Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#276  2015-03-27 07:03:48

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Rozmowy o BSD

@Jacku

Mozesz mi dac przyklad nakladania flagi na sztywno pod debianem dla nowo dodanego programu, ktorego PaX blokuje czyli mprotect ? Tak, zeby dzialal.

Kod:

root@ns321124:/usr/src/linux_grsec# cat .config | grep CONFIG_PAX_PT_PAX_FLAGS
CONFIG_PAX_PT_PAX_FLAGS=y

I co ja mam z tym zrobic teraz ?

Drogi Jacku czasami uwazam, ze jestes tak zadufany w grsec i innych rzeczach, ze nawet nie pamietasz albo nie chcesz pamietac co pisze/pisalem do ciebie. PRzykladem jest twoj pytanie o TPE. TPE pod FreeBSD jest od parunastu lat jak jest modul mac_bsdextended.
Przykładowo u mnie:

Kod:

ugidfw add subject not uid root gid exec object ! gid wheel:999 type r mode arsw

Znaczenie regulki:
Uzytkownik nie bedacy rootem nie nalezacy do grupy exec, probujacy sie dostac do plikow, ktorye nie naleza do grup z przedzialu od 0:999. Dostaja typ r (binarki), mode uprawnienia arsw:

a administrative operations (przenoszenie, kopiowanie itd)
                                      r      read access                      (czytanie)
                                      s      access to file attributes     (dostep do atrybutow)
                                      w      write access                    (zapisywac)
                                      x      execute access                (wykonywac)
                                      n      none

W skorcie. Jezeli nie jestes dodany do grupy exec (twoj odpowiednik grupy TPE) nie mozesz odpalac wlasnych programow itd. Pliki systemowe UNIX zaczynaja sie od 0 do 999, czyli userzy moga uzywac tylko programow zainstalowanych przez roota !

możliwość dokładnego zdefiniowane, co dany program może otworzyć, a także np ile pamięci i czasu procesora może użyć (limity zgodne z ulimit, ale lichsze, niż przez cgroup), to wszystko dostępne z poziomu tylko powyżej roota, bo nawet root nie może choćby zajrzeć do polityki grsec, jeśli nie zaloguje się do roli admina w gradm.

Heh to pod FreeBSD jest dostepne i nie wymaga ani Grsec ani Pax'a.

Za pomoca chflags admina w jailu mozesz tak ograniczyc, ze nie bedzie mogl nawet zmieniac podstawowych atrybutow na plikach z nalozonym kernsecure na poziomie 3. A jakby sie ktos wlamal to pozostaje mu popatrzec i wyjsc.

Kod:

ugidfw add subject gid users object gid wheel type d mode sx

Trzymam userow zawsze w grupie users. Kazdy dodany do tej grupy musi przestrzegac roles mac.
Znaczenie regulki:
Uzytkownicy nalezacy do grupy users probujacy sie dostac do folderow nalezacych do grupy wheel dostaja uprawnienia sx. A efekt jest taki:

Kod:

bryn1u@Proton.edu.pl:[~]:$> ls /
ls: /: Permission denied
bryn1u@Proton.edu.pl:[~]:$> ls /etc
ls: /etc: Permission denied
bryn1u@Proton.edu.pl:[~]:$> ls /boot
ls: /boot: Permission denied
bryn1u@Proton.edu.pl:[~]:$> ls /root
ls: /root: Permission denied
bryn1u@Proton.edu.pl:[~]:$> ls /etc/ssh
ls: /etc/ssh: Permission denied

w poprzedniej regulce type r oznaczal binarki a tutaj type d oznacza foldery

The rule will apply only to objects matching
                                all the specified conditions.  A leading not
                                means that the object should not match all the
                                remaining conditions.  A condition may be
                                prefixed by ! to indicate that particular
                                condition must not match the object.  Objects
                                can be required to be owned by the user and/or
                                group specified by uid and/or gid.  A range of
                                uids/gids can be specified, separated by a
                                colon.  The object can be required to be in a
                                particular filesystem by specifying the
                                filesystem using filesys.  Note, if the
                                filesystem is unmounted and remounted, then
                                the rule may need to be reapplied to ensure
                                the correct filesystem id is used.  The object
                                can be required to have the suid or sgid bits
                                set.  The owner of the object can be required
                                to match the uid_of_subject or the
                                gid_of_subject attempting the operation.  The
                                type of the object can be restricted to a
                                subset of the following types.

                                      a      any file type
                                      r      a regular file
                                      d      a directory
                                      b      a block special device
                                      c      a character special device
                                      l      a symbolic link
                                      s      a unix domain socket
                                      p      a named pipe (FIFO)

                   mode arswxn  Similar to chmod(1), each character represents
                                an access mode.  If the rule applies, the
                                specified access permissions are enforced for
                                the object.  When a character is specified in
                                the rule, the rule will allow for the
                                operation.  Conversely, not including it will
                                cause the operation to be denied.  The
                                definitions of each character are as follows:

                                      a      administrative operations
                                      r      read access
                                      s      access to file attributes
                                      w      write access
                                      x      execute access
                                      n      none

           remove rulenum
                   Disable and remove the rule with the specified rule number.

SEE ALSO
     mac_bsdextended(4), mac(9)

HISTORY
     The ugidfw utility first appeared in. FreeBSD 5.0

FreeBSD 5.0 - jakis 2003 rok. Takie rozwiazanie jest natywnie od 12 lat !

Zrob to pod linuxem dla grupy nie usera na /etc/passwd

Kod:

bryn1u@Proton.edu.pl:[~]:$> ls -lo /etc/passwd
ls: /etc/passwd: Permission denied
bryn1u@Proton.edu.pl:[~]:$> cat /etc/passwd
cat: /etc/passwd: Permission denied
bryn1u@Proton.edu.pl:[~]:$> cat /etc/passwd | wc -l
cat: /etc/passwd: Permission denied
       0

Role:

Kod:

subject gid users object gid hide type a mode n

A tu jest efekt z debiana:

Kod:

root@ns321124:/# chmod o-r /etc/passwd
root@ns321124:/# su - test
I have no name!@ns321124:~$

I pamietaj, ze ja nigdy nie krytykowalem Pax'a/Grse bo dla mnie jest to najlepsza rzecz jaka spotkala linuxa. Dziwi mnie do tej pory, ze tak wspaniale rozwiazanie nie jest zaimplementowane w ani jednej dystrybucji linuxa, a jest ich tyle, ze sie ich nie da zliczyc.

Ostatnio edytowany przez bryn1u (2015-03-27 08:35:12)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

#277  2015-03-27 10:20:03

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Rozmowy o BSD

Mozesz mi dac przyklad nakladania flagi na sztywno pod debianem dla nowo dodanego programu, ktorego PaX blokuje czyli mprotect ? Tak, zeby dzialal.

Polecenie paxctl z pakietu sys-apps/paxctl (Gentoo), tan modyfikuje nagłówek gnu-stack binarki, dodając tam swoje flagi.

Starsza, i już nie polecana metoda, obecny XATTR  (polecenie paxctl-ng  z paczki sys-apps/elfix )jest  od niego o niebo wygodniejszy, potrafi równocześnie obsługiwać flagi PT i XT,  jest też demon do automatycznego pilnowania flag paxa.

W Debianie? biorąc pod uwagę "wsparcie" Debiana do Grsec. to pewnie je trzeba dopiero skompilować do paczek debianowych, albo kombinować z repo tego Mempo Linuxa, który bazuje na Debianie.

I niczego w BSD nie krytykuję, raczej porównuję możliwości z moim systemem.

Klepanie konfigu z flagami dla programów, kiedy tego jest na dyziu kilkaset, po prostu bardzo kiepsko oceniam.
Może to jest specyfika mojego systemu, gdzie są zamknięte liby, np u mnie wsio, co wymaga Gtk, Qt czy OpenGL musi mieć zdjęty mprotect, żeby mogło wczytać biblioteki ze sterownika Nvidii.

Heh to pod FreeBSD jest dostepne i nie wymaga ani Grsec ani Pax'a.

Jak zapewne wiesz, w każdym Linuxie też jest i chmod, i także ACL, i tam się to robi.
Z /etc/passwd i /etc/group  może być kłopot, bo prawie każdy program musi do niego zajrzeć, ale w nim nie ma paradoksalnie nic tajnego, chyba że tajne są nazwy użyszkodników systemowych.

Drogi Jacku czasami uwazam, ze jestes tak zadufany w grsec i innych rzeczach, ze nawet nie pamietasz albo nie chcesz pamietac co pisze/pisalem do ciebie. PRzykladem jest twoj pytanie o TPE. TPE pod FreeBSD jest od parunastu lat jak jest modul mac_bsdextended.
Przykładowo u mnie:

Mylisz pojęcia, TPE robi zupełnie coś innego, dotyczy uruchamiania binarek, a nie uprawnień do plików, to dwie rożne sprawy.

Np spróbuj ze Skypem, możesz go wypakować i uruchomić jako standardowy użyszkodnik na standardowym Linuxie z dowolnego folderu na dysku, a spróbuj go uruchomić w ten sposób przy TPE, jak nie należysz do grupy, która nadaje takie prawo.
To bardzo ważny mechanizm bezpieczeństwa, ale nie ma zbyt wiele wspólnego z systemem ACL, bo o prostu ACL dotyczy istniejących plików i folderów, a nie tych, które pacjent może sobie ściągnąć z netu i wypakować.

Zawadziłeś już w FBSD o system Mac - który jest systemem ACL, od TPE do ACL jest jeszcze kawał drogi, to są inne mechanizmy, które zajmują się innymi rzeczami.
W Linuxie za ACL może odpowiadać SELinux (globalnie lub per/program), Apparmor (per/program), Tomoyo (per/program), i Grsec-RBAC - globalnie.

Nie twierdzę, ze mac w FBSD ma jakieś wady, ale twierdzę, że pod względem złożoności zawadza o poziom  SElinuxa, co nie oznacza bynajmniej, że czegoś w nim brakuje, czy czegoś w nim nie można zrobić.

Ostatnio edytowany przez Jacekalex (2015-03-27 10:29:47)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#278  2015-03-27 11:39:37

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Rozmowy o BSD

Moim zadniem. Skoro ja zrozumialem narzedzie ugidfw z mac_basdextended. To ty ze swoja wiedza bys to po prostu polknal, pisal regulki tak jak mowisz po polskiemu. W  moim odczuciu, zobaczyles ten mechanizm "raz", przetworzyles, ze skladnia nie jest na wzor linuxa, grse i dlatego porownales do zlozonosci z SELinuxa. A ja ide o zaklad, ze jakbys wklepal to w konsole pare razy, zobaczyl jak dziala to bys sie w tym zakochal. A po drugie uwielbiam z toba dyskutowac na ten temat bo robi sie niezla lekturka. Wyniki z google juz prowadza do tego forum i tego tematu :D

Mylisz pojęcia, TPE robi zupełnie coś innego, dotyczy uruchamiania binarek, a nie uprawnień do plików, to dwie rożne sprawy.

[Gentoo Wiki]:

Trusted Path Execution (TPE) is a protection which restricts the execution of files under certain circumstances determined by their path. Using it will make privilege escalation harder when an account restricted by TPE is compromised as the attacker won't be able to execute custom binaries which are not in the trusted path.

Chyba rozumiem.

Za pomoca lekko zmodyfikowanej regulki, ktora napisalem wczesniej moge wylaczyc prawa wszystkim nowym/starym userom oraz rootowi np w jailu.

Kod:

ugidfw add subject not uid root gid exec object ! gid wheel:999 filesys /jails/Indyferentny type r mode arsw
ugidfw add subject uid root object ! gid wheel:999 filesys /jails/Indyferentny type r mode arsw

Blokuje wszystkim uzytkownikom i do tego root tez dochodzi. Z tego co wiem, zeby np "wylaczyc" roota pod LXC to trzeba go wyciac w RBAC'u (moge sie mylic)
Dodatkowe zabezpiecznie ktore jest w grsec dla chroot.

Kod:

ugidfw add subject not uid root gid 0 object filesys /jails/Indyferentny suid type a mode n

Czyli wszystko z +s (suid) nie ma zadnego prawa ! Czy przykladowy screen.

Powiedz mi jeszcze prosze co dokladnie mam uzyc pod gentoo, zeby te wszystkie flagi dzialaly. Olewam debiana na rzecz gentoo !

Ostatnio edytowany przez bryn1u (2015-03-27 11:41:22)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

#279  2015-04-20 19:24:26

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

1867

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:16:21)

Offline

 

#280  2015-05-05 21:01:08

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Rozmowy o BSD

This report covers FreeBSD-related projects between January and March 2015. This is the first of four reports planned for 2015.

http://www.freebsd.org/news/status/report-2015-01-2015-03.html

Offline

 

#281  2015-06-18 14:29:12

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Rozmowy o BSD

First Experimental OPNSense Images With HardenedBSD

Submitted by Shawn Webb on Wed, 06/10/2015 - 15:59
One month ago, we announced we were teaming up with OPNSense to provide HardenedBSD-flavored versions of their project. Work started with backporting our work from 11-CURRENT to 10-STABLE. We worked with Franco Fichtner, one of three people currently on the OPNSense core team, to enhance their build scripts. We received hardware donations from Netgate and Deciso. We fixed a number of bugs in secadm and backported Integriforce to 10-STABLE. This month sure has been a busy one.

We're excited to announce today the availability of the first experimental build of OPNSense based on top of HardenedBSD. It features every one of our great exploitation mitigation features and is built with Integriforce baked right in. Most of the network-aware applications are compiled as Position-Independent Executables (PIEs). Please note that since this is our first ever experimental build, we have not worked out binary upgrade paths just yet. You will likely need to do reinstalls for future builds. You can backup your configuration prior to reinstallation and restore the configuration post-installation.

There are two flavors for download: a generic build and a build for the Netgate RCC-VE 4860. The generic build will work on most standard appliances. The Netgate RCC-VE 4860 has a special build due to needing custom serial console settings. If you're not using the Netgate RCC-VE 4860, the generic build is for you.

You can find the builds here. Please note that these builds are experimental. They are not meant for production use. But that still hasn't stopped us from using it in production, since we like to eat our own dogfood. ;)


https://opnsense.org/about/about-opnsense/


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

#282  2015-06-18 17:17:47

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Rozmowy o BSD

Powoli zbliża się wydanie FBSD 10.2 https://www.freebsd.org/releases/10.2R/schedule.html

Offline

 

#283  2015-06-19 17:39:20

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

2006

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:19:19)

Offline

 

#284  2015-07-09 11:21:18

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

2064

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:20:36)

Offline

 

#285  2015-07-09 18:03:23

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Rozmowy o BSD

No aby nie było, że czerpie garściami, a  nie daje nic.
Tyle dla M$ to grosze. Lepiej przyjąć dobrze znane już i zaadoptowane wszędzie rozwiązania , niż tworzyć nowe własne implementacje czegoś.

Offline

 

#286  2015-07-14 11:14:33

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Rozmowy o BSD

"Jest to najpewniej związane z rozpoczęciem dodawania oficjalnego wsparcia OpenSSH w PowerShellu."


http://osworld.pl/microsoft-zostal-zlotym-partnerem … d-foundation/


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

#287  2015-07-14 11:17:11

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

2072

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:20:46)

Offline

 

#288  2015-07-22 13:47:48

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

2087

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:05)

Offline

 

#289  2015-07-22 17:27:44

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Rozmowy o BSD

uzytkownikubunt napisał(-a):

Jako, że zmniejszenie uprawnień będzie odbywało się na żądanie procesu programu którego dotyczy (z wewnątrz), nie jest więc to mechanizm podobny do znanych ze świata Linuksa systemów jak SELinux czy Apparmor, w których zasoby są ograniczane na żądanie z zewnątrz procesu którego dotyczą (administrator systemu przez narzędzia).

Dzisiejsze wypociny Pana U***buntu sponsorują:
Seccomp
Capsicum

Co wygrałem?
:D

Ostatnio edytowany przez Jacekalex (2015-07-22 17:28:42)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#290  2015-07-22 17:33:48

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

2088

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:06)

Offline

 

#291  2015-07-27 21:56:34

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

2099

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:20)

Offline

 

#292  2015-08-13 11:00:33

  mati75 - Psuj

mati75
Psuj
Skąd: masz ten towar?
Zarejestrowany: 2010-03-14

Re: Rozmowy o BSD


https://l0calh0st.pl/obrazki/userbar.png

Offline

 

#293  2015-08-13 18:37:42

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Rozmowy o BSD

mati75 napisał(-a):

10.2-RELEASE już na mirrorach:

http://ftp.freebsd.org/pub/FreeBSD/releases/ISO-IMAGES/10.2/

No 17.8  miało być planowane oficjalne wydanie. Więc pewnie synchronizują serwery obrazów.
https://www.freebsd.org/releases/10.2R/schedule.html
Szybko poszło, widoczenie żadnych problemów nie było. W końcu to nie żadne przełomowe wydanie tylko kontynuacja linii 10.


Upgrejt z 10.1 przeszedł bezboleśnie

root@freebsd:~ # uname -a
FreeBSD freebsd 10.2-RELEASE FreeBSD 10.2-RELEASE #0 r286666: Wed Aug 12 15:26:37 UTC 2015     root@releng1.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC  amd64
root@freebsd:~ #

Offline

 

#294  2015-08-20 14:14:18

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

2147

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:22:20)

Offline

 

#295  2015-09-01 13:29:46

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

2178

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:23:00)

Offline

 

#296  2015-09-04 09:39:32

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Rozmowy o BSD

O w morde :)

http://osworld.pl/openbsd-pracuje-nad-wlasnym-hiperwizorem/

Ostatnio edytowany przez bryn1u (2015-09-04 09:41:08)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

#297  2015-09-04 10:53:01

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

2192

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:23:17)

Offline

 

#298  2015-09-04 18:14:02

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Rozmowy o BSD

Opis tego hyperwizora wskazuje, że jest mocno wzorowany na linuksowym KVM, ma praktycznie identyczne wymagania względem procka.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#299  2015-09-12 11:51:59

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

2224

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:24:00)

Offline

 

#300  2015-09-12 15:06:22

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Rozmowy o BSD

to wiecej niz w centos'ie :D


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)