Forum Debian Users Gang

bryn1u · 2015-03-27 07:03:48

@Jacku

Mozesz mi dac przyklad nakladania flagi na sztywno pod debianem dla nowo dodanego programu, ktorego PaX blokuje czyli mprotect ? Tak, zeby dzialal.

Kod:

root@ns321124:/usr/src/linux_grsec# cat .config | grep CONFIG_PAX_PT_PAX_FLAGS
CONFIG_PAX_PT_PAX_FLAGS=y

I co ja mam z tym zrobic teraz ?

Drogi Jacku czasami uwazam, ze jestes tak zadufany w grsec i innych rzeczach, ze nawet nie pamietasz albo nie chcesz pamietac co pisze/pisalem do ciebie. PRzykladem jest twoj pytanie o TPE. TPE pod FreeBSD jest od parunastu lat jak jest modul mac_bsdextended.
Przykładowo u mnie:

Kod:

ugidfw add subject not uid root gid exec object ! gid wheel:999 type r mode arsw

Znaczenie regulki:
Uzytkownik nie bedacy rootem nie nalezacy do grupy exec, probujacy sie dostac do plikow, ktorye nie naleza do grup z przedzialu od 0:999. Dostaja typ r (binarki), mode uprawnienia arsw:

a administrative operations (przenoszenie, kopiowanie itd)
r read access (czytanie)
s access to file attributes (dostep do atrybutow)
w write access (zapisywac)
x execute access (wykonywac)
n none

W skorcie. Jezeli nie jestes dodany do grupy exec (twoj odpowiednik grupy TPE) nie mozesz odpalac wlasnych programow itd. Pliki systemowe UNIX zaczynaja sie od 0 do 999, czyli userzy moga uzywac tylko programow zainstalowanych przez roota !

możliwość dokładnego zdefiniowane, co dany program może otworzyć, a także np ile pamięci i czasu procesora może użyć (limity zgodne z ulimit, ale lichsze, niż przez cgroup), to wszystko dostępne z poziomu tylko powyżej roota, bo nawet root nie może choćby zajrzeć do polityki grsec, jeśli nie zaloguje się do roli admina w gradm.

Heh to pod FreeBSD jest dostepne i nie wymaga ani Grsec ani Pax'a.

Za pomoca chflags admina w jailu mozesz tak ograniczyc, ze nie bedzie mogl nawet zmieniac podstawowych atrybutow na plikach z nalozonym kernsecure na poziomie 3. A jakby sie ktos wlamal to pozostaje mu popatrzec i wyjsc.

Kod:

ugidfw add subject gid users object gid wheel type d mode sx

Trzymam userow zawsze w grupie users. Kazdy dodany do tej grupy musi przestrzegac roles mac.
Znaczenie regulki:
Uzytkownicy nalezacy do grupy users probujacy sie dostac do folderow nalezacych do grupy wheel dostaja uprawnienia sx. A efekt jest taki:

Kod:

bryn1u@Proton.edu.pl:[~]:$> ls /
ls: /: Permission denied
bryn1u@Proton.edu.pl:[~]:$> ls /etc
ls: /etc: Permission denied
bryn1u@Proton.edu.pl:[~]:$> ls /boot
ls: /boot: Permission denied
bryn1u@Proton.edu.pl:[~]:$> ls /root
ls: /root: Permission denied
bryn1u@Proton.edu.pl:[~]:$> ls /etc/ssh
ls: /etc/ssh: Permission denied

w poprzedniej regulce type r oznaczal binarki a tutaj type d oznacza foldery

The rule will apply only to objects matching
all the specified conditions. A leading not
means that the object should not match all the
remaining conditions. A condition may be
prefixed by ! to indicate that particular
condition must not match the object. Objects
can be required to be owned by the user and/or
group specified by uid and/or gid. A range of
uids/gids can be specified, separated by a
colon. The object can be required to be in a
particular filesystem by specifying the
filesystem using filesys. Note, if the
filesystem is unmounted and remounted, then
the rule may need to be reapplied to ensure
the correct filesystem id is used. The object
can be required to have the suid or sgid bits
set. The owner of the object can be required
to match the uid_of_subject or the
gid_of_subject attempting the operation. The
type of the object can be restricted to a
subset of the following types.

a any file type
r a regular file
d a directory
b a block special device
c a character special device
l a symbolic link
s a unix domain socket
p a named pipe (FIFO)

mode arswxn Similar to chmod(1), each character represents
an access mode. If the rule applies, the
specified access permissions are enforced for
the object. When a character is specified in
the rule, the rule will allow for the
operation. Conversely, not including it will
cause the operation to be denied. The
definitions of each character are as follows:

a administrative operations
r read access
s access to file attributes
w write access
x execute access
n none

remove rulenum
Disable and remove the rule with the specified rule number.

SEE ALSO
mac_bsdextended(4), mac(9)

HISTORY
The ugidfw utility first appeared in. FreeBSD 5.0

FreeBSD 5.0 - jakis 2003 rok. Takie rozwiazanie jest natywnie od 12 lat !

Zrob to pod linuxem dla grupy nie usera na /etc/passwd

Kod:

bryn1u@Proton.edu.pl:[~]:$> ls -lo /etc/passwd
ls: /etc/passwd: Permission denied
bryn1u@Proton.edu.pl:[~]:$> cat /etc/passwd
cat: /etc/passwd: Permission denied
bryn1u@Proton.edu.pl:[~]:$> cat /etc/passwd | wc -l
cat: /etc/passwd: Permission denied
       0

Role:

Kod:

subject gid users object gid hide type a mode n

A tu jest efekt z debiana:

Kod:

root@ns321124:/# chmod o-r /etc/passwd
root@ns321124:/# su - test
I have no name!@ns321124:~$

I pamietaj, ze ja nigdy nie krytykowalem Pax'a/Grse bo dla mnie jest to najlepsza rzecz jaka spotkala linuxa. Dziwi mnie do tej pory, ze tak wspaniale rozwiazanie nie jest zaimplementowane w ani jednej dystrybucji linuxa, a jest ich tyle, ze sie ich nie da zliczyc.

Ostatnio edytowany przez bryn1u (2015-03-27 08:35:12)

Jacekalex · 2015-03-27 10:20:03

Mozesz mi dac przyklad nakladania flagi na sztywno pod debianem dla nowo dodanego programu, ktorego PaX blokuje czyli mprotect ? Tak, zeby dzialal.

Polecenie paxctl z pakietu sys-apps/paxctl (Gentoo), tan modyfikuje nagłówek gnu-stack binarki, dodając tam swoje flagi.

Starsza, i już nie polecana metoda, obecny XATTR (polecenie paxctl-ng z paczki sys-apps/elfix )jest od niego o niebo wygodniejszy, potrafi równocześnie obsługiwać flagi PT i XT, jest też demon do automatycznego pilnowania flag paxa.

W Debianie? biorąc pod uwagę "wsparcie" Debiana do Grsec. to pewnie je trzeba dopiero skompilować do paczek debianowych, albo kombinować z repo tego Mempo Linuxa, który bazuje na Debianie.

I niczego w BSD nie krytykuję, raczej porównuję możliwości z moim systemem.

Klepanie konfigu z flagami dla programów, kiedy tego jest na dyziu kilkaset, po prostu bardzo kiepsko oceniam.
Może to jest specyfika mojego systemu, gdzie są zamknięte liby, np u mnie wsio, co wymaga Gtk, Qt czy OpenGL musi mieć zdjęty mprotect, żeby mogło wczytać biblioteki ze sterownika Nvidii.

Heh to pod FreeBSD jest dostepne i nie wymaga ani Grsec ani Pax'a.

Jak zapewne wiesz, w każdym Linuxie też jest i chmod, i także ACL, i tam się to robi.
Z /etc/passwd i /etc/group może być kłopot, bo prawie każdy program musi do niego zajrzeć, ale w nim nie ma paradoksalnie nic tajnego, chyba że tajne są nazwy użyszkodników systemowych.

Drogi Jacku czasami uwazam, ze jestes tak zadufany w grsec i innych rzeczach, ze nawet nie pamietasz albo nie chcesz pamietac co pisze/pisalem do ciebie. PRzykladem jest twoj pytanie o TPE. TPE pod FreeBSD jest od parunastu lat jak jest modul mac_bsdextended.
Przykładowo u mnie:

Mylisz pojęcia, TPE robi zupełnie coś innego, dotyczy uruchamiania binarek, a nie uprawnień do plików, to dwie rożne sprawy.

Np spróbuj ze Skypem, możesz go wypakować i uruchomić jako standardowy użyszkodnik na standardowym Linuxie z dowolnego folderu na dysku, a spróbuj go uruchomić w ten sposób przy TPE, jak nie należysz do grupy, która nadaje takie prawo.
To bardzo ważny mechanizm bezpieczeństwa, ale nie ma zbyt wiele wspólnego z systemem ACL, bo o prostu ACL dotyczy istniejących plików i folderów, a nie tych, które pacjent może sobie ściągnąć z netu i wypakować.

Zawadziłeś już w FBSD o system Mac - który jest systemem ACL, od TPE do ACL jest jeszcze kawał drogi, to są inne mechanizmy, które zajmują się innymi rzeczami.
W Linuxie za ACL może odpowiadać SELinux (globalnie lub per/program), Apparmor (per/program), Tomoyo (per/program), i Grsec-RBAC - globalnie.

Nie twierdzę, ze mac w FBSD ma jakieś wady, ale twierdzę, że pod względem złożoności zawadza o poziom SElinuxa, co nie oznacza bynajmniej, że czegoś w nim brakuje, czy czegoś w nim nie można zrobić.

Ostatnio edytowany przez Jacekalex (2015-03-27 10:29:47)

bryn1u · 2015-03-27 11:39:37

Moim zadniem. Skoro ja zrozumialem narzedzie ugidfw z mac_basdextended. To ty ze swoja wiedza bys to po prostu polknal, pisal regulki tak jak mowisz po polskiemu. W moim odczuciu, zobaczyles ten mechanizm "raz", przetworzyles, ze skladnia nie jest na wzor linuxa, grse i dlatego porownales do zlozonosci z SELinuxa. A ja ide o zaklad, ze jakbys wklepal to w konsole pare razy, zobaczyl jak dziala to bys sie w tym zakochal. A po drugie uwielbiam z toba dyskutowac na ten temat bo robi sie niezla lekturka. Wyniki z google juz prowadza do tego forum i tego tematu :D

Mylisz pojęcia, TPE robi zupełnie coś innego, dotyczy uruchamiania binarek, a nie uprawnień do plików, to dwie rożne sprawy.

[Gentoo Wiki]:

Trusted Path Execution (TPE) is a protection which restricts the execution of files under certain circumstances determined by their path. Using it will make privilege escalation harder when an account restricted by TPE is compromised as the attacker won't be able to execute custom binaries which are not in the trusted path.

Chyba rozumiem.

Za pomoca lekko zmodyfikowanej regulki, ktora napisalem wczesniej moge wylaczyc prawa wszystkim nowym/starym userom oraz rootowi np w jailu.

Kod:

ugidfw add subject not uid root gid exec object ! gid wheel:999 filesys /jails/Indyferentny type r mode arsw
ugidfw add subject uid root object ! gid wheel:999 filesys /jails/Indyferentny type r mode arsw

Blokuje wszystkim uzytkownikom i do tego root tez dochodzi. Z tego co wiem, zeby np "wylaczyc" roota pod LXC to trzeba go wyciac w RBAC'u (moge sie mylic)
Dodatkowe zabezpiecznie ktore jest w grsec dla chroot.

Kod:

ugidfw add subject not uid root gid 0 object filesys /jails/Indyferentny suid type a mode n

Czyli wszystko z +s (suid) nie ma zadnego prawa ! Czy przykladowy screen.

Powiedz mi jeszcze prosze co dokladnie mam uzyc pod gentoo, zeby te wszystkie flagi dzialaly. Olewam debiana na rzecz gentoo !

Ostatnio edytowany przez bryn1u (2015-03-27 11:41:22)

uzytkownikubunt · 2015-04-20 19:24:26

1867

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:16:21)

Yampress · 2015-05-05 21:01:08

This report covers FreeBSD-related projects between January and March 2015. This is the first of four reports planned for 2015.

http://www.freebsd.org/news/status/report-2015-01-2015-03.html

bryn1u · 2015-06-18 14:29:12

First Experimental OPNSense Images With HardenedBSD

Submitted by Shawn Webb on Wed, 06/10/2015 - 15:59
One month ago, we announced we were teaming up with OPNSense to provide HardenedBSD-flavored versions of their project. Work started with backporting our work from 11-CURRENT to 10-STABLE. We worked with Franco Fichtner, one of three people currently on the OPNSense core team, to enhance their build scripts. We received hardware donations from Netgate and Deciso. We fixed a number of bugs in secadm and backported Integriforce to 10-STABLE. This month sure has been a busy one.

We're excited to announce today the availability of the first experimental build of OPNSense based on top of HardenedBSD. It features every one of our great exploitation mitigation features and is built with Integriforce baked right in. Most of the network-aware applications are compiled as Position-Independent Executables (PIEs). Please note that since this is our first ever experimental build, we have not worked out binary upgrade paths just yet. You will likely need to do reinstalls for future builds. You can backup your configuration prior to reinstallation and restore the configuration post-installation.

There are two flavors for download: a generic build and a build for the Netgate RCC-VE 4860. The generic build will work on most standard appliances. The Netgate RCC-VE 4860 has a special build due to needing custom serial console settings. If you're not using the Netgate RCC-VE 4860, the generic build is for you.

You can find the builds here. Please note that these builds are experimental. They are not meant for production use. But that still hasn't stopped us from using it in production, since we like to eat our own dogfood. ;)

https://opnsense.org/about/about-opnsense/

Yampress · 2015-06-18 17:17:47

Powoli zbliża się wydanie FBSD 10.2 https://www.freebsd.org/releases/10.2R/schedule.html

uzytkownikubunt · 2015-06-19 17:39:20

2006

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:19:19)

uzytkownikubunt · 2015-07-09 11:21:18

2064

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:20:36)

Yampress · 2015-07-09 18:03:23

No aby nie było, że czerpie garściami, a nie daje nic.
Tyle dla M$ to grosze. Lepiej przyjąć dobrze znane już i zaadoptowane wszędzie rozwiązania , niż tworzyć nowe własne implementacje czegoś.

bryn1u · 2015-07-14 11:14:33

"Jest to najpewniej związane z rozpoczęciem dodawania oficjalnego wsparcia OpenSSH w PowerShellu."

http://osworld.pl/microsoft-zostal-zlotym-partnerem … d-foundation/

uzytkownikubunt · 2015-07-14 11:17:11

2072

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:20:46)

uzytkownikubunt · 2015-07-22 13:47:48

2087

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:05)

Jacekalex · 2015-07-22 17:27:44

uzytkownikubunt napisał(-a):
Jako, że zmniejszenie uprawnień będzie odbywało się na żądanie procesu programu którego dotyczy (z wewnątrz), nie jest więc to mechanizm podobny do znanych ze świata Linuksa systemów jak SELinux czy Apparmor, w których zasoby są ograniczane na żądanie z zewnątrz procesu którego dotyczą (administrator systemu przez narzędzia).

Dzisiejsze wypociny Pana U***buntu sponsorują:
Seccomp
Capsicum

Co wygrałem?
:D

Ostatnio edytowany przez Jacekalex (2015-07-22 17:28:42)

uzytkownikubunt · 2015-07-22 17:33:48

2088

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:06)

uzytkownikubunt · 2015-07-27 21:56:34

2099

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:20)

mati75 · 2015-08-13 11:00:33

10.2-RELEASE już na mirrorach:

http://ftp.freebsd.org/pub/FreeBSD/releases/ISO-IMAGES/10.2/

Yampress · 2015-08-13 18:37:42

mati75 napisał(-a):
10.2-RELEASE już na mirrorach:

http://ftp.freebsd.org/pub/FreeBSD/releases/ISO-IMAGES/10.2/

No 17.8 miało być planowane oficjalne wydanie. Więc pewnie synchronizują serwery obrazów.
https://www.freebsd.org/releases/10.2R/schedule.html
Szybko poszło, widoczenie żadnych problemów nie było. W końcu to nie żadne przełomowe wydanie tylko kontynuacja linii 10.

Upgrejt z 10.1 przeszedł bezboleśnie

root@freebsd:~ # uname -a
FreeBSD freebsd 10.2-RELEASE FreeBSD 10.2-RELEASE #0 r286666: Wed Aug 12 15:26:37 UTC 2015 root@releng1.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC amd64
root@freebsd:~ #

uzytkownikubunt · 2015-08-20 14:14:18

2147

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:22:20)

uzytkownikubunt · 2015-09-01 13:29:46

2178

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:23:00)

bryn1u · 2015-09-04 09:39:32

O w morde :)

http://osworld.pl/openbsd-pracuje-nad-wlasnym-hiperwizorem/

Ostatnio edytowany przez bryn1u (2015-09-04 09:41:08)

uzytkownikubunt · 2015-09-04 10:53:01

2192

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:23:17)

Jacekalex · 2015-09-04 18:14:02

Opis tego hyperwizora wskazuje, że jest mocno wzorowany na linuksowym KVM, ma praktycznie identyczne wymagania względem procka.

uzytkownikubunt · 2015-09-12 11:51:59

2224

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:24:00)

bryn1u · 2015-09-12 15:06:22

to wiecej niz w centos'ie :D

Forum Debian Users Gang

Ogłoszenie

#276 2015-03-27 07:03:48

bryn1u - Użytkownik

Re: Rozmowy o BSD

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

#277 2015-03-27 10:20:03

Jacekalex - Podobno człowiek...;)

Re: Rozmowy o BSD

#278 2015-03-27 11:39:37

bryn1u - Użytkownik

Re: Rozmowy o BSD

Kod:

Kod:

#279 2015-04-20 19:24:26

uzytkownikubunt - Zbanowany

Re: Rozmowy o BSD

#280 2015-05-05 21:01:08

Yampress - Imperator

Re: Rozmowy o BSD

#281 2015-06-18 14:29:12

bryn1u - Użytkownik

Re: Rozmowy o BSD

#282 2015-06-18 17:17:47

Yampress - Imperator

Re: Rozmowy o BSD

#283 2015-06-19 17:39:20

uzytkownikubunt - Zbanowany

Re: Rozmowy o BSD

#284 2015-07-09 11:21:18

uzytkownikubunt - Zbanowany

Re: Rozmowy o BSD

#285 2015-07-09 18:03:23

Yampress - Imperator

Re: Rozmowy o BSD

#286 2015-07-14 11:14:33

bryn1u - Użytkownik

Re: Rozmowy o BSD

#287 2015-07-14 11:17:11

uzytkownikubunt - Zbanowany

Re: Rozmowy o BSD

#288 2015-07-22 13:47:48

uzytkownikubunt - Zbanowany

Re: Rozmowy o BSD

#289 2015-07-22 17:27:44

Jacekalex - Podobno człowiek...;)

Re: Rozmowy o BSD

uzytkownikubunt napisał(-a):

#290 2015-07-22 17:33:48

uzytkownikubunt - Zbanowany

Re: Rozmowy o BSD

#291 2015-07-27 21:56:34

uzytkownikubunt - Zbanowany

Re: Rozmowy o BSD

#292 2015-08-13 11:00:33

mati75 - Psuj

Re: Rozmowy o BSD

#293 2015-08-13 18:37:42

Yampress - Imperator

Re: Rozmowy o BSD

mati75 napisał(-a):

#294 2015-08-20 14:14:18

uzytkownikubunt - Zbanowany

Re: Rozmowy o BSD

#295 2015-09-01 13:29:46

uzytkownikubunt - Zbanowany

Re: Rozmowy o BSD

#296 2015-09-04 09:39:32

bryn1u - Użytkownik

Re: Rozmowy o BSD

#297 2015-09-04 10:53:01

uzytkownikubunt - Zbanowany

Re: Rozmowy o BSD

#298 2015-09-04 18:14:02