Можно ещё немножечко чуть-чуть, как секьюрятся systemd-системы?

Как секьюрятся systemd-системы?

Ты же знаешь ответ.

Я пропустил время, когда сложные архитектурные требования были быстрыми, дешёвыми и надёжными одновременно?

SELinux получается в сторону

ССЗБ

дефолтные встроенные инструменты

Селуникс очень давно является встроенным и почти столько же дефолтным.

дефолтные встроенные инструменты (SELinux получается в сторону).

SELinux/AppArmor в линуксах в принципе дефолт

Вспоминается OpenBSD. Зато там мало кода => мало манов

Там меньше кода, но много манов :). Документация - одна из сильных сторон опенка. И да, из коробки оно достаточно безопасное.

SELinux/AppArmor в линуксах в принципе дефолт

Нет. Эти костыли полезны только для каких-то особенных сред.

Документация - одна из сильных сторон опенка.

А я 2015 оду его поставил и, помня про данное заявление, оказался в итоге разочарован. Кажется дело касалось настройки консоли (всяких ioctl). Возможно, в прикладном плане там и хорошая документация, но относительно низкоуровневое взаимодействие с ядром документировано, как и везде, плохо.

Зато там мало кода => мало манов => у нас появляется уверенность что мы всё сконфигурили правильно.

появляется уверенность

ЛОЛ :) Наистандартнейшая security by obscurity :)

Чтение системд манов это боль.

Для тебя, не забывай это.

Как секьюрятся systemd-системы?

Так же как и все остальные. Для Ubuntu находишь файл CIS_Ubuntu_Linux_22.04_LTS_Benchmark_v1.0.0.pdf или соответствующий для 24.04 + гуглишь и находишь ссылки https://ubuntu.com/blog/hardening-automation-for-cis-benchmarks-now-available-for-ubuntu-24-04-lts https://github.com/AndyHS-506/Ubuntu-Hardening или https://github.com/MVladislav/ansible-cis-ubuntu-2404 и разбираешься, что там как.

systemd безопасен по умолчанию. Его не надо секьюрить. Его не надо рассекьюривать.

Вот поэтому я за системви. А системдэ для тех, кто не любит башпортянки

Димез и ликсис целиком не читали

так будь лучше их!

Спрашивать ии, ясно не вариант – нам нужна уверенность.

если ты такие вещ пускаешь в прод без проверки ИИ традиционным поиском, то ты ССЗБ, и лучше - чтобы тебя взломали, в методических целях. В крайнем случае, есть исходники.

Зато там мало кода => мало манов => у нас появляется уверенность что мы всё сконфигурили правильно.

появляется уверенность

ЛОЛ :) Наистандартнейшая security by obscurity :)

Вообще ни разу. Даже скорее ровно наоборот — уверенность у него появляется от прозрачности (мало кода, мало манов => проще всё уместить в голове), а не от обскурности.

нам нужно

Мы, великий властитель всея интернета, император корона первая, повелеваем.

быстро приобретаем уверенность

Ты пытаешься решить психологическую проблему техническими средствами.

В этом смысле хорошо работать в облаках. Взломали что-то? это облачные админы виноваты. A self-hosted должны страдать.

Гори в аду, секурщик. Такие как ты уже пол-интернета захарденили…

На самом деле, зря клоунов ставите. Это называется разделение труда - человек так из обезьяны в сапиенса мутировал, цивилизации так создавались. Разделение труда и ответственности. Если ты разраб приклада, отвечаешь только за системд конфиг этого приклада. Если что-то взломали не из-за недоделки данного конфига, то виноват разраб приклада. А если нет, то облачный админ, архитект, пенн-тестер - кто угодно, но не разраб.

И, тадам, ты не понял юмор и не прошёл по ссылкам, бывает.

Юмор и правда не понял (честно говоря, до сих пор), а ссылки счёл не относящимися конкретно к этому утверждению.

Бывает.

Как секьюрятся systemd-системы?

Мудрецы древности отвечали так: «обратитесь к системному администратору».

mikhalich, Slack, kaldeon, спасибо, ответ SELinux/Apparmor – (примерно) понял.

Чтение системд манов это боль.

Для тебя, не забывай это.

Ты так пишешь, как будто это не я ткнул тебя (в вежливой в форме – в виде просьбы пояснить) фундаментальными косяками документации в несостоятельность твоей хвалебной оценки, а ты объяснил мне несостоятельность косяков.

Когда я тебе объяснил что ты придумываешь, приписываешь, а главное – путаешь в своём «пояснении» (получилось много букв, да), ты от всего отмахнулся, и ответил вообще невпопад.

