Forum Debian Users Gang

Mati. Jeśli nie korzystasz z X to można. Ale jeśli nmasz X to po co? Wsjo współpracuje z HAL

Ja tam wole jak X wszystko załatwiają. Cokolwiek by to było :P czasy grzebania w kobnsoli o ja mam już za sobą. Kiedy wszyscy już mieli windows 95, a nawet przesiadali się na windows 98 , ja jeszcze grzebałem w m$dos 6.22
A na starość czlowiek wygodnieje.... I jedyne co umie to klikać. Poklikash?
Co by nie było w konsoli lubie konfigurować tylko system!

bryn1u napisał(-a):

Ohhh jakies zle doswiadczenia ? To musisz chyba sie wystrzec tez ASLR w FreeBSD, ktore zostalo wprowadzone przez Shawn'a, ktory rozwija projekt HardenedBSD i z tego projektu sa powoli wprowadzane wreszcie jakies rozwiazania jesli chodzi o exploity. Zreszta o ile dobrze kojarze to nawet PFsense tez korzysta juz z HardenedBSD.

Swego czasu Poul Henning-Kamp określił ASLR: Can we all agree now that ASLR is just "Security Through Obscurity" ? podając: https://www.vusec.net/projects/anc/

Odcinam się od tego sformułowania bo ekspertem od bezpieczeństwa z rangi "wielkich nazw" nie jestem, natomiast widzę problem w podstawach: typu zapominanie czy złe wykorzystywanie  chown, chmod - przez dużą część użytkowników Unixo-podobnych systemów.

mfm napisał(-a):

bryn1u napisał(-a):

Ohhh jakies zle doswiadczenia ? To musisz chyba sie wystrzec tez ASLR w FreeBSD, ktore zostalo wprowadzone przez Shawn'a, ktory rozwija projekt HardenedBSD i z tego projektu sa powoli wprowadzane wreszcie jakies rozwiazania jesli chodzi o exploity. Zreszta o ile dobrze kojarze to nawet PFsense tez korzysta juz z HardenedBSD.

Swego czasu Poul Henning-Kamp określił ASLR: Can we all agree now that ASLR is just "Security Through Obscurity" ? podając: https://www.vusec.net/projects/anc/

Odcinam się od tego sformułowania bo ekspertem od bezpieczeństwa z rangi "wielkich nazw" nie jestem, natomiast widzę problem w podstawach: typu zapominanie czy złe wykorzystywanie  chown, chmod - przez dużą część użytkowników Unixo-podobnych systemów.

Jezeli ASLR jest dla niego obscurity to po prostu kwalifikuje sie do takiego samego podejscia jak Torvalds w kwestii beczpieczenstwa, a pozniej wcyhodza expolity na linuxa jak do tej pory. Dirty Cow juz byl lata emu w linuxie tylko Torvalds sobie to odpuscil bo robilo sie zbyt skomplikowane wraz z rozwojem kernela. No i ostatnimi czasy problem powrocil. Zreszta mozna o tym pisac w nieskonczonosc.  Nie  wystrzegaj sie projektow w kwestii bezpieczenstwa bo to jest podstawa, przynajmniej dla mnie. Wspomniales o OpenBSD to popatrz nato:
http://hardenedbsd.org/content/easy-feature-comparison
Polecam tez projek Grsecurity za ktorym Torvalds nie przepada. Za to uzwyaja go firmy, ktore cenia sobie bezpieczenstwo. Byly exploity na cpanel i resszte kerneli z jakis rok temu. Standardowe kernele dystrybucyjne puszczaly atak a grseciurity ladnie blokowal, wiec naprawde nie rozumiem podejscia ludzi.

Jacekalex napisał(-a):

Polecam tez projek Grsecurity za ktorym Torvalds nie przepada. Za to uzwyaja go firmy, ktore cenia sobie bezpieczenstwo. Byly exploity na cpanel i resszte kerneli z jakis rok temu. Standardowe kernele dystrybucyjne puszczaly atak a grseciurity ladnie blokowal, wiec naprawde nie rozumiem podejscia ludzi.

