25), 19:51, 15/07/2022 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    $ firejail --blacklist=/etc --noprofile --net=none bash
     
     
  • 3.26, Аноним (26), 20:45, 15/07/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Чем это лучше unshare -n? Он же про другое спрашивает. Вот как в венде, пока программе не разрешишь доступ в сеть, она никуда не пойдёт.
     
     
  • 4.27, Аноним (25), 20:52, 15/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Тем, что firejail точно имеет SUID флаг в любом дистрибутиве.
    Человек спросил про изоляцию, я ответил, а от куда ты это всё домыслил, я хз.
     
  • 4.32, Аноним (32), 22:18, 15/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Но ведь в винде только входящие порты запрещены
     
     
  • 5.35, Аноним (35), 23:42, 15/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Если галочку поставить?
     
  • 4.37, Аноним (-), 00:45, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Чем это лучше unshare -n?

    Умеет в довольно продвинутые профайлы. Которые для популярных штук написаны не вами. И кроме unsharing'а умеет и в ограничения SECCOMP и т.п..

    Пикантный нюанс состоит в том что чтобы непривилегированый юзер мог в такие вещи, права сперва надо подбросить (если такое разрешить в произвольном виде всем юзеры смогут создавать в системе хаос). И на этом бывало парочку стебных вулнов :)

     
  • 4.74, john_erohin (?), 19:37, 17/07/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Вот как в венде, пока программе не разрешишь доступ в сеть, она никуда не пойдёт.

    и даже сервер DNS не сможет запросить (и получить ответ) ?

    ps: стандартный бикон из кобальта умеет DNS туннель.
    виндовые локальные фаерволщики, вы бесполезны и не нужны.

     
     
  • 5.94, Аноним (-), 02:40, 19/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Еще половина малвари просто просит браузер сходить на урлу. Предполагая что браузеру это скорее всего можно. Почему-то.
     
     
  • 6.105, john_erohin (?), 20:34, 24/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > просит браузер сходить на урлу

    кстати ! если от имени "текущий юзер", и этот юзер - я,
    то uMatrix, настроенный на паранойю, даст интересный эффект
    ("новый" урл просто не откроется). но это не для всех решение.

     
  • 3.44, кофейник (?), 09:36, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > $ firejail --blacklist=/etc --noprofile --net=none bash

    он SUIDный и проблемный по безопасности ...
    https://www.opennet.ru/opennews/art.shtml?num=57337
    https://www.opennet.ru/opennews/art.shtml?num=54564
    и т.д.
    для тех приложений которым доверяешь еще можно, но песочницы обычно про другое...


     
     
  • 4.47, Аноним (25), 11:22, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Прекратите сами себя накручивать - использование firejail вполне безопасно. Даже если в теории у вас внезапно окажется древнее ядро, имеющее уязвимость, то вероятность того, что потенциально опасное приложение попытается не просто утянуть у вас данные, а именно применить нужный эксплойт... Короче все это работает в зависимости от фазы луны и вероятность плачевного исхода близится к нулю.
    В любом случае - использование изоляции, гораздо надёжнее, чем светить чёрти какому приложению свои данные на диске.
     
  • 3.48, Аноним (48), 11:29, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    >пока программе не разрешишь доступ в сеть, она никуда не пойдёт

    Так приведённое выше "--net=none" не запретит программе никуда не идти?

     
     
  • 4.53, Аноним (25), 12:24, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Всё запущенное внутри изоляции, тупо не увидит сетевой интерфейс.
     
  • 4.82, Аноним (82), 11:17, 18/07/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Так приведённое выше "--net=none" не запретит программе никуда не идти?

    Куда ж ты пойдешь на машине без сети. В новом namespace сети - тупо интерфейсов изначально нет. Даже локалхоста, насколько я помню. Ходить некуда пока в namespace явно не помещен какой-то интерфейс все же позволяющий куда-то ходить.

     
     
  • 5.87, Аноним (25), 11:41, 18/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    локалхост там есть, но он не связан с интерфейсом реальной системы
     
     
  • 6.92, Аноним (92), 01:29, 19/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > локалхост там есть, но он не связан с интерфейсом реальной системы

    По-моему, lo создавать надо самому, если это на уровне именно создания namespace через unshare(). Firejail что-то такое может и на автомате делать.

     
  • 2.46, freehck (ok), 11:04, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > можно ли этой штуковиной скрыть для приложения системный файл

    Да, в описании написано, что можно указать списки директорий для чтения, записи и создания файлов (отдельно).

    > и запретить приложению выход в интернет?

    Ну конкретно за маршруты, чтобы только в Интернет нельзя было выйти -- нет. А вот работу с сетью целиком -- да.

     

  • 1.17, Аноним (17), 16:41, 15/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +6 +/
    Т.е. ещё нужно активировать BPF в котором будет работать вирусня имеющая привилегии выше root? Спасиб.
     
     
     
    Часть нити удалена модератором

  • 3.57, n00by (ok), 12:57, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Привилегии - в процессоре. Привилегированный режим процессора, или режим ядра, он же 0-е кольцо защиты. У пользователей - права. Они ортогональны. Можно придумать код для ядра, который будет давать пользователю root отлуп. Можно придумать драйверок, который позволит делать гостю что угодно.
     
     
  • 4.72, Аноним (72), 18:34, 17/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > Можно придумать код для ядра, который будет давать пользователю root отлуп.

    Уже давно придумали, называется SELinux. Логинишься рутом, а тебе даже в /tmp писать нельзя. Был когда-то даже публичный сервер для демонстрации возможностей. Вроде так и не сломали.

     
     
  • 5.75, Аноним (-), 20:31, 17/07/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >> Можно придумать код для ядра, который будет давать пользователю root отлуп.
    > Уже давно придумали, называется SELinux.

    Кхе. Отсталые и вечнодогоняющие бзды и тут утянули инновации себе:



    security.bsd.suser_enabled: processes with uid 0 have privilege

    commit 68239103ca69ad700547a0a80b8af367f735e0d1
    Author: rwatson <rwatson@FreeBSD.org>
    Date:   Mon Jun 5 14:53:55 2000 +0000

        o Introduce kern.suser_permitted, a sysctl that disables the suser_xxx()
          returning anything but EPERM.
        o suser is enabled by default; once disabled, cannot be reenabled
        o To be used in alternative security models where uid0 does not connote
          additional privileges


     
     
  • 6.83, Аноним (82), 11:18, 18/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Они даже CAPs-ы вроде не смогли...
     
  • 6.109, Аноним (-), 20:04, 27/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    >>> Можно придумать код для ядра, который будет давать пользователю root отлуп.
    >> Уже давно придумали, называется SELinux.
    > Кхе. Отсталые и вечнодогоняющие бзды и тут утянули инновации себе
    > Date:   Mon Jun 5 14:53:55 2000 +0000
    >

    Еще и машину времени угнали, чтобы точно никто не догадался ...

     

  • 1.20, Аноним (-), 17:43, 15/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Надо отметить, что утилита-обёртка не может полностью заменить явный вызов pledge в коде, поскольку не позволяет последовательно сужать доступ к классам системных вызовов согласно логике программы.
     
     
  • 2.24, Аноним (24), 19:40, 15/07/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Сразу видно человека не разбирающегося в теме
     
     
  • 3.29, Аноним (-), 21:32, 15/07/2022 [^] [^^] [^^^] [ответить]  
    		• +5 +/
    Буду рад развёрнутому ответу.
     

  • 1.21, Аноним (21), 18:07, 15/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +8 +/
    По-моему, проблема в том, что тому же браузеру, самой уязвимой программе на моём ПК, нужны все возможные разрешения. Да, с каждым днём мы всё дальше от unix-пути
     
     
  • 2.23, Аноним (32), 19:23, 15/07/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Но вы же можете скачивать страницы через wget, а просматривать через less. Немножко неудобно, но зато unix-way
     
     
  • 3.28, Аноним (28), 21:03, 15/07/2022 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    > можете скачивать страницы через wget

    в которых ничего нет, кроме (адресов) скриптов.

     
     
  • 4.30, Аноним (32), 22:12, 15/07/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Такие страницы не индексируются.

    Скачать скрипты, скачать json ответы. Смотреть их через less

     
  • 4.31, Аноним (32), 22:15, 15/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Нормальный такой unix-way уровня tar/gz где для получения списка файлов нужно весь архив разжать
    Мы же любим unix-way?
     
     
  • 5.39, gogo (?), 01:35, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Ты в опаснасте? Тебя злая дядя такать пистолет и заставлять использовать тара-гзу? Ты моргать два раза, есля ето так.
     
  • 3.77, _kp (ok), 10:49, 18/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    >>зато unix-way

    Начала 80х годов прошлого века.

     
  • 3.95, Аноним (95), 08:53, 19/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Проиграл с клоуна.
     
  • 2.38, Аноним (-), 00:48, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > По-моему, проблема в том, что тому же браузеру, самой уязвимой программе на моём ПК,
    > нужны все возможные разрешения.

    Ну оно их и получает. Вопрос только где и почему :). Так что вот тут оно видит Downloads и совершенно пустую ос. А вон там типок даже вывесил Zoom-у "камеру" через V4L2 loopback :D. И видит в результате зум "его морду, типа". А то что это фэйк-мувик с фэйк-камеры... ну... в этом мощь абстракций и состоит. Если кто хочет камеру, ее можно дать. Что он там увидит это не говорит.

     
  • 2.49, Аноним (-), 11:31, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > По-моему, проблема в том, что тому же браузеру, самой уязвимой программе на моём ПК, нужны все возможные разрешения.

    Отнюдь не все. Вот пример использования pledge и unveil для разных процессов огнелиса в OpenBSD:

    https://cvsweb.openbsd.org/cgi-bin/cvsweb/ports/www/mozilla-firefox/files/

     

  • 1.34, freehck (ok), 23:03, 15/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    https://justine.lol
    Вот что скажу: это прекрасный хакер в лучшем смысле этого слова.
    Justine Alexandra Roberts Tunney. Это имя надо запомнить.
     
