forum.opennet.ru

Составление сообщения

Исходное сообщение

"Microsoft выпустил редакцию пакета Defender ATP для Linux"
Отправлено Аноним, 26-Июн-20 06:42

> Точно так же как в ОС на базе Linux, как и ряде других ОС, можно вдоволь поиздеваться над рутом, через capabilities и аналогичные механизмы.
Cap-ами ты над рутом не поиздеваешься, только над отдельными процессами. Но тот рут, под которым запускается pid1, по определению ничем не ограничен. Более того, ядро всё обмазано проверками вида if uid == 0 { accept }, которые дают руту по определению делать многие вещи просто потому что он рут, а остальных юзеров уже прогоняет через всякие проверки доступов и прочие вещи (если, вообще, разрешает запрашиваемые действия кому-то, кроме настоящего рута).
Собственно, с userns в линуксе было (да и остается) столько проблем именно из-за того, что с точки зрения ядра тот "псевдорут", что в userns, неполноценный, ибо у него uid != 0. Потом что рут в юниксе действительно на особом счету у ядра и у него есть неотъемлемые захардкоженные _права_.
А в винде админ - это всего лишь юзер в группе Administratoris с выданными через acl-и соответствующим _привилегиями_.

Исходное сообщение
"Microsoft выпустил редакцию пакета Defender ATP для Linux" Отправлено Аноним, 26-Июн-20 06:42
> Точно так же как в ОС на базе Linux, как и ряде других ОС, можно вдоволь поиздеваться над рутом, через capabilities и аналогичные механизмы. Cap-ами ты над рутом не поиздеваешься, только над отдельными процессами. Но тот рут, под которым запускается pid1, по определению ничем не ограничен. Более того, ядро всё обмазано проверками вида if uid == 0 { accept }, которые дают руту по определению делать многие вещи просто потому что он рут, а остальных юзеров уже прогоняет через всякие проверки доступов и прочие вещи (если, вообще, разрешает запрашиваемые действия кому-то, кроме настоящего рута). Собственно, с userns в линуксе было (да и остается) столько проблем именно из-за того, что с точки зрения ядра тот "псевдорут", что в userns, неполноценный, ибо у него uid != 0. Потом что рут в юниксе действительно на особом счету у ядра и у него есть неотъемлемые захардкоженные _права_. А в винде админ - это всего лишь юзер в группе Administratoris с выданными через acl-и соответствующим _привилегиями_.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Точно так же как в ОС на базе Linux, как и ряде других ОС, можно вдоволь поиздеваться над рутом, через capabilities и аналогичные механизмы.

> Cap-ами ты над рутом не поиздеваешься, только над отдельными процессами. Но тот 
> рут, под которым запускается pid1, по определению ничем не ограничен. Более 
> того, ядро всё обмазано проверками вида if uid == 0 { 
> accept }, которые дают руту по определению делать многие вещи просто 
> потому что он рут, а остальных юзеров уже прогоняет через всякие 
> проверки доступов и прочие вещи (если, вообще, разрешает запрашиваемые действия кому-то, 
> кроме настоящего рута).

> Собственно, с userns в линуксе было (да и остается) столько проблем именно 
> из-за того, что с точки зрения ядра тот "псевдорут", что в 
> userns, неполноценный, ибо у него uid != 0. Потом что рут 
> в юниксе действительно на особом счету у ядра и у него 
> есть неотъемлемые захардкоженные _права_.
> А в винде админ - это всего лишь юзер в группе Administratoris 
> с выданными через acl-и соответствующим _привилегиями_.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру