Anarchist
написал 20 марта 2003 года в 09:47 (1062 просмотра)
Ведет себя
как мужчина; открыл 258 тем в форуме, оставил 4097 комментариев на сайте.
Почему-то не было сказано, что эксплойт, использующий данную дыру достаточно нежный.
Чуть измени конфигурацию системы, и даже на уязвимойм непатченном ядре работать не будет. ;)
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
ecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.
уже попробовал? ;))
Нет. Встречал указания что на уязвимых версиях ядра в правильных с точки зрения безопасности конфигурациях эксплойт не работает.
Например, если раздел смонтирован с опциями nosuid, noexec.
Или если ядро монолитное, с отключенной поддержкой модулей.
Хм… Какой раздел? Если так смонтирован корень и отдельных разделов для /usr и /home нет (т.е. они монтируются на тот же раздел, что и корень), то это уже не «чуть» изменили конфигурацию, а огого как ;)))
Аналогично. Ядро с отключённой поддержкой модулей = кастрированное ядро (ИМХО)! ;))))
> Хм… Какой раздел?
Как какой?.. Да тот, на который злонамеренному юзверю дозволено писать.
Если же запись на файловую систему данного раздела злонамеренному юзверю запрещена, то даже если root смилостивится и самостоятельно выложит на сервере эксплойт: пользуйтесь, добрые люди ;), и у атакующего будет доступ к компиллятору (тоже задачка еще та), останется маленькая проблемка: как записать скомпиллированный бинарник на диск (прежде чем запустить его).
> Ядро с отключённой поддержкой модулей = кастрированное ядро (ИМХО)!
Воистину ИМХО (только твое). ;)
Модульная архитектура — очень приятно например с точки зрения производительности (и не только).
НО!!! При этом — потенциальная (не имеющая абсолютно надежного способа нейтрализации) дыра в безопасности системы. Без регулярного наложения патчей закрывающих обнаруженные уязвимости не будет тебе спокойного сна.
ИМХО целесообразнее остановиться на менее «продвинутом» и производительном монолитном ядре, хорошенько продумать его конфигурацию, проверить, запустить и забыть о сервере (работает, и ладно).
Хм… А вот это оригинально… Не давать пользователю писать на жёсткий диск… Может быть такое на роутерах ещё можно сделать (там вообще можно обычных пользователей не создавать ;), а если и создавать, то, ессесно, пользователям нечего вообще давать прав на запись), но на рабочих станциях или серверах (с базами данных или почтой и т.п.) — большой вопрос! Смысл тогда вообще в такой машине??
З.Ы. а в предыдущем ответе ты писал об опциях 'nosuid' и 'noexec’. Разве они запрещают право на запись? ;))) (просто такой вывод и вопрос напрашивается из твоего ответа =))))
Монолитное ядро — не значит, что оно не уязвимо!!! Да и найденная уязвимость не связана с модульной архитектурой ядра ;))
> Хм… А вот это оригинально… Не давать пользователю писать на жёсткий диск… … но на рабочих станциях или серверах (с базами данных или почтой и т.п.) — большой вопрос!
Ты меня не понял. Поясняю: нет необходимости в том, чтобы пользователю совершенно запретить запись на диск.
Идея в том, что все разделы жесткого диска, куда разрешено писать пользователям должны быть смонтированы с опциями nosuid,noexec.
И еще: по-хорошему, простым смертным дозволяется писать у себя в хомяке, с ограничениями — в /var и /tmp. Все!
> Монолитное ядро — не значит, что оно не уязвимо!!!
Согласен. Но уязвимостей в нем на порядок-другой меньше. ;)
>Да и найденная уязвимость не связана с модульной архитектурой ядра
Вот только на монолитном ядре (или даже в ядре с отключенной функцией автоматической загрузки модулей) почему-то не работает… С чего бы это? ;)
В этом я стобой согласен.
Только повторюсь — если отдельного раздела для /home нету (т.е. он находится с корнем на одном разделе), то noexec врядли кто-то будет использовать… => уязвимость остаётся
Может просто у тебя на разделах как раз стоит noexec и nosuid (т.е. сделано так, как ты говоришь) или ещё какой-нить фактор, не связанный с монолитностью ядра ;))
> Только повторюсь — если отдельного раздела для /home нету
Запихивать все в корень — дурной тон. Сколько-нибудь грамотный админ этого не сделает.
> Может просто у тебя на разделах как раз стоит noexec и nosuid (т.е. сделано так, как ты говоришь) или ещё какой-нить фактор, не связанный с монолитностью ядра
Предлагаешь поразвлекаться некрофилией, собрать сеточку из какого-нибудь хлама и провести тесты? ;)
Впринципе да, НО если тачка домашняя, то многие ставят именно на один раздел, ибо нет необходимости разносить по разным разделам. Хотя сам конечно же запускать эксплоит, использующий эту недавно найденную уязвимость, ты не будешь (если тока в учебных целях ;)), но тут появляются всякие братики, сестрёнки, гости и прочие домашние животные. Могут и «поиграться» ;)). Но это уже всё так… из разряда паранойи =)
Чем поразвлекаться?? Почему некрофилией??
Да и ничем не предлагал я тебе заниматься ;))). Просто высказал предположение, почему на твоей тачке эксплоит не пашет! Хотя если хочешь — дело твоё… О результатах расскажешь ;)))