Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Amazon опубликовал REX, среду для контролируемого выполнения скриптов"	+/–
Сообщение от opennews (ok), 04-Май-26, 22:46
Компания Amazon представила движок безопасного исполнения скриптов REX (Trusted Remote Execution), допускающий только разрешённые для каждого конкретного скрипта операции. Например, если скрипт рассчитан на разбор логов, то ему будет предоставлен только доступ на чтение лога, а несанкционированные попытки удаления или изменения файлов заблокируются. Код REX написан на языке Rust и открыт под лицензией Apache 2.0... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65360
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от aname (ok), 04-Май-26, 22:46	–4 +/–
Выглядит полезным
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #35, #58

2. Сообщение от Аноним (2), 04-Май-26, 22:48	–2 +/–
https://aws.amazon.com/blogs/opensource/introducing-trusted-.../ Так и на Амазон тоже без впн не заходит...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #8, #70

3. Сообщение от Rev (ok), 04-Май-26, 22:52	+/–
То есть все существующие системы виртуализации признаны негодными, и разработана новая, я так понимаю.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

5. Сообщение от Аноним (5), 04-Май-26, 23:08	–1 +/–
РКН блочит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

6. Сообщение от Аноним 9000 (?), 04-Май-26, 23:09	+7 +/–
Очевидно, опубликованная система не имеет ничего общего с виртуализацией
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #17

7. Сообщение от Аноним (7), 04-Май-26, 23:13	+3 +/–
А что такое, не понравилось как нейронки сносят базы данных компаниям?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #40

8. Сообщение от Аноним (8), 04-Май-26, 23:15	+1 +/–
tls hello заблокирован опять
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

9. Сообщение от aname (ok), 04-Май-26, 23:15	+/–
Вряд ли Амазон этот аспект интересует. Просто на этом точно можно заработать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #18

10. Сообщение от Аноним83 (?), 04-Май-26, 23:21	+2 +/–
> Например, если скрипт рассчитан на разбор логов, то ему будет предоставлен только доступ на чтение лога Ээээ chmod 0444 /path/to/log/file ? В остальном можно генерить chroot с только нужным, и обжимать правами на файлы, если что то нужно извне - nullfs. Более глобально это напоминает 100500 других систем кастрации возможностей приложений, типа capsicum, MAC и пр, где можно указывать какие сисколы с какими параметрами разрешены.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

11. Сообщение от Аноним (2), 04-Май-26, 23:23	+2 +/–
>Подобный подход даёт возможность защититься от нового класса атак, в которых злоумышленники используют подстановку запросов AI-агентам для выполнения действий в системе. Вот кстати, есть такое ощущение, что использование и внедрение AI уже обгоняет возможности его контроля. Как будто все соревнуются куда бы ещё его применить, а вот вопрос какую проблему он будет решать оставляют позади. А уж сколько денег туда инвестируют: https://servernews.ru/1141065
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #36

12. Сообщение от Аноним (12), 04-Май-26, 23:24	+3 +/–
> это напоминает 100500 других систем кастрации возможностей но у них нет > смесь JavaScript и Rust
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #21, #28

13. Сообщение от dddd (?), 04-Май-26, 23:30	+3 +/–
А как же просьбы в .md файлах, неужели не помогают??? как же так. а всякие там se linux и прочие, разве не должны такое делать >Каждый системный вызов, такой как открытие, чтение или запись файла, >перед выполнением авторизируется в соответствии с заданными правилами. а ядро операционной системы на что?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #59

14. Сообщение от Аноним (14), 04-Май-26, 23:34	+/–
>смесь JavaScript и Rust можно не обновлять локальный llm, так сгаллюцинирует
Ответить | Правка | Наверх | Cообщить модератору

15. Сообщение от Аноним (15), 04-Май-26, 23:41	+/–
А почему не T-REX?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

16. Сообщение от Аноним (16), 04-Май-26, 23:56	+4 +/–
Юристы IBM потирают руки... Созвучно названию их скиптового языка.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41

17. Сообщение от Аноним (19), 04-Май-26, 23:58	–4 +/–
песочница которая "обманывает" скрипт и подменяет собой среду выполнения, ну ачивидна
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

18. Сообщение от Аноним (19), 05-Май-26, 00:04	+/–
)) заработать что? проще скрипт проверить, а если не проще, то его можно запустить в контейнере, пусть там хоть все перешлет и удалит..сидеть и назначать права фактически и есть проверка, можно даже автоматизировать прогнав его и отловив запросы, selinux примерно тоже самое и делает, амазон изобрела очередной велосипед
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #37

19. Сообщение от Аноним (19), 05-Май-26, 00:05	+10 +/–
угу, гдето между контейнерами и selinux, смесь бульдога с носорогом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

21. Сообщение от Аноним (19), 05-Май-26, 00:08	+2 +/–
а еще у них нет powershell + 1c, бежим реализовывать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #71

22. Сообщение от Аноним (19), 05-Май-26, 00:17	+2 +/–
> Как будто все соревнуются куда бы ещё его применить ну так, а чего удивляться, человечество всю историю с новыми изобретениями развлекалось, пыталось их жарить, варить, выпаривать и втерать в измельченном виде, разбавлять чем угодно и пить, ну и пихать себе во всякие места, до сих пор вон лампочки пихают. нас еще порадуют новости в которых незадачливые обыватели пытались креативить с этим делом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #31

28. Сообщение от Аноним83 (?), 05-Май-26, 01:54	+/–
Всмысле нет!? Возможностей порезать приложениям доступ к объектам в ОС полным полном, даже в венде есть такое начиная с NT. Применительно к амазону тут вопрос больше в удобстве применения именно в том виде в котором им надо, но я бы лично юзал возможности ОС а не изобретал вот такое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

30. Сообщение от _ (??), 05-Май-26, 05:23	+/–
> Код REX написан на языке Rust Сколько дыр уже нашли?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34, #63

31. Сообщение от butsan (?), 05-Май-26, 05:29	+/–
Чё-то вы тут какой-то бред написали. Это не игрушка, это бизнес. Пихают везде с конкретной целью - поймать золотую рыбу. Это не развлечение, не кошка с мышкой играет. Настоящая золотая лихорадка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #45

34. Сообщение от Аноним (34), 05-Май-26, 05:58	–1 +/–
Там их нет! Источник инфы: Trust me bro.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

35. Сообщение от runoverheads (ok), 05-Май-26, 06:00	+12 +/–
но звучит как навайбкоденный микс популярных технологий. проще - кликбейт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #68, #85

36. Сообщение от Смузихлеб забывший пароль (?), 05-Май-26, 06:18	+2 +/–
> Как будто все соревнуются куда бы ещё его применить, > а вот вопрос какую проблему он будет решать оставляют позади Лохчейн так и осталось неясным какую проблему решил, но чёрти куда его пытались приделать ощутимо раньше ИИ. Нередко получалось что суть проекта в применении сабжа, а не в том, что он вообще что-то решал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #77, #86, #93

37. Сообщение от YetAnotherOnanym (ok), 05-Май-26, 07:05	+/–
Скрипт в контейнере, из которого ни к чему нет доступа - это бесполезная "вещь в себе". Проверять скрипт - это время, которого никогда нет. А сабж позволял бы один раз написать правила и дальше гонять что угодно из каких угодно недоверенных источников. Одно непонятно - как они собираются сподвигнуть своих клиентов выучить ради этого аж два новых языка?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #50, #98

38. Сообщение от Аноним (38), 05-Май-26, 07:06	+5 +/–
Кто еще при упоминании скриптов на рексе вспомнил OS/2 и протер скупую слезу?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42

39. Сообщение от Аноним (39), 05-Май-26, 07:10	+/–
потому что T- не ассоциируется в этих ваших сшп с амазоном, а с другой конторой
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

40. Сообщение от Sm0ke85 (ok), 05-Май-26, 07:23	+/–
>А что такое, не понравилось как нейронки сносят базы данных компаниям? Так они куда бы не пихали этот ИИ - опять фейл выходит, уже вроде раст сделали, чтоб ИИ проще было, переобозвали все связанное с ИИ так, чтобы не звучало как эпик-фэйл, вот теперь среду для скриптов придумали, а до этого внедрили практики, которые обязывают реальных профессионалов факультативно "обучать" данные системы, также слили туда весь интернет - а на выходе это чудо даже арифметические операции выполняет с ошибками)))))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

41. Сообщение от ryoken (ok), 05-Май-26, 07:51	+3 +/–
REXX? "Кстати, где он?"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #76

42. Сообщение от ryoken (ok), 05-Май-26, 07:51	+/–
аноним выше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

45. Сообщение от Аноним (45), 05-Май-26, 08:26	+/–
Золотая лихорадка не развлечение? Ой ли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

