LINUX.ORG.RU
ФорумTalks

[kernel.org]Работу Git будет восстановлена без shell-доступа


0

1

Один из администраторов инфраструктуры kernel.org опубликовал в списке рассылки разработчиков ядра Linux уведомление, в котором рассказал о статусе восстановления серверов после взлома и работе, проделанной для увеличения безопасности. Kernel.org недоступен уже почти месяц. Столь длительный срок связан с тем, что разработчики были заняты детальным аудитом и полной переработкой архитектуры аутентификации и организации доступа во всех публично доступных сервисах kernel.org.

Возобновить работу сайта в первозданном виде, переустановив операционную систему и восстановив данных из резервной копии, можно было за несколько часов, но такой шаг не устраивал, так как инцидент показал принципиальные недоработки в организации доступа, которые рано или поздно могли привести к повторному взлому. В частности, наличие shell-аккаунтов у 448 разработчиков потенциально делали каждого из них мишенью для атакующих. В случае перехвата SSH-ключей у одного из этих разработчиков, под удар становилась вся инфраструктура. Как показала практика, при наличии неограниченного доступа к shell, получение root-привилегий - дело времени.

По сообщению администраторов, работа kernel.org будет частично восстановлена в ближайшие дни. В первую очередь в строй будут введены сервисы, связанные с обеспечением работы с Git-репозиториями. Наиболее важные Git-деревья будут доступны уже в начале недели, остальные Git-деревья планируется ввести в строй в начале октября. На восстановление работы всех остальных сервисов потребуется дополнительное время. После возрождения kernel.org будет существенно изменен метод доступа к Git: у разработчиков больше не будет доступа к системной оболочке (shell), а все Git-репозитории kernel.org будут функционировать в системе под одним системным пользователем. Работа с Git-репозиториями будет организована поверх HTTP, но для доступа к репозиторию по прежнему будут использоваться SSH-ключи. Нынешние SSH-ключи отменены, а новые будут сгенерированы и отправлены разработчикам в ближайшее время.

Для разделения прав доступа разработчиков к различным частям Git-репозитория будет задействовано расширение Gitolite, поддерживающее отдельную базу виртуальных пользователей, не имеющих системных аккаунтов. Дополнительно, Gitolite позволит реализовать более гибкие полномочия: возможность доступа только для чтения или разрешение записи, в привязке к отдельным веткам, директориям, файлам или даже тегам, а также отдельные права на слияние, создание и удаление веток и тегов. Автор Gitolite считает свой проект абсолютно безопасным и готов выплатить тысячу долларов тому, кто сможет найти в нём уязвимость. Недостатком новой платформы являются невозможность запуска скриптов разработчиков на сервере, например, перестанут работать интегрируемые с Git индивидуальные обработчики, написанные на shell. Подобные обработчики потребуется переписать с учетом особенностей Gitolite.

Источник

★★★★★

Ответ на: комментарий от daemonpnz

>> Unprivileged guest user could use this flaw to crash the guest (denial of service) or, possibly, escalate their privileges on the host.

Читать до просветления.

Если ты видишь здесь локального рута, у тебя разыградась фантазия.

tailgunner ★★★★★ ()
Ответ на: комментарий от daemonpnz

> qemu-kvm
Это даже не рутовая suid программа, это модуль ядра. Идиоты такие забавные :3

Elemir ()
Ответ на: комментарий от Elemir

В эмуляторе Qemu

Это ты скромно проигнорировал, потому что возразить нечего.

daemonpnz ★★★★★ ()

Когда же openprinting.org заработает? Никак не могу скачать firmware для своего принтера…

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от daemonpnz

А чего ж возразить? KVM часть qemu, и баг именно в этой самой запускающейся в ring 0 часть. Достаточно того, что в windows, freebsd и solaris никаких дыр на том же самом месте нету. А разгадка одна — http://dump.bitcheese.net/files/yjeryji/linux-bucket-demotivated.jpg


Elemir ()
Ответ на: комментарий от Elemir

> Достаточно того, что в windows, freebsd и solaris никаких дыр на том же самом месте нету

У Solaris и FreeBSD всё еще впереди. Когда там появилась поддержка KVM?

tailgunner ★★★★★ ()
Ответ на: комментарий от tailgunner

Зачем там поддержка этого решета? Нам дерьма от школьников не надо, у нас и VirtualBox хорошо работает.

Elemir ()
Ответ на: комментарий от Elemir

к той баге даже poc нету

нет там локал рута, даже с кернел модулем

xtraeft ★★☆☆ ()
Ответ на: комментарий от Elemir

>> У Solaris и FreeBSD всё еще впереди. Когда там появилась поддержка KVM?

Зачем там поддержка этого решета?

Это ты о себе во множественном числе? Потому что поддержка KVM таки появилась и в Solaris, и в FreeBSD. Совсем недавно, но всё же появилась.

Нам дерьма от школьников не надо,

Да, ты совершенно очевидно взрослый и солидный.

у нас и VirtualBox хорошо работает.

У всех.

tailgunner ★★★★★ ()
Ответ на: комментарий от Elemir

А разгадка одна

У меня к личностям, приводящим такие разгадки, один всегда вопрос: что вы здесь забыли?!

daemonpnz ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.