forum.opennet.ru

Составление сообщения

Исходное сообщение

"AppArmor и Yama будут включены в Linux-ядро 2.6.36"
Отправлено User294, 04-Авг-10 02:16

>Контейнеры - ровно так же. Срубаются в два счета.
А пруф? Например, образец сплойта который вышибет хоть тот же опенвз? Примеры сплойтов срубающих селинукс - я видел в местных новостях. И действительно - он выпиливается. А на хоть той же опнвзе такие сплойты вообще не срабатывают.
>Да-да, для использования уязвимости в модуле tun нужен модуль tun, как ни странно.
В моей опенвзовой конфигурации он был, это не помогло. Все-равно не работало. Без опенвзы на физической машине - как из пушки. Из взового контейнера почему-то не работает. Может быть, я тупой, или криворукий, или что-то не понимаю в этой жизни (вероятно, детали реализации контейнеризатора?). Или чего-то упустил из вида.
>Но методов запретить подгрузку модулей и без контейнеров навалом.
Контейнеры не позволяют шариться по хосту даже руту с как-бы-полными правами. Полнота его прав ограничивается его песочницей. Может быть это и мешает сплойту?
>А вы подумайте о том, что будет, если уязвимость обнаружится в разрешенном модуле.
В теории - ну да, вероятно можно поиметь. На практике - у меня почему-то сплойт вообще не отработал из контейнера. Кстати не помню, tun ли это девайс, еще была другая уязвимость с повышением прав IIRC. А так - дыры в ядре такого калибра к счастью редкость. Контейнер хорош еще и тем что это четко разграниченная сущность. Даже если в его правах где-то лопухнуться/софт дырявый - вред заведомо ограничится только этой песочницей. Да и резка ресурсов штатная и удобная фича.

Исходное сообщение
"AppArmor и Yama будут включены в Linux-ядро 2.6.36" Отправлено User294, 04-Авг-10 02:16
>Контейнеры - ровно так же. Срубаются в два счета. А пруф? Например, образец сплойта который вышибет хоть тот же опенвз? Примеры сплойтов срубающих селинукс - я видел в местных новостях. И действительно - он выпиливается. А на хоть той же опнвзе такие сплойты вообще не срабатывают. >Да-да, для использования уязвимости в модуле tun нужен модуль tun, как ни странно. В моей опенвзовой конфигурации он был, это не помогло. Все-равно не работало. Без опенвзы на физической машине - как из пушки. Из взового контейнера почему-то не работает. Может быть, я тупой, или криворукий, или что-то не понимаю в этой жизни (вероятно, детали реализации контейнеризатора?). Или чего-то упустил из вида. >Но методов запретить подгрузку модулей и без контейнеров навалом. Контейнеры не позволяют шариться по хосту даже руту с как-бы-полными правами. Полнота его прав ограничивается его песочницей. Может быть это и мешает сплойту? >А вы подумайте о том, что будет, если уязвимость обнаружится в разрешенном модуле. В теории - ну да, вероятно можно поиметь. На практике - у меня почему-то сплойт вообще не отработал из контейнера. Кстати не помню, tun ли это девайс, еще была другая уязвимость с повышением прав IIRC. А так - дыры в ядре такого калибра к счастью редкость. Контейнер хорош еще и тем что это четко разграниченная сущность. Даже если в его правах где-то лопухнуться/софт дырявый - вред заведомо ограничится только этой песочницей. Да и резка ресурсов штатная и удобная фича.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру