nixp.ru v3.0

23 января 2017,
понедельник,
11:37:06 MSK

DevOps с компанией «Флант»
Anarchist написал 20 марта 2003 года в 09:47 (382 просмотра) Ведет себя как мужчина; открыл 258 тем в форуме, оставил 4097 комментариев на сайте.

Почему-то не было сказано, что эксплойт, использующий данную дыру достаточно нежный.

Чуть измени конфигурацию системы, и даже на уязвимойм непатченном ядре работать не будет. ;)

fly4life

уже попробовал? ;))

Anarchist
fly4life
уже попробовал? ;))

Нет. Встречал указания что на уязвимых версиях ядра в правильных с точки зрения безопасности конфигурациях эксплойт не работает.

Например, если раздел смонтирован с опциями nosuid, noexec.

Или если ядро монолитное, с отключенной поддержкой модулей.

fly4life
Anarchist
Например, если раздел смонтирован с опциями nosuid, noexec.

Хм… Какой раздел? Если так смонтирован корень и отдельных разделов для /usr и /home нет (т.е. они монтируются на тот же раздел, что и корень), то это уже не «чуть» изменили конфигурацию, а огого как ;)))

Anarchist
Или если ядро монолитное, с отключенной поддержкой модулей.

Аналогично. Ядро с отключённой поддержкой модулей = кастрированное ядро (ИМХО)! ;))))

Anarchist

> Хм… Какой раздел?

Как какой?.. Да тот, на который злонамеренному юзверю дозволено писать.

Если же запись на файловую систему данного раздела злонамеренному юзверю запрещена, то даже если root смилостивится и самостоятельно выложит на сервере эксплойт: пользуйтесь, добрые люди ;), и у атакующего будет доступ к компиллятору (тоже задачка еще та), останется маленькая проблемка: как записать скомпиллированный бинарник на диск (прежде чем запустить его).

> Ядро с отключённой поддержкой модулей = кастрированное ядро (ИМХО)!

Воистину ИМХО (только твое). ;)

Модульная архитектура — очень приятно например с точки зрения производительности (и не только).

НО!!! При этом — потенциальная (не имеющая абсолютно надежного способа нейтрализации) дыра в безопасности системы. Без регулярного наложения патчей закрывающих обнаруженные уязвимости не будет тебе спокойного сна.

ИМХО целесообразнее остановиться на менее «продвинутом» и производительном монолитном ядре, хорошенько продумать его конфигурацию, проверить, запустить и забыть о сервере (работает, и ладно).

fly4life
Anarchist
> Хм… Какой раздел?

Как какой?.. Да тот, на который злонамеренному юзверю дозволено писать.

Если же запись на файловую систему данного раздела злонамеренному юзверю запрещена, то даже если root смилостивится и самостоятельно выложит на сервере эксплойт: пользуйтесь, добрые люди ;), и у атакующего будет доступ к компиллятору (тоже задачка еще та), останется маленькая проблемка: как записать скомпиллированный бинарник на диск (прежде чем запустить его).

Хм… А вот это оригинально… Не давать пользователю писать на жёсткий диск… Может быть такое на роутерах ещё можно сделать (там вообще можно обычных пользователей не создавать ;), а если и создавать, то, ессесно, пользователям нечего вообще давать прав на запись), но на рабочих станциях или серверах (с базами данных или почтой и т.п.) — большой вопрос! Смысл тогда вообще в такой машине??

З.Ы. а в предыдущем ответе ты писал об опциях 'nosuid' и 'noexec’. Разве они запрещают право на запись? ;))) (просто такой вывод и вопрос напрашивается из твоего ответа =))))

Anarchist
> Ядро с отключённой поддержкой модулей = кастрированное ядро (ИМХО)!

Воистину ИМХО (только твое). ;)

Модульная архитектура — очень приятно например с точки зрения производительности (и не только).

НО!!! При этом — потенциальная (не имеющая абсолютно надежного способа нейтрализации) дыра в безопасности системы. Без регулярного наложения патчей закрывающих обнаруженные уязвимости не будет тебе спокойного сна.

ИМХО целесообразнее остановиться на менее «продвинутом» и производительном монолитном ядре, хорошенько продумать его конфигурацию, проверить, запустить и забыть о сервере (работает, и ладно).

Монолитное ядро — не значит, что оно не уязвимо!!! Да и найденная уязвимость не связана с модульной архитектурой ядра ;))

Anarchist

> Хм… А вот это оригинально… Не давать пользователю писать на жёсткий диск… … но на рабочих станциях или серверах (с базами данных или почтой и т.п.) — большой вопрос!

Ты меня не понял. Поясняю: нет необходимости в том, чтобы пользователю совершенно запретить запись на диск.

Идея в том, что все разделы жесткого диска, куда разрешено писать пользователям должны быть смонтированы с опциями nosuid,noexec.

И еще: по-хорошему, простым смертным дозволяется писать у себя в хомяке, с ограничениями — в /var и /tmp. Все!

> Монолитное ядро — не значит, что оно не уязвимо!!!

Согласен. Но уязвимостей в нем на порядок-другой меньше. ;)

>Да и найденная уязвимость не связана с модульной архитектурой ядра

Вот только на монолитном ядре (или даже в ядре с отключенной функцией автоматической загрузки модулей) почему-то не работает… С чего бы это? ;)

fly4life
Anarchist
> Ты меня не понял. Поясняю: нет необходимости в том, чтобы пользователю совершенно запретить запись на диск.

Идея в том, что все разделы жесткого диска, куда разрешено писать пользователям должны быть смонтированы с опциями nosuid,noexec.

И еще: по-хорошему, простым смертным дозволяется писать у себя в хомяке, с ограничениями — в /var и /tmp. Все!

В этом я стобой согласен.

Только повторюсь — если отдельного раздела для /home нету (т.е. он находится с корнем на одном разделе), то noexec врядли кто-то будет использовать… => уязвимость остаётся

Anarchist
>

> Монолитное ядро — не значит, что оно не уязвимо!!!

Согласен. Но уязвимостей в нем на порядок-другой меньше. ;)

>Да и найденная уязвимость не связана с модульной архитектурой ядра

Вот только на монолитном ядре (или даже в ядре с отключенной функцией автоматической загрузки модулей) почему-то не работает… С чего бы это? ;)

Может просто у тебя на разделах как раз стоит noexec и nosuid (т.е. сделано так, как ты говоришь) или ещё какой-нить фактор, не связанный с монолитностью ядра ;))

Anarchist

> Только повторюсь — если отдельного раздела для /home нету

Запихивать все в корень — дурной тон. Сколько-нибудь грамотный админ этого не сделает.

> Может просто у тебя на разделах как раз стоит noexec и nosuid (т.е. сделано так, как ты говоришь) или ещё какой-нить фактор, не связанный с монолитностью ядра

Предлагаешь поразвлекаться некрофилией, собрать сеточку из какого-нибудь хлама и провести тесты? ;)

fly4life
Anarchist
> Только повторюсь — если отдельного раздела для /home нету

Запихивать все в корень — дурной тон. Сколько-нибудь грамотный админ этого не сделает.

Впринципе да, НО если тачка домашняя, то многие ставят именно на один раздел, ибо нет необходимости разносить по разным разделам. Хотя сам конечно же запускать эксплоит, использующий эту недавно найденную уязвимость, ты не будешь (если тока в учебных целях ;)), но тут появляются всякие братики, сестрёнки, гости и прочие домашние животные. Могут и «поиграться» ;)). Но это уже всё так… из разряда паранойи =)

Anarchist
> Может просто у тебя на разделах как раз стоит noexec и nosuid (т.е. сделано так, как ты говоришь) или ещё какой-нить фактор, не связанный с монолитностью ядра

Предлагаешь поразвлекаться некрофилией, собрать сеточку из какого-нибудь хлама и провести тесты?  ;)

Чем поразвлекаться?? Почему некрофилией??

Да и ничем не предлагал я тебе  заниматься ;))). Просто высказал предположение, почему на твоей тачке эксплоит не пашет! Хотя если хочешь — дело твоё… О результатах расскажешь ;)))

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.