Новый Top500 суперкомпьютеров планеты - Linux 11 лет подряд увеличивает свое присутствие в списке

>> Несовместимый зоопарк DE/wm форматов данных - удел пионерии, что и подтверждается на практике

На практике подтверждается, что «пользователю» (дятлу обыкновенному) совершенно по барабану какое там DE и WM. Рабочий стол, иконка «Интернет», «Почта» и «Офис» есть - всё, можно работать.

> Ну если юзер запустил, возможно неявно через баг бровзера, что-то «не то» то это «не то» будет ограничено правами юзера. Теперь если узнать пароль юзера, то это прямая дорога к рут-привилегиям через sudo passwd root. Узнать пароль юзера можно поставив какой-то хук на те места где ОС требует ввода юзерского пароля типа sudo или гуевой обновлялки.

Давно пора решето, по недоразумению называемое бразуром, гонять из под специального юзера, отличного от текущего.

Да и каждый сайт гонять в отдельном процессе, чтобы пароль, запрошенный для одного сайта, не был доступен процессу, открывшему другой.

>> Заразы вроде всяких обучающих курсов для домохозяек, словарей, игр и пр. - cогласен, бородатым одминам это ни к чему! Консоль - наше фсио! :-D

Сделай мне ещё одно просветление: с каких пор домохозяйки запускают обучающие курсы, игры и словари с флешек и smb-шар? Или флешки с играми щас на Петровке вместо дисков начали продавать?

* браузером

:) не sudo, а делать алиас на него. т.е. запуская sudo ты из ком строки реально запускаешь другой скрипт, которые мимкрирует под sudo. Аналогично предлагается заменить gksu/kdesu для обмана пользователя.

Ну или вариант с полноценной заменой sudo чтобы даже bash не догадался, что он не тот sudo запускает (правда это довольно легко ловиться проверкой чексум из rpm или deb пакета)

>> Давно пора решето, по недоразумению называемое бразуром, гонять из под специального юзера, отличного от текущего.

Так никто и не мешает... If you are a paranoid - можешь даже в chroot его запихать. (Оп-па! ИНтересная идея, надо будет попробовать!)

Моя замечательно живет без авторана. И под линуксом :)

>ыыыы... епт... это просто песня %) Где-то на sudo вешают passwd? O_o

В Убунте passwd можно запустить через sudo.

>> В Убунте passwd можно запустить через sudo.

Подтверждаю. Гонял в виртуалке 9.10 на днях - так себе рута и разблокировал

user $ sudo passwd user $ su Password: root $ ...

>Только к распространению заразы.

"Только" говорит об очень широком кругозоре :)

>winxp, vista, win7 - разные десктопы (спорить не буду :) ибо глупо отрицать очевидное)

Нет, дружок, радикально поменялась разве что панель задач да и настройки, в которые никто не лазит по большей части. Все те же иконки на рабочем столе, всё тот же проводник, файловые диалоги отличаются далеко не в контрасте GTK/QT, версий которых тоже может быть не одна, ага

>office2003 office2007 - тоже пепец различаются.

c 97 по 2003 интерфейс практически не менялся, 2007 действительно удобнее. Однако оно и выглядит везде одинаково, где 2007 может запуститься

> Так никто и не мешает... If you are a paranoid - можешь даже в chroot его запихать. (Оп-па! ИНтересная идея, надо будет попробовать!)

Там еще много чего можно сделать, например прикрыть ему доступ в инет (только через локальную проксю).

Но это все саппортить надо, написать скрипты обновления чрутнутых окружений, зачрутивания и т.п.

>Моя замечательно живет без авторана. И под линуксом :)

Не ври, твоя мама на самом деле - бородатый одмин в полосатой тельняшке =)

>> «Только» говорит об очень широком кругозоре :)

А что? Даже ты, о адепт windows.org.ru, внятного примера, нахрена оно нужно, так и не привёл...

> :) не sudo, а делать алиас на него. т.е. запуская sudo ты из ком строки реально запускаешь другой скрипт, которые мимкрирует под sudo

Ну слава ТНБ, менять sudo нет смысла. Если ты немного подумаешь, ты поймешь, что нет смысла и мимикрировать под sudo, потому что взлом пользовательского аккаунта завершается в тот момент, когда код атакующего запускается с пользовательскими правами.

>> Там еще много чего можно сделать, например прикрыть ему доступ в инет (только через локальную проксю).

Но это все саппортить надо, написать скрипты обновления чрутнутых окружений, зачрутивания и т.п.

Ну да, зато - параноидальная безопасность, и чисто научный интерес :) В венде вон, такое поди хрен вообще сделаешь.

> В Убунте passwd можно запустить через sudo.

Теперь я понимаю, почему Убунту называют говном.

>Если ты немного подумаешь, ты поймешь, что нет смысла и мимикрировать под sudo, потому что взлом пользовательского аккаунта завершается в тот момент, когда код атакующего запускается с пользовательскими правами.

Только чтобы узнать его пароль надо каким-то макаром прочитать файл /etc/shadow и прогнать хеш через брутфорс.

>нахрена оно нужно, так и не привёл...

Тебе может и хер, а вот первый попавшийся пример для обычных людей - курсы английского, там или карта города, или ещё чего, что для обычного пользователя всяко удобнее, чем думать, а где же ета дрянь расположена, чтобы её с диска запустить

> Ну да, зато - параноидальная безопасность, и чисто научный интерес :) В венде вон, такое поди хрен вообще сделаешь.

но и тут не все просто — как ты будешь аплоадить файлы на сайты из под чрутнутого браузера?

т.е. нужен патч к браузеру и демон со стороны обычного пользователя, отдающий файлы, или как?

>> чтобы её с диска запустить

Ты вообще посты до конца дочитываешь? Спрашиваю ЧЕТВЁРТЫЙ РАЗ: нахрена оно на ФЛЕШКАХ и SMB-шарах врублено по дефолту?

>> нет смысла и мимикрировать под sudo, потому что взлом пользовательского аккаунта завершается в тот момент, когда код атакующего запускается с пользовательскими правами.

Только чтобы узнать его пароль надо каким-то макаром прочитать файл /etc/shadow

Его пароль не надо читать. Он бесполезен. Полезны ssh-ключи, пароли к сетевым сервисам и прочее, что отнюдь не в /etc/shadow хранится. И по-любому, _подмена_ sudo не нужна, так что якобы преимущество UAC - просто маркетоидный развод.

>> В Убунте passwd можно запустить через sudo.

Теперь я понимаю, почему Убунту называют говном.

В других дистрибутивах атака не может быть принципиально более сложной, т.к все равно процессы иногда требуют рутовских привилегий для установки тех же апдейтов. Вклиниться в одну из ихних подтверждалок при должном упорстве вполне возможно всегда.

>> но и тут не все просто — как ты будешь аплоадить файлы на сайты из под чрутнутого браузера?

т.е. нужен патч к браузеру и демон со стороны обычного пользователя, отдающий файлы, или как?

Например - «буферный» каталог в чруте...

>так что якобы преимущество UAC - просто маркетоидный развод.

Наличие специального режима ОС для подтверждения системных действий это не маркетоидный бред, а одно из требований американской сертификации на уровень безопасности ЕМНИП C1. В WinNT сделали вход в режим ввода пароля через неперехватываемую комбинацию C+A+D именно для получения этого сертификата.

>> обычного пользователя всяко удобнее, чем думать

А вот в этом - ты прав, как никогда. Обычного пользователя нужно отучать думать всеми возможными способами. Обычному пользователю думать - вредно. Если он не будет думать - то и M$ будет продолжать свой хлеб с икрой жрать, и мы, профессионалы, без работы не останемся, и всякие там СМС-лохотронщики с голоду не помруд, и димоебланы с домами-2 будут жить, цвести и пахнуть (фекалиями, ага!)

>> одно из требований американской сертификации на уровень безопасности ЕМНИП C1. В WinNT сделали вход в режим ввода пароля через неперехватываемую комбинацию C+A+D именно для получения этого сертификата.

М-да... Хорошо, что автомобили ТАК не сертифицируют. А то ездили бы мы на машинах с отваливающимися на 40 км/ч колёсами и отказывающими регулярно тормозами, но зато - с подушками безопасности.

> >>В Убунте passwd можно запустить через sudo.

Теперь я понимаю, почему Убунту называют говном.

В других дистрибутивах атака не может быть принципиально более сложной

Кто говорит о «принципиально»? А между тем, что «твою тачку порутили в ту же секунду, когда запустилсяч чужой код» и «твою тачку порутили в ту секунду, когда ты ввел рутовый пароль в фейковое окно», есть существенная практическая разница.

И в любом случае, тема - архитектурное преимущество UAC. Так вот, его нет, это развод.

>Хорошо, что автомобили ТАК не сертифицируют

Речь о WinNT4 которая была очень надежной, т.к на нее не пытались натянуть функционал Win9x в силу таргеттинга на сервер и профессионального корпоративного пользователя.

> Наличие специального режима ОС для подтверждения системных действий это не маркетоидный бред, а одно из требований американской сертификации на уровень безопасности ЕМНИП C1. В WinNT сделали вход в режим ввода пароля через неперехватываемую комбинацию C+A+D именно для получения этого сертификата.

В огороде бузина... C-A-D - это средство вызова процедуры аутентификации пользователя, а при взломе код запускается от _уже аутентифицированного_ пользователя.

В том то и дело, что при UAC код не может выполнить всё то же, что и аутентифицированный пользователь. Например, в W7 по дефолту (но не в висте) если пользователь заходит в настройки системы и что-то меняет, то с него не спрашивается подтверждение, а если это же делает какая-нибудь программа, то выскакивает окно UAC.

> http://uptime.netcraft.com/up/today/top.avg.html
> Есть только 1 Линукс. И тот на 47 месте. Кстати, не слака, не гента, не редхат, не сюзя и даже не дебиан, как думали красноглазики,а гламурная Убунта!

ссылка говно. потому что это HA-кластера и ни о каком реальном аптайме ОС там речь не идет, а лишь о доступности сайта...

>Как? Собирать с исходников самому и закатывать в пакет?
>Каких?

Р-раз: http://www.i-rs.ru/Skachat

Два: http://infralinux.org/for-ubuntu-users.html

Три: http://community.i-rs.ru/index.php?PHPSESSID=a263258462bb1fd43be75d804fb47972...

Кстати, да, по поводу пункта три - не стоит забывать про backports.org

P.S. а еще можно использовать ubuntu lts, если debian stable по каким-то причинам не нравится.

О, в МС осилили, все-таки, сделать то, что надо было делать с самого начала - идентификацию процессов запросивших повышение привилегий... В линуксе этот функционал можно реализовать через dbus, ИМХО, гораздо более чистый способ.

>>Кодер и линукс установит, и.

Установит и что? А вот захочет ли постоянно терпеть весь этот бред - уже вопрос совершенно другой. Я устал чес слово уже. Мешает перейти на венду только одно - 1 теребайт разделов на винтах под ext3. А так бы уже был бы одним из спокойных и удовлетворенных пользователей вин.

так тыж ламер - еслиб ты не был ламером и оченнь хотел венду (что на мой взгляд взаимоисключающие условия) то поставил бы венду и софт для поддрежки екст3 под вендой

>Зависит от того, как sudo настроен. Частенько он на пароль рута настроен, а не на пароль пользователя.

Жжжесть! :)))

У кого он «частенько» так настроен - тот сам себе злой Буратина. По пояс деревянный. Сверху. По умолчанию sudo на пароль рута не настроен НИ В ОДНОМ дистрибутиве (потому что в этом случае смысл sudo теряется чуть более, чем полностью).

Вывод: матчасть нужно не только курить, но и читать перед этим.

>>> Угу, почему-то в форумах чуть ли не каждый день кто-нибудь вылезает с арчем, раз2.71банным свежими апдейтами. Что-то в федоре убунте и сусе такого не происходит.

в федоре все спокойно...

>Обычному пользователю думать - вредно. Если он не будет думать - то и M$ будет продолжать свой хлеб с икрой жрать, и мы, профессионалы, без работы не останемся, и всякие там СМС-лохотронщики с голоду не помруд, и димоебланы с домами-2 будут жить, цвести и пахнуть (фекалиями, ага!)

Поэтому я давно полюбил windows - на ней так чудно зарабатывать, впаривая лохам кривые глюкавые поделия. А когда у них кончается терпение - за деньги переводить с венды на ляликс.

А главное это можно делать много раз, рекурсивно ! %=) Сначала с венды на ляликс, потом с ляликса снова на винду %-) По кругу %) Какую нить автоматизацию писать, за бабло, и внедрять её, потому что офисный планктон ни асилил самостоятельно в гугле набрать поисковый запрос. И уже давно потерял способность читать самостоятельно мануал к программам. А ведь иначе не будет "развитого общества" потребителей, и прогресс встанет сразу же %-)

В общем все идет по плану ! %)

замените точки на запятые. мы же русские люди

На самом деле это демагогия. Состояние «быть матерью» и «тупая домохозяйка» - это ортогональные понятия. Так что не нужно в спор о юзабилити приплетать что-то в стиле «мамой клянусь» ладно, «дружок»? :).

> Очевидно, как и множество других в принципе ненужных вещей, что и объясняет 1% за 18 лет =)

Не угадал, уже 3% и доля стремительно растёт, переходят госструктуры и т.д.

Не улавливают логики. Каким образом я получу доступ к руту на атакуемой машине только запустив локально свой код? Локальные дыры не всегда есть, а запуск из под дырки ФФ не дает мне автоматически доступ к руту? Не?

> Пользователям не нужны тонны DE, ему нужно знакомое окружение, чтобы он мог на любом компьютере применить свои навыки.

Пользователь легко привыкает к новому DE, не надо бреда.

Если ты не способен усвоить новое - не думай, что все такие. Большинство пользователей не умственные инвалиды, нормальные люди.

По умолчанию sudo на пароль рута не настроен НИ В ОДНОМ дистрибутиве (потому что в этом случае смысл sudo теряется чуть более, чем полностью).

Дядь? Ты какие дистрибутивы видел? И опять же, разницы _принципиальной_ между запросом пароля рута и пароля юзера _нет_! Особенно если sudo не ограничен какой-то группой (как в freebsd). Это давний теологический спор.

> (я рассматриваю только удалённые, локальных в той же дристе за пару лет нашли столько же, сколько в Линуксе за всё время его существования), которым уже лет 15, и которые вылазят тоннами в каждой новой версии и в каждом новом сервиспаке.

4.2

беспарольный sudo хуже чем uac

Руссо фашисто?

> Да, а oo.org потянет десяток зависимостей, после чего о «не трогай все остальное» останется только помечтать.

В какой-нибудь федорке потянет. Всегда смотришь на неё и диву даешься, как же это надо умудриться собирать пакеты, что обновление блокнота тянет обновление всего дистрибутива :)

>Уже кто-то написал на Qt приблуду, занимающую всю свободную оперативку и раз в минуту убивающую рандомный процесс, предлагая отправить отчёт об ошибке.

KDE4?

Успокойся, в венде сто лет как нет авторана. XP древняя как говно мамонта, давай еще вспомним linux 2.0, который от пинга валился.

>klausd

Линукс настраивается легче винды, если у тебя карма, или проблемы с настройкой линукса, то не у всех, задолбали судить весь мир по своей заднице.