46. Сообщение от localhostadmin (ok), 05-Май-26, 08:46	+/–
Лучше уж тогда уйти на опенбсд и там патчить программы с помощью pledge
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Аноним (47), 05-Май-26, 09:03	+/–
а теперь этим кедр полиси пущай нейросеть управляет... - Вы чо, вместо меня и есть будете? (воскликнул Вовочка!).
Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от anonymous (??), 05-Май-26, 09:04	+/–
Такая штука пригодилась бы для javascript. А то заходишь на сайте, а он тебе отключает прокручивание мышкой и клавой. Была бы настройка, запрещающая хукать прокрутку - круто было бы. А так приходится плагинами обходится вроде ScrollAnywhere. Такая же история с копированием текста. Хочешь скопировать текст - ставь плагин Absolute Enable Right Click & Copy. Ну а если хочешь чтобы джаваскрипт не срал тебе в копию реферальные ссылки, то только отключать javascript, плагина я такого не нашёл пока.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

50. Сообщение от Жироватт (ok), 05-Май-26, 09:43	+/–
> или ты добровольно выучишь джва (по факту - три или четыре, если считать язык промта и язык конфигов конкретно этой аппы), или мы представит тебе такие условия, что ты их выучишь принудительно (как в анекдоте про кошку и горчицу - даже с песнями) - или свалишь от нас с потерями денег и репутации сам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

51. Сообщение от Жироватт (ok), 05-Май-26, 09:54	+/–
Или не пользоваться хромом, где это в принципе возможно? Ох, как же на ЛОРе не так давно "разДработчЕк" убивался, что ФФ так не умеет и что его веб-гуй (ЕМНИП - вебэнидеск или как-то так) нужно открывать исключительно в хромоге
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #104

53. Сообщение от Аноним (53), 05-Май-26, 10:04	+/–
>REX может применяться для контроля и ограничения операций, выполняемых скриптами, генерируемыми AI-агентами в процессе выполнения запросов системной автоматизации. Проводить ревью скриптов живым человеком даже не предполагается? А если скрипт лог будет действительно только читать, но некорректно обрабатывать данные, например игнорировать чётные строки?
Ответить | Правка | Наверх | Cообщить модератору

57. Сообщение от Соль земли2 (?), 05-Май-26, 10:13	+/–
Наконец-то! Замена Bash. А то уже запутался в кодах выхода, кавычках и скобках.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #62

58. Сообщение от Аноним (58), 05-Май-26, 10:21	+/–
> Выглядит полезным Выглядит зловредным. > Например, если скрипт рассчитан на разбор логов, то ему будет предоставлен только доступ на чтение лога, а несанкционированные попытки удаления или изменения файлов заблокируются. Вопрос к экспертам и надоученому ИИ: Как защищаются логи в UNIX? Какова классическая реализация требования стандарта от 1983 года по защите логов от несанкционированных изменений (уровень C2). Каковы есть дополнения в Linux (уровень B3, стандарта 1983 года) гарантирующие невозможность изменения логов даже root процессами? Если нет ответов на эти вопросы, то будете писать всякие блокчейны и прочую фигню. В 1960-тых годах человечество потратило колоссальные ресурсы на теорию операционных систем. Книги рассекречены 1986-1990-тых и их пока можно сегодня скачать (хотя бы через луковицу). Если студенты не будут знать простых математических решений стандартных проблем, то каждые 10 лет новое поколение будет писать очередной сыстемды и очередной безопасный язык...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #64, #65, #79, #96

59. Сообщение от мяв (?), 05-Май-26, 10:24	+/–
они и должны. зачем вот это костыляние - решительно непонятно. особенно учитывая, что эти литерали изкаверканый синтаксис томойо (я хотела написать пример, но нет)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

60. Сообщение от Аноним (60), 05-Май-26, 10:38	+/–
лучше бы джаваскрипт и васм в браузерах ограничили
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #61

61. Сообщение от Аноним (61), 05-Май-26, 10:50	+1 +/–
*Совсем убрали
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

62. Сообщение от Аноним (63), 05-Май-26, 11:18	+/–
Rешuл ещё sапуtаться в {|}игурных (кобочках?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

63. Сообщение от Аноним (63), 05-Май-26, 11:21	+/–
Дыры не найдут. Их строжайше охраняет главный спонсор Rust - АНБ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

64. Сообщение от Аноним (64), 05-Май-26, 11:29	+1 +/–
Звучит пафосно. Но если то "как правильно" знают уже десятки лет, то почему оно работает всё так же фигово? Почему самый академический юник просто помер?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #66, #67

65. Сообщение от aname (ok), 05-Май-26, 11:35	+/–
>> Выглядит полезным > Выглядит зловредным. Ну реализуешь зловредность, тогда и приходи, покажешь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #73

66. Сообщение от aname (ok), 05-Май-26, 11:43	+/–
> работает всё так же фигово? Ну, как реализовали, так и работает. > Почему самый академический юник просто помер? Держи: https://lmgtf.you/#d2h5IHVuaXggZmFsbA==
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #69

67. Сообщение от Аноним (69), 05-Май-26, 11:59	+/–
> Но если то "как правильно" знают уже десятки лет, то почему оно работает всё так же фигово? Значит есть кто-то заинтересованный в том чтобы хорошо работающих, стандартных технологий безопасности, давно реализованных в Linux, не было в популярных дистрибутивах! У меня работает именно эта, технология защиты логов. По классике изменять логи могут только два процесса, остальные root процессы не имеют прав менять логи. Какие два процесса могут ТЕОРИТИЧЕСКИ изменять логи? Лично видел частичное описание этой технологии даже в книгах по администрированию от русских авторов. И во всех старых стандартах есть полное описание. С приходом CC "стандарта" забыли множество ключевых, простых технологий ИТ безопасности. Пруф теста неизменности логов под рутом: https://www.opennet.ru/openforum/vsluhforumID3/129886.html#309
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

68. Сообщение от Аноним (68), 05-Май-26, 12:03	–1 +/–
> динамическую типизацию и предоставляющий синтаксис, напоминающий смесь JavaScript и Rust. Это можно будет прикрутить тогда питон через JS, чтобы он подходил к сабжу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

69. Сообщение от Аноним (69), 05-Май-26, 12:03	+/–
>> работает всё так же фигово? > Ну, как реализовали, так и работает. Технология защиты логов до сих пор не сломана, есть штатно в ядре Linux и работает идеально:     # sed -i 's/Virus//' /var/log/syslog.log     sed: cannot rename /var/log/sedKktIU4: Operation not permitted Если у вашем дистрибутиве пасть возможность процессам (кроме двух) править логи, то этот дистрибутив - зловред.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #88

70. Сообщение от Аноним (68), 05-Май-26, 12:06	+/–
> без впн не заходит а если через спopтлото попробовать - работает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #82

71. Сообщение от Аноним (68), 05-Май-26, 12:08	+/–
про питон не надо забывать ещё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

73. Сообщение от Аноним (69), 05-Май-26, 12:16	+/–
>>> Выглядит полезным >> Выглядит зловредным. > Ну реализуешь зловредность, тогда и приходи, покажешь Ещё раз объясню зловредность сабжа - создание иллюзии безопасности. Есть стандартное требование DAC защита логов (уровень C2). Есть в ядре Линукс штатная правильная реализация требования защиты логов от изменений или удаления. В правильном дистрибутиве Linux, только два процесса имеют теоретическую возможность изменить логи, а все остальные процессы, включая root процессы менять логи гарантировано не могут. Это одно из фундаментальных свойств ядра Linux (дающие уровни C2 и B3). Зловредность сабжа проявляется в том, что предлагают вместо простой штатной технологии гарантирующей неизменность логов всеми процессами (кроме двух), использовать сложный костыль "защищающий" логи только от одиного процесса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

75. Сообщение от openssh_user (ok), 05-Май-26, 13:26	+/–
Чем-то pledge напомнило
Ответить | Правка | Наверх | Cообщить модератору

76. Сообщение от Аноним (76), 05-Май-26, 13:30	+/–
В eComStation
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #78

77. Сообщение от Аноним83 (?), 05-Май-26, 13:44	+1 +/–
Через год узнаете что с чейном стало. Для остальных - в конце лета свифт на чейн переходит от ручного процесинга. Ещё там всякие токенизации активов и прочее. Для вас цифровой рубель.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

78. Сообщение от ryoken (ok), 05-Май-26, 13:46	+/–
> В eComStation Тогда наверное уж в BLueLion.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

79. Сообщение от rshadow (ok), 05-Май-26, 13:55	+/–
> каждые 10 лет новое поколение будет писать очередной сыстемды и очередной... дык это и происходит ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #81

80. Сообщение от Вшталик (?), 05-Май-26, 14:10	+/–
cat < /dev/null > /path/to/file
Ответить | Правка | Наверх | Cообщить модератору

81. Сообщение от Аноним (81), 05-Май-26, 14:22	+/–
Мне на первом курсе попались хорошие преподы. Закончив школу, был уверен, что смогу всегда сам изобрести любой алгоритм для решения задачи, даже не открывая учебник. Мои преподаватели потрудились в первые месяцы учебы доказать мне, что есть алгоритмы на которые профессора и академики потратили всю свою жизнь и их все же стоит прочесть в учебнике, а не тратить свою жизнь на переизобретение известного. Если есть стандарт защиты логов и написаны алгоритмы его реализации, то стоит их все же прочесть, а не изобретать квадратное колесо, на котором удобно ехать по шпалам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #90

82. Сообщение от Аноним (2), 05-Май-26, 14:29	+/–
>а если через спopтлото попробовать - работает? Чего ? Тут уже факт того, что блочат уже то, что ни в каких списках не числится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

83. Сообщение от Аноним (83), 05-Май-26, 14:34	+/–
T в REX означает Trusted. Понятненько...
Ответить | Правка | Наверх | Cообщить модератору

84. Сообщение от Джон Титор (ok), 05-Май-26, 14:37	–1 +/–
ИИ нынче хитрые. - Можно ли мне выполнить команду pwd? - Да -> pwd > /home/user - Можно ли мне выполнить команду cd? - Да -> cd / & rm -rf > All files was removed
Ответить | Правка | Наверх | Cообщить модератору

85. Сообщение от Аноним (85), 05-Май-26, 16:12	+1 +/–
тебе все технологии мира дай, ты и 1% от подобного проекта не сделаешь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

86. Сообщение от Аноним (85), 05-Май-26, 16:20	+/–
> так и осталось неясным какую проблему решил, так тебе и таким как ты бессмысленно что-то объяснять
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

88. Сообщение от Аноним (88), 05-Май-26, 16:51	+/–
ну эт хня подразумевает аппликейшен логи, а не системные
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #91

89. Сообщение от Аноним (96), 05-Май-26, 16:57	+/–
Внутри-корпоративное решение. Есть SELinux и другие средства под эти задачи.
Ответить | Правка | Наверх | Cообщить модератору

90. Сообщение от Аноним (88), 05-Май-26, 16:58	+/–
> их все же стоит прочесть в учебнике, а не тратить свою жизнь на переизобретение известного. а это всегда можно сделать, а вот переизобрести как и собственно изобрести это от желания "тратить всю свою жизнь". Надо просто разделять и не смешивать тех кто "юзает" (пользователь) и тех кто открывает (инвентор). Человек, который переизобретает - инвентор, не надо его мешать с пользователем. > Если есть стандарт защиты логов и написаны алгоритмы его реализации, то стоит их все же прочесть Стандарт это требования, которые должны соблюдаться пользователем, а не инвентором.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #92

91. Сообщение от Аноним (91), 05-Май-26, 17:06	+/–
Нет, ядром защищаются все логи, все логи самого ядра, общественные системные логи и логи приложений. Технология защиты логов разработана для в UNIX и полностью  реализована в Linux универсальна. Ещё раз, у меня все работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #94

92. Сообщение от Аноним (91), 05-Май-26, 17:29	+/–
"Инвенторам" необходимо знать существующие алгоритмы. На изобретение этих алгоритмов люди тратили всю жизнь и очередной "Инвентор" лучше не сделает. Есть стандартные проблемы (защита логов от изменения, ...) и уже существуют очень эффективные алгоритмы решения этих стандартных проблем. "Инвенторам" необходимо знать эти алгоритмы перед началом изобретения своих "лучших". Меня этому научили на двух примерах: быстрому разложению Фурье и QR преобразованию матриц. Их невозможно быстро переизобрести очередному "Инвентору"/студенту. Они решат задачу классическим разложением в ряд Фурье и классическим методом решения системы линейных уравнения по Гаусу. Люди уже однажды потратили свои жизни для изобретения этих алгоритмов и переизбирать их не надо, надо просто прочесть о существующих технологиях. А то у этих "Инвенторов" на выходе мусор, - бинарный лог через блокчейн..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #97

93. Сообщение от Аноним (2), 05-Май-26, 17:38	+/–
>Лохчейн так и осталось неясным Ну тебе точно не нужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

94. Сообщение от Аноним (88), 05-Май-26, 17:48	+/–
каким ядром, там достаточно выставить правильные права на доступ к файлу, зачем этот крекс?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #99

96. Сообщение от Аноним (96), 05-Май-26, 17:59	+/–
>по защите логов от несанкционированных изменений MAC (selinux) может защищать. DAC рут смотри что запускаешь. Файл постоянно открыт и просто не запишешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #100