  • 1.69, Аноним (69), 20:00, 16/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Модератор freehck опять мое сообщение удалил, про добавление этого механизма изоляции в systemd. :-(

    В systemd уже есть изоляция сервисов на основе namespaces, а переставленный в новости механизм был бы хорошим дополнением.

     
     
  • 2.70, n00by (ok), 20:09, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Дело в том, что "интегрировать в systemd" -- это здесь такая дежурная шутка. Потому не всегда понятно, что имеет ввиду автор сообщения. Я когда-то написал, что может иметь смысл добавить в пакетный менеджер функцию контроля за целостностью системы, наверное, тоже восприняли как "шутку".
     
     
  • 3.88, Аноним (-), 12:11, 18/07/2022 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    disclaimer я другой анон но разделяю взгляды того анона, поэтому При том ... большой текст свёрнут, показать
     
     
  • 4.90, n00by (ok), 15:24, 18/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Я когда-то написал, что может иметь смысл добавить в пакетный менеджер функцию
    >> контроля за целостностью системы, наверное, тоже восприняли как "шутку".
    > А в какой пакетный менеджер это надо добавлять?

    В том случае Михаил Шигорин кого-то озадачил вопросом "предложите что-то конкретное". Я предложил. Он так и не ответил. Наверное, решил, что шучу. А может я забыл.

    > У редхата есть, для
    > дебиана отдельная утилса есть, а у какого-нибудь арча пакетник что так
    > рудиментарный что эдак.

    К примеру, нажал я в mc на каком-то подкаталоге из /usr "удалить" и потом "ввод". Что будет дальше у Редхата и Дебиана? А если удаляем ld-linux.so? Или же кто-то наконец скомпилировал Z0mbie.Mistfall под Linux, когда мы узнаем о факте заражения? Всё это в принципе может решать "пакетник", поскольку именно у него есть вся необходимая информация, а наличие посторонних "антивирусов" (в кавычках - потому что без сигнатур толку может быть мало) не всем нравится. Но потом я узнал, что под "целостностью системы" некоторые понимают удовлетворение зависимостей пакетиков, а под "удовлетворением зависимостей" - присутствие записи в БД, а не наличие валидных файлов.

     
     
  • 5.93, Аноним (-), 02:24, 19/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Тут что угодно может быть Он периодически пытается допустим дебианщиков подъ ... большой текст свёрнут, показать
     
     
  • 6.96, n00by (ok), 09:33, 19/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    >> К примеру, нажал я в mc на каком-то подкаталоге из /usr "удалить"
    >> и потом "ввод". Что будет дальше у Редхата и Дебиана?
    > 1) Нормальные люди под рутом в общем случае не сидят. Поэтому, в
    > 99% случаев будет -EPERM от системы на подобные потуги.

    "Пакетник" тоже может дать отлуп - он знает, что вот эти файлы именно такой версии необходимы для корректной работы системы. Тогда перезагрузка не потребуется. РэдХат куда-то в эту сторону и движется с атомарным обновлением системы и доступом "только чтение" - такой подход проще.

     
     
  • 7.97, Аноним (-), 10:40, 19/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Это что, на каждый сискол мнение пакетника спрашивать И сколько MIOPS core полу... большой текст свёрнут, показать
     
     
  • 8.98, n00by (ok), 11:22, 19/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Нет Самый очевидный вариант - нотификации ФС Касаемо pledge эти вопросы ведь н... текст свёрнут, показать
     
     
  • 9.99, Аноним (99), 14:14, 19/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Нотификации приходят постфактум, в этот момент уже поздно отлуп возвращать К то... большой текст свёрнут, показать
     
     
  • 10.100, n00by (ok), 16:12, 19/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    ИМХО позорно другое Для Виндоса, где как бы нет исходников ОС, одних только ант... текст свёрнут, показать
     
  • 6.101, Аноним (-), 23:06, 19/07/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ну-ну https github com freebsd pkg blob master mk static-lib mk code ldd... большой текст свёрнут, показать
     
     
  • 7.102, n00by (ok), 06:14, 20/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Как я успел понять из недавней темы про руткит с LD_PRELOAD, в GNU/Linux сформировалась некая религия вокруг glibc. Линковаться с библиотекой следует не так как того требует задача, а согласно учению гуру. Отсюда и остальные артефакты мышления: перегрузить боевую систему "на пару минут" и восстановиться из резервной копии это норма, а уведомление об удалении файла и дублирование жизненно важных so-шек - это слишком поздно и много места занимает (и лучше бы он ответил "как в венде" -- мне тоже такое решение не нравится, как не надёжное).
     
  • 2.71, Аноним (69), 21:16, 16/07/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    хорошим дополнением именно за счет простоты настройки
     

  • 1.84, Аноним (-), 11:21, 18/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    Космополитан, лол. :3
     
  • 1.103, Аноним (-), 15:13, 22/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Угадайте, кто в первую очередь будет использовать этот pledge. Гугля.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру