| 1.1, Аноним (1), 19:59, 17/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –21 +/– |
Чтобы атакующий мог сам проверять ключи и подбирать вектор атаки. Очень удобно амд придумали.
| | |
| |
| 2.18, Аноним (18), 21:08, 17/09/2024 [^] [^^] [^^^] [ответить]
| +58 +/– | |
> Чтобы атакующий мог сам проверять ключи и подбирать вектор атаки. Очень удобно амд придумали.
Если у тебя атакующий дошел до того что командлайн ядру прописывать может - прости, но тебя уже разломали просто в хлам и не понятно от чего ты там защищаться вообще удумал.
| | |
| |
| 3.66, Аноним (66), 12:01, 18/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нет, конечно атакующий командную строку ядру задать не может. Но он может выбрать наиболее подходящий метод атаки для наименьшей защищённости в данной конфигурации.
| | |
| |
| 4.76, Аноним (-), 15:00, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– | |
И даже в этом случае... такое сочетание вызывает определенные вопросы к тому кто оценивал угрозы, выставлял именно те командлайны, не учел или некорректно учел существование таких атакующих в своих системах и зачем-то вкатил неадекватные угрозам параметры.
То-есть если кто не может все вон то адекватно, он вообще не должен был это крутить.
| | |
|
|
| 2.55, Аноним (55), 09:56, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> мог сам проверять ключи
А как? Дай вывод:
ls -l /proc/cmdline
| | |
| 2.62, IZh. (?), 11:21, 18/09/2024 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Он и сейчас может:
$> ls -l /sys/devices/system/cpu/vulnerabilities
total 0
-r--r--r-- 1 root root 4096 Sep 18 11:18 gather_data_sampling
-r--r--r-- 1 root root 4096 Sep 18 11:18 itlb_multihit
-r--r--r-- 1 root root 4096 Sep 18 11:18 l1tf
-r--r--r-- 1 root root 4096 Sep 18 11:18 mds
-r--r--r-- 1 root root 4096 Sep 18 11:18 meltdown
-r--r--r-- 1 root root 4096 Sep 18 11:18 mmio_stale_data
-r--r--r-- 1 root root 4096 Sep 18 11:18 reg_file_data_sampling
-r--r--r-- 1 root root 4096 Sep 18 11:18 retbleed
-r--r--r-- 1 root root 4096 Sep 18 11:18 spec_rstack_overflow
-r--r--r-- 1 root root 4096 Sep 18 11:18 spec_store_bypass
-r--r--r-- 1 root root 4096 Sep 18 11:18 spectre_v1
-r--r--r-- 1 root root 4096 Sep 18 11:18 spectre_v2
-r--r--r-- 1 root root 4096 Sep 18 11:18 srbds
-r--r--r-- 1 root root 4096 Sep 18 11:18 tsx_async_abort
В каждом файлике описание, подвержен процессор данной атаке или нет и какая включена защита. Это никогда не было тайной.
| | |
|
| 1.2, dullish (ok), 20:02, 17/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 По моему, на подключённом к сети сервере ослаблять защиту, по любому, нельзя. А что касается домашнего локалхоста, так она там должна быть не в ядре, а в браузере.
| | |
| |
| 2.3, Аноним (1), 20:10, 17/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Каждый Анон знает что для Линукса нет вирусов. При этом тот же самый Анон воет от любого выхода за границы буфера или уязвимости в процессоре. Как такое может быть одновременно жить в одной и той же голове?
| | |
| |
| |
| 4.7, Abra (?), 20:19, 17/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Разницу между malware и вирусом знаешь? как раз ссылку открой, которую сам привел.
| | |
| |
| 5.10, topin89 (ok), 20:29, 17/09/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Там есть и список вирусов. Не кажется немного странным не делать самому того, что делать советуешь?
| | |
| |
| 6.47, Аноним (47), 08:22, 18/09/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
Знаменитые вирусы под Линукс которые нужно самому скомпилировать под свой дистрибутив.
| | |
| |
| 7.68, Аноним (66), 12:12, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Настоящие вирусы под Linux должны уметь сами бутстрапиться. Чтоб наверняка под любой дистр, любого года выпуска и без внедрённого конкурирующего зловредного кода.
| | |
|
|
|
|
| 3.8, 12yoexpert (ok), 20:26, 17/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
 до сих пор ни один фанатик не скинул мне инструкции, как мне заразить свой линукс вирусом
| | |
| |
| 4.12, Аноним (12), 20:35, 17/09/2024 [^] [^^] [^^^] [ответить]
| +4 +/– |
Значится пиши: белый айпи, root:root, permitrootligin yes, passwordauthentication yes, systemctl enable sshd. Дальше оно само.
| | |
| |
| 5.39, нах. (?), 01:37, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Много лишнего. Мне хватило юзера test с паролем который я вот хрен бы сам сейчас ввел (да, это было какое-то производное от test, но какое? Нет, не test123, скорее что-то типа test232test.)
Рута оно получило само в долю секунды. Скачало что-то с метасплойта, что мне не отдали.
| | |
| 5.71, Аноним (47), 13:10, 18/09/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Тоесть что бы заразить Линуксовый компьютер вирусом нужно открыть все "двери" и дать права, не думаю что это считается, это все равно что компилировать вирус под свой дистрибутив что бы он заработал.
| | |
|
|
| 3.34, Аноним (34), 00:15, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
А что общего между вирусами и уязвимостями в процессоре, выходами за границы буфера? Вирусам пофиг, есть уязвимости в процессоре или нет. Им дай право записи в исполняемые файлы. И выходы за границы буфера им ненужны.
| | |
|
| 2.11, Аноним (11), 20:30, 17/09/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
Да кому он нужен ваш сервер? Всё уже сделано в ядре линукс. Тысячи красных глаз говорил они.
| | |
| 2.19, Аноним (-), 21:14, 17/09/2024 [^] [^^] [^^^] [ответить] | +2 +/– | Если на твоем сервере работает только твой код т е виртуалок нет - окей, и на... большой текст свёрнут, показать | | |
| |
| 3.30, dullish (ok), 22:55, 17/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Не, ну, в теории, все эти уязвимости зиждутся на том, что, мол, ломанули юзверя, с ограниченными правами, под которым, скажем, сайт с "записью на ноготочки" крутится, а с него уже раскурочили рута и всё остальное, включая обработку платежей и потом к тебе приходят, мол, какого фига тех-то и этих финансируешь. Но, в целом, соглашусь. Опасность, конечно, раздута и, по любому, подразумевает безалаберность сисадмина, но кто из нас хоть чуть-чуть не параноик... и не разгильдяй?
| | |
| 3.41, ник (??), 02:04, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Хоть возможность выключить будет чтоб ресурс не ело . И перенаправить ресурс на нужное русло от ддосов и пр. Как прогулка по лесу вместо таблеток. Даже если ломанут маленький шанс доступа останется . Но это не точно .))
| | |
| |
| 4.64, Аноним (-), 11:49, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Хоть возможность выключить будет чтоб ресурс не ело
Она и сейчас есть - только когда вулнов 15 штук стало уже, помнить кто из них за что отвечает уже несколько перебор, чтоли. А по простому выбор между все включено и mitigations=off, что как-то не круто.
| | |
|
|
| 2.42, Аноним (42), 02:28, 18/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
А кто ослабляет? Защита от этих уязвимостей никуда не денется, просто у админа будет шпаргалка из 3-5 флагов вместо скольки там атак будет на определённый момент.
Считаю, что золотая середина была бы лучше - выбираешь ветки векторов атак, а у них внутри все защиты от конкретных атак расфасованы и включены по умолчанию.
| | |
| 2.81, Аноним (81), 20:04, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ага. И к вайфаю публичном можно подключаться, и флешки в комп втыкать, а тут для скачивания всего-то надо проверочный код с картинки в терминал ввести. Браузер-то в безопасности!
| | |
|
| |
| 2.20, Аноним (-), 21:16, 17/09/2024 [^] [^^] [^^^] [ответить]
| –4 +/– | |
> Я тоже упростил у себя: mitigations=off.
Надеюсь ты не был админом облака. Иначе завтра над твоей перепиской будет рыдать все ФСБ, а также ми6, моссад, цру, анб, wtf...
| | |
| 2.53, Аноним (53), 09:50, 18/09/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
Мало того, что профита ноль практически от этой опции (каждый анон уже давно знает), так еще и голый зад выставил в интернетик.
| | |
| |
| 3.59, нах. (?), 10:14, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Turning mitigations off gives about 10% performance on elapsed time for this real world problem.
и что не так, кроме твоего неумения в английский?
(ну кроме того факта что сравнивать надо с ведром без kpti патчей вообще)
| | |
|
|
| 1.13, Аноним (13), 20:42, 17/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
Лучше бы инженер АМД занимался проверками своего кремния, а не пытался всем рассказывать как проще затыкать их дыры.
| | |
| 1.14, Аноним (-), 20:44, 17/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Кстати довольно резонно, всегда душишься искать эти парамаетры, все равно все нужно делать в виртуалках, зачем мне защиты от атак на хосте с ухудшением производительности? Если туда получили доступ, габелла всему и так.
| | |
| |
| 2.21, Аноним (-), 21:17, 17/09/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Кстати довольно резонно, всегда душишься искать эти парамаетры, все равно все нужно
> делать в виртуалках, зачем мне защиты от атак на хосте с
> ухудшением производительности? Если туда получили доступ, габелла всему и так.
Ну вообще-то как ты видишь, виртуалка вполне может сп...ть ключи у хоста или соседней виртуалки, если ты еще вдруг не заметил. Потому что спекулятивное выполнение видите ли облажалось с поддержанием абстракции что код выполняется линейно, и строго так как задумано програмером.
| | |
|
| 1.23, Вы забыли заполнить поле Name (?), 21:35, 17/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Предложенный подход даст возможность активировать только защиту от тех классов уязвимостей, которые реально волнуют пользователя
Отключить пользователю защиту под видом заботы, а потом сами ей же и воспользуются.
| | |
| 1.25, Аноним (26), 21:57, 17/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
баги в процессорах, а митигейшен должен делать линукс? дожили епта, Линус, у тебя там лишнего среднего пальца не завелось? или по законам якудзы отрезал его уже себе?
| | |
| |
| |
| 3.35, Аноним (26), 00:27, 18/09/2024 [^] [^^] [^^^] [ответить] | +/– | Чтобы точно ответить на данный вопрос, необходимы точные конкретные условия эк... большой текст свёрнут, показать | | |
| 3.36, Аноним (-), 00:29, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Что-то можно исправить обновлением микрокодо.
Собственно такие фиксы точно были.
Жалко что не все.
| | |
|
| 2.73, Аноним324 (ok), 13:31, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
 > баги в процессорах, а митигейшен должен делать линукс
Ну да, исправлять должны через ядро, потому что переписать ядро в разы легче и быстрее чем перерисовать процесор и пустить его в производство, тем более что есть ещё куча старых процов.
| | |
| |
| 3.75, Аноним (26), 14:32, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну да, исправлять должны через ядро
то есть лечить надо не дона Кихота, а просто не строить мельниц похожих на великанов?
| | |
|
|
| 1.27, Аноним (27), 22:22, 17/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
То есть инженер уверен что миллионы хомячков не ошибутся?
Ну теперь понятно почему у них всё замечательно было с дровами и архитектуры в виде шпалоукладчиков...
| | |
| |
| 2.38, Аноним (1), 01:25, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Они уверены что хомячки если что сами виноваты. С их стороны пуля "вылетела".
| | |
|
| |
| |
| 3.65, Аноним (66), 11:58, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
У меня всё, что там сейчас по умочанию включено, никогда специально ничего не отключаю. Всё приемлемо, в т.ч. и на ноуте с Корой Дуба.
| | |
| |
| 4.84, Аноним (84), 00:36, 19/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
А у меня при копировании файлов на/с домашнего NASика, который крутился в виртуалке, так тормозило, что не могло утилизировать даже гигабитный эзернет. Выдавало скорость копирования процентов на 30 меньше прежней. Отключил митигатионсы на проксмосе и в виртуалке насика - всё снова ускорилось и снова уперлось в езернет.
| | |
|
|
|
| 1.43, Аноним (43), 05:11, 18/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Интересно на сколько ускорится процессор если всю эту дичь отключить? Конечно на локалхосте без подключенных интернетов.
| | |
| |
| 2.44, Анонимище (?), 05:47, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Если без интернета, то тогда можно вообще использовать некрософт и система будет летать
| | |
| 2.46, хрю (?), 08:04, 18/09/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Вам эту дичь скармливают, а вы и ведётесь, как непонятно кто, на все эти мифические мега уязвимости.
| | |
| 2.61, нах. (?), 11:01, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– | |
ну вон выше ж дали ссылку - чувак мерял а не опрашивал. На _его_ задаче получилось 10% на i7 и ноль на нюке (этому тормозу уже ничего не страшно)
Ты тоже можешь померять... а, нет, не можешь, у тебя же ж - лапки.
| | |
| 2.77, Аноним (77), 16:44, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Больше всего страдают не вычисления, а IO. Тут штрафы намного серьезней и могут доходит до двухкратного снижения производительности.
| | |
|
| 1.45, Аноним (45), 07:33, 18/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну или, о ужас, давать выбор, кошмар кошмар, админу локалхоста выключать эти самые мнимые защиты.
| | |
| 1.48, Аноним (48), 08:36, 18/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> достигло 15 и перечисление всех уязвимостей в командной строке ядра стало довольно сложной задачей
Каких 15-ти? Их там только в mitigations= больше 20-ти. И mitigations=auto разве не разбирается со всеми ими по умолчанию?
| | |
| |
| 2.50, нах. (?), 08:48, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Каких 15-ти? Их там только в mitigations= больше 20-ти. И mitigations=auto
> разве не разбирается со всеми ими по умолчанию?
оно по умолчанию включает все которые актуальны твоему процессору. А не только те которые актуальны для конкретно твоего локалхоста.
Поскольку без понятия - есть у тебя там виртуалки, настоящие пользователи или ничего вообще нет, один посгрез.
| | |
|
| 1.63, Ося Бендер (?), 11:35, 18/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Воистину, у чувак совести совсем нету.
Сначала они делают дырявыми свои чудо-процессоры, а потом говорят, а давайте мы сейчас все упростим, чтобы хакирам было еще проще ломать вас.
А у меня предложение, а давайте опустим цену на процы, так эдак вдвое, потому-что они не обеспечивают заявленные характеристики.
А потом можно и настройки упростить.
| | |
| |
| 2.69, Аноним (69), 12:25, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ну так строго говоря цены и опускаются на предыдущие архитектуры после выхода новых.
| | |
|
| 1.72, Аноним (72), 13:19, 18/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Очень правильное предложение. И API сделать, чтобы в своём коде все существующие смягчения не помнить.
| | |
| 1.78, Аноним (-), 17:39, 18/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Ничего не_понятно и ничего не_интересно. Лучше уже сделайте нормальный UI\UX а вся эта подковёрная возня никому не_интересна!
| | |
| |
| 2.79, ZeldasOrange (?), 17:52, 18/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Но они не могут такого бай дизайн.
У меня у самого видеокарта и процессор Амуде.. в Плейстейшон.
| | |
|
| 1.80, Аноним (80), 18:44, 18/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Во-во, главное чтобы все эти митигации можно было выключить разом. Потому что безопасность - это профанация, а производительность - это всё.
| | |
| 1.83, neo one (?), 22:16, 18/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
все эти mitigations даже с микроскопом в профайлере не видно, буря в стакане
| | |
| |
| 2.88, пох. (?), 11:57, 19/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
10% на ct чейне - это не видно? Очочки себе новые закажи, твои похоже уже никуда не годятся.
| | |
|
|