Linus T> nie ma nic do przepadania, bo w kwestii bezpieczeństwa ma niewiele do gadania.
Głównym sponsorem projektu Linux Kernel jest Red Hat, który jest genetycznie zrośnięty z NSA, włączenie łątki Grsecurity do kernela jest jednoznaczne z końcem sponsoringu ze strony RH.
Dlatego import funkcji grsec/pax do kernela odbywa się stopniowo, Linus nie bierze w tym udziału, ale też nie przeszkadza, kiedy zespól Kernel Self Protection Project opracowuje różne łatki bezpieczeństwa, czego rezultatem jest np:

Kod:

CONFIG_HARDENED_USERCOPY

będący implementacją PAX_USERCOPY w kernelu.

Znajdz sobie co odpowiedzial Torvalds zepolowi PaxTeam na pytanie dlaczego nie chce wdrozyc grsecurity w kernelu to zobaczysz czy rzeczywiscie ma niewiele do gadania.

bryn1u napisał(-a):

Jezeli ASLR jest dla niego obscurity to po prostu kwalifikuje sie do takiego samego podejscia jak Torvalds w kwestii beczpieczenstwa, a pozniej wcyhodza expolity na linuxa jak do tej pory.

Nie chcę bronić phk, natomiast nie wstawiałbym autora jaili do butów w których chodzi Linus Torvalds.

W 2006 r. Kristaps Dzonsons zaproponował w OpenBSD mechanizm sysjail czyli klona jaili opartego o bibliotekę systrace Nielsa Provosa. W 2007 roku programista Robert N. M. Watson opublikował artykuł pt. Exploiting Concurrency Vulnerabilities in System Call Wrappers [w:] http://www.watson.org/~robert/2007woot/2007usenixwo … ncurrency.pdf w którym udowodnił, iż podłoże sysjaila jest dziurawe - projekt został szybko wygaszony przez OpenBSD jak i NetBSD.

Nadmienić też muszę, że Watson razem z Kampem brał udział w tworzeniu jaili, a od kwietnia 1999 r. nikt nie wykazał w żadnym dokumencie dziur w celach, na tej samej zasadzie co Watson uczynił z sysjailami.

Kernel FreeBSD oferuje od dawna mechanizmy obrony / te ustawia się w pliku sysctl.conf / a które od wersji 11 w instalatorze są bardziej eksponowane jak:

    Hide processes running as other users = security.bsd.see_other_uids
    Hide processes running as other groups = security.bsd.see_other_gids
    Disable reading kernel message buffer for unprivileged users = security.bsd.unprivileged_read_msgbuf
    Disable process debugging facilities for unprivileged users = security.bsd.unprivileged_proc_debug
    Randomize the PID of newly created processes = kern.randompid
    Insert stack guard page ahead of the growable segments = security.bsd.stack_guard_page

Ostatnio edytowany przez mfm (2017-03-07 11:22:59)

bryn1u napisał(-a):

Co do jaili to byl tez exploitm ktory pozwolil wyjsc z jaila . Co prawda dawno dawno temu, ale byl.

Mowa o Security Advisory z grudnia 2008 r. o numerze FreeBSD-SA-08:13 i nie było to związanie z błędem w kodzie tworzącym jaile,  a z jednym modułów netgrapha(4) - konkretnie z bugiem w stosie ng_bluetootha(4), tzn. jeżeli miałeś system  na którym były postawione cele i kernel miał załadowane moduły ng_socket(4) i ng_bluetooth(4) a pakiety sieciowe przepuszczałeś na linii cele <---> host przez netgrapha to mogło dojść do eskalacji przywilejów.

Niemniej taka konfiguracja cel nie była zalecana wtenczas [i nie jest obecnie], jak to Watson stwierdził: In the default FreeBSD jail configuration, it is not possible to break out of jails with this vulnerability, but if the setting to allow additional protocol access from jails is enabled, then it is possible. Changing that setting is generally not considered advisable because it allows use of protocols not specifically adapted for use in Jail.

Co nie oznacza, że należy zapomnieć o netgraphie. Jest to bardzo użyteczne środowisko,  ale tylko do zastosowań testowych, nauki budowania rozległych połączeń i sprawdzania różnych protokołów. Można dokładnie przyglądać się obciążeniu cel w praktyce np. jak radzą sobie z przetwarzaniem baz SQL i obsługą zapytań w sieci. Osobiście ze względów bezpieczeństwa nie radziłbym stosowania łączności netgraphem w środowisku produkcyjnym.

Przyszłością na tym polu będzie vnet(9), ale zapewne nie prędko się to stanie.

bryn1u napisał(-a):

@mfm
Tak miedzy niebem a prawda to obrona w FreeBSD przeciwko exploitom w ogole nie istnieje. To co wkleiles ma sie nijak do obrony przeciwko exploitom.  Jezeli chcesz cos co naprawde dziala przeciwko expolityzacji to jest HardenedBSD, niestety FreeBSD lezy i kwiczy przy tych technologiach. Jezeli bedzie dziura w kernelu FreeBSD to nic nie zrobisz. Oczywiscie nic nie ujmujac FreeBSD.

bryn1u - irytuje mnie cały ten hype związany z "security", miesza się często pojęcia, bez wiedzy i dobrego wyjaśnienia, co z czym się łączy i na czym polega. To że coś funkcjonuje np. w OpenBSD, nie znaczy że będzie tak samo dobrze funkcjonować w FreeBSD.
Zasada funkcjonowania jądra nie jest znana każdemu, a lektura kodu źródłowego i zrozumienie jego zawiłości wymaga wiedzy i możliwości intelektualnych, tłumaczenie z tego poziomu bywa nudne dla większości, inaczej się ma z cudownymi rozwiązaniami do przeciwdziałania "exploitowalności", podaje się systemy A, B, Z, Y, które gdy są powłączane robią z sytemu fortecę.

Francuzi budowali od lat 20'tych potężną linię obronną, którą nazwali Maginota, tam gdzie się znajdowała atakujący poległby marnie, niemniej Niemcy postanowili obejść ją przez... neutralną Belgię - francuzom myśl o pogwałceniu neutralności cudzego państwa przez głowę by nie przeszła, zatem też nie umieścili na granicy z Belgią praktycznie żadnych umocnień.

Pierwsza zasada budowania bezpiecznych systemów jest taka, że nie mówisz potencjalnemu atakującemu, gdzie stawiasz i jakie stawiasz zasieki. Warto poczytać klasyka w postaci Clausewitza by to zrozumieć. Bo odgórna zasada obrony przed zagrożeniami bywa sprowadzona do taktyk obronnych, a nie jak powinno być do całej strategii.

Ostatnio edytowany przez mfm (2017-03-07 15:08:01)

bryn1u - OpenBSD bardzo sobie cenię. Pod względem jakości jest to najlepszy projekt z rodziny BSD - przypomina mi w każdym miejscu Solarisa, firmy Sun Microsystems.
Od zawsze stawiają na minimalizm, prostotę, czytelność.

FreeBSD wykonuje robotę, którą mu nakazuję, natomiast mam wrażenie graniczące z pewnością, że z wersji na wersję robi się on coraz grubszy :)

Temat bezpieczeństwa zostawiam do oceny własnej.

Pozdrawiam

Ostatnio edytowany przez mfm (2017-03-07 19:50:21)

Nie mogę uzyskać wyższej rozdzielczości niż 1024x768 na FreeBSD pod VirtualBox. Już wszystkie sposoby z sieci sprawdziłem, na KDE 5 Plasma, Gnome i LXQT. Jakieś pomysły jak to uzyskać?

Zrezygnowałem z tego systemu, potem zainstalowałem OpenBSD i jak widać 10GB na ten system to za mało. Ponieważ po zainstalowaniu Xfce4 zapchał się /usr/local i zbrakło mu miejsca na instalowanie innych programów. Trochę głupio ten automat podziału partycji dysku w OpenBSD wydziela sobie miejsce.

Wiem, ale ja zrobiłem tak jak w poradniku na youtube i wybrałem ten systemowy podział partycji dysku. Kiedyś miałem taki sam problem z /usr/local w NetBSD, tylko FreeBSD jest na to odporny i jakoś sensownie dzieli dysk. Gdy szukałem rozwiązania, gdzie jest ponad dwadzieścia komend, montowania partycji i zmiana /usr/local, to taki problem wystąpił u gościa na 120GB dysku.

Yampress napisał(-a):

[...]

Tak właściwie po co instalujesz takie systemy? Aby się komuś pochwalić?

Takie czasy, już Kali nie wystarczy bo wszyscy początkujący od niego zaczynają. Ja zaczynałem od Mandrake'a, teraz to byłby obciach.

Ja od 8.0, fajnie, że ktoś jeszcze pamięta to distro, mało tego, nie wstydzi się przyznać do takiego lamerskiego distro ;-)