97. Сообщение от Аноним (88), 05-Май-26, 18:12	–1 +/–
> "Инвенторам" необходимо знать существующие алгоритмы. не обязательно, зависит от области ресерча, а переизобретение это по факту попытка "улучшить" существующий. Зачем надо было переизобретать всякие алгоритмы сортировки когда всем на ум в первую очередь приходит "пузырек"? Наивные алгоритмы обычно переизобретают, чтобы понять куда двигаться дальше. И без переизобретения наивного лучшего не добъешся и это факт. Зачем в университетах учат доказывать теоремы? вон поди прочитай и делов-то, а пользователю и вовсе не нужно знать как там доказывается, иди юзай. > На изобретение этих алгоритмов люди тратили всю жизнь и очередной "Инвентор" лучше не сделает. такова цена, не вижу проблемы, если ты себя не видишь инвентором, то конечно иди вон пользуйся готовым, у тебя даже желания внутреннего не будет переизобрести, а все кто переизобретают - горят желанием пройти тот путь ибо они внутренне себя считают инвенторами и желают быть ими в первую очередь чем пользователем обычным. > Есть стандартные проблемы (защита логов от изменения, ...) и уже существуют очень эффективные алгоритмы решения этих стандартных проблем. Нет никакой проблемы, проблему создает человек как и ее решения. Информационная безопасТность это процесс, а не какое-то там стандартное решение о котором вы говорите! > "Инвенторам" необходимо знать эти алгоритмы перед началом изобретения своих "лучших". Нет в этом необходимости, он их спокойно переизобретет и даже изобретет лучше. Тратить время и т.д. так в этом то его работа, не потратив время не получишь ничего. А от того, что он будет знать тот или иной изобретенный алгоритм, это никак не ускорит открытия им лучшего! И это факт, и говорить тут "тратить время" - смешно, как будто время зависит от нас и мы можем его "беречь". > Меня этому научили на двух примерах: быстрому разложению Фурье и QR преобразованию матриц. Их невозможно быстро переизобрести очередному "Инвентору"/студенту. Что значить быстро? переизобретение, как я указал выше, подобно изобретению, тут оперировать термином быстро - не к месту! Как быстро вы постигните законы притяжения земли? Вы думаете, что если вы прочтете готовый алгоритм, вы поймете, что как и почему он появился так же быстро как если бы вы его сами изобретали? Думаю нет, у вас уйдет ровно столько же времени сколько и на переизобретение, потому-что вы делаете это сами - пытаетесь понять! Вы же выше говорите, "меня учили", это что за процесс? Без вашего желания "понять" вас разве можно чему-либо научить? А чтобы понять, надо пройти тот путь переизобретения. Как вы можете использовать функцию f(x) как пользователь, не зная что это за функция, как она себя ведет и т.д. ? > Люди уже однажды потратили свои жизни для изобретения этих алгоритмов и переизбирать их не надо, надо просто прочесть о существующих технологиях. Любой ученый скажет, обратное - намного лучше, сначала надо попытать свой мозг, а потом уже искать среди существующих решений, сам поиск этих решений та еще задача, а главное где искать, в каких источниках, есть ли доступ к закрытой математической библиотеки анб и т.д. Успехов вам в поисках, вы можете потратить зря свою жизнь. :))) > А то у этих "Инвенторов" на выходе мусор, - бинарный лог через блокчейн.. а зачем вы потратили свое время на сравнения и оценку этого "мусора"? Что вами двигало? У вас ведь есть давно написанное готовое решения для этой задачи. :)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #101

98. Сообщение от Аноним (88), 05-Май-26, 18:49	+/–
> Проверять скрипт - это время, которого никогда нет. ну вот вы написали политики "не удаляй файл А" и скачали какой-то скрипт с Ынтернета и запускаете, результат - фейл, вопрос - вы будите тратить время на разбирательство, что у вас там пошло не так или пойдете искать в Ынтернете другой скрипт под вашу задачу? пс: порочный круг, порождаем кучу Г, а потому порождаем кучу палок для разгребания этой кучи Г, и не замечаем, что и палки у нас породили кучу Г, для разгребания которых необходимо породить кучу ёлок и т. д. до бесконечности. :))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

99. Сообщение от Аноним (-), 05-Май-26, 20:27	+/–
Одних прав на доступ к файлу не достаточно для дачи гарантий неизменности логов. Необходимо ещё ядром Linux отобрать привилегию у всех root процессов менять эти права на доступ к файлу. Какую привилегию и как отобрать ИИ знает или недоучили? Здесь важно заметить, что именно ядро ОС Linux даёт гарантию невозможности изменения логов даже root процессами в системе ( оставляется админами такая возможность только двум процессам. Каким и для чего? ). А вот при использовании лога в формате бинарного блокчейна гарантии неизменности НЕТ! Есть всего лишь затруднение внесения изменений, которое требует пересчет хешей для всех записей после измененной.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #102