Конечно, это для всех боль, а ты просто предпочитаешь не замечать этого.

Заодно уж отвечу тут, а то забанишь по надуманной причине: кириллицу всех своих постов я набираю сам своими кожано-мешковскими пальцами (латиницу часто копирую – фрагменты кода, команды). Все посты здесь я читаю своими кожано-мешковскими глазами, и обдумываю своими кожано-мешковскими мозгами.

Когда человек упрямится на ровном месте, отказывается признать очевидное, напускает туман, уклоняясь от простых вопросов, это признак какого-то сектантства. Те наши посты весьма любопытны в этом отношении, поскольку тот человек ещё и модератор. Ты тоже не забывай это.

Зато там мало кода … появляется уверенность …

security by obscurity

Приобщи пожалуйста к своему чувству юмора, поясни, где ты здесь увидел неясность? На этот раз постарайся изложить мысли ясно, внятно, ничего не придумывая и не приписывая.

CIS

Спасибо! Немного не то что я имел ввиду, но интересно, буду иметь ввиду.

как будто это не я ткнул тебя

Тебе показалось.

Как секьюрятся systemd-системы?

Буквально, также как приложения в selinux/apparmor, только на уровне systemd. Указывается что куда писать, откуда читать, что монтировать, ходить ли в сеть и тд.

Точного махнула нет тк каждый сервис имеет свой набор прав и запретов. Для понимания что делать нужно знать принцип наименьших привилегий.

Ну и проверять можно через:

systemd-analyze security --json=short nginx.service

(примерно так, с телефона сложно перепроверить)

Буквально, также …

Тогда ты не прочитал стартовый пост.

systemd-analyze security

Да, это примерно то о чём я спрашивал. Только здесь ты полагаешься на них самих, что они всё перечислили. А я хочу проверить сам, по их мануалу, которого нет. Спасибо, смотрю-думаю.

Тебе показалось.

Видишь ли, все ссылочки на всякие любопытные посты всякой сектантской нечисти я потом соберу в посты, и буду постить выжимки из них в темах про Девуан. Чтобы люди, вообще, все, сторонние, новички, приходящие сюда (завсегдатаям форума это не нужно), не путались постами нечисти, а делали разумные выводы.

Своими короткими репликами ты «победишь» лишь локально – на фоне моих длинных ответов. Потом, если понадобится, я тоже всё лаконично сформулирую. Но в отличие от тебя, у меня будут ссылки.

В списке нечисти пока трое, заббал-ликсис-дррулез.

Зато там мало кода … появляется уверенность …

security by obscurity

Приобщи пожалуйста к своему чувству юмора, поясни, где ты здесь увидел неясность? На этот раз постарайся изложить мысли ясно, внятно, ничего не придумывая и не приписывая.

А я хочу проверить сам, по их мануалу, которого нет.

Вы хотите засунуть в мануал целый раздел (System Hardening) дисциплины под названием Information Security.

Это так не работает. С тем же успехом можно требовать учебник по алгебре в мануале к калькулятору.

Вы хотите засунуть в мануал целый раздел

Ко мне на «ты», если можно.

Нет, не хочу. Пример что я хочу – в первом абзаце тут (linux.org.ru).

Пока под сектантскую нечисть начинаешь подходить ты.

Своими короткими репликами ты «победишь» лишь локально – на фоне моих длинных ответов. Потом, если понадобится, я тоже всё лаконично сформулирую. Но в отличие от тебя, у меня будут ссылки.

Мне всё равно, кто, что, где и с кем/на ком побеждает, я вроде это уже писал. Мне всё равно, что кому-то надо в документации решение и через 5 минут навсегда забыть про него.

У меня в команде есть сложные задачи (в отличие от локалхоста) по деплою сложного софта. В т.ч. в закрытые контуры, куда нет доступа извне. Где обосраться - как 2 пальца об асфальт, учитывая определённые обстоятельства. systemd под эти задачи подходит пока лучше всего, увы и ах. Поэтому в system requirements у нас сейчас стоят дистрибутивы с systemd. За дополнительные большие деньги мы можем хоть gentoo, хоть arch, хоть openwrt поддерживать. Но пока все ставят то, что указано выше.

Приобщи пожалуйста к своему чувству юмора, поясни, где ты здесь увидел неясность?

Уже не хочу. Ты линеен и не удерживаешь свой же контекст за словоблудием, но занимаешься странными демагогическими приписками вида «нам не нужно» и «я тебя ткнул» и «коробка квадратная, значит, в ней что-то круглое, если круглое, то оранжевое, если оранжевое, то апельсин». Хотя изначально я отвечал тебе абсолютно нормально и максимально дружелюбно.