Конечно. Юниксовая модель «безопасности» устарела лет 20 назад, поэтому на неё пытаются навесить всякие костыли типа selinux.

Толсто. Пропустил в начале цитаты «Personally, my philosophy is»

Where there is a shell, there is a way.

прочитал на валлпапере

Почему толсто-то? Я черным по белому указал, что это не общепризнанная точка зрения, а всего лишь мнение одного из ключевых разработчиков ядра.

Правильно. Давайте запускать все сервисы от рута!!!

«Правильно. Давайте логинить всех пользователей сразу с правами рута!!!» Починил. Речь не о сервисах, а о шелл-доступе.

Юниксовая модель «безопасности» устарела лет 20 назад

Речь в топике совсем не об этом, там про дыры.

Про то, что от потенциальных атак данного типа нет эффективной защиты. Вот если бы каждый шелл запускался внутри VM, на подобии OpenVZ, это было бы куда более надёжно.

А этот ключевой разработчик написал, что это не факт о ядре линукс, а его философия :)

от потенциальных атак данного типа

Я читал пост, кмк, там было немного о другом. Я так понял о слабой защите ядра от вредоносных процессов.

И много ты встречал не персональных систем с шареным доступом?

Ядро пытается защищать дырявые юзерспейсные процессы от эксплоитов посредством http://en.wikipedia.org/wiki/Address_space_layout_randomization

Тед обсуждает предсказуемость рандомизации, и говорит, что если злоумышленник для предсказания использует шелл-доступ, то система и так по уши в дерьме, и можно уже особо не напрягаться.

Тед обсуждает предсказуемость рандомизации, и говорит, что если злоумышленник для предсказания использует шелл-доступ, то система и так по уши в дерьме, и можно уже особо не напрягаться.

то есть наличие серверов с тысячами пользователей он вообще не рассматривает? попахивает администраторами локалхоста

Она не устарела, а стала малоприменимой. Никто больше не сидит на мейнфреймах под множеством логинов, и локальная безопасность нужна только чтобы ты и твоя программа случайно не удалили системные данные, которые только вам же и нужны. Сейчас важна только сетевая безопасность, т.к. доверять удаленной железке нельзя — даже самые огороженные системы джейлбрейкают при наличии физического доступа.

жесть какая

Пример таких серверов с тысячами локальных пользователей?

корпоративный, учебный (типа mit.edu), шаред хостинг.

И что, ни разу этот хостинг не ломался от свежего эксплойта?

Почему толсто-то?

знает двое - знает свинья(с)
Так что логин «root», пароль «qwert» наш выбор, а безопасность миф и не нужна.

ломался конечно, но это не повод забивать на локальную безопасность.

Про то, что от потенциальных атак данного типа нет эффективной защиты.

Эффективная защита есть - сперва обосновать алгоритм, и лишь потом его реализовывать. Но вот только большинство кодеров так не умеют.

нужна только чтобы ты и твоя программа случайно не удалили системные данные

и чтобы не подсадить руткита

Обосновать перед кем? Перед АНБ? Они то одобрят, да.

Зато в других ОС «obscurity is not security».

Не надо ничего скачивать с интернета недоверенного неподписанного и запускать. Есть же нормальные магазины с софтом.

У меня есть юзерский доспуп к одному серверу. Как мне получить рута?

Как мне получить рута?

Использовать незакрытую local root уязвимость.

Для этого либо админ сервера должен быть ленивым и своевременно не закрывать публично известные дырки (так что тебе остается нагуглить готовый эксплоит для этой дырки).

Либо атакующий должен знать zero-day дырку (так что секюрити патчей для нее в принципе еще не существует). Говорят, инфу о таких дырках можно купить за большие деньги, если знать продавцов. Мякотка в том, что с завидной регулярностью становится известно о всё новых local root уязвимостях. Поэтому можно не сомневаться, что их есть куча еще не опубликованных и не пропатченных.

Вот тебе конкретика: http://www.win.tue.nl/~aeb/linux/hh/hh-12.html

SELinux - поднятие прав до рута возможно, но для поднятия уровня привилегий контекста/роли - нетривиально для эксплойтов (хотя и возможно).

Дыры в браузерах уже отменили?

то есть наличие серверов с тысячами пользователей он вообще не рассматривает? попахивает администраторами локалхоста

Плюсую. Я вот помню хостинговый кластер Network Solutions с одним IP (уже вроде не один) на котором висело 230 тысяч доменов. И я почти уверен, что все 230 тысяч висели на одном кластере под линуксом.

Самое забавное, что там с правами не заморачивались (читать можно было почти везде и все), и просто наделали (а может они были чисто виртуальные) пару лямов сабдиректорий на каждый аккуант и даже отпарсить это было нереально.

Пример таких серверов с тысячами локальных пользователей?

ibilio.org

У меня есть системы, где у root (uid=0) нет пароля. То есть совсем нет root:*:0:0:….

И это во многих случаях безопасней.

Это стеб такой, да?

не. имел в виду ibiblio.org

там туча народу имеет шелл.

на подобии OpenVZ

В смысле? Шелл запускался на аналоге OpenVZ? Или шелл запускался, как это делает OpenVZ?

root:*:0:0:….

Тогда уж, root:!:0:0:…., ну или root::0:0:…., на худой конец

Плюсую. Я вот помню хостинговый кластер Network Solutions с одним IP (уже вроде не один) на котором висело 230 тысяч доменов. И я почти уверен, что все 230 тысяч висели на одном кластере под линуксом.

да их очень много таких, я видел несколько хостеров которые вешают десятки тысяч доменов на один сервер/кластер.
после выхода какого-то нового эксплойта дающего локалрут, становится очень весело на таких системах :(

но ведь это не спасет от локалрут эксплоитов, о которых идет речь.

Звездочка означает отключение аутентификации по паролю. Некорректно заполненное поле — это немного другое.

но ведь это не спасет от локалрут эксплоитов

Нет, не спасет. Это для других случаев и обычно других систем, не Линукс.

Мякотка в том, что с завидной регулярностью становится известно о всё новых local root уязвимостях

«Завидной» - это каждый год? А Тед Тсо просто отмазывается.

«Завидной» - это каждый год?

поверь, этого достаточно.
а в особо урожайный год выпадает аж по два паблик сплойта

этого достаточно.

Достаточно для чего? И даже если «достаточно для всего», фраза Тсо должна была звучать «у нас в ядре столько дыр, что для эскалации привилегий достаточно шелл-доступа». Однако он этого не сказал.

Достаточно для чего?

чтобы поиметь крупные системы с десятками тысяч юзеров.

фраза Тсо должна была звучать «у нас в ядре столько дыр, что для эскалации привилегий достаточно шелл-доступа». Однако он этого не сказал.

после высказывания из сабжа лично я его всерьез не воспринимаю :)

Достаточно для чего?

чтобы поиметь крупные системы с десятками тысяч юзеров.

Я полагаю, что такие системы предпринимают какие-то проактивные меры.

после высказывания из сабжа лично я его всерьез не воспринимаю :)

Да ладнно, просто занесло мужика :)

Я полагаю, что такие системы предпринимают какие-то проактивные меры.

не спасает. крутые сплойты обходят и grsec, и selinux =(

Трижды крутой «сплойт» (мля, что за колхозное слово) не обойдет отключенный механизм загрузки модулей, а с ним у нас остается всего лишь рут в юзерспейсе, которого SELinux как минимум отчасти сдерживает.

«сплойт» (мля, что за колхозное слово)

извиняюсь.

не обойдет отключенный механизм загрузки модулей,

само собой, но речь идет о более менее дефолтных дистрибутивах (гента в том числе)

которого SELinux как минимум отчасти сдерживает.

selinux даже публичный abftw.c обходил. а уж закрытая версия..

selinux даже публичный abftw.c обходил

Кхм. Еще раз: SELinux не помешает получить рута, он его (отчасти или полностью) сдержит потом.

В общем случае не следует рассчитывать на это