Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
@Jacku
Mozesz mi dac przyklad nakladania flagi na sztywno pod debianem dla nowo dodanego programu, ktorego PaX blokuje czyli mprotect ? Tak, zeby dzialal.
root@ns321124:/usr/src/linux_grsec# cat .config | grep CONFIG_PAX_PT_PAX_FLAGS CONFIG_PAX_PT_PAX_FLAGS=y
I co ja mam z tym zrobic teraz ?
Drogi Jacku czasami uwazam, ze jestes tak zadufany w grsec i innych rzeczach, ze nawet nie pamietasz albo nie chcesz pamietac co pisze/pisalem do ciebie. PRzykladem jest twoj pytanie o TPE. TPE pod FreeBSD jest od parunastu lat jak jest modul mac_bsdextended.
Przykładowo u mnie:
ugidfw add subject not uid root gid exec object ! gid wheel:999 type r mode arsw
Znaczenie regulki:
Uzytkownik nie bedacy rootem nie nalezacy do grupy exec, probujacy sie dostac do plikow, ktorye nie naleza do grup z przedzialu od 0:999. Dostaja typ r (binarki), mode uprawnienia arsw:
a administrative operations (przenoszenie, kopiowanie itd)
r read access (czytanie)
s access to file attributes (dostep do atrybutow)
w write access (zapisywac)
x execute access (wykonywac)
n none[/quote]
W skorcie. Jezeli nie jestes dodany do grupy exec (twoj odpowiednik grupy TPE) nie mozesz odpalac wlasnych programow itd. Pliki systemowe UNIX zaczynaja sie od 0 do 999, czyli userzy moga uzywac tylko programow zainstalowanych przez roota !możliwość dokładnego zdefiniowane, co dany program może otworzyć, a także np ile pamięci i czasu procesora może użyć (limity zgodne z ulimit, ale lichsze, niż przez cgroup), to wszystko dostępne z poziomu tylko powyżej roota, bo nawet root nie może choćby zajrzeć do polityki grsec, jeśli nie zaloguje się do roli admina w gradm.[/quote]
Heh to pod FreeBSD jest dostepne i nie wymaga ani Grsec ani Pax'a.
Za pomoca chflags admina w jailu mozesz tak ograniczyc, ze nie bedzie mogl nawet zmieniac podstawowych atrybutow na plikach z nalozonym kernsecure na poziomie 3. A jakby sie ktos wlamal to pozostaje mu popatrzec i wyjsc.Kod:
ugidfw add subject gid users object gid wheel type d mode sxTrzymam userow zawsze w grupie users. Kazdy dodany do tej grupy musi przestrzegac roles mac.
Znaczenie regulki:
Uzytkownicy nalezacy do grupy users probujacy sie dostac do folderow nalezacych do grupy wheel dostaja uprawnienia sx. A efekt jest taki:Kod:
bryn1u@Proton.edu.pl:[~]:$> ls / ls: /: Permission denied bryn1u@Proton.edu.pl:[~]:$> ls /etc ls: /etc: Permission denied bryn1u@Proton.edu.pl:[~]:$> ls /boot ls: /boot: Permission denied bryn1u@Proton.edu.pl:[~]:$> ls /root ls: /root: Permission denied bryn1u@Proton.edu.pl:[~]:$> ls /etc/ssh ls: /etc/ssh: Permission deniedw poprzedniej regulce type r oznaczal binarki a tutaj type d oznacza foldery
The rule will apply only to objects matching
all the specified conditions. A leading not
means that the object should not match all the
remaining conditions. A condition may be
prefixed by ! to indicate that particular
condition must not match the object. Objects
can be required to be owned by the user and/or
group specified by uid and/or gid. A range of
uids/gids can be specified, separated by a
colon. The object can be required to be in a
particular filesystem by specifying the
filesystem using filesys. Note, if the
filesystem is unmounted and remounted, then
the rule may need to be reapplied to ensure
the correct filesystem id is used. The object
can be required to have the suid or sgid bits
set. The owner of the object can be required
to match the uid_of_subject or the
gid_of_subject attempting the operation. The
type of the object can be restricted to a
subset of the following types.
a any file type
r a regular file
d a directory
b a block special device
c a character special device
l a symbolic link
s a unix domain socket
p a named pipe (FIFO)
mode arswxn Similar to chmod(1), each character represents
an access mode. If the rule applies, the
specified access permissions are enforced for
the object. When a character is specified in
the rule, the rule will allow for the
operation. Conversely, not including it will
cause the operation to be denied. The
definitions of each character are as follows:
a administrative operations
r read access
s access to file attributes
w write access
x execute access
n none
remove rulenum
Disable and remove the rule with the specified rule number.
SEE ALSO
mac_bsdextended(4), mac(9)
HISTORY
The ugidfw utility first appeared in. [b]FreeBSD 5.0[/b][/quote]
FreeBSD 5.0 - jakis 2003 rok. Takie rozwiazanie jest natywnie od 12 lat !
Zrob to pod linuxem dla grupy nie usera na /etc/passwdKod:
bryn1u@Proton.edu.pl:[~]:$> ls -lo /etc/passwd ls: /etc/passwd: Permission denied bryn1u@Proton.edu.pl:[~]:$> cat /etc/passwd cat: /etc/passwd: Permission denied bryn1u@Proton.edu.pl:[~]:$> cat /etc/passwd | wc -l cat: /etc/passwd: Permission denied 0Role:
Kod:
subject gid users object gid hide type a mode nA tu jest efekt z debiana:
Kod:
root@ns321124:/# chmod o-r /etc/passwd root@ns321124:/# su - test I have no name!@ns321124:~$I pamietaj, ze ja nigdy nie krytykowalem Pax'a/Grse bo dla mnie jest to najlepsza rzecz jaka spotkala linuxa. Dziwi mnie do tej pory, ze tak wspaniale rozwiazanie nie jest zaimplementowane w ani jednej dystrybucji linuxa, a jest ich tyle, ze sie ich nie da zliczyc.
Ostatnio edytowany przez bryn1u (2015-03-27 08:35:12)
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]Offline
Mozesz mi dac przyklad nakladania flagi na sztywno pod debianem dla nowo dodanego programu, ktorego PaX blokuje czyli mprotect ? Tak, zeby dzialal.[/quote]
Polecenie [b]paxctl[/b] z pakietu [b]sys-apps/paxctl[/b] (Gentoo), tan modyfikuje nagłówek gnu-stack binarki, dodając tam swoje flagi.
Starsza, i już nie polecana metoda, obecny XATTR (polecenie [b]paxctl-ng[/b] z paczki sys-apps/elfix )jest od niego o niebo wygodniejszy, potrafi równocześnie obsługiwać flagi PT i XT, jest też demon do automatycznego pilnowania flag paxa.
W Debianie? biorąc pod uwagę "wsparcie" Debiana do Grsec. to pewnie je trzeba dopiero skompilować do paczek debianowych, albo kombinować z repo tego Mempo Linuxa, który bazuje na Debianie.
I niczego w BSD nie krytykuję, raczej porównuję możliwości z moim systemem.
Klepanie konfigu z flagami dla programów, kiedy tego jest na dyziu kilkaset, po prostu bardzo kiepsko oceniam.
Może to jest specyfika mojego systemu, gdzie są zamknięte liby, np u mnie wsio, co wymaga Gtk, Qt czy OpenGL musi mieć zdjęty mprotect, żeby mogło wczytać biblioteki ze sterownika Nvidii.Heh to pod FreeBSD jest dostepne i nie wymaga ani Grsec ani Pax'a.[/quote]
Jak zapewne wiesz, w każdym Linuxie też jest i chmod, i także ACL, i tam się to robi.
Z /etc/passwd i /etc/group może być kłopot, bo prawie każdy program musi do niego zajrzeć, ale w nim nie ma paradoksalnie nic tajnego, chyba że tajne są nazwy użyszkodników systemowych.Drogi Jacku czasami uwazam, ze jestes tak zadufany w grsec i innych rzeczach, ze nawet nie pamietasz albo nie chcesz pamietac co pisze/pisalem do ciebie. PRzykladem jest twoj pytanie o TPE. TPE pod FreeBSD jest od parunastu lat jak jest modul mac_bsdextended.
Przykładowo u mnie:[/quote]
Mylisz pojęcia, TPE robi zupełnie coś innego, dotyczy uruchamiania binarek, a nie uprawnień do plików, to dwie rożne sprawy.
Np spróbuj ze Skypem, możesz go wypakować i uruchomić jako standardowy użyszkodnik na standardowym Linuxie z dowolnego folderu na dysku, a spróbuj go uruchomić w ten sposób przy TPE, jak nie należysz do grupy, która nadaje takie prawo.
To bardzo ważny mechanizm bezpieczeństwa, ale nie ma zbyt wiele wspólnego z systemem ACL, bo o prostu ACL dotyczy istniejących plików i folderów, a nie tych, które pacjent może sobie ściągnąć z netu i wypakować.
Zawadziłeś już w FBSD o system Mac - który jest systemem ACL, od TPE do ACL jest jeszcze kawał drogi, to są inne mechanizmy, które zajmują się innymi rzeczami.
W Linuxie za ACL może odpowiadać SELinux (globalnie lub per/program), Apparmor (per/program), Tomoyo (per/program), i Grsec-RBAC - globalnie.
Nie twierdzę, ze mac w FBSD ma jakieś wady, ale twierdzę, że pod względem złożoności zawadza o poziom SElinuxa, co nie oznacza bynajmniej, że czegoś w nim brakuje, czy czegoś w nim nie można zrobić.Ostatnio edytowany przez Jacekalex (2015-03-27 10:29:47)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)Offline
Moim zadniem. Skoro ja zrozumialem narzedzie ugidfw z mac_basdextended. To ty ze swoja wiedza bys to po prostu polknal, pisal regulki tak jak mowisz po polskiemu. W moim odczuciu, zobaczyles ten mechanizm "raz", przetworzyles, ze skladnia nie jest na wzor linuxa, grse i dlatego porownales do zlozonosci z SELinuxa. A ja ide o zaklad, ze jakbys wklepal to w konsole pare razy, zobaczyl jak dziala to bys sie w tym zakochal. A po drugie uwielbiam z toba dyskutowac na ten temat bo robi sie niezla lekturka. Wyniki z google juz prowadza do tego forum i tego tematu :D
Mylisz pojęcia, TPE robi zupełnie coś innego, dotyczy uruchamiania binarek, a nie uprawnień do plików, to dwie rożne sprawy.[/quote]
[Gentoo Wiki]:Trusted Path Execution (TPE) is a protection which restricts the execution of files under certain circumstances determined by their path. Using it will make privilege escalation harder when an account restricted by TPE is compromised as the attacker won't be able to execute custom binaries which are not in the trusted path.[/quote]
Chyba rozumiem.
Za pomoca lekko zmodyfikowanej regulki, ktora napisalem wczesniej moge wylaczyc prawa wszystkim nowym/starym userom oraz rootowi np w jailu.Kod:
ugidfw add subject not uid root gid exec object ! gid wheel:999 filesys /jails/Indyferentny type r mode arsw ugidfw add subject uid root object ! gid wheel:999 filesys /jails/Indyferentny type r mode arswBlokuje wszystkim uzytkownikom i do tego root tez dochodzi. Z tego co wiem, zeby np "wylaczyc" roota pod LXC to trzeba go wyciac w RBAC'u (moge sie mylic)
Dodatkowe zabezpiecznie ktore jest w grsec dla chroot.Kod:
ugidfw add subject not uid root gid 0 object filesys /jails/Indyferentny suid type a mode nCzyli wszystko z +s (suid) nie ma zadnego prawa ! Czy przykladowy screen.
Powiedz mi jeszcze prosze co dokladnie mam uzyc pod gentoo, zeby te wszystkie flagi dzialaly. Olewam debiana na rzecz gentoo !Ostatnio edytowany przez bryn1u (2015-03-27 11:41:22)
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]Offline
1867
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:16:21)
Offline
This report covers FreeBSD-related projects between January and March 2015. This is the first of four reports planned for 2015.
http://www.freebsd.org/news/status/report-2015-01-2015-03.html
Offline
First Experimental OPNSense Images With HardenedBSD
Submitted by Shawn Webb on Wed, 06/10/2015 - 15:59
One month ago, we announced we were teaming up with OPNSense to provide HardenedBSD-flavored versions of their project. Work started with backporting our work from 11-CURRENT to 10-STABLE. We worked with Franco Fichtner, one of three people currently on the OPNSense core team, to enhance their build scripts. We received hardware donations from Netgate and Deciso. We fixed a number of bugs in secadm and backported Integriforce to 10-STABLE. This month sure has been a busy one.
We're excited to announce today the availability of the first experimental build of OPNSense based on top of HardenedBSD. It features every one of our great exploitation mitigation features and is built with Integriforce baked right in. Most of the network-aware applications are compiled as Position-Independent Executables (PIEs). Please note that since this is our first ever experimental build, we have not worked out binary upgrade paths just yet. You will likely need to do reinstalls for future builds. You can backup your configuration prior to reinstallation and restore the configuration post-installation.
There are two flavors for download: a generic build and a build for the Netgate RCC-VE 4860. The generic build will work on most standard appliances. The Netgate RCC-VE 4860 has a special build due to needing custom serial console settings. If you're not using the Netgate RCC-VE 4860, the generic build is for you.
You can find the builds here. Please note that these builds are experimental. They are not meant for production use. But that still hasn't stopped us from using it in production, since we like to eat our own dogfood. ;)
https://opnsense.org/about/about-opnsense/
Offline
Powoli zbliża się wydanie FBSD 10.2 https://www.freebsd.org/releases/10.2R/schedule.html
Offline
2006
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:19:19)
Offline
2064
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:20:36)
Offline
No aby nie było, że czerpie garściami, a nie daje nic.
Tyle dla M$ to grosze. Lepiej przyjąć dobrze znane już i zaadoptowane wszędzie rozwiązania , niż tworzyć nowe własne implementacje czegoś.
Offline
"Jest to najpewniej związane z rozpoczęciem dodawania oficjalnego wsparcia OpenSSH w PowerShellu."
http://osworld.pl/microsoft-zostal-zlotym-partnerem-openbsd-foundation/
Offline
2072
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:20:46)
Offline
2087
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:05)
Offline
[quote="uzytkownikubunt"]Jako, że zmniejszenie uprawnień będzie odbywało się na żądanie procesu programu którego dotyczy (z wewnątrz), nie jest więc to mechanizm podobny do znanych ze świata Linuksa systemów jak SELinux czy Apparmor, w których zasoby są ograniczane na żądanie z zewnątrz procesu którego dotyczą (administrator systemu przez narzędzia).[/quote]
Dzisiejsze wypociny Pana U***buntu sponsorują:
[url=https://en.wikipedia.org/wiki/Seccomp]Seccomp[/url]
[url=https://www.cl.cam.ac.uk/research/security/capsicum/]Capsicum[/url]
Co wygrałem?
:D
Ostatnio edytowany przez Jacekalex (2015-07-22 17:28:42)
Offline
2088
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:06)
Offline
2099
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:20)
Offline
[quote=mati75]10.2-RELEASE już na mirrorach:
http://ftp.freebsd.org/pub/FreeBSD/releases/ISO-IMAGES/10.2/[/quote]
No 17.8 miało być planowane oficjalne wydanie. Więc pewnie synchronizują serwery obrazów.
https://www.freebsd.org/releases/10.2R/schedule.html
Szybko poszło, widoczenie żadnych problemów nie było. W końcu to nie żadne przełomowe wydanie tylko kontynuacja linii 10.
Upgrejt z 10.1 przeszedł bezboleśnie
root@freebsd:~ # uname -a
FreeBSD freebsd 10.2-RELEASE FreeBSD 10.2-RELEASE #0 r286666: Wed Aug 12 15:26:37 UTC 2015 root@releng1.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC amd64
root@freebsd:~ #[/quote]
Offline
2147
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:22:20)
Offline
2178
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:23:00)
Offline
O w morde :)
http://osworld.pl/openbsd-pracuje-nad-wlasnym-hiperwizorem/
Ostatnio edytowany przez bryn1u (2015-09-04 09:41:08)
Offline
2192
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:23:17)
Offline
Opis tego hyperwizora wskazuje, że jest mocno wzorowany na linuksowym KVM, ma praktycznie identyczne wymagania względem procka.
Offline
2224
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:24:00)
Offline
to wiecej niz w centos'ie :D
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00132 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.42.50' WHERE u.id=1 |
0.00075 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.42.50', 1733979932) |
0.00053 | SELECT * FROM punbb_online WHERE logged<1733979632 |
0.00072 | DELETE FROM punbb_online WHERE ident='18.189.171.119' |
0.00062 | DELETE FROM punbb_online WHERE ident='3.141.41.51' |
0.00023 | SELECT topic_id FROM punbb_posts WHERE id=289721 |
0.00034 | SELECT id FROM punbb_posts WHERE topic_id=20635 ORDER BY posted |
0.00053 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=20635 AND t.moved_to IS NULL |
0.00018 | SELECT search_for, replace_with FROM punbb_censoring |
0.00348 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=20635 ORDER BY p.id LIMIT 275,25 |
0.00086 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=20635 |
Total query time: 0.00972 s |