Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Ubuntu ограничит доступ к user namespace, opennews (??), 09-Окт-23, (0) [смотреть все] Может они когда-нибудь исправят ужасный suid , Аноним (2), 23:53 , 09-Окт-23, (2) –3 // зачем, не используй его и всё, swarus (ok), 00:13 , 10-Окт-23, (3) +5 // а ныть как , noc101 (ok), 04:32 , 11-Окт-23, (75) +1 Исправил, не благодари https www opennet ru openforum vsluhforumID3 131681 ht, Аноним (10), 05:46 , 10-Окт-23, (10) +4 Скрыто модератором, scriptkiddis (?), 00:53 , 10-Окт-23, (4) –7 Напомните, зачем гуглу этот доступ нужно оставлять , DeerFriend (?), 01:06 , 10-Окт-23, (5) +1 // Other applications, such as Google Chrome make use of namespaces to isolate its , Bob (??), 03:14 , 10-Окт-23, (6) Вкладки браузера изолируются через user namespaces Не только Хрому, но ещё Элект, Аноним (10), 05:56 , 10-Окт-23, (11) –1 // В чём я не прав Хоть бы аргументировали минусы, что ли Мне всё равно, а окружа, Аноним (71), 01:51 , 11-Окт-23, (71) +1 Дли шизоляции Чтобы Хромоног творил в системе, что хотел, just au planned , Аноним (22), 09:27 , 10-Окт-23, (22) +1 // Если вам не нравится изоляция одной вкладки от другой, то выключите это просто, Всем Анонимам Аноним (?), 12:04 , 10-Окт-23, (38) // А дело не нравится не нравится А в пропихивании всеми доступными и не очень с, yet another anonymous (?), 22:45 , 10-Окт-23, (68) Кто платит - того и ботинки, КО (?), 12:35 , 10-Окт-23, (47) Нерабочая схема, как работает эта хрень понятно двум с половиной анонам и всем , Аноним (9), 05:06 , 10-Окт-23, (9) // Так тебе понимать ничего и не надо Она просто будет через пару промежуточных ит, пох. (?), 09:02 , 10-Окт-23, (19) +1 // Короче, закуплю попкорна к релизу бубунты , Аноним (22), 09:25 , 10-Окт-23, (21) –1 Да забей на AppArmor Просто используй SELinux , Аноним (49), 13:15 , 10-Окт-23, (49) +2 Есть ли нечто подобное для SELinux Или это чисто решение выборочное ограничени, academiq (ok), 06:08 , 10-Окт-23, (12) +1 // Ну, CAP_SYS_ADMIN должно быть можно выборочно заблокировать , Аноним (10), 06:17 , 10-Окт-23, (13) +1 // Поздравляю, после перехода в user ns - он снова разблокирован , пох. (?), 22:43 , 10-Окт-23, (67) +1 РТФМ setcap и https man7 org linux man-pages man7 capabilities 7 html, OpenEcho (?), 11:34 , 10-Окт-23, (29) SELinux нужно перманентно отключать сразу после установки , Аноним (33), 11:43 , 10-Окт-23, (33) –5 // нужно просто перекомпилить ядро с отключенной опцией MULTIUSER Тогда в линуксе , Аноним (44), 12:23 , 10-Окт-23, (44) +4 // Анонимус научился выполнять menuconfig Как мило , Пряник (?), 11:39 , 17-Окт-23, (79) напишешь - будет правда в targeted mode та еще затея - впрочем, убунта вон спр, пох. (?), 13:45 , 10-Окт-23, (51) –2 К чему эти нежности Нужно просто запретить пользователю включать компьютер , Аноним (18), 09:02 , 10-Окт-23, (18) // Здрасти А как же управлять тогда толпой Так долго боролись чтоб мыши сами опл, OpenEcho (?), 11:36 , 10-Окт-23, (30) думаю, речь идёт об kernel unprivileged_userns_clone, который во всех нормальных, onanim (?), 09:18 , 10-Окт-23, (20)   // Как раз, наоборот Включен по умолчанию Отключен только на hardened-ядрах и в н, Аноним (10), 10:13 , 10-Окт-23, (24) +2   // Ну всё понятно, Убунту под предлогом безопасности упрощает жизнь малвари Видн, Аноним (27), 10:39 , 10-Окт-23, (27) –3   Во-первых, это устаревший sysctl Во-вторых, его никогда не было в ядре Это вас, Аноним (44), 11:19 , 10-Окт-23, (28)   // Нет Особого значения не имеет, так как речь идет об убунте, которая практически , Аноним (52), 13:46 , 10-Окт-23, (52) –1   // Читай доки своего любимого дебьяна например If you prefer to keep this featu, Аноним (44), 14:08 , 10-Окт-23, (55)   Короче, линукс идёт дорогой андроида - всё больше огораживаний Лет через пять о, Аноним (23), 09:44 , 10-Окт-23, (23) +2 // На десктопах уже давно sudo usermod -aG admin,wheel USERsudo passwd -l root , Аноним (10), 10:17 , 10-Окт-23, (25) // И как в этой ситуации обходите нажмите Ctrl-D или введите пароль root Или у , Anonim (??), 10:22 , 10-Окт-23, (26) // а действительно, как , И это очень хороший вопрос (?), 17:41 , 10-Окт-23, (57) Да просто - переустановил винд э линoops и живет дальше , пох. (?), 19:07 , 10-Окт-23, (58) За 15 лет свой Арч только один раз переустанавливал, когда сносил дуалбут с Винд, Аноним (71), 02:19 , 11-Окт-23, (74) Забыл ещё в etc sudoers , d проверить наличие wheel ALL ALL ALL ALL Есл, Аноним (71), 02:15 , 11-Окт-23, (73) Скоро закроют всё кроме home username и sudo запретят , Аноним (33), 11:42 , 10-Окт-23, (32) // Уже Fedora Silverblue, Vanilla OS, Endless OS, и Ubuntu GNOME через 4 релиза , pic (?), 11:55 , 10-Окт-23, (35) Какого шлака только не понапридумывали лишь бы не использовать стандартные права, Аноним (33), 11:40 , 10-Окт-23, (31) // Какого шлака только не понапридумывали лишь бы не использовать MS-DOS где можно , Аноним (44), 11:53 , 10-Окт-23, (34) +1 // Я бы с удовольствием использовал MS-DOS если бы это было уместно в нынешних реал, Аноним (33), 11:57 , 10-Окт-23, (36) +1 // Я бы с удовольствием использовал стандартные права на запись,чтение,исполнение ф, Аноним (44), 11:58 , 10-Окт-23, (37) –1 повысить безопасность позволит выпиливание к хренам контейнеров, 12yoexpert (ok), 12:05 , 10-Окт-23, (40) +3 Вместо полной блокировки доступа к user namespace в Ubuntu применена гибридная , Kuromi (ok), 16:06 , 10-Окт-23, (56) // эти некоторые программы и есть - фуфлофокс, хромоног, нода и весь остальной вася, пох. (?), 20:07 , 10-Окт-23, (60) // И что Разработчики браузера используют максимум фич им доступных, почему бы и н, Kuromi (ok), 20:22 , 10-Окт-23, (61) // ну вот потому что конкретно эта фича - чревата внезапно-рутом Который через нее, пох. (?), 20:27 , 10-Окт-23, (62) Конкретно эта не особо, механизм изоляции работает таким образом, что получить д, Аноним (27), 20:41 , 10-Окт-23, (63) так весь фокус в том что в неймспейсе у тебя сброшены в смысле - в исходное сос, пох. (?), 20:56 , 10-Окт-23, (64) Так это значит, что уже есть возможность исполнять произвольный код и создавать , Аноним (27), 21:25 , 10-Окт-23, (65) ну да А от кого же мы еще защищаемся-то в браузере да, привет У него уже и так, пох. (?), 22:41 , 10-Окт-23, (66) Действительно, настойчивое проталкивание wayland-only --- с доступом к GPU и око, yet another anonymous (?), 22:58 , 10-Окт-23, (69) Так у кода в браузере есть только возможность исполнять жс вебассембли, это не т, Аноним (27), 00:16 , 11-Окт-23, (70) https github com containers bubblewrap blob main bubblewrap c, Аноним (71), 01:58 , 11-Окт-23, (72) 2,5,9,12,18,20,23,31,40,56

Сообщения

[Сортировка по времени | RSS]

20. "Ubuntu ограничит доступ к user namespace"	+/–
Сообщение от onanim (?), 10-Окт-23, 09:18
думаю, речь идёт об kernel.unprivileged_userns_clone, который во всех нормальных дистрибутивах по умолчанию выключен, и только в убунте включён, и для которого уже штук 20 local privilege escalation эксплоитов написано. переключение убунтой kernel.unprivileged_userns_clone из 1 в 0 заслужило целую новость и миллиард репостов на всех околоайти сайтах.
Ответить | Правка | Наверх | Cообщить модератору

	24. "Ubuntu ограничит доступ к user namespace"	+2 +/–
	Сообщение от Аноним (10), 10-Окт-23, 10:13
	Как раз, наоборот. Включен по умолчанию. Отключен только на hardened-ядрах и в некоторых дистрибутивах, которые никто как десктоп использовать не планировал. А в Убунту, как я понимаю, предлагают ограничивать использование userns белым списком через модуль AppArmor.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Ubuntu ограничит доступ к user namespace"	–3 +/–
	Сообщение от Аноним (27), 10-Окт-23, 10:39
	Ну всё понятно, Убунту под предлогом "безопасности" упрощает жизнь малвари. Видно, кто оплатил услуги, и для чего.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Ubuntu ограничит доступ к user namespace"	+/–
	Сообщение от Аноним (44), 10-Окт-23, 11:19
	> речь идёт об kernel.unprivileged_userns_clone, который во всех нормальных дистрибутивах по умолчанию выключен Во-первых, это устаревший sysctl. Во-вторых, его никогда не было в ядре. Это васяновский sysctl, для появления которого нужно было применить васянопатчи от васянодебиана. В-третьих, он не получил распространения в других дистрах.
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	52. "Ubuntu ограничит доступ к user namespace"	–1 +/–
	Сообщение от Аноним (52), 10-Окт-23, 13:46
	> Во-первых, это устаревший sysctl Нет. > Во-вторых, его никогда не было в ядре. Это васяновский sysctl, для появления которого нужно было применить васянопатчи от васянодебиана. В-третьих, он не получил распространения в других дистрах. Особого значения не имеет, так как речь идет об убунте, которая практически всё тащит из дебиана.
	Ответить | Правка | Наверх | Cообщить модератору

	55. "Ubuntu ограничит доступ к user namespace"	+/–
	Сообщение от Аноним (44), 10-Окт-23, 14:08
	> > Во-первых, это устаревший sysctl > Нет. Читай доки своего любимого дебьяна например:     If you prefer to keep this feature restricted, set the sysctl:         user.max_user_namespaces = 0     The Debian-specific sysctl kernel.unprivileged_userns_clone=0 has     a similar effect, but is deprecated. > речь идет об убунте То есть под "всеми нормальными дистрами" ты понимаешь только дебьян с васянопатчами.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема