от пробоя системы защищает NX на х86 или армы. и строгое правило - все что exec то readonly, что что не readonly, то не exec.

и загрузил ты в стек троян, получил исключение защиты на обращении к нему, заставил юзера плакать. молодец. но данные целы.

Странно, в iptables можно что по оунеру, что по группе, что по пиду матчить.

в свежих ядрах же нельзя?

Он врёт и не краснеет, перестаньте его слушать.

  │ │    {M} Netfilter NFQUEUE over NFNETLINK interface                   │ │
  │ │    {M} Netfilter LOG over NFNETLINK interface                       │ │
  │ │    <M> Netfilter connection tracking support                        │ │
  │ │    -*-   Connection mark tracking support                           │ │
  │ │    [ ]   Connection tracking events                                 │ │
  │ │    [ ]   Connection tracking timestamping                           │ │
  │ │    < >   DCCP protocol connection tracking support (EXPERIMENTAL)   │ │
  │ │    < >   SCTP protocol connection tracking support (EXPERIMENTAL)   │ │
  │ │    < >   UDP-Lite protocol connection tracking support              │ │
  │ │    < >   Amanda backup protocol support                             │ │
  │ │    <M>   FTP protocol support                                       │ │
  │ │    < >   H.323 protocol support                                     │ │
  │ │    <M>   IRC protocol support                                       │ │
  │ │    <M>   NetBIOS name service protocol support                      │ │
  │ │    < >   SNMP service protocol support                              │ │
  │ │    <M>   PPtP protocol support                                      │ │
  │ │    < >   SANE protocol support (EXPERIMENTAL)                       │ │
  │ │    < >   SIP protocol support                                       │ │
  │ │    <M>   TFTP protocol support                                      │ │
  │ │    <M>   Connection tracking netlink interface                      │ │
  │ │    {M} Netfilter Xtables support (required for ip_tables)           │ │
  │ │          *** Xtables combined modules ***                           │ │
  │ │    -M-   nfmark target and match support                            │ │
  │ │    -M-   ctmark target and match support                            │ │
  │ │          *** Xtables targets ***                                    │ │
  │ │    < >   "CLASSIFY" target support                                  │ │
  │ │    < >   "CONNMARK" target support                                  │ │
  │ │    < >   IDLETIMER target support                                   │ │
  │ │    <M>   "MARK" target support                                      │ │
  │ │    <M>   "NFLOG" target support                                     │ │
  │ │    <M>   "NFQUEUE" target Support                                   │ │
  │ │    < >   "RATEEST" target support                                   │ │
  │ │    < >   "TEE" - packet cloning to alternate destination            │ │
  │ │    < >   "TCPMSS" target support                                    │ │
  │ │          *** Xtables matches ***                                    │ │
  │ │    <M>   "addrtype" address type match support                      │ │
  │ │    < >   "cluster" match support                                    │ │
  │ │    <M>   "comment" match support                                    │ │
  │ │    <M>   "connbytes" per-connection counter match support           │ │
  │ │    <M>   "connlimit" match support"                                 │ │
  │ │    <M>   "connmark" connection mark match support                   │ │
  │ │    <M>   "conntrack" connection tracking match support              │ │
  │ │    < >   "cpu" match support                                        │ │
  │ │    < >   "dccp" protocol match support                              │ │
  │ │    <M>   "devgroup" match support                                   │ │
  │ │    < >   "dscp" and "tos" match support                             │ │
  │ │    < >   "esp" match support                                        │ │
  │ │    <M>   "hashlimit" match support                                  │ │
  │ │    <M>   "helper" match support                                     │ │
  │ │    -M-   "hl" hoplimit/TTL match support                            │ │
  │ │    < >   "iprange" address range match support                      │ │
  │ │    <M>   "length" match support                                     │ │
  │ │    <M>   "limit" match support                                      │ │
  │ │    <M>   "mac" address match support                                │ │
  │ │    <M>   "mark" match support                                       │ │
  │ │    <M>   "multiport" Multiple port match support                    │ │
  │ │    <M>   "osf" Passive OS fingerprint match                         │ │
  │ │    <M>   "owner" match support                                      │ │
  │ │    <M>   "pkttype" packet type match support                        │ │
  │ │    <M>   "quota" match support                                      │ │
  │ │    < >   "rateest" match support                                    │ │
  │ │    < >   "realm" match support                                      │ │
  │ │    < >   "recent" match support                                     │ │
  │ │    < >   "sctp" protocol match support (EXPERIMENTAL)               │ │
  │ │    <M>   "state" match support                                      │ │
  │ │    <M>   "statistic" match support                                  │ │
  │ │    <M>   "string" match support                                     │ │
  │ │    <M>   "tcpmss" match support                                     │ │
  │ │    <M>   "time" match support                                       │ │
  │ │    < >   "u32" match support                                        │ │

и кстати от локал рут эксплойтов селинукс не спасает, взять для примера тот же эпичный abftw.c или sendpage
там специально обходу selinux было уделено внимание

а вот от таких уязвимостей хочется то ли плакать, то ли смеяться
http://blog.nibbles.fr/2230 или http://www.exploit-db.com/exploits/18105/

недавний mempodipper.c подтвердил давнюю традицию - эпичная бага дающая локал рут появляется примерно раз в год осенью-зимой (и неизвестно сколько она в привате лежит до публикации)

при условии, что всё работает от одного пользователя?

А почему нет условия, что Марс должен быть во втором доме? Повторяю: мы сами выдумываем weird use case, сами потом же ищем под них решения. Именно поэтому, Бирди, на тебя на всех англоязычных форумах и багзиллах и кладут — потому что ты не понимаешь, что такое приоритет.

Покажите мне как этим может пользоваться не geek? Всё? Приехали?

Дома сиди, куда тебе ездить

Fuck you very much, продолжайте беседу сам с собой. Я вам про реальные проблемы, вы мне «нас это не касается».

Нас это действительно не касается, потому что вирусов под линукс (возможно, пока) не существует. Это  — экспериментальный факт. Появится такая проблема — будет решена, а пока это «проблемы» исключительно в твоей голове.

Ржака с фанатиками Линукса общаться.

Бирди, ты же тупой просто.

Матчинг по PID выпилен из ядра лет 5 назад.

Извините, последний раз задротствовал с конфигурацией ядра как раз примерно столько лет назад.

Сколько лет назад это было...

До сих пор обслуживается, обновляется, и составляет большинство пользовательской базы виндоус. Если ЭТО не эпик фейл, то я уж не знаю что тогда есть.

Впрочем, как показывает практика винлокеров, появление сЭмерочки пока ситуацию с безопасностью виндов никак не изменило. Так что на месте шлюшки-Бирди я бы молчал в тряпочку.

составляет большинство пользовательской базы виндоус

Уже нет

Вообще большинство проблем можно решить поддерживаемой дружелюбной мордой к apparmor или tomoyo (не думаю, что selinux на десктопах будет юзабелен даже в теории). Но это нужно кому-то делать, кому-то поддерживать да ещё и объяснять, что оно нужно.

да ещё и объяснять, что оно нужно.

такие юзеры и в UAC по просьбе малвари дают разрешение, и в убунте пароль вводят когда надо и не надо :) проблема в головах

не просто мордой, нужен еще хук на диалог файловый. в гтк это уже сделано - в plash. в qt - невыполнимо. это для того, чтоб офису было низя самому открыть файл и утащить его, а можно только через диалог. чтоб узер сам клацнул.

Я об этом писал на позапрошлой странице.

Вы уже в третий раз доказали свою несостоятельность, незнание вопроса и просто дилетантство. Аргументы сводятся к «Появится такая проблема — будет решена, а пока это „проблемы“ исключительно в твоей голове.»

И я не знаю про кого вы тут упорно вспоминаете - мне это имя ни о чём не говорит.

Исчезните, а?

Толстяк детектед.

Все, что описал мьсе, чистая теория.

«Оутпост, первая линия защиты» - прям стратеги детектед.

Есть такая пословица, извиняюсь за мой французкий:«То, что Вы едите, мы давно уже вы..али».

К чему это все. 25-26 числа (января 2012) по неизвесной (по крайной мере мне) причине слетели авасты на десятках, только мне известных машин. Хомяки рвали себе волсы на попье в ожидании 911. Как Вы думаете на каком уровне безопасности своих личных данных они находились?

И я не знаю про кого вы тут упорно вспоминаете - мне это имя ни о чём не говорит.

Хватит девочку ломать, Бирди. Ты — известный пустобрех и алармист. Везде уже тебя под жопу пнули, что ты на ЛОР вернулся?

Речь шла про уровни-абстракции после заражения.

Если в дырявой винде, юзер готов к тому что есть вероятность заражения трояна (пускай убогая, не важна какая, но она есть), то на линуксе из-за не малой уверенности нечего подобного нет. И будут данные сливаться, до бесконечности (ведь мы же уверены). В винде хоть антивирус когда-нибудь да сообщит, или фаервол что-то за препятствует, или эвристика покажет, или просто хоть пальцем покажет что вот этот процесс подозрительный - думай пользователь сам.

Вот это препятствия уже зараженному ПК и были такие абстрактные уровни защиты. Они не идеальны, но как не печально есть.

25-26 числа (января 2012) по неизвесной (по крайной мере мне) причине слетели авасты на десятках, только мне известных машин.

Ну тут только 2 варианта: либо разрабы Аваста спалили очередной кряк и по иронии судьбы именно им крячили Аваст Интернет Секурити на этих десятках машин, либо это хитрый план МС с целью посеять панику в рядах хомяков и подсунуть им под шумок свой Секурити Эссеншалс. А, нет, есть еще третий вариант: вы, товарищ, враль. Но это маловероятно. Скорее здесь замешаны инопланетяне или ЗОГ...

В винде юзер держит ухи на макухе потому, что тащит много всякого дерьма шареваре. В Линуксе есть пакетный манагер для приложений, Гугля всегда предупреждает о сайтах «могущих нанести вред». Так что угроза надумана.

Гугля всегда предупреждает о сайтах «могущих нанести вред». Так что угроза надумана.

Вы это серьезно?
...Что же я тогда парюсь то ))

Аваст в варианте фри. Но глюк 100%. Решался только сносом.

Гугля всегда предупреждает

всегда

вот самая большая уязвимость - слепая вера.

Интернет Секурити

О_о. Об этом я даже и не подумал. Может они действительно шалили с кряками для него.

В треде детский сад. Про MAC уже сказали

Ну, батенька, с такими настроениями - NoScript Вам в руки - и больше не пейте на ночь.

Так Аваст был Хоум Эдишн или Интернет Секурити?

Хоум Эдишен, но в «загрузках» были замечены папки с Интернет Секурити с кряками. Ставили или нет не знаю.

Во времена то ли 4, то ли 5 версии Аваста было небольшое бурление из-за кривого обновления, которое роняло весь антивирь. Пофиксили быстро, в течение суток, но осадочек остался. Возможно, это похожий случай. А крячить Хоум Эдишн не нужно, только зарегистрировать в течение месяца. И таки пора уже перебраться на МС Эссеншалс, оно получше этих Авастов будет.

Просто непонятно почему так четко в одно время, но похоже оно.

после прецедента с заражением моего компа вредоносной программой я завел отдельного пользователся только для браузера (правда практически им не пользуюсь, т.к. круг посещаемых мною сайтов узок), только вот в свете последних новостей про локальные уязвимости это мне кажется уже недостаточным. значит рано или поздно придется раскуривать более продвинутые средства безопасности. и это отнюдь не NoScript, к сожалению.

Система-то какая была, можно уточнить? А то как-то туманно.

gentoo

Squid можно использовать для отсеивания трафика, но все же: если вам нужен полностью безопасный комп - забудьте об интернете, шифруйте диски и работайте с компом из-под ssh.

Лично я не видел других вирусов у себя, кроме плагинов под ff.

По оунеру/группе матчить НЕЮЗАБЕЛЬНО. Это нужно сделать тонну юзеров.

Очень даже юзабельно. Тонна юзеров не нужна, а даже если и нужна, то никаких ресурсов это не отнимает.

Я skype так запускаю, если моя паранойя доберется до файерфокса (я посещаю ограниченный набор доверенных сайтов), то и его также запущу.

Вот все что надо для запуска приложения под др. пользователем:

# 1. создать юзера skype

# 2. скрипт для запуска skype

$ cat /usr/local/bin/skype
#!/bin/sh

if pgrep -u skype >/dev/null 2>&1; then
        echo "Skype is already running"
else
        xhost +LOCAL:
        exec sudo -H -u skype /usr/local/bin/skype.sh
fi

$ cat /usr/local/bin/skype.sh
#!/bin/sh

[ -z "$DISPLAY" ] && DISPLAY=:0.0
export DISPLAY

export LD_LIBRARY_PATH=/lib32:/usr/lib32:/lib:/usr/lib
export LD_PRELOAD=/usr/lib32/libv4l/v4l1compat.so
/home/opt/skype-2/skype

# visudo
sdio  ALL=(skype) NOPASSWD:/usr/local/bin/skype.sh

squid - не фаерволл. вот честно, вы сами сейчас используете его для отсеивания трафика? подозреваю, что нет.
я говорил, что заражен был пользователь, из под которого запускали только фф. как squid поможет избежать заражения, если уязвимость в браузере?
абсолютно безопасный компьютер мне не нужен. я не белка-истеричка и не касперский, чтобы на каждом углу кричать про тонны вирусов под линукс, но я столкнулся с вредоносной программой под линукс и уже не столь беспечен, как раньше. (я на линукс-то перешел в том числе потому, что не хотелось заморачиваться с фаерволами, антивирусами и кряками).
мой вопрос в силе: назовите штук 5 фаерволов под линукс.

Что-то я тут смотрю, так почти все эти фаерволы - просто надстройка над iptables...

Самое интересное что чаще бывают доверенные и заражают чтобы собрать ботнет, поэтому у вас какая-то не правильная паранойя ;)

Минутное дело оформить и ФФ под отдельным юзером, но это не защита от ботнета, а только для защиты персональных данных.

не я к тому что уверенности в доверенных сайтах быть не может, потому что именно они могут стать центром атаки и заражения (просто цель таких атак ботнет, но может и данные собрать, кто мешает).

Проблемы с вирусами от дурной головы или шаловливых ручек. Дурная голова - потому что ssh наружу жопой кверху, или шаловливые ручки - ходим на подозрительные сайты и раздаём данные туда-сюда. Иногда бывает и вместе.
А конкретно вам - полюбовались линуксом? Пора валить на винду. Вот и валите.

Давай по исходному сообщению:

1. Сбор данных о пользователе пресекается запуском потенциально уязвимого приложения под отдельным «анонимным» пользователем.

2. Локальные дыры для повышения привилегий пресекаются контейнерами/чрутами/selinux/...

3. Для ДоС атаки на веб сервер никакие sandbox'ы и пр. средства изоляции не помогут, т.к. уже несколько лет наблюдаю таки ДоС атаки со стороны моих пользователей. Через баннерные сети у них в браузере запускается javascript долбящий какой-либо сайт (запросом разных картинок). У меня тут прокси сглаживает (кэширует) такие запросы + мой самописный скрипт лочит таких юзеров на 10 минут через iptables на прокси-сервере. Тут только noscript спасает, которого у подавляющего большинства вин-юзеров нет.

Круто, только через одно место, и большинство людей никогда это не осилят.

Им не нужно осиливать, они же софт для винды не сами пишут, так и здесь можно предоставить штатную гуевую программку, которая сама все (юзер, скрипт, судо, ...) сделает и измененный ярлык в меню/на раб.стол положит.

2. Локальные дыры для повышения привилегий пресекаются контейнерами/чрутами/selinux/...

локал руты с обходом selinux или чтением любого kvm раздела с тобой не согласны

http://www.opennet.ru/base/sec/chkrootkit.txt.html
http://www.opennet.ru/tips/2631_check_security_rootkit_linux_rpm_deb_redhat_f... (она же http://www.opennet.ru/tips/info/2631.shtml)
http://www.opennet.ru/base/sec/rootkit_stop.txt.html
http://www.opennet.ru/tips/info/2631.shtml

Последняя ссылка не та, случайно скопировал дубликат. Должно было быть http://www.opennet.ru/opennews/art.shtml?num=3997 И конечно же ClamAV.

мне вот интересно - если написать демона, который проверят систему на присутствие id 0 на одном из виртуальных терминалов и в случае нахождения такого отсылает сообщение администратору. Поможет это действие обнаружению вторжения, например, при использовании локального эксплоита?

https://rdot.org/forum/showthread.php?t=1197

присутствие id 0 на одном из виртуальных терминалов

совсем не панацея + обходится руткитами

Самое очевидное решение - запускать browser из-под изолированной учётной записи.

По условию в linux через браузер происходит загрузка и становиться возможным исполнить файл

а что никак нельзя сделать, чтоб приходилось +x делать в ручную? зачем такие условия сразу..