Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

В рамках проекта NTPsec создан защищённый форк NTPD, opennews (??), 19-Ноя-15, (0) [смотреть все] Уж кого, а Реймонда к связанным с безопасностью проектам допускать нельзя До поя, Аноним (-), 12:08 , 19-Ноя-15, (1) // Ещё забавно без лишней скромности написано про Реймондовский GPSD в https www , Аноним (-), 12:19 , 19-Ноя-15, (3) –1 // 27 Jan 2005 06 39 22 -0800 Формально всё верно же over a decade, 10 лет и 10 м, Andrey Mitrofanov (?), 13:10 , 19-Ноя-15, (9) +2 Он уже это понял и исправляется , DmA (??), 12:21 , 19-Ноя-15, (4)   // Сомнительно, если участь, что его GPSD обязательно требует запуска с правами roo, Аноним (-), 12:30 , 19-Ноя-15, (5) +1   // Читать не умеете gpsd must start up as root in order to open the NTPD shared-me, Аноним (-), 13:15 , 19-Ноя-15, (13) +3   Я, конечно, не разработчик ядра, но подозреваю, что за программы, которым нужно , тоже Аноним (ok), 14:15 , 19-Ноя-15, (18) –6   Ну так оно наверно и есть Открытие требующих рутовых прав файлов сокетов, затем , Forth (ok), 15:50 , 19-Ноя-15, (20)   it tries to drop root privileges как бы намекает, что это не так Особенно tri, тоже Аноним (ok), 16:14 , 19-Ноя-15, (21) –2   Посмотрел исходники, да, так оно и есть Пытается сменить права, но если не получ, Forth (ok), 16:33 , 19-Ноя-15, (22) +1   Линукс-вэй вроде как предполагает в таких случаях дробить программу на отдельную, XXasd (?), 17:10 , 19-Ноя-15, (24)   запуситься о root , инициализировать файловые дискрипторы сокеты и т п , а зате, XXasd (?), 17:11 , 19-Ноя-15, (25)   Ладно, тогда вопрос дилетанта 8470 2 Если в процессе работы этот самый демон , тоже Аноним (ok), 18:00 , 19-Ноя-15, (28) –1   Что значит захочет man 2 wantrootprivilegesNo entry for wantrootprivileges i, Forth (ok), 18:04 , 19-Ноя-15, (29)   Я где-то читал слова переполнение, приводящее к выполнению произвольного кода , тоже Аноним (ok), 18:11 , 19-Ноя-15, (30)   Наверно, не знаю Мне непонятно как приложение, сделавшее setuid на не 0 может об, Forth (ok), 20:17 , 19-Ноя-15, (32)   Нет, не так root-привилегии можно сбросить насовсем, безвозвратно, и обычно оно, анонимус вульгарис (?), 22:54 , 19-Ноя-15, (33)   ни в коем случае не форкать старый облезлый код ntpd где там несколько сот тысяч, eRIC (ok), 12:44 , 19-Ноя-15, (8) –1 // openntpd - простое и безопасное нерабочее г вно , Аноним (-), 13:10 , 19-Ноя-15, (10) +3 // А что там не рабочего Использую на везде вместо ntpd - везде со своей функцией к, www2 (??), 17:17 , 19-Ноя-15, (26) +2 // Аналогично, но вот мне указали на первое же предложение на их оф сайте И там де, Andrey Mitrofanov (?), 18:21 , 19-Ноя-15, (31) О, пришёл Андрюша-слышу-звон-да-не-знаю-где-он Хоть почитали бы, зачем были прид, Аноним (-), 16:26 , 28-Ноя-15, (47) Эпически обсирается если время на сервере и клиенте сильно различается И да обыч, Аноним (-), 09:32 , 20-Ноя-15, (39) –2 Читать документацию hint ключик -s - не, не слышали , Аноним (-), 16:25 , 28-Ноя-15, (46) Дядя маны иногда курить надо, запускаешь openntpd -s и всё работает, forsam (?), 23:47 , 19-Ноя-15, (34) // Я тоже так думал А вот хрен , Аноним (-), 09:33 , 20-Ноя-15, (40) А конкретнее , Аноним (-), 16:26 , 28-Ноя-15, (48) вам на заметку что это в гxвно добавили опцию дополнительной проверки ограниче, eRIC (ok), 07:56 , 20-Ноя-15, (38) +1 // Еще не хватало чтобы ntp-клиент не пойми куда в интернет лазил , Аноним (-), 09:34 , 20-Ноя-15, (41) –1 а он и не будет пока ты явно не укажешь, eRIC (ok), 09:45 , 20-Ноя-15, (43) +2 Первый - не сервер, а клиент, cron ntpdate практически Второй - таки форк патч , Andrey Mitrofanov (?), 13:28 , 19-Ноя-15, (14) // С сайта OpenNTPD It provides the ability to sync the local clock to remote NTP, Аноним (-), 14:09 , 19-Ноя-15, (17) // Был не прав, признаю безобразной ошибкой , Andrey Mitrofanov (?), 14:24 , 19-Ноя-15, (19) +2 ntimed интереснее а про форк на поиграться так это больше для сабжа криворукий, Аноним (-), 03:27 , 20-Ноя-15, (35) // Ну, почему ж, reposurgeon на питончике В руках одного пользователя оно точно ра, Andrey Mitrofanov (?), 09:39 , 20-Ноя-15, (42) Ntimed не форк, а разрабатываемое с чистого листа замена ntpd от автора Varnish , eRIC (ok), 07:33 , 20-Ноя-15, (37) // о чем и речь человеческая синхронизация и автоподстройка - в обоих альтернативах, Аноним (-), 09:08 , 21-Ноя-15, (45) Неужели , Аноним (-), 14:01 , 19-Ноя-15, (16) Ну прям сказка о потерянном времени, Аноним (-), 05:01 , 20-Ноя-15, (36) +1 Ленарту намекните что пора бы в systemd встроить сервер ntp, Аноним (-), 18:15 , 20-Ноя-15, (44) +2 // А также написанные с нуля httpd, ftpd, smtpd, ldapd, etc , Вареник (?), 06:19 , 04-Май-16, (49) Клиент кстати уже есть, systemd-timesyncd Настраивается через timedatectl, как , Аноним (-), 19:21 , 07-Май-16, (50) й домашней аппаратуры должно хватить , Аноним (-), 19:22 , 07-Май-16, (51) 1,8,16,36,44

Сообщения

[Сортировка по времени | RSS]

	4. "В рамках проекта NTPsec создан защищённый форк NTPD"	+/–
	Сообщение от DmA (??), 19-Ноя-15, 12:21
	Он уже это понял и исправляется :)
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	5. "В рамках проекта NTPsec создан защищённый форк NTPD"	+1 +/–
	Сообщение от Аноним (-), 19-Ноя-15, 12:30
	Сомнительно, если участь, что его GPSD обязательно требует запуска с правами root. http://www.catb.org/gpsd/gpsd.html
	Ответить | Правка | Наверх | Cообщить модератору

	13. "В рамках проекта NTPsec создан защищённый форк NTPD"	+3 +/–
	Сообщение от Аноним (-), 19-Ноя-15, 13:15
	Читать не умеете ? gpsd must start up as root in order to open the NTPD shared-memory segment, open its logfile, and create its local control socket. Before doing any processing of GPS data, it tries to drop root privileges by setting its UID to "nobody" (or another configured userid) and its group ID to the group of the initial GPS passed on the command line — or, if that device doesn't exist, to the group of /dev/ttyS0.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "В рамках проекта NTPsec создан защищённый форк NTPD"	–6 +/–
	Сообщение от тоже Аноним (ok), 19-Ноя-15, 14:15
	Я, конечно, не разработчик ядра, но подозреваю, что за программы, которым нужно немножко рута, в сообществе принято бить канделябрами по пальцам. Линукс-вэй вроде как предполагает в таких случаях дробить программу на отдельную утилиту, требующую прав рута для конкретной цели и завершающуюся по достижении этой цели, и отдельного демона, который работает от сих до сих, никаких лишних прав изначально не требуя. Разве не так? Хинт: "разве не так?" - это не риторический вопрос, а приглашение объяснить, как оно на самом деле, если вы знаете лучше.
	Ответить | Правка | Наверх | Cообщить модератору

	20. "В рамках проекта NTPsec создан защищённый форк NTPD"	+/–
	Сообщение от Forth (ok), 19-Ноя-15, 15:50
	Ну так оно наверно и есть. Открытие требующих рутовых прав файлов/сокетов, затем exec.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "В рамках проекта NTPsec создан защищённый форк NTPD"	–2 +/–
	Сообщение от тоже Аноним (ok), 19-Ноя-15, 16:14
	"it tries to drop root privileges" как бы намекает, что это не так. Особенно "tries" наводит на мысль, что в случае чего демон продолжит работу под рутом.
	Ответить | Правка | Наверх | Cообщить модератору

	22. "В рамках проекта NTPsec создан защищённый форк NTPD"	+1 +/–
	Сообщение от Forth (ok), 19-Ноя-15, 16:33
	> "it tries to drop root privileges" как бы намекает, что это не > так. > Особенно "tries" наводит на мысль, что в случае чего демон продолжит работу > под рутом. Посмотрел исходники, да, так оно и есть. Пытается сменить права, но если не получилось - продолжит работу. Правда это самое не получилось маловероятно. Разве что ему неправильный GPSD_USER скормили, ну это по идее проблема админа :) Хотя я в таких случаях завершаю работу приложения, если оно чего-то такого критичного не смогло сделать.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "В рамках проекта NTPsec создан защищённый форк NTPD"	+/–
	Сообщение от XXasd (?), 19-Ноя-15, 17:10
	> Я, конечно, не разработчик ядра, но подозреваю, что за программы, которым нужно немножко рута, в сообществе принято бить канделябрами по пальцам. Линукс-вэй вроде как предполагает в таких случаях дробить программу на отдельную утилиту, требующую прав рута для конкретной цели и завершающуюся по достижении этой цели, и отдельного демона, который работает от сих до сих, никаких лишних прав изначально не требуя. Разве не так? > запуситься о root , инициализировать файловые дискрипторы (сокеты и т п), а затем сбросить с себя все привелегии (в частности -- поменять пользователя) --- ---это самый нормальный и безопасный способ. и главное простой как дерево, негде ему сломаться на ровном месте
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	25. "В рамках проекта NTPsec создан защищённый форк NTPD"	+/–
	Сообщение от XXasd (?), 19-Ноя-15, 17:11
	> Я, конечно, не разработчик ядра, но подозреваю, что за программы, которым нужно немножко рута, в сообществе принято бить канделябрами по пальцам. > Линукс-вэй вроде как предполагает в таких случаях дробить программу на отдельную утилиту, требующую прав рута для конкретной цели и завершающуюся по достижении этой цели, и отдельного демона, который работает от сих до сих, никаких лишних прав изначально не требуя. Разве не так? запуситься о root , инициализировать файловые дискрипторы (сокеты и т п), а затем сбросить с себя все привелегии (в частности -- поменять пользователя) --- ---это самый нормальный и безопасный способ. и главное простой как дерево, негде ему сломаться на ровном месте
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	28. "В рамках проекта NTPsec создан защищённый форк NTPD"	–1 +/–
	Сообщение от тоже Аноним (ok), 19-Ноя-15, 18:00
	Ладно, тогда вопрос дилетанта № 2: Если в процессе работы этот самый демон вдруг захочет поднять себе привилегии и открыть еще сокет-другой, всякие там AppArmor-ы будут уверены, что так и надо, не так ли?
	Ответить | Правка | Наверх | Cообщить модератору

	29. "В рамках проекта NTPsec создан защищённый форк NTPD"	+/–
	Сообщение от Forth (ok), 19-Ноя-15, 18:04
	> Ладно, тогда вопрос дилетанта № 2: > Если в процессе работы этот самый демон вдруг захочет поднять себе привилегии > и открыть еще сокет-другой, всякие там AppArmor-ы будут уверены, что так > и надо, не так ли? Что значит "захочет"? $ man 2 wantrootprivileges No entry for wantrootprivileges in section 2 of the manual :(
	Ответить | Правка | Наверх | Cообщить модератору

	30. "В рамках проекта NTPsec создан защищённый форк NTPD"	+/–
	Сообщение от тоже Аноним (ok), 19-Ноя-15, 18:11
	Я где-то читал слова "переполнение, приводящее к выполнению произвольного кода" и таки "повышение привилегий", встречающиеся если не в одном предложении, то в соседних. Я неправильно сложил этот пазл?
	Ответить | Правка | Наверх | Cообщить модератору

	32. "В рамках проекта NTPsec создан защищённый форк NTPD"	+/–
	Сообщение от Forth (ok), 19-Ноя-15, 20:17
	> Я где-то читал слова "переполнение, приводящее к выполнению произвольного кода" и таки > "повышение привилегий", встречающиеся если не в одном предложении, то в соседних. > Я неправильно сложил этот пазл? Наверно, не знаю. Мне непонятно как приложение, сделавшее setuid на не 0 может обратно вернуться на root.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "В рамках проекта NTPsec создан защищённый форк NTPD"	+/–
	Сообщение от анонимус вульгарис (?), 19-Ноя-15, 22:54
	> Если в процессе работы этот самый демон вдруг захочет поднять себе привилегии и открыть еще сокет-другой, всякие там AppArmor-ы будут уверены, что так и надо, не так ли? Нет, не так. root-привилегии можно сбросить насовсем, безвозвратно, и обычно оно так и делается. См. setresuid(2)
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема