Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Ubuntu ограничит доступ к user namespace, opennews (??), 09-Окт-23, (0) [смотреть все] Может они когда-нибудь исправят ужасный suid , Аноним (2), 23:53 , 09-Окт-23, (2) –3 // зачем, не используй его и всё, swarus (ok), 00:13 , 10-Окт-23, (3) +5 // а ныть как , noc101 (ok), 04:32 , 11-Окт-23, (75) +1 Исправил, не благодари https www opennet ru openforum vsluhforumID3 131681 ht, Аноним (10), 05:46 , 10-Окт-23, (10) +4 Скрыто модератором, scriptkiddis (?), 00:53 , 10-Окт-23, (4) –7 Напомните, зачем гуглу этот доступ нужно оставлять , DeerFriend (?), 01:06 , 10-Окт-23, (5) +1 // Other applications, such as Google Chrome make use of namespaces to isolate its , Bob (??), 03:14 , 10-Окт-23, (6) Вкладки браузера изолируются через user namespaces Не только Хрому, но ещё Элект, Аноним (10), 05:56 , 10-Окт-23, (11) –1 // В чём я не прав Хоть бы аргументировали минусы, что ли Мне всё равно, а окружа, Аноним (71), 01:51 , 11-Окт-23, (71) +1 Дли шизоляции Чтобы Хромоног творил в системе, что хотел, just au planned , Аноним (22), 09:27 , 10-Окт-23, (22) +1 // Если вам не нравится изоляция одной вкладки от другой, то выключите это просто, Всем Анонимам Аноним (?), 12:04 , 10-Окт-23, (38) // А дело не нравится не нравится А в пропихивании всеми доступными и не очень с, yet another anonymous (?), 22:45 , 10-Окт-23, (68) Кто платит - того и ботинки, КО (?), 12:35 , 10-Окт-23, (47) Нерабочая схема, как работает эта хрень понятно двум с половиной анонам и всем , Аноним (9), 05:06 , 10-Окт-23, (9) // Так тебе понимать ничего и не надо Она просто будет через пару промежуточных ит, пох. (?), 09:02 , 10-Окт-23, (19) +1 // Короче, закуплю попкорна к релизу бубунты , Аноним (22), 09:25 , 10-Окт-23, (21) –1 Да забей на AppArmor Просто используй SELinux , Аноним (49), 13:15 , 10-Окт-23, (49) +2 Есть ли нечто подобное для SELinux Или это чисто решение выборочное ограничени, academiq (ok), 06:08 , 10-Окт-23, (12) +1 // Ну, CAP_SYS_ADMIN должно быть можно выборочно заблокировать , Аноним (10), 06:17 , 10-Окт-23, (13) +1 // Поздравляю, после перехода в user ns - он снова разблокирован , пох. (?), 22:43 , 10-Окт-23, (67) +1 РТФМ setcap и https man7 org linux man-pages man7 capabilities 7 html, OpenEcho (?), 11:34 , 10-Окт-23, (29) SELinux нужно перманентно отключать сразу после установки , Аноним (33), 11:43 , 10-Окт-23, (33) –5 // нужно просто перекомпилить ядро с отключенной опцией MULTIUSER Тогда в линуксе , Аноним (44), 12:23 , 10-Окт-23, (44) +4 // Анонимус научился выполнять menuconfig Как мило , Пряник (?), 11:39 , 17-Окт-23, (79) напишешь - будет правда в targeted mode та еще затея - впрочем, убунта вон спр, пох. (?), 13:45 , 10-Окт-23, (51) –2 К чему эти нежности Нужно просто запретить пользователю включать компьютер , Аноним (18), 09:02 , 10-Окт-23, (18) // Здрасти А как же управлять тогда толпой Так долго боролись чтоб мыши сами опл, OpenEcho (?), 11:36 , 10-Окт-23, (30) думаю, речь идёт об kernel unprivileged_userns_clone, который во всех нормальных, onanim (?), 09:18 , 10-Окт-23, (20) // Как раз, наоборот Включен по умолчанию Отключен только на hardened-ядрах и в н, Аноним (10), 10:13 , 10-Окт-23, (24) +2 // Ну всё понятно, Убунту под предлогом безопасности упрощает жизнь малвари Видн, Аноним (27), 10:39 , 10-Окт-23, (27) –3 Во-первых, это устаревший sysctl Во-вторых, его никогда не было в ядре Это вас, Аноним (44), 11:19 , 10-Окт-23, (28) // Нет Особого значения не имеет, так как речь идет об убунте, которая практически , Аноним (52), 13:46 , 10-Окт-23, (52) –1 // Читай доки своего любимого дебьяна например If you prefer to keep this featu, Аноним (44), 14:08 , 10-Окт-23, (55) Короче, линукс идёт дорогой андроида - всё больше огораживаний Лет через пять о, Аноним (23), 09:44 , 10-Окт-23, (23) +2 // На десктопах уже давно sudo usermod -aG admin,wheel USERsudo passwd -l root , Аноним (10), 10:17 , 10-Окт-23, (25) // И как в этой ситуации обходите нажмите Ctrl-D или введите пароль root Или у , Anonim (??), 10:22 , 10-Окт-23, (26) // а действительно, как , И это очень хороший вопрос (?), 17:41 , 10-Окт-23, (57) Да просто - переустановил винд э линoops и живет дальше , пох. (?), 19:07 , 10-Окт-23, (58) За 15 лет свой Арч только один раз переустанавливал, когда сносил дуалбут с Винд, Аноним (71), 02:19 , 11-Окт-23, (74) Забыл ещё в etc sudoers , d проверить наличие wheel ALL ALL ALL ALL Есл, Аноним (71), 02:15 , 11-Окт-23, (73) Скоро закроют всё кроме home username и sudo запретят , Аноним (33), 11:42 , 10-Окт-23, (32) // Уже Fedora Silverblue, Vanilla OS, Endless OS, и Ubuntu GNOME через 4 релиза , pic (?), 11:55 , 10-Окт-23, (35) Какого шлака только не понапридумывали лишь бы не использовать стандартные права, Аноним (33), 11:40 , 10-Окт-23, (31) // Какого шлака только не понапридумывали лишь бы не использовать MS-DOS где можно , Аноним (44), 11:53 , 10-Окт-23, (34) +1 // Я бы с удовольствием использовал MS-DOS если бы это было уместно в нынешних реал, Аноним (33), 11:57 , 10-Окт-23, (36) +1 // Я бы с удовольствием использовал стандартные права на запись,чтение,исполнение ф, Аноним (44), 11:58 , 10-Окт-23, (37) –1 повысить безопасность позволит выпиливание к хренам контейнеров, 12yoexpert (ok), 12:05 , 10-Окт-23, (40) +3 Вместо полной блокировки доступа к user namespace в Ubuntu применена гибридная , Kuromi (ok), 16:06 , 10-Окт-23, (56) // эти некоторые программы и есть - фуфлофокс, хромоног, нода и весь остальной вася, пох. (?), 20:07 , 10-Окт-23, (60) // И что Разработчики браузера используют максимум фич им доступных, почему бы и н, Kuromi (ok), 20:22 , 10-Окт-23, (61)   // ну вот потому что конкретно эта фича - чревата внезапно-рутом Который через нее, пох. (?), 20:27 , 10-Окт-23, (62)   Конкретно эта не особо, механизм изоляции работает таким образом, что получить д, Аноним (27), 20:41 , 10-Окт-23, (63)   так весь фокус в том что в неймспейсе у тебя сброшены в смысле - в исходное сос, пох. (?), 20:56 , 10-Окт-23, (64)   Так это значит, что уже есть возможность исполнять произвольный код и создавать , Аноним (27), 21:25 , 10-Окт-23, (65)   ну да А от кого же мы еще защищаемся-то в браузере да, привет У него уже и так, пох. (?), 22:41 , 10-Окт-23, (66)   Действительно, настойчивое проталкивание wayland-only --- с доступом к GPU и око, yet another anonymous (?), 22:58 , 10-Окт-23, (69)   Так у кода в браузере есть только возможность исполнять жс вебассембли, это не т, Аноним (27), 00:16 , 11-Окт-23, (70)   https github com containers bubblewrap blob main bubblewrap c, Аноним (71), 01:58 , 11-Окт-23, (72)   2,5,9,12,18,20,23,31,40,56

Сообщения

[Сортировка по времени | RSS]

	61. "Ubuntu ограничит доступ к user namespace"	+/–
	Сообщение от Kuromi (ok), 10-Окт-23, 20:22
	>> "Вместо полной блокировки доступа к user namespace в Ubuntu применена гибридная схема, >> выборочно оставляющая некоторым программам возможность создавать user namespace" > эти некоторые программы и есть - фуфлофокс, хромоног, нода и весь остальной > васянский цирк. >> Да не могут они заблокировать, вся защита в Firefox и Chrome на >> этом основана. > хорошая заssshitа. И что? Разработчики браузера используют максимум фич им доступных, почему бы и нет? Думаешь из-за истерички Шаттлврота ФФ перестанет использовать неймспейсы? Вряд ли. Хотите тру защиты - запускайте ФФ в виртуалке в которой ничего больше нет.
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Ubuntu ограничит доступ к user namespace"	+/–
	Сообщение от пох. (?), 10-Окт-23, 20:27
	> Разработчики браузера используют максимум фич им доступных, почему бы и нет? ну вот потому что конкретно эта фича - чревата внезапно-рутом. Который через нее получали уже десяток раз. Почему бы и не использовать, действительно.
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Ubuntu ограничит доступ к user namespace"	+/–
	Сообщение от Аноним (27), 10-Окт-23, 20:41
	Конкретно эта не особо, механизм изоляции работает таким образом, что получить дополнительные права не получится. Рут несколько раз был у приложений, которые используют права виртуального рута в неймспейсе.
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Ubuntu ограничит доступ к user namespace"	+/–
	Сообщение от пох. (?), 10-Окт-23, 20:56
	так весь фокус в том что в неймспейсе у тебя сброшены (в смысле - в исходное состояние, даже если были посброшены до clone) capabilities, и рут там тоже вполне себе может быть - причем для создания такого рута не надо иметь прав рута в системе. Ты не можешь конечно отмапить его в настоящего рута - но тут нам на помощь приходит очередная недоделанная проверка "а не в неймспейсе ли мы и если да то..."
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Ubuntu ограничит доступ к user namespace"	+/–
	Сообщение от Аноним (27), 10-Окт-23, 21:25
	Так это значит, что уже есть возможность исполнять произвольный код и создавать свои неймспейсы. Но например доступа в сеть в изолированном неймспейсе не появится, придётся для начала сбежать и получить права вне изоляции. При этом, песочницы изолируют gpu-процесс, исполняющий рандомные шейдеры, у которых в противном случае будет слишком много прав (привет майнеры). И обычно контентный тоже (привет libvpx). Что является более актуальным.
	Ответить | Правка | Наверх | Cообщить модератору

	66. "Ubuntu ограничит доступ к user namespace"	+/–
	Сообщение от пох. (?), 10-Окт-23, 22:41
	> Так это значит, что уже есть возможность исполнять произвольный код и создавать > свои неймспейсы. ну да. А от кого же мы еще защищаемся-то в браузере? > этом, песочницы изолируют gpu-процесс, исполняющий рандомные шейдеры, у которых в противном > случае будет слишком много прав (привет майнеры). И обычно контентный тоже да, привет. У него уже и так есть все права которые нужны для майнинга. (другое дело что он конечно может куда больше, но опять же с изоляцией от этого больше тоже все плохо) > (привет libvpx). Что является более актуальным. ну да - libvpx теперь не из соседней вкладки данные стырит (от чего как-то могут защищать userns), и даже не из твоего хомяка (а вот от этого нет), а попутно рутом станет, поди плохо-то ;-)
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Ubuntu ограничит доступ к user namespace"	+/–
	Сообщение от yet another anonymous (?), 10-Окт-23, 22:58
	Действительно, настойчивое проталкивание wayland-only --- с доступом к GPU и около --- начинает играть новыми красками ;)
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Ubuntu ограничит доступ к user namespace"	+/–
	Сообщение от Аноним (27), 11-Окт-23, 00:16
	Так у кода в браузере есть только возможность исполнять жс/вебассембли, это не то же самое, что дёргать произвольный код в произвольных либах. Эксплуатация уязвимостей значительно усложняется. Альтернатива неймспейсам это суидный рутовый бинарь. Ну, либо вообще, твори, что желаешь.
	Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

	72. "Ubuntu ограничит доступ к user namespace"	+/–
	Сообщение от Аноним (71), 11-Окт-23, 01:58
	https://github.com/containers/bubblewrap/blob/main/bubblewrap.c > if (prctl (PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0) < 0) die_with_error ("prctl(PR_SET_NO_NEW_PRIVS) failed");
	Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема