Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Mati. Jeśli nie korzystasz z X to można. Ale jeśli nmasz X to po co? Wsjo współpracuje z HAL
Offline
[quote=Yampress]Mati. Jeśli nie korzystasz z X to można. Ale jeśli nmasz X to po co? Wsjo współpracuje z HAL[/quote]
Lepiej używać tego, co w konsoli bryka.
Mnie dzisiaj na chwilkę zdechło demon gnome-keyring (jakoś źle się odpalił) i FF, TB i Pidgin utraciły dostęp do bazy z hasłami.
Trwało trochę, zanim ustaliłem dokładnie, co się dzieje.
Przeżyłem też awarię steru Nvidii, który uparł się kierować obraz na wyjście null.
Sytuacja opanowana, ale musiałem zajrzeć do netu z konsoli.
Reasumując, środowisko graficzne zawsze może się skichać z byle powodu,
za dużo w nim libów i elementów.
Dlatego jak system może coś ważnego robić w samej konsoli niezależnie od tego,
czy X-y wstały, czy nie, to niech robi.
Offline
Ja tam wole jak X wszystko załatwiają. Cokolwiek by to było :P czasy grzebania w kobnsoli o ja mam już za sobą. Kiedy wszyscy już mieli windows 95, a nawet przesiadali się na windows 98 , ja jeszcze grzebałem w m$dos 6.22
A na starość czlowiek wygodnieje.... I jedyne co umie to klikać. Poklikash?
Co by nie było w konsoli lubie konfigurować tylko system!
Offline
[quote=mfm]Wystrzegam się projektów w których co drugie wymawiane/pisane słowo ma związek z SECURE.
Edycja.
Jednak przejrzystość Opena uzależnia.[/quote]
Ohhh jakies zle doswiadczenia ? To musisz chyba sie wystrzec tez ASLR w FreeBSD, ktore zostalo wprowadzone przez Shawn'a, ktory rozwija projekt HardenedBSD i z tego projektu sa powoli wprowadzane wreszcie jakies rozwiazania jesli chodzi o exploity. Zreszta o ile dobrze kojarze to nawet PFsense tez korzysta juz z HardenedBSD.
A tu nastepny kwaituszek do ogrodka.
Control Flow Integrity, or CFI, is an exploit mitigation technique that helps prevent attackers from modifying the behavior of a program and jumping to undefined or arbitrary memory locations. Microsoft has implemented a variant of CFI, which they term Control Flow Guard, or CFG. The PaX team has spent the last few years perfecting their Return Address Protection, RAP. CFI, CFG, and RAP all attempt to accomplish the same goal, with RAP being the most complete and effective implementation.
Ostatnio edytowany przez bryn1u (2017-03-06 19:30:56)
Offline
[quote=bryn1u]Ohhh jakies zle doswiadczenia ? To musisz chyba sie wystrzec tez ASLR w FreeBSD, ktore zostalo wprowadzone przez Shawn'a, ktory rozwija projekt HardenedBSD i z tego projektu sa powoli wprowadzane wreszcie jakies rozwiazania jesli chodzi o exploity. Zreszta o ile dobrze kojarze to nawet PFsense tez korzysta juz z HardenedBSD.[/quote]
Swego czasu Poul Henning-Kamp określił ASLR:[i] Can we all agree now that ASLR is just "Security Through Obscurity" ?[/i] podając: https://www.vusec.net/projects/anc/
Odcinam się od tego sformułowania bo ekspertem od bezpieczeństwa z rangi "wielkich nazw" nie jestem, natomiast widzę problem w podstawach: typu zapominanie czy złe wykorzystywanie chown, chmod - przez dużą część użytkowników Unixo-podobnych systemów.
Offline
[quote=mfm][quote=bryn1u]Ohhh jakies zle doswiadczenia ? To musisz chyba sie wystrzec tez ASLR w FreeBSD, ktore zostalo wprowadzone przez Shawn'a, ktory rozwija projekt HardenedBSD i z tego projektu sa powoli wprowadzane wreszcie jakies rozwiazania jesli chodzi o exploity. Zreszta o ile dobrze kojarze to nawet PFsense tez korzysta juz z HardenedBSD.[/quote]
Swego czasu Poul Henning-Kamp określił ASLR:[i] Can we all agree now that ASLR is just "Security Through Obscurity" ?[/i] podając: https://www.vusec.net/projects/anc/
Odcinam się od tego sformułowania bo ekspertem od bezpieczeństwa z rangi "wielkich nazw" nie jestem, natomiast widzę problem w podstawach: typu zapominanie czy złe wykorzystywanie chown, chmod - przez dużą część użytkowników Unixo-podobnych systemów.[/quote]
Jezeli ASLR jest dla niego obscurity to po prostu kwalifikuje sie do takiego samego podejscia jak Torvalds w kwestii beczpieczenstwa, a pozniej wcyhodza expolity na linuxa jak do tej pory. Dirty Cow juz byl lata emu w linuxie tylko Torvalds sobie to odpuscil bo robilo sie zbyt skomplikowane wraz z rozwojem kernela. No i ostatnimi czasy problem powrocil. Zreszta mozna o tym pisac w nieskonczonosc. Nie wystrzegaj sie projektow w kwestii bezpieczenstwa bo to jest podstawa, przynajmniej dla mnie. Wspomniales o OpenBSD to popatrz nato:
http://hardenedbsd.org/content/easy-feature-comparison
Polecam tez projek Grsecurity za ktorym Torvalds nie przepada. Za to uzwyaja go firmy, ktore cenia sobie bezpieczenstwo. Byly exploity na cpanel i resszte kerneli z jakis rok temu. Standardowe kernele dystrybucyjne puszczaly atak a grseciurity ladnie blokowal, wiec naprawde nie rozumiem podejscia ludzi.
Offline
Polecam tez projek Grsecurity za ktorym Torvalds nie przepada. Za to uzwyaja go firmy, ktore cenia sobie bezpieczenstwo. Byly exploity na cpanel i resszte kerneli z jakis rok temu. Standardowe kernele dystrybucyjne puszczaly atak a grseciurity ladnie blokowal, wiec naprawde nie rozumiem podejscia ludzi.[/quote]
Linus T> nie ma nic do przepadania, bo w kwestii bezpieczeństwa ma niewiele do gadania.
Głównym sponsorem projektu Linux Kernel jest Red Hat, który jest genetycznie zrośnięty z NSA, włączenie łątki Grsecurity do kernela jest jednoznaczne z końcem sponsoringu ze strony RH.
Dlatego import funkcji grsec/pax do kernela odbywa się stopniowo, Linus nie bierze w tym udziału, ale też nie przeszkadza, kiedy zespól [url=http://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project]Kernel Self Protection Project[/url] opracowuje różne łatki bezpieczeństwa, czego rezultatem jest np:Kod:
CONFIG_HARDENED_USERCOPYbędący implementacją PAX_USERCOPY w kernelu.
Ostatnio edytowany przez Jacekalex (2017-03-06 21:44:02)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
[quote=Jacekalex]
Polecam tez projek Grsecurity za ktorym Torvalds nie przepada. Za to uzwyaja go firmy, ktore cenia sobie bezpieczenstwo. Byly exploity na cpanel i resszte kerneli z jakis rok temu. Standardowe kernele dystrybucyjne puszczaly atak a grseciurity ladnie blokowal, wiec naprawde nie rozumiem podejscia ludzi.[/quote]
Linus T> nie ma nic do przepadania, bo w kwestii bezpieczeństwa ma niewiele do gadania.
Głównym sponsorem projektu Linux Kernel jest Red Hat, który jest genetycznie zrośnięty z NSA, włączenie łątki Grsecurity do kernela jest jednoznaczne z końcem sponsoringu ze strony RH.
Dlatego import funkcji grsec/pax do kernela odbywa się stopniowo, Linus nie bierze w tym udziału, ale też nie przeszkadza, kiedy zespól [url=http://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project]Kernel Self Protection Project[/url] opracowuje różne łatki bezpieczeństwa, czego rezultatem jest np:Kod:
CONFIG_HARDENED_USERCOPYbędący implementacją PAX_USERCOPY w kernelu.[/quote]
Znajdz sobie co odpowiedzial Torvalds zepolowi PaxTeam na pytanie dlaczego nie chce wdrozyc grsecurity w kernelu to zobaczysz czy rzeczywiscie ma niewiele do gadania.
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]
Offline
Znajdz sobie co odpowiedzial Torvalds zepolowi PaxTeam na pytanie dlaczego nie chce wdrozyc grsecurity w kernelu to zobaczysz czy rzeczywiscie ma niewiele do gadania.[/quote]
Powiedział, co musiał, bez kasy z RH miałby gigantyczny problem.
I to nie Pax Team wnioskował, bo team Grsec/Pax ma własnych sponsorów i własną kasę,
a jak wiadomo "lepszy na wolności kęs byle jaki, niźli najlepsze niewoli przysmaki".Ostatnio edytowany przez Jacekalex (2017-03-06 22:59:14)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
[quote=bryn1u]Jezeli ASLR jest dla niego obscurity to po prostu kwalifikuje sie do takiego samego podejscia jak Torvalds w kwestii beczpieczenstwa, a pozniej wcyhodza expolity na linuxa jak do tej pory.[/quote]
Nie chcę bronić [b]phk[/b], natomiast nie wstawiałbym autora jaili do butów w których chodzi [b]Linus Torvalds[/b].
W 2006 r. [b]Kristaps Dzonsons[/b] zaproponował w OpenBSD mechanizm sysjail czyli klona jaili opartego o bibliotekę systrace [b]Nielsa Provosa[/b]. W 2007 roku programista [b]Robert N. M. Watson[/b] opublikował artykuł pt.[b] [i] Exploiting Concurrency Vulnerabilities in System Call Wrappers[/i][/b] [w:] http://www.watson.org/~robert/2007woot/2007usenixwoot-exploitingconcurrency.pdf w którym udowodnił, iż podłoże sysjaila jest dziurawe - projekt został szybko wygaszony przez OpenBSD jak i NetBSD.
Nadmienić też muszę, że Watson razem z Kampem brał udział w tworzeniu jaili, a od kwietnia 1999 r. nikt nie wykazał [b]w żadnym dokumencie[/b] dziur w celach, na tej samej zasadzie co Watson uczynił z sysjailami.
Kernel FreeBSD oferuje od dawna mechanizmy obrony / te ustawia się w pliku sysctl.conf / a które od wersji 11 w instalatorze są bardziej eksponowane jak:
Hide processes running as other users = security.bsd.see_other_uids Hide processes running as other groups = security.bsd.see_other_gids Disable reading kernel message buffer for unprivileged users = security.bsd.unprivileged_read_msgbuf Disable process debugging facilities for unprivileged users = security.bsd.unprivileged_proc_debug Randomize the PID of newly created processes = kern.randompid Insert stack guard page ahead of the growable segments = security.bsd.stack_guard_page
Ostatnio edytowany przez mfm (2017-03-07 11:22:59)
Offline
[quote=mfm][quote=bryn1u]Jezeli ASLR jest dla niego obscurity to po prostu kwalifikuje sie do takiego samego podejscia jak Torvalds w kwestii beczpieczenstwa, a pozniej wcyhodza expolity na linuxa jak do tej pory.[/quote]
Nie chcę bronić [b]phk[/b], natomiast nie wstawiałbym autora jaili do butów w których chodzi [b]Linus Torvalds[/b].
W 2006 r. [b]Kristaps Dzonsons[/b] zaproponował w OpenBSD mechanizm sysjail czyli klona jaili opartego o bibliotekę systrace [b]Nielsa Provosa[/b]. W 2007 roku programista [b]Robert N. M. Watson[/b] opublikował artykuł pt.[b] [i] Exploiting Concurrency Vulnerabilities in System Call Wrappers[/i][/b] [w:] http://www.watson.org/~robert/2007woot/2007usenixwoot-exploitingconcurrency.pdf w którym udowodnił, iż podłoże sysjaila jest dziurawe - projekt został szybko wygaszony przez OpenBSD jak i NetBSD.
Nadmienić też muszę, że Watson razem z Kampem brał udział w tworzeniu jaili, a od kwietnia 1999 r. nikt nie wykazał [b]w żadnym dokumencie[/b] dziur w celach, na tej samej zasadzie co Watson uczynił z sysjailami.
Kernel FreeBSD oferuje od dawna mechanizmy obrony / te ustawia się w pliku sysctl.conf / a które od wersji 11 w instalatorze są bardziej eksponowane jak:
Hide processes running as other users = security.bsd.see_other_uids Hide processes running as other groups = security.bsd.see_other_gids Disable reading kernel message buffer for unprivileged users = security.bsd.unprivileged_read_msgbuf Disable process debugging facilities for unprivileged users = security.bsd.unprivileged_proc_debug Randomize the PID of newly created processes = kern.randompid Insert stack guard page ahead of the growable segments = security.bsd.stack_guard_page
[/quote]
Sysjail byl w ogole nie wypalem to fakt. Co do jaili to byl tez exploitm ktory pozwolil wyjsc z jaila . Co prawda dawno dawno temu, ale byl. Jaile sa rozwijane od okolo 18 lat. Mozna je porownac do wszystkiego. Moga byc jako docker, lxc, chroot, pelne srodowisko wirtualizacji, mozna zamknac w jailu Centosa juz nawet Centosa 7.3, debiana nie wirtualizujac ich. Po drugie jail ma tak duzo opcji, ze nie ma do tej pory zadnego odpowiednika w Linuxie. A jezeli ktos mi powie, ze chroot jest to jest po prostu conajmniej smieszny.
@mfm
Tak miedzy niebem a prawda to obrona w FreeBSD przeciwko exploitom w ogole nie istnieje. To co wkleiles ma sie nijak do obrony przeciwko exploitom. Jezeli chcesz cos co naprawde dziala przeciwko expolityzacji to jest HardenedBSD, niestety FreeBSD lezy i kwiczy przy tych technologiach. Jezeli bedzie dziura w kernelu FreeBSD to nic nie zrobisz. Oczywiscie nic nie ujmujac FreeBSD.
Offline
[quote=bryn1u]Co do jaili to byl tez exploitm ktory pozwolil wyjsc z jaila . Co prawda dawno dawno temu, ale byl.[/quote]
Mowa o Security Advisory z grudnia 2008 r. o numerze FreeBSD-SA-08:13[b] i nie było to związanie z błędem w kodzie tworzącym jaile[/b], a z jednym modułów netgrapha(4) - konkretnie z bugiem w stosie ng_bluetootha(4), tzn. jeżeli miałeś system na którym były postawione cele i kernel miał załadowane moduły ng_socket(4) i ng_bluetooth(4) a pakiety sieciowe przepuszczałeś na linii cele <---> host przez netgrapha to mogło dojść do eskalacji przywilejów.
Niemniej taka konfiguracja cel nie była zalecana wtenczas [i nie jest obecnie], jak to Watson stwierdził:[b][i] In the default FreeBSD jail configuration, it is not possible to break out of jails with this vulnerability, but if the setting to allow additional protocol access from jails is enabled, then it is possible. Changing that setting is generally not considered advisable because it allows use of protocols not specifically adapted for use in Jail.[/i][/b]
Co nie oznacza, że należy zapomnieć o netgraphie. Jest to bardzo użyteczne środowisko, ale tylko do zastosowań testowych, nauki budowania rozległych połączeń i sprawdzania różnych protokołów. Można dokładnie przyglądać się obciążeniu cel w praktyce np. jak radzą sobie z przetwarzaniem baz SQL i obsługą zapytań w sieci. Osobiście ze względów bezpieczeństwa nie radziłbym stosowania łączności netgraphem w środowisku produkcyjnym.
Przyszłością na tym polu będzie vnet(9), ale zapewne nie prędko się to stanie.
[quote=bryn1u]@mfm
Tak miedzy niebem a prawda to obrona w FreeBSD przeciwko exploitom w ogole nie istnieje. To co wkleiles ma sie nijak do obrony przeciwko exploitom. Jezeli chcesz cos co naprawde dziala przeciwko expolityzacji to jest HardenedBSD, niestety FreeBSD lezy i kwiczy przy tych technologiach. Jezeli bedzie dziura w kernelu FreeBSD to nic nie zrobisz. Oczywiscie nic nie ujmujac FreeBSD.[/quote]
[b]bryn1u[/b] - irytuje mnie cały ten hype związany z "security", miesza się często pojęcia, bez wiedzy i dobrego wyjaśnienia, co z czym się łączy i na czym polega. To że coś funkcjonuje np. w OpenBSD, nie znaczy że będzie tak samo dobrze funkcjonować w FreeBSD.
Zasada funkcjonowania jądra nie jest znana każdemu, a lektura kodu źródłowego i zrozumienie jego zawiłości wymaga wiedzy i możliwości intelektualnych, tłumaczenie z tego poziomu bywa nudne dla większości, inaczej się ma z cudownymi rozwiązaniami do przeciwdziałania "exploitowalności", podaje się systemy A, B, Z, Y, które gdy są powłączane robią z sytemu fortecę.
Francuzi budowali od lat 20'tych potężną linię obronną, którą nazwali Maginota, tam gdzie się znajdowała atakujący poległby marnie, niemniej Niemcy postanowili obejść ją przez... neutralną Belgię - francuzom myśl o pogwałceniu neutralności cudzego państwa przez głowę by nie przeszła, zatem też nie umieścili na granicy z Belgią praktycznie żadnych umocnień.
Pierwsza zasada budowania bezpiecznych systemów jest taka, że nie mówisz potencjalnemu atakującemu, gdzie stawiasz i jakie stawiasz zasieki. Warto poczytać klasyka w postaci Clausewitza by to zrozumieć. Bo odgórna zasada obrony przed zagrożeniami bywa sprowadzona do taktyk obronnych, a nie jak powinno być do całej strategii.
Ostatnio edytowany przez mfm (2017-03-07 15:08:01)
Offline
Fajnie, ze chcialo Ci sie poszukac tego bledu, dobrze jest sobie przypomniec :D
Wiadomo, ze jest security i "security" w duzym stopniu jest to wina administratora, ktory sobe to zaniedbuje. Co do funkcjonowania w OpenBSD a FreeBSD to sa troche dwa rozne swiaty. FreeBSD jest bardziej skomplikowany a dokladniej proces na lini procek ram.
Historie tez dobrze jest przytoczyc, ale wszystko to blad ludzki. Nie wiem czy miales przyjemnosc siedziec na ircnecie lata temu za dzieciaka i obserwowac co sie dzieje lub uczestniczyc w abuse (kazdy chcial probowac byc hackerem). Wtedy pod linuxa to pisales exploity na zawolanie. Kernel byl dziurawy jak ser szwajcarski. Nie bylo wiekszego problemu nawet dostac sie zdalnie. Wystarczyly zwykle scriptkiddie. Wiec nie, ale mnie to nie irytuje wrecz przeciwnie. Po drugie grsecurity jest testowane od nastu lat, ostatnio wprowadzili RAP - https://grsecurity.net/rap_announce_ret.php Zachecam do lektury. Pracowali nad tym lata. FreeBSD przechodzi audyty kodu jest debugowane. HardenedBSD jest pisane na podstawie grsecurity, ktore ma nastoletnia historie i ciagle testy. Zas PaX powstal pierwszy raz w OpenBSD. Eploity wykonuja sie w pamieci ram, genalnym rozwiazaniem jest PaX, ktory nadzoruje kazdy proces. Nie wiem czy kiedykolwiek uzywales chociaz czesci z tych rozwiazan. Moze to jest tlumaczenie sobie w razie jakby twoj server byl compromised. Poczytaj sobie otechnologiach na stronie Grsecurity.net moze troche zmienisz podejscie.
Offline
[b]bryn1u[/b] - OpenBSD bardzo sobie cenię. Pod względem jakości jest to najlepszy projekt z rodziny BSD - przypomina mi w każdym miejscu Solarisa, firmy Sun Microsystems.
Od zawsze stawiają na minimalizm, prostotę, czytelność.
FreeBSD wykonuje robotę, którą mu nakazuję, natomiast mam wrażenie graniczące z pewnością, że z wersji na wersję robi się on coraz grubszy :)
Temat bezpieczeństwa zostawiam do oceny własnej.
Pozdrawiam
Ostatnio edytowany przez mfm (2017-03-07 19:50:21)
Offline
[quote=mfm][b]bryn1u[/b] - OpenBSD bardzo sobie cenię. Pod względem jakości jest to najlepszy projekt z rodziny BSD - przypomina mi w każdym miejscu Solarisa, firmy Sun Microsystems.
Od zawsze stawiają na minimalizm, prostotę, czytelność.
FreeBSD wykonuje robotę, którą mu nakazuję, natomiast mam wrażenie graniczące z pewnością, że z wersji na wersję robi się on coraz grubszy :)
Temat bezpieczeństwa zostawiam do oceny własnej.
Pozdrawiam[/quote]
Tez odczuwam, ze jest "grubszy", ale patrzac na mydevil.net smiga az milo. Dlatego, ze sie szybko rozwija. O jailach wspomnialem wyzej. Klastry dzialaja bezblednie, ma juz dockery nawet openstacka mozesz na nim postawic. A z portow mozesz wycisnac tyle ile sie da i zrobic to co ci przyjdzie do glowy. Co do Solarisa to pamietaj, ze prawie wszystko zostalo przeniesione na FreeBSD lacznie z ZFS i obsluga ilosci rdzeni. Na freeBSD dziala to wysmienicie, a jaile z zfs oraz snapshoty to miod :D
Offline
Time (s) | Query |
---|---|
0.00007 | SET CHARSET latin2 |
0.00003 | SET NAMES latin2 |
0.00080 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.22.241.21' WHERE u.id=1 |
0.00059 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.22.241.21', 1733246259) |
0.00058 | SELECT * FROM punbb_online WHERE logged<1733245959 |
0.00051 | SELECT topic_id FROM punbb_posts WHERE id=309190 |
0.00012 | SELECT id FROM punbb_posts WHERE topic_id=16211 ORDER BY posted |
0.00064 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=16211 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.04815 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=16211 ORDER BY p.id LIMIT 725,25 |
0.00107 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=16211 |
Total query time: 0.05262 s |