BnW — soko1: ебануться, господа:…

ебануться, господа: https://www.opennet.ru/opennews/art.shtml?num=46633
самое ироничное, что работает оно в связке с selinux, который как бы для дополнительной прослойки безопасности и применяется.

Рекомендовали: @je

#N22K83 / @soko1 / 2724 дня назад

Тоже эту хуйю только что прочитал, больше всего я не понял >sudo собран с поддержкой selinux. Кажется, я чего-то не знаю о selinux.

#N22K83/KUH / @je / 2724 дня назад

@je скорее всего это у переводчика проблемы с мозгом

#N22K83/TAA / @soko1 --> #N22K83/KUH / 2724 дня назад

@soko1 а не...

and sudo was built with SELinux support

хуй знает что тут имеется в виду. впервые слышу чтобы программы спецом надо было собирать для управления selinux

#N22K83/02R / @soko1 --> #N22K83/TAA / 2724 дня назад

@je Ты не знаешь про SElinux практически ничего.

#N22K83/7HN / @mad_hatter --> #N22K83/KUH / 2724 дня назад

@mad_hatter а поясни для чего там флаги выставлять и почему они по дефолту могут быть не включены

#N22K83/O5Y / @soko1 --> #N22K83/7HN / 2724 дня назад

@soko1 Ога это, ни разу не видел флага компилятора собрать с поддержкой selinux.

#N22K83/CTW / @je --> #N22K83/02R / 2724 дня назад

@soko1 Чем спрашивать этого далбоеба проще пойти самому посмотреть мейк-файл, инфа сотка.

#N22K83/DD3 / @je --> #N22K83/O5Y / 2724 дня назад

@soko1 Для того, чтобы sudo переключал SElinux-роль пользователя тоже. В системе без него эта опция просто не всралась, вот и не велючают по дефолту.

#N22K83/0CI / @mad_hatter --> #N22K83/O5Y / 2724 дня назад

@je тут есть https://www.gentoo.org/support/use-flags/ как оказалось

#N22K83/C4M / @soko1 --> #N22K83/CTW / 2724 дня назад

@mad_hatter ясн

#N22K83/HK2 / @soko1 --> #N22K83/0CI / 2724 дня назад

@soko1 Бля ни разу не видел, чтобы кто-то генту с этой еботой собирал, обычно наборот эту поебень выпиливают из федор, так как обычному пользователю она мешает жить.

#N22K83/YKL / @je --> #N22K83/C4M / 2724 дня назад

@je лях hardened gentoo использует, например)

#N22K83/GL8 / @soko1 --> #N22K83/YKL / 2724 дня назад

@soko1 Вероятно ему просто словосочетание понравилось, олсо где пруфы?

#N22K83/GD7 / @je --> #N22K83/GL8 / 2724 дня назад

вот так всю жизнь дрочишь на безопасность, испытываешь уйму неудобств и дохуя просранного времени, а потом хуяк и рутшел к тебе в системку, которого не было бы будь ты нормальным человеком

#N22K83/YZE / @soko1 / 2724 дня назад

@soko1 У меня шесть машин на харденед, из них четыре сервера с включенным SElinux. На работе серверов с selinux вообще десятки.

#N22K83/YS2 / @mad_hatter --> #N22K83/GL8 / 2724 дня назад

@je да давно было обсуждение, уже не вспомню. не боись, ща он зайдёт в тред покакать после мюслей

#N22K83/K07 / @soko1 --> #N22K83/GD7 / 2724 дня назад

@mad_hatter не, ну серваки понятно

#N22K83/3M6 / @soko1 --> #N22K83/YS2 / 2724 дня назад

@soko1 Ну я года три юзал selinux на десктопе, пока этот десктоп не трансформировался в сервер. На ноутах предпочел grsecurity, но ввиду последних новостей придется, пожалуй, перевести на SElinux.

#N22K83/YID / @mad_hatter --> #N22K83/3M6 / 2724 дня назад

@mad_hatter и как, норм крутится? на убунточках норм работает?

#N22K83/7AG / @soko1 --> #N22K83/YID / 2724 дня назад

@soko1 У тех пидоров же свой аппармор некий, сервер на убунте?

#N22K83/FI5 / @je --> #N22K83/7AG / 2724 дня назад

@soko1 Тащемта, это опять локальная уязвимость. А локальный шелл в системе с мандатным контролем получить гораздо сложнее, чем в обычной. Ну а если это авторизованный пользователь балуется, то ему быстро по рукам дадут, т.к. в системах такого уровня действия пользователей логируются, а повышения привилегий еще и алертят в определенных ситуациях.

#N22K83/PQ5 / @mad_hatter --> #N22K83/YZE / 2724 дня назад

@soko1 В генте у меня нормально крутится. Убунточку я только на ноуте у жены настраивал, там аппармора за глаза. SElinux я бы туда накатывать не рискнул, т.к. заебешься политики дописывать.

#N22K83/1SL / @mad_hatter --> #N22K83/7AG / 2724 дня назад

@mad_hatter >жены

#N22K83/4JJ / @je --> #N22K83/1SL / 2724 дня назад

Selinux всегда был решетом, _через_ которое система взламывается. Я говорю о ситуациях, когда система более защищена, если никакого селинукса нет. Свой первый сплоент _для_ selinux я запустил еще в 2010-м году.

#N22K83/4R0 / @komar / 2724 дня назад

@mad_hatter > в системах такого уровня > в моем задротском манямирочке fxd

#N22K83/2I3 / @komar --> #N22K83/PQ5 / 2724 дня назад

@komar Ты ошибаешься, родной. За последние полгода мне пять раз приходилось повышать привилегии обходными путями, т.к. оказывалось, что пользователи, у которых был рут на тех машинах уже у нас не работают. И каждый раз начальник SecOps прибегал выяснять, нахера я это делаю.

#N22K83/IKF / @mad_hatter --> #N22K83/2I3 / 2724 дня назад

@komar Ну, в изкоробочном виде он действительно такой, что лучше без него. А что за эксплоит у тебя был? Прямо вот дырку в ядерной части эксплуатировал?

#N22K83/SD2 / @mad_hatter --> #N22K83/4R0 / 2724 дня назад

@mad_hatter ага CVE в студию

#N22K83/SCH / @je --> #N22K83/SD2 / 2724 дня назад

@je Не путайся под ногами, мань.

#N22K83/SGQ / @mad_hatter --> #N22K83/SCH / 2724 дня назад

@mad_hatter Блядь, простите, запизделся. Не сплоент, а PoC. Был выдран из папира по EXE, нагуглить который из-за широко используемой аббривеатуры теперь чрезвычайно тяжело.

#N22K83/MJT / @komar --> #N22K83/SD2 / 2724 дня назад

@mad_hatter Лан. Где работаешь?

#N22K83/QKZ / @komar --> #N22K83/IKF / 2724 дня назад

@komar В одном из подразделений IBM Security.

#N22K83/JVN / @mad_hatter --> #N22K83/QKZ / 2724 дня назад

@mad_hatter сесурная сесурность

#N22K83/DJR / @komar --> #N22K83/JVN / 2724 дня назад

@komar Увы, NDA не позволяет ответить на это ничего, кроме «да, очень сесурная» //но я бы не сказал, что сильно кривлю душой при этом.

#N22K83/07T / @mad_hatter --> #N22K83/DJR / 2724 дня назад

@mad_hatter Лан, когда понадобится больше сесурности вышлю вам образец заявки на тендер.

#N22K83/27M / @komar --> #N22K83/07T / 2724 дня назад

@komar Пойду обрадую продажников.

#N22K83/VX9 / @mad_hatter --> #N22K83/27M / 2724 дня назад

@mad_hatter Документ-то какой-нибудь выдаете что сесурность купили?

#N22K83/ZP3 / @komar --> #N22K83/VX9 / 2724 дня назад

@komar За отдельную плату тебе его даже заламинируют.

#N22K83/91E / @mad_hatter --> #N22K83/ZP3 / 2724 дня назад

@mad_hatter Вот что значит хороший подрядчик.

#N22K83/93R / @komar --> #N22K83/91E / 2724 дня назад

@soko1 У меня hardened с apparmor вместо MAC // планирую перелезть на selinux поскольку apparmor уёбищный.

#N22K83/8BM / @l29ah --> #N22K83/GL8 / 2723 дня назад

@l29ah у меня кстати тож apparmor. но с убунточкой selinux наверное такой же уёбищный. надо на генту опять, но лень

#N22K83/2CT / @soko1 --> #N22K83/8BM / 2723 дня назад

решето

#N22K83/DUA / @goren / 2723 дня назад

BnW для ведрофона BnW на Реформале Викивач Котятки