| 1.1, Аноним (1), 12:01, 22/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> дистрибутивах можно на следующих страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Gentoo, Arch.
я так и не понял, в генте исправили или нет?
| | |
| |
| |
| |
| |
| |
| 6.118, Аноним (118), 23:29, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
В случае с гейландом пункты обрабатываются снизу вверх.
Отрицание — да идет он на#уй, этот ваш вялый
Гнев <-- вы находитесь здесь
Торг — может, его все же доведут до ума
Депрессия — багодром
Принятие — о, какая приколюха
| | |
|
|
|
|
| 2.21, Попандопала (?), 13:26, 22/12/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
ХЗ,не все же на Генту Системд используют. Аварийного завершения программ вообще не припомню.
| | |
|
| |
| 2.42, Аноним (37), 16:03, 22/12/2022 [^] [^^] [^^^] [ответить]
| +6 +/– |
К этому системдосу и другая претензия: он напрочь игнорирует kernel.dmesg_restrict=1. Выставляешь этот флаг в sysctl и ожидаешь, что dmesg сможет делать только рут + процессы с CAP_SYSLOG. На практике так оно и есть, но ведь еще остается journalctl, который с радостью спалит всем желающим буфер сообщений ядра, не взирая на kernel.dmesg_restrict=1.
| | |
| |
| 3.52, Аноним (52), 17:06, 22/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
[debian@testing]$ journalctl
Hint: You are currently not seeing messages from other users and the system.
Users in groups 'adm', 'systemd-journal' can see all messages.
Pass -q to turn off this notice.
No journal files were opened due to insufficient permissions.
error code: 1
| | |
| |
| 4.68, Аноним (68), 20:08, 22/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Users in groups 'adm', 'systemd-journal' can see all messages
Ты понимаешь, что это не то же самое, что uid == 0 || capable(CAP_SYSLOG)?
На самом деле системдос имеет настройку, по которой он перестанет впитывать в себя printk. Но это не дефолт, и он никак не связан с тем sysctl.
| | |
| |
| 5.78, Аноним (78), 00:20, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> спалит всем желающим
Users in groups 'adm', 'systemd-journal' --- это не все желающие.
| | |
| |
| 6.104, torvn77 (ok), 13:48, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
 Если системд по своему понимает системные настройки и тем более их игнорирует то должен был не паразитировать на линуксе, а делать в своей сторонке не нужную системдос
| | |
|
|
|
|
|
| 1.4, Аноним (6), 12:10, 22/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +23 +/– | |
системГ как обычно.
то этими корами весть корень системного раздела загадит и сам загрузиться не может, то дыр наплодит через эти коры...
| | |
| |
| 2.81, yet another anonymous (?), 01:13, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Похоже, там с любого конца проблема: настроить, чтобы дампило -- проблема (ещё та камасутра...); настроить, чтобы не дампило -- тоже упражнение.
| | |
|
| |
| |
| 3.18, Аноним (18), 13:21, 22/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
_более_ безопасных чем Си\плюсы придумали уже вагон и целую тележку, а вот _абсолютно_ безопасных - это да...
| | |
| |
| 4.23, Аноним (23), 13:57, 22/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
И в чем критерии болеести? Даже если он более по какому-то лично тобой выдуманном критерию, но всё равно небезопасный нафиг он нужен?
| | |
| |
| 5.74, Аноним (74), 22:10, 22/12/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
Соответствие рекомендациям АНБ и политике небинарной гендерности.
| | |
| 5.116, freecoder (ok), 20:22, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Ну да, зачем лечить болезнь и выздоравливать, если все равно бессмертия не достигнешь? Нафиг это нужно?
| | |
| 5.124, Аноним (18), 20:11, 24/12/2022 [^] [^^] [^^^] [ответить] | +/– | Ну вам пишут в каждой новости про раст, в чём его болеесть все эти use-after... большой текст свёрнут, показать | | |
|
|
|
| 2.26, Аноним (26), 14:03, 22/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Ошибка логическая, а не языка программирования.
Любители раста в очередной раз несут полный бред.
| | |
| 2.51, анон (?), 16:48, 22/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Потому что проблема в корявой архитектуре amd64. Все эти скачки с безопасными языками - борьба с симптомами.
| | |
| |
| 3.53, Аноним (3), 17:21, 22/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
У МЦСТ есть шанс продемонстрировать всему миру идеальную связку архитектуры и языка. Ждём.
| | |
|
| 2.97, Аноним (97), 09:26, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Потому что безопасного языка нет, а во время орального секса сказано барьерную изоляцию использовать.
| | |
| 2.105, torvn77 (ok), 13:50, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Почему systemd не переписывают на более безопасный язык?
Видимо цель такая, сделать линукс менее безопасным.
| | |
|
| |
| |
| 3.28, Ананоним (?), 14:37, 22/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Лучше рядом запустить процесс systemd-nkvdd и тогда остальные процессы systemd расслабляться не будут!
| | |
|
| 2.32, Admino (ok), 14:54, 22/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
 Вы б для начала проверили, подвержен ли альт. И быстрофикс выпустили.