100. Сообщение от Аноним (-), 05-Май-26, 20:41	+/–
MAC может, но это уровни B(1,2,3). В Linux есть реализация на уровне C2 расширенным DAC.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

101. Сообщение от Аноним (-), 05-Май-26, 21:04	+/–
Раз ты ИИ-шка такой умной стала опиши нам свой алгоритм реализации неизменности логов. > а главное где искать, в каких источниках, есть ли доступ к закрытой математической библиотеки анб Это очень хороший вопрос. Благодарю за него. Есть принятый оранжевый стандарт. К принятому стандарту ответственная за безопасность организация, прилагает кучу >30 разноцветных талмудов с описанием известных ей алгоритмов дающих гарантии безопасности для реализации стандарта. Она десятилетиями коллекционирует эти алгоритмы и их реализации с тестами в сертифицированных ею ОС. У нас есть три варианта. 1. Изобрести все необходимые алгоритмы дающие гарантии безопасности самому. ( Бинарный блокчейн не даёт гарантии неизменности логов, это просто усложнение их изменений). 2. Предположить, что эти алгоритмы уже реализовано кем-то в ядрах открытых ОС и искать их там. А вот в учебниках, книгах по системному администрированию их может и не быть.. 3. Выциганить у БНА все их талмуды и прочесть алгоритмы дающие гарантии безопасности. Получаешь алгоритм не только для защиты логов но и остальные. Эти книги стоит в интернете поискать и иметь под рукой, для поиска, известных алгоритмов ИБ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #103

102. Сообщение от Аноним (88), 05-Май-26, 21:57	+/–
> Одних прав на доступ к файлу не достаточно для дачи гарантий неизменности > логов. Необходимо ещё ядром Linux отобрать привилегию у всех root процессов > менять эти права на доступ к файлу. Какую привилегию и как > отобрать ИИ знает или недоучили? ваше линукс ядро ничему гарантий не дает ибо монолит, все яйца в одной корзине. Права доступа на файл вам не достаточно, а прямой доступ к памяти или дисковому устройству как будите отбирать? Линукс по дизайну рядом не стоит с понятием безопасность. > Здесь важно заметить, что именно ядро ОС Linux даёт гарантию невозможности изменения > логов даже root процессами в системе ( оставляется админами такая возможность > только двум процессам. Каким и для чего? ). Козла и капусту в одном сарае не держат. Чтобы ваши логи гарантированно не были кем либо в системе изменены (заменены), ваши логи необходимо передать на внешний сервер хранения. Что там у вас в стандартах логирования прописано? > А вот при использовании лога в формате бинарного блокчейна гарантии неизменности НЕТ! > Есть всего лишь затруднение внесения изменений, которое требует пересчет хешей для > всех записей после измененной. Повторяю, все яйца в одной корзине ни к чему хорошему не приведет, блокчейн логов контрмера от единичной подмены или удаления, решает вопрос целостности. Тот же механизм целостности системы когда высчитываются хеши каждого файла в системе, а потом сверяется с эталоном, возникает всегда вопрос, а где хранить эталон, по вашей логике, его на том же сервере надо хранить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #106

103. Сообщение от Аноним (88), 05-Май-26, 22:05	+/–
> Раз ты ИИ-шка такой умной стала опиши нам свой алгоритм реализации неизменности > логов. А что человек разве придумал метод передачи информации при котором невозможно ее изменить? Поэтому ваши предки из палестины на камнях высекали талмуды, думая, что никто эти истины не перепишет? > 30 разноцветных талмудов с описанием известных ей алгоритмов > дающих гарантии безопасности для реализации стандарта. Она десятилетиями коллекционирует > эти алгоритмы и их реализации с тестами в сертифицированных ею ОС. Ага, поэтому эти талмудо писатели в 21 веке доперли до понятия зиротраст? Понимаем для кого создаются эти талмуды? > 1. Изобрести Человек до сих пор не изобрел, метод хранения и передачи информации в неизменном идентичном, аутентичном виде. Всегда можно подделать, а главное - удалить (стирать информацию, не нарушая законы термодинамики) > 2. Предположить, что эти алгоритмы уже реализовано кем-то в ядрах открытых ОС > и искать их там. Зачем искать, если это доступная функция той же ОС? > 3. Выциганить у БНА все их талмуды и прочесть алгоритмы дающие гарантии > безопасности. Ну удачи у вам идти к соседу с просьбой, "научи как правильно иметь жену", а сосед в ответ - "а, не проблема, давай покажу" :)))))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #107

104. Сообщение от anonymous (??), 06-Май-26, 00:27	+/–
Так я и не пользуюсь. librewolf и tor browser - мой выбор. Но они всё равно слишком много позволяют джаваскрипту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

106. Сообщение от Аноним (-), 06-Май-26, 09:31	+/–
> Права доступа на файл вам не достаточно, а прямой доступ к памяти или дисковому устройству как будите отбирать? DAC на диск и память. Этого в принципе достаточно. MAC он для дополнительной изоляции и предотвращения распространения заражения в случае если DAC таки пробили. Но основная защита в DAC. > Чтобы ваши логи гарантированно не были кем либо в системе изменены (заменены), ваши логи необходимо передать на внешний сервер хранения. Что там у вас в стандартах логирования прописано? Ядро Linux имеет все средства для дачи гарантий неизменности логов локально на хосте.  Ядро даже панику может вызывать и прекращать работу системы, что бы никто лог не подменил. Есть возможность и логирования по сети. Прочти стандарт сам. В стандарте есть только фраза о необходимости гарантий неизменности логов и ничего о алгоритмах реализации. Алгоритмы идут в других книжках, дополнениях к стандарту там же о дублировании логов по сети. > блокчейн логов контрмера от единичной подмены или удаления, решает вопрос целостности. Это зловред уводящий в сторону от правельных алгоритмов защиты логов. > Тот же механизм целостности системы когда высчитываются хеши каждого файла в системе, а потом сверяется с эталоном, возникает всегда вопрос, а где хранить эталон, по вашей логике, его на том же сервере надо хранить. Нет не тот же и подсистема целостности организована не так:https://www.opennet.ru/openforum/vsluhforumID3/135461.html#120 И к стати крыптография с блокчейнами появилась недавно. А требование стандарта к уровню C1 о гарантии невозможности запуска левых или измененных бинарей есть давно. Есть несколько изящных алгоритмов решения этой проблемы в DAC. Сколько знаете вы и ИИ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #108

107. Сообщение от Аноним (-), 06-Май-26, 10:25	+/–
> А что человек разве придумал метод передачи информации при котором невозможно ее изменить? Да придумал: OpenPGP + WoT. > ваши предки из палестины на камнях высекали талмуды, думая, что никто эти истины не перепишет? Я к овцам никакого отношения не имею. Мои предки овцами не были и у синайских бесов "закон" не получали. > Ага, поэтому эти талмудо писатели в 21 веке доперли до понятия зиротраст? Понимаем для кого создаются эти талмуды? Тот талмуд слишком большой для чтения, но все же неотцензуренную версию библии пока стоит прочесть. Читать отцензуренную нет никакого смысла. У людей есть юмористические понятия. Кучу устаревших книжек, с возможно некой полезной информацией, обзывают талмудом. > Человек до сих пор не изобрел, метод хранения и передачи информации в неизменном идентичном, аутентичном виде. Всегда можно подделать Изобрел: OpenPGP + WoT, gemato + Manifest > Зачем искать, если это доступная функция той же ОС? Искать надо, чтобы знать о существующих технологиях в ИБ. Можно начать со старых версий книг, вбить в поисковике запросы:     Orange book DoD     Rainbow Series NSA Секретят только новые версии по которым видно текущий технологический предел государства. Расскажи теперь нам ИИ как в GNU/Linux дать гарантии неизменности логов? Там есть один важный нюанс в ядре Linux. В малтикс 1960-тых не было предусмотрено возможности ограничения привилегий root. а следовательно любой root процес мог теоретически изменить защищенные логи. В Linux есть реализация допнттельного уровня B3 и ядро может дать гарантии неизменности логов даже root процессами. Какие настройки надо сделать для гарантии неизменности логов в GNU/Linux?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #109

108. Сообщение от Аноним (88), 06-Май-26, 15:52	+/–
> Нет не тот же и подсистема целостности организована не так:https://www.opennet.ru/openforum/vsluhforumID3/135461.html#120 отличный высер ЫЫ, всего доброго, все эти механизмы содержат столько дыр, что тебе и не снилось, потому-что нет никаких доказательств безопасТности модели. короче, тратить время на бота не собираюсь! > Сколько знаете вы и ИИ? ч. и. т. д.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

109. Сообщение от Аноним (88), 06-Май-26, 15:54	+/–
> Да придумал: OpenPGP + WoT. спасибо, поржал, тест на ЫЫ-шного бота не пройден! > Orange book DoD :)) там что-нибудь про архитектуру Фон-Неймана сказано? > Какие настройки надо сделать для гарантии неизменности логов в GNU/Linux? вот как раз докажешь, что не бот, давай в студию, покажи как надо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема