| |
| 2.23, Аноним (-), 00:10, 09/05/2026 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Я тоже не могу понять, почему не rm -rf /*
Потом сдаешь инфру ночной смене, приходишь утром, а все уже обновлено, огоньки мигают.
| | |
| |
| 3.28, Аноним (28), 00:57, 09/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
А потом тебя находят по логам и ты до конца жизни платишь за ущерб живя в картонной коробке?
| | |
| |
| 4.32, Аноним (32), 04:35, 09/05/2026 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> до конца жизни платишь за ущерб живя в картонной коробке?
Салага.
> А потом
А потом ты говоришь, что инициатива по внедрению AI провалилась, как ты им и предрекал, и вам клод всю систему положил и если бы не твоя глубокая экспертиза и богатый опыт в области внедрения DLP политик, этой шараги бы уже не было.
| | |
| |
| 5.66, Аноним (66), 14:28, 09/05/2026 [^] [^^] [^^^] [ответить] | +/– | Смотрите дети, гайд от профессионального внетруннего саботажника Жаль что он не... большой текст свёрнут, показать | | |
|
|
|
| 2.33, Аноним (33), 04:54, 09/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Поэтому даже не надо пытаться, да? Сгорел сарай, гори и хата!
| | |
| |
| 3.57, localhostadmin (ok), 11:08, 09/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
 А обязательно это таким образом решать? Может просто надо вынести весь мусор за пределы ядра? И городить костыли не придётся
| | |
| |
| 4.60, Аноним (-), 11:30, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Не для того 30 лет всё в ядро тащили, чтобы наружу теперь выносить.
| | |
| 4.65, Аноним (66), 14:24, 09/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
> А обязательно это таким образом решать? Может просто надо вынести весь мусор
> за пределы ядра? И городить костыли не придётся
Ога, вынеси. Получится у тебя фуксия какая - где fat32 оперативки и проца жрет как ZFS. И вот кому оно такое надо? А потом тебя такого умного и децимируют вместе с твоей операционкой.
| | |
|
|
| 2.47, Аноним (47), 08:31, 09/05/2026 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> возникнет уязвимость
Это хороший, штатный бекдор, для блокировки функций безопасности запрещающих работу всякой малвари.
Вся безопасность в ядре OS реализована посредством функций. Root процессы пользователя не могли отключать функции безопасности ядра OS ограничивающие действия и привилегии root. А с этим патчем смогут!!!
Патч зловреден, надо недопустить его принятие в ядро OS.
Уязвимости до выхода патчей устраняются персборкой без уязвимых компонент. Ядро необходимо всегда собирать монолитным, с минимально необходимым набором функций и без возможности загрузки модулей.
| | |
|
| 1.2, Аноним (2), 21:49, 08/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
>engage af_alg_sendmsg -1
а зачем писать "engage" и "-1"?
достатачно просто редактировать список подсистем и не надо будет помнить формат записи, который нужен раз в 1000 лет
А еще эта муть добавит лишние проверки
| | |
| |
| |
| 3.7, Аноним (2), 22:13, 08/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Ну вот иди и скажи им если такой умный
не нужно так сильно завидовать
| | |
|
| 2.26, Аноним (26), 00:27, 09/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Код возврата нужен, чтобы наименее инвазивно захукать нужную функцию (не разрушая логику вокруг неё).
Ключевое слово нужно, чтобы обозначить действие над функцией - заменить, пропустить, перенаправить и т.п.
| | |
|
| 1.4, Аноним (4), 21:55, 08/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>используемых относительной небольшим числом пользователей
Кто знает редко используемый это символ или нет. Не все же инсайдеры ядра, разбирающиеся в его хитросплетениях. Совет тоже не дашь - ванговать чужую конфигурацию сложно. Зато появляется прямой вектор для захватившего рут.
| | |
| |
| 2.37, Аноним (37), 05:27, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Ой, сейчас костылей понапридумывают...
А как иначе? Костыль+костыль = фича+фича = киллер фича+киллер фича = подсистема+подсистема = Linux kernel
| | |
|
| |
| 2.17, Аноним (17), 23:18, 08/05/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
 В зависимости от реализации, проверка может занимать менее 10 тактов процессора.
| | |
|
| |
| |
| 3.29, Аноним (29), 02:10, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Хотите чтобы модули ядра были в user space и в них находили уязвимости как в каком-нибудь pypi пакетах?
Хочу, находить уязвимости в pypi пакетах проще, чем в ядре.
>Разницы между этими ядрами нет по сути.
>Способы организации кода.
Ну так где где найти ошибку проще: в модуле на тысячу строк или в ядре на десятки миллионов?
| | |
| |
| |
| 5.61, Аноним (-), 11:38, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Вот, линукс - большой проэкт? А аудит в нём делают? Только на этой неделе три бэкдора, сидевших годами, нашли.
| | |
|
|
|
|
| |
| 2.15, Мемоним (?), 22:59, 08/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Теоремы Гёделя неумолимы. Сколько там уже в ядре всяких механизмов защиты?
Гегеля? Или Гоголя?
| | |
|
| 1.19, cyberslug (-), 23:29, 08/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Они там уже лет 7 прокрутку в консоли не могут пофиксить, а тут такая оказия свалилась на их светлые головушки.
| | |
| |
| |
| 3.54, cyberslug (?), 10:33, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Не то, что заведён, а сам Солнцеликий заявил, что они не могут найти желающих для исправления. Видимо, там настолько всё печально с архитектурой, что даже такой, казалось бы, пустяковый баг требует вливания нереальных ресурсов и лучше вообще ничего не трогать, пока не развалилось в дребезги.
| | |
|
|
| 1.20, Аноним83 (?), 23:34, 08/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Забавно, но кажется такой же функционал на FBSD можно реализовать через собственный MAC модуль, без правки ядра и загружать хоть на рабочей системе.
| | |
| |
| 2.34, мяв (?), 05:15, 09/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
так в линусе тоже можно, через готовый мак-модуль .. томойо тот же. городят велосипеды хз зачем.
но будем посмотреть
| | |
| 2.64, Аноним (66), 14:22, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
> Забавно, но кажется такой же функционал на FBSD можно реализовать через собственный
> MAC модуль, без правки ядра и загружать хоть на рабочей системе.
В этой твоей freebsd - функционал sudo беспарольного прям в execve запилили оказывается. Вот это я понимаю - фича! В соседней новости, enjoy :)
| | |
|
| 1.22, Аноним (22), 00:06, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
>Для большинства пользователей неудобство из-за прекращения работоспособности отдельных функций не сравнится с риском использования в работе ядра с известной неисправленной уязвимостью на время до установки исправления.
>Для большинства пользователей неудобство из-за прекращения работоспособности не сравнится с риском
И что же мне это напоминает, а?
| | |
| 1.25, Аноним (25), 00:27, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Я не особо в теме - а что всякие аппарморы, селинуксы да секкомпы не умеют ровно то же самое?
| | |
| |
| 2.30, Rev (ok), 02:43, 09/05/2026 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Не-не-не, нам нужна четвёртая система!
(xkcd про 15-й стандарт)
| | |
| 2.35, мяв (?), 05:17, 09/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
АА вообще ничево не может, абсолютно нинужное нинужно, ни от чего не защищающее.
секкомп специфичная штука. это вообще надо что б аппа сама себе политики писала как бы.
есть вроде инструменты аля-bwrap. но он не для того, что в новости предлагают.
селинукс, томойо - про это.
но никто не включает по дефолту особо.
видать вот это - будет везде
| | |
| 2.36, qetuo (?), 05:19, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Нет, не умеют, т.к. предназначены для приложений в пространстве пользователя. Здесь речь об изменении поведения функций, внутренних для ядра.
| | |
| |
| 3.38, мяв (?), 05:38, 09/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
что ?
много было за последнее время уязвимостей с "исключительно внутренними" функциями ядра, что вообще никакой полкзной работы не делают, не влияя так или иначе на происходящее "в пространстве пользователя" ?
даже если действие само ядро выполняет, тот же томойо может это контролировать, специально есть 0й домен kernel.
секкомп просто все сискалы ограничивает. так что "что попало" тоже дергать не получится.
конечно, это не 100% замена описаному в новости.
но вообще, такто. рвз на то пошло, не должно у юзера быть в принципе возможность пускать какие то левые бинари.
| | |
| |
| 4.39, мяв (?), 05:39, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
dirty frag - там ж запись в кеш вроде ..
томойо такое ловить умеет, я не помню, как операция называется. но оно есть
| | |
|
|
| 2.41, нах. (?), 06:05, 09/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Умеют, чего ж не умеют - вон аппармор так "сумел" надысь, до сих пор переплюнуть его не может никакой dirty fuck (или как там его?) - никаких тебе ошибок и сложных решений, просто можно запретить sudo менять юзера через стандартный и легальный интерфейс ядра, и останешься рутом.
Причем, в отличие от тех двух где все решается удалением действительно ненужных большинству модулей, тут и решения-то нет.
| | |
|
| 1.50, Сладкая булочка (?), 09:10, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Костыли, костыли везде. Осталось гарантировать, что в реализации механизма для экстренного отключения уязвимой функциональности в ядре Linux не будет уязвимостей. Но это же очень просто сделать? Ведь так? Ведь так же?
| | |
| |
| 2.53, Аноним (53), 10:26, 09/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Гарантировать?
Ядро это не про гарантии, с учетом того как и на чем его пишут.
Так что вариантов немного:
- написать в виде отдельной подсистемы и провести формальную верификацию - очень-очень дорого и требует компетенции повыше уровня ядерщиков
- использовать более качественные языки типа Ада (дорого и нужно менять подходы) или Раст (дешевле)
- обмазать сишный овнокод санитайзерами, фазерами и прочим (скорее всего не поможет)
| | |
|
| 1.51, Аноним (51), 09:39, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну с таким killswitch-ем в ядре можно и на луну лететь. Я бы доверился такому ядру.
| | |
| 1.55, Андрей (??), 10:42, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
ага. научились же обходить лицензионные ограничения ядер NVIDIA. Вот получите теперь такую возможность просто вырубить всё... Опыт Ирана с обогащением урана не учит ?
| | |
| 1.56, r2d0 (?), 10:43, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 А потом можно сделать engage killswitch_sendmsg -1 и тем самым отключить killswitch?
| | |
| 1.59, Аноним (59), 11:29, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
потом зловреды при помощи этого механизма смогут отключать защитные функции и наступит всем счастье
| | |
|