Заранее спасибо, благодарные непользователи.
| | |
| |
| 3.36, Анонимм (??), 15:15, 22/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Подвержен, но кто не надо альтом и не пользуется, а кто пользуется тот в безопасности.
| | |
| 3.75, bircoph (ok), 22:29, 22/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Вы б для начала проверили, подвержен ли альт. И быстрофикс выпустили.
> Заранее спасибо, благодарные непользователи.
В Альте coredump из коробки отключен всеми возможными способами. Так что если специально не включали, то в безопасности:
https://www.altlinux.org/Features/Core
| | |
| |
| 4.106, torvn77 (ok), 13:58, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>отключен всеми возможными способами.
Это выражение очень похоже на то, что было у меня в голове когда у меня была винда...
Когда уходил с неё думал что больше не будет такого, а оно вот как, взяло да и догнало откуда не ждал...
| | |
| 4.122, ivan_erohin (?), 09:44, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
===
Как отключить сохранение coredump с systemd [править]
Установить пакет systemd-settings-disable-dumpcore
===
считаю, это заявка на лидерство в systemd-строении !
| | |
|
|
|
| |
| 2.20, PnD (??), 13:25, 22/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Тут двухходовка. У меня ещё с предыдущего раза осело:
# Systemd since v.246 brings exploit-friendly fs.suid_dumpable=2!!!
fs.suid_dumpable = 0
Но большинство же используют систему "искаропки".
И им на следующем ходу заезжает вот это.
А чтобы было совсем не скучно, во всех oracle linux (v.7,8) вписано вот так прямо в /etc/sudo.conf:
Set disable_coredump false
Про оригинальный RHEL не скажу, но подозреваю что сиё 1:1 оттуда.
* Там правда ещё не дозрела версия systemd. Если только сбэкпортили.
Дозреть должно в 9-й ветке. Или в debian-11. Но там хотя бы sudo не трогали столь откровенно.
| | |
| |
| 3.41, Аноним (37), 15:51, 22/12/2022 [^] [^^] [^^^] [ответить]
| +/– | |
это все полумеры. Coredump должен быть не просто выключен - само ядро должно быть скомпилено без его поддержки. Вообще там также и в куче других настроек следует отклониться от дефолта, чтобы получить безопасное unbreakable-ядро https://github.com/a13xp0p0v/kconfig-hardened-check/blob/8877e263e1801802f54db
Ведь есть простые истины: io_uring чаще используется для уязвимостей, чем для софта (для него и софта-то нет в юзерспейсе). То же касается и coredump.
| | |
| |
| 4.79, Аноним (78), 00:23, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> То же касается и coredump.
Если ты не разработчик или не собираешь багрепорты с coredump.
| | |
| |
| 5.125, torvn77 (ok), 01:22, 25/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
>> То же касается и coredump.
> Если ты не разработчик или не собираешь багрепорты с coredump.
Может лучше чтобы разработчик использовал отдельное ядро "для разработчиков"?
| | |
|
|
|
|
| 1.13, Аноним (16), 12:37, 22/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +11 +/– |
Уязвимость внутри одной большой уязвимости? Вот это новость, кто бы мог подумать.
| | |
| 1.17, Аноним (-), 13:05, 22/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
А в баш портянках есть возможность получить рут права универсальным образом на большинстве систем?
| | |
| |
| 2.19, Аноним (19), 13:25, 22/12/2022 [^] [^^] [^^^] [ответить]
| +8 +/– |
Тв либо совсем дурак, либо притворяешься. Баш-портянки никуда не делись, теперь баш-портянки запускаются из systemd. Т.е. стало хуже, чем было.
| | |
| |
| 3.24, Аноним (23), 13:59, 22/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну это ты системд неправильно готовишь. Системд сам всё умеет.
| | |
| |
| 4.25, Аноним (19), 14:02, 22/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Я его ваще не использую, но лично видел как в него пихают баш-портянки
| | |
| |
| 5.33, Аноним (16), 15:07, 22/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Я его ваще не использую, но лично видел как в него пихают
> баш-портянки
Это конечно можно, но не нужно.
| | |
| |
| 6.107, torvn77 (ok), 14:03, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну кто ж тебе виноват, что ты с эникеями тусуешься?
Тебе не приходит в голову такая мысль, что если ты прав то создание и разработка системд были ошибкой?
| | |
|
|
|
|
| 2.30, Максим (??), 14:44, 22/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
На bash можно всё, потому что это полноценный язык программирования. Максимальная гибкость и прозрачность. И нефиг городить зоопарк систем. Достаточно отладить до совершенства одну систему и тогда не будет страха перед "баш портянками".
| | |
| |
| 3.34, Аноним (16), 15:08, 22/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
> На bash можно всё, потому что это полноценный язык программирования. Максимальная гибкость
> и прозрачность. И нефиг городить зоопарк систем. Достаточно отладить до совершенства
> одну систему и тогда не будет страха перед "баш портянками".
Будь в тренде переходи на Питон портянки.
| | |
|
|
| 1.27, Аноним (27), 14:12, 22/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
>выставив для него ACL, разрешающий чтение текущему пользователю
Какая прекрасная идея, разработчики такие молодцы! Про то, что coredump файлы прекрасно служат каналом утечки секретных данных было известно всегда. Уязвимость создана, очевидно, намеренно.
| | |
| |
| 2.71, Аноним (71), 20:39, 22/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
не нужно искать злой умысел там, где все можно объяснить глупостью.
Либо сделали "чтобы было", либо не особо разбирались как оно должно работать, либо подгоняя сценарии работы под свое видение, либо все сразу. Как и с journald, timesyncd, и прочим d
| | |
|
| 1.29, Максим (??), 14:42, 22/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Кто-то ещё пользуется этой шарманкой, после того, как её создатель - агент мелкомягких сбросил маску?
| | |
| |
| 2.35, Аноним (16), 15:08, 22/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Кто-то ещё пользуется этой шарманкой, после того, как её создатель - агент
> мелкомягких сбросил маску?
Примерно все. И вот не надо тут Маска приплетать, пожалуйста.
| | |
| |
| 3.39, Максим (??), 15:37, 22/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Все это значит никто. Например, Патрик Фолькердинг не пользуется.
| | |
|
|
| 1.43, Аноныч (?), 16:05, 22/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Но главное, они хотят в системд проверку подлинности ядра для секьюрности сунуть 🫣
| | |
| 1.50, Аноним (-), 16:31, 22/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да, но вы понимаете, что есть язык который позволяет безопасно работать с памятью?)
| | |
| |
| 2.57, Аноним (64), 18:39, 22/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Более безопасная гильотина? Но ты же понимаешь что это всё равно гильотина?
| | |
| 2.62, fuggy (ok), 19:26, 22/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
 Причём тут язык, если разработчики специально "случайно" в конфиге поставили по умолчанию.
| | |
|
| 1.55, Аноним (54), 18:03, 22/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
С системд или без, coredump не нужен в ежедневной работе и не должен быть включен изначально. Если содержимое памяти не сольёт, так забьёт диск дампами до исчерпания места.
| | |
| |
| 2.58, Аноним (64), 18:39, 22/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ты же понимаешь что есть люди, точнее организации, которым было бы интересно наоборот все включить по дефолту?
| | |
| |
| 3.66, Аноним (54), 19:56, 22/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Нет, наверное не понимаю. Можешь как-то развернуть свой тезис? Что это за организации такие и почему им интересен мой локалхост и, тем более, мой прод?
| | |
| |
| 4.72, Аноним (64), 20:50, 22/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Давай с начнем с просто с чего ты так уверен что он им не нужен?
| | |
| |
| 5.80, Аноним (54), 01:04, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
От голословных утверждений — сразу к демагогии. Молодец, настоящий опеннетчик.
| | |
|
| 4.103, Аноним (44), 11:23, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Вот как пример, все производители Android-устройств, все как один, заинтересованы в полном доступе к вашему телефону.
| | |
| |
| 5.111, Анони (?), 19:22, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Это они сами так тебе сказали или голоса в голове нашёптывают? Паранойю нельзя запускать.
| | |
|
| 4.108, torvn77 (ok), 14:11, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Нет, наверное не понимаю. Можешь как-то развернуть свой тезис? Что это за
> организации такие и почему им интересен мой локалхост и, тем более,
> мой прод?
Вы не профессиональны, как сисадмин вы ДОЛЖНЫ делать проверку и применять меры только при появлении подозрений(в рамках зарплаты конечно), а не ждать когда у вас случится факап.
| | |
| |
| 5.112, Анони (?), 19:32, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Вот именно по таким бессмысленным утверждениям и палятся мамкины ибэшники и админы локалхостов. Подозрения вне модели угроз называются паранойей, а их проверка и применение мер — онанизмом. Невозможно защитить всё от всего, да и не нужно это никому в здравом уме.
| | |
|
|
|
|
| |
| |
| 3.109, torvn77 (ok), 14:13, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Согласен. Успеешь до понедельника написать?
У systemd есть несколько альтернатив, остаётся только добиться их использования в дистрах.
| | |
| |
| 4.113, Анони (?), 19:33, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ок. Успеешь до понедельника добиться? Начни с RHEL, Debian и Ubuntu.
| | |
|
|
| 2.95, Аноним (93), 08:07, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
кому это вам, икспертам опеннет? у вас уже есть баш-портянки, пользуйтесь
| | |
| 2.101, Аноним (44), 11:15, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Есть такая - GNU Shepherd, разумный баланс между возможностью скриптования и полноценностью языка.
| | |
|
| |
| |
| |
| 4.114, Анони (?), 19:39, 23/12/2022 [^] [^^] [^^^] [ответить]
| –3 +/– |
Это устоявшееся название для программ, для исполняемых файлов которых включен suid bit. Жаль, конечно, что в совке инженеров не учили ничему особо, кроме как справочниками пользоваться. Языки вот точно пригодились бы.
| | |
|
|
|
|
