[kernel.org]Работу Git будет восстановлена без shell-доступа

0

1

Один из администраторов инфраструктуры kernel.org опубликовал в списке рассылки разработчиков ядра Linux уведомление, в котором рассказал о статусе восстановления серверов после взлома и работе, проделанной для увеличения безопасности. Kernel.org недоступен уже почти месяц. Столь длительный срок связан с тем, что разработчики были заняты детальным аудитом и полной переработкой архитектуры аутентификации и организации доступа во всех публично доступных сервисах kernel.org.
Возобновить работу сайта в первозданном виде, переустановив операционную систему и восстановив данных из резервной копии, можно было за несколько часов, но такой шаг не устраивал, так как инцидент показал принципиальные недоработки в организации доступа, которые рано или поздно могли привести к повторному взлому. В частности, наличие shell-аккаунтов у 448 разработчиков потенциально делали каждого из них мишенью для атакующих. В случае перехвата SSH-ключей у одного из этих разработчиков, под удар становилась вся инфраструктура. Как показала практика, при наличии неограниченного доступа к shell, получение root-привилегий - дело времени.
По сообщению администраторов, работа kernel.org будет частично восстановлена в ближайшие дни. В первую очередь в строй будут введены сервисы, связанные с обеспечением работы с Git-репозиториями. Наиболее важные Git-деревья будут доступны уже в начале недели, остальные Git-деревья планируется ввести в строй в начале октября. На восстановление работы всех остальных сервисов потребуется дополнительное время. После возрождения kernel.org будет существенно изменен метод доступа к Git: у разработчиков больше не будет доступа к системной оболочке (shell), а все Git-репозитории kernel.org будут функционировать в системе под одним системным пользователем. Работа с Git-репозиториями будет организована поверх HTTP, но для доступа к репозиторию по прежнему будут использоваться SSH-ключи. Нынешние SSH-ключи отменены, а новые будут сгенерированы и отправлены разработчикам в ближайшее время.
Для разделения прав доступа разработчиков к различным частям Git-репозитория будет задействовано расширение Gitolite, поддерживающее отдельную базу виртуальных пользователей, не имеющих системных аккаунтов. Дополнительно, Gitolite позволит реализовать более гибкие полномочия: возможность доступа только для чтения или разрешение записи, в привязке к отдельным веткам, директориям, файлам или даже тегам, а также отдельные права на слияние, создание и удаление веток и тегов. Автор Gitolite считает свой проект абсолютно безопасным и готов выплатить тысячу долларов тому, кто сможет найти в нём уязвимость. Недостатком новой платформы являются невозможность запуска скриптов разработчиков на сервере, например, перестанут работать интегрируемые с Git индивидуальные обработчики, написанные на shell. Подобные обработчики потребуется переписать с учетом особенностей Gitolite.

Источник

Ссылка

←	Является ли пожимание плечами жестом?

[танцпол][оборонка] Заводская лирика

→

← 1 2 →

tl;dr

кратко для Ъ можно?

~~DarkV~~
(25.09.11 12:26:10 MSK)

Ответ на: комментарий от DarkV 25.09.11 12:26:10 MSK

shell-аккаунтов не будет, разграничение прав будет осуществляться на уровне Git с помощью Gitolite.

daemonpnz
(25.09.11 12:27:03 MSK) автор топика

Ссылка

>В частности, наличие shell-аккаунтов у 448 разработчиков потенциально делали каждого из них мишенью для атакующих.

Решето.

Deleted
(25.09.11 12:28:49 MSK)

Ссылка

> Как показала практика, при наличии неограниченного доступа к shell, получение root-привилегий - дело времени.

Т.о. создатели линукса официально признали свою систему решетом...

Igron
(25.09.11 12:48:52 MSK)

Ответ на: комментарий от Igron 25.09.11 12:48:52 MSK

имея шелл доступ можно, использую дыры в любом используемом на сервере ПО, получить рут и так далее

daemonpnz
(25.09.11 12:55:30 MSK) автор топика

Переехали на Gitolite? Всё правильно сделали.

Gitosis, я так понимаю, всё? Он кому-то ещё нужен?

ChALkeR
(25.09.11 13:01:53 MSK)

Ссылка

Ответ на: комментарий от Igron 25.09.11 12:48:52 MSK

Просто там же куча софта, которую можно ломать. Не один линукс. Да, множество из сотен программ с доступом к бинарникам и ФС, и с битами SUID на некоторых файлах - это решето.

Deleted
(25.09.11 13:11:02 MSK)

Ответ на: комментарий от Deleted 25.09.11 13:11:02 MSK

Просто там же куча софта, которую можно ломать. Не один линукс. Да, множество из сотен программ с доступом к бинарникам и ФС, и с битами SUID на некоторых файлах - это решето.

Имеются ввиду стандартные coreutils/util-linux, или ещё что-то?

pv4
(25.09.11 13:12:05 MSK)

Ответ на: комментарий от Igron 25.09.11 12:48:52 MSK

должно быть вы хотели сказать создатели _ЯДРА_ Linux

frozenix
(25.09.11 13:16:41 MSK)

Ссылка

> Нынешние SSH-ключи отменены, а новые будут сгенерированы и отправлены разработчикам в ближайшее время.

Это как? Приватные ключи сгенерирует дядя Вася и по почте пришлет разработчикам что-ли?

Deleted
(25.09.11 13:19:06 MSK)

Ответ на: комментарий от Deleted 25.09.11 13:19:06 MSK

Бумажной почтой в конвертах с защитой от просвечивания.

pimiento
(25.09.11 13:29:43 MSK)

Ссылка

>Как показала практика, при наличии неограниченного доступа к shell, получение root-привилегий - дело времени.

Что и требовалось доказать.

~~Othniel~~
(25.09.11 13:30:49 MSK)

Ссылка

Ответ на: комментарий от Deleted 25.09.11 13:19:06 MSK

А в чём проблема?

GotF
(25.09.11 13:34:56 MSK)

Ответ на: комментарий от pv4 25.09.11 13:12:05 MSK

Они + сам гит + соотв. серверный софт.

Deleted
(25.09.11 13:35:24 MSK)

Ссылка

Ответ на: комментарий от daemonpnz 25.09.11 12:55:30 MSK

> имея шелл доступ можно, использую дыры в любом используемом на сервере ПО, получить рут и так далее

Подскажи, как используя дырку в ircd (запущенном от пользователя ircd) получить рута?

Igron
(25.09.11 14:08:35 MSK)

Ответ на: комментарий от Igron 25.09.11 14:08:35 MSK

а у них там только ircd?!

daemonpnz
(25.09.11 14:12:05 MSK) автор топика

Ссылка

Ответ на: комментарий от Igron 25.09.11 14:08:35 MSK

И да, зайди на opennet, там постоянно новости об уязвимостях в софте, в том числе серверном, которые позволяют поднять привелегии до уровня рута.

daemonpnz
(25.09.11 14:13:14 MSK) автор топика

Ответ на: комментарий от GotF 25.09.11 13:34:56 MSK

Приватный ключ, известный помимо его владельца дяде Васе, уже не приватный.

Deleted
(25.09.11 14:14:42 MSK)

Ответ на: комментарий от Deleted 25.09.11 14:14:42 MSK

Честный дядя Вася отправит ключ не глядя :)

GotF
(25.09.11 14:20:31 MSK)

Ссылка

Ответ на: комментарий от Igron 25.09.11 14:08:35 MSK

>> имея шелл доступ можно, использую дыры в любом используемом на сервере ПО, получить рут и так далее

Подскажи, как используя дырку в ircd (запущенном от пользователя ircd) получить рута?

Получить шелл, дальше спросить на kernel.org

tailgunner
(25.09.11 14:27:28 MSK)

Ссылка

Сплошной профит от слома!

Вы прикиньте, сколько они трафика сэкономили, прикрываясь сломом хакеров.

Bad_ptr ☕☕
(25.09.11 14:31:29 MSK)

Ссылка

Ответ на: комментарий от daemonpnz 25.09.11 14:13:14 MSK

> И да, зайди на opennet, там постоянно новости об уязвимостях в софте, в том числе серверном, которые позволяют поднять привелегии до уровня рута.

Перефразирую.

Подскажи, как используя дырку в apache (запущенном от пользователя apache) получить рута?

Igron
(25.09.11 14:33:17 MSK)

Они уже покарали взломщиков?

abraziv_whiskey
(25.09.11 14:57:58 MSK)

Ссылка

>Как показала практика, при наличии неограниченного доступа к shell, получение root-привилегий - дело времени.

Linux — решето.

thrall
(25.09.11 15:45:08 MSK)

Ссылка

Ответ на: комментарий от Igron 25.09.11 14:33:17 MSK

root     18544  0.6  0.1 238780 10504 ?        Ss   16:03   0:00 /usr/sbin/httpd -k start
http     18547  0.0  0.0 238780  5768 ?        S    16:03   0:00  \_ /usr/sbin/httpd -k start
http     18548  0.0  0.0 238780  5768 ?        S    16:03   0:00  \_ /usr/sbin/httpd -k start
http     18549  0.0  0.0 238780  5768 ?        S    16:03   0:00  \_ /usr/sbin/httpd -k start
http     18550  0.0  0.0 238780  5768 ?        S    16:03   0:00  \_ /usr/sbin/httpd -k start
http     18551  0.0  0.0 238780  5768 ?        S    16:03   0:00  \_ /usr/sbin/httpd -k start

ломаешь первый процесс.

sergej ☕
(25.09.11 16:06:00 MSK)

Ссылка

Скорее бы уже багзилла заработала. Есть что туда написать.

DreamDragon
(25.09.11 16:28:31 MSK)

Ссылка

Ответ на: комментарий от daemonpnz 25.09.11 12:55:30 MSK

> использую дыры в любом используемом на сервере ПО
О, расскажи чем тебе поможет получение прав аккаунта apache, например. Ломать можно двумя способами, — через баги ядра и через баги рутованный suid софта. Что на сервере делает последний, — совершенно непонятно. А за баги ядра ответственны именно разработчики Linux.

~~Elemir~~
(25.09.11 17:10:46 MSK)

Ответ на: комментарий от Elemir 25.09.11 17:10:46 MSK

О, да ты ещё и эксперт-аналитик по безопасности. :D На все руки от скуки товарищ.

daemonpnz
(25.09.11 17:19:47 MSK) автор топика

Ссылка

Ответ на: комментарий от Elemir 25.09.11 17:10:46 MSK

Гугли про эксплоийты для юзверских программ без suid бита, которые позволяют поднимать уровень привилегий до root'а.

daemonpnz
(25.09.11 17:21:57 MSK) автор топика

Ответ на: комментарий от Deleted 25.09.11 13:11:02 MSK

>Просто там же куча софта, которую можно ломать.

Что именно сломали в этот раз, они, конечно же, не выяснили?

gentoo_root
(25.09.11 17:28:02 MSK)

Ссылка

Ответ на: комментарий от daemonpnz 25.09.11 17:21:57 MSK

Зачем гуглить? Есть целые базы данных руткитов. Вот только работают они из-за багов в решете.

~~Elemir~~
(25.09.11 18:59:56 MSK)

Ответ на: комментарий от Elemir 25.09.11 18:59:56 MSK

Да, да, продолжай нас образовывать, эксперт-аналитик.

daemonpnz
(25.09.11 19:06:20 MSK) автор топика

Ссылка

Как показала практика, при наличии неограниченного доступа к shell, получение root-привилегий - дело времени.

4.2

~~xtraeft~~
(25.09.11 19:39:13 MSK)

Ответ на: комментарий от daemonpnz 25.09.11 17:21:57 MSK

Гугли про эксплоийты для юзверских программ без suid бита, которые позволяют поднимать уровень привилегий до root'а.

бред сивой кобылы

~~xtraeft~~
(25.09.11 19:40:17 MSK)

Ссылка

Ответ на: комментарий от xtraeft 25.09.11 19:39:13 MSK

Ещё один аналитег.

daemonpnz
(25.09.11 19:41:17 MSK) автор топика

Ответ на: комментарий от daemonpnz 25.09.11 19:41:17 MSK

Будем устраивать групповые занятия?

daemonpnz
(25.09.11 19:41:45 MSK) автор топика

Ответ на: комментарий от daemonpnz 25.09.11 19:41:17 MSK

ну так приведи пример эксплойта для юзерской программы без suid, который поднимет тебя до рута

~~xtraeft~~
(25.09.11 19:44:40 MSK)

Ссылка

Ответ на: комментарий от daemonpnz 25.09.11 19:41:45 MSK

В эмуляторе Qemu и построенном на его основе пакете qemu-kvm найдены две уязвимости, позволяющие локальному пользователю гостевой и базовой системы повысить свои привилегии. Первая уязвимость вызвана переполнением буфера в модуле VirtIO, которое можно эксплуатировать путем отправки специально оформленного virtqueue-запроса. Вторая проблема связана с некорректным сбором привилегий (групп) при запуске приложения под другим пользователем при помощи опции "-runas". Исправление пока доступно в виде патча;

daemonpnz
(25.09.11 19:49:35 MSK) автор топика

Ответ на: комментарий от daemonpnz 25.09.11 19:49:35 MSK

если ты про CVE-2011-2212 и CVE-2011-2512, то очень удачный пример

ничего, что kvm кернел модуль ?:)

~~xtraeft~~
(25.09.11 19:54:49 MSK)

Ответ на: комментарий от xtraeft 25.09.11 19:54:49 MSK

Будь не серваках kernel.org qemu и kvm, то их могли бы сломать из под обычного shell-аккаунта имеющего доступ к qemu. Так что давай рассказывай дальше про 4.2. А мы тебя внимательно послушаем.

daemonpnz
(25.09.11 19:57:01 MSK) автор топика

Ответ на: комментарий от daemonpnz 25.09.11 19:57:01 MSK

немного перефразирую:

Как показала практика, при наличии неограниченного доступа к shell и недостаточной внимательности администратора сервера, получение root-привилегий - дело времени.

все таки жду пример эксплойта для юзерской программы без suid, который поднимет тебя до рута

~~xtraeft~~
(25.09.11 19:58:30 MSK)

Ответ на: комментарий от xtraeft 25.09.11 19:58:30 MSK

Можешь перефразировать сколько угодно. Я тебе привёл пример, где из пользовательского приложения общающегося с ядерным модулем был получен root. Возражений нет.

daemonpnz
(25.09.11 20:00:30 MSK) автор топика

Ответ на: комментарий от daemonpnz 25.09.11 20:00:30 MSK

https://bugs.launchpad.net/qemu/ bug/807893/ ты багу сам хоть смотрел?

~~xtraeft~~
(25.09.11 20:01:23 MSK)

Ответ на: комментарий от xtraeft 25.09.11 20:01:23 MSK

Это вторая бага. Первая без root'а.

daemonpnz
(25.09.11 20:04:41 MSK) автор топика

Ответ на: комментарий от daemonpnz 25.09.11 20:04:41 MSK

https://bugzilla.redhat.com/show_bug.cgi?id=717399#c0

daemonpnz
(25.09.11 20:05:51 MSK) автор топика

Ответ на: комментарий от daemonpnz 25.09.11 20:05:51 MSK

Unprivileged guest user could use this flaw to crash the guest (denial of service) or, possibly, escalate their privileges on the host.

Читать до просветления.

daemonpnz
(25.09.11 20:06:23 MSK) автор топика

Ответ на: комментарий от xtraeft 25.09.11 19:58:30 MSK

> все таки жду пример эксплойта для юзерской программы без suid, который поднимет тебя до рута

был такой эксплоит год назад на x86_64, я тогда три рута отмутил ;)

~~stevejobs~~
(25.09.11 20:50:11 MSK)

Ответ на: комментарий от stevejobs 25.09.11 20:50:11 MSK

был

robert_you_suck.c и его аналог ABftw.c - это kernel эксплойты.

~~xtraeft~~
(25.09.11 21:01:23 MSK)

Ответ на: комментарий от xtraeft 25.09.11 21:01:23 MSK

думаю, если у кого-то есть рабочий эксплоит, с тобой/нами он не поделится, слишком много бабла можно на этом срубить

~~stevejobs~~
(25.09.11 21:04:49 MSK)

Ответ на: комментарий от stevejobs 25.09.11 21:04:49 MSK

думаю, если у кого-то есть рабочий эксплоит,

к чему?

~~xtraeft~~
(25.09.11 21:08:23 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	Является ли пожимание плечами жестом?

Talks

[танцпол][оборонка] Заводская лирика

→

Сплошной профит от слома!

Похожие темы