LINUX.ORG.RU

Gentoo анонсировали бинарную сборку gentoo-kernel-bin

 , ,


0

2

Проект Gentoo Distribution Kernel опубликовал новые пакеты Linux-ядра. Конфигурация ядер взята из Fedora Linux (до версии 5.7.9 использовался Arch Linux).

  1. Ядро с примененными genpatches, построенное с использованием менеджера пакетов, с настройками по умолчанию, либо пользовательской конфигурацией
sys-kernel/gentoo-kernel
  1. Предварительно собранная (бинарная) версия gentoo-kernel
sys-kernel/gentoo-kernel-bin
  1. Немодифицированное «ванильное» ядро
sys-kernel/vanilla-kernel

Главным отличием использования Distribution Kernels является возможность обновления до новых версий в процессе общего обновления «мира», без дополнительных ручных действий.

По умолчанию эти ядра поддерживают большинство оборудования, но они могут быть дополнительно сконфигурированы в /etc/portage/savedconfig.

>>> Подробности

★★★★

Проверено: alpha ()

Ответ на: Да Ви чьтоооо?!? от Moisha_Liberman

«Д,Б»

Из всего текста по этим ссылкам:

https://www.opennet.ru/opennews/art.shtml?num=53545

Gentoo анонсировали бинарную сборку gentoo-kernel-bin (комментарий)

Твой мозг должен был выделить:

1.«Для предотвращения заражения рекомендуется использовать обязательную проверку подписи ядра и модулей, доступную начиная с версии ядра linux 3.7.»

  1. Где находится приватная часть ключа: CONFIG_MUDULE_SIG_KEY от моего ядра Linux?
anonymous ()
Ответ на: комментарий от anonymous

Нене...

А ваша поделка

Мои поделки Вам под руку даже случайно не попадутся. Я в курсе существования ТОР с его выхода в public domain, году в 2001м, так что даже здесь нет моего реального IP. В логах сервера ЛОРа. IP быстрой и непубличной точки выхода да, есть. Да и такой фигнёй как описано я не занимался и не занимаюсь и уволил бы в 24 часа тех долб… (ну, Вы поняли) которые такую фигню сконструировали. Это прямо на месте, не вставая с кресла, что называется. Чтобы расставить все точки над «Ё» и не придумывать лишнего.

Дальше. Страх перед условным «товарищем майором» сильно преувеличен. Пока условный хаккИр Василий живёт в своём ауле-кишлаке, пока он конпеляет ведро и думает как бы захватить мир, не привлекая внимания саитаров, пока он не занимается мерзостью типа наркоты и детского прона, он никому не интересен. А вот mister major я бы опасался, т.к. при выезде за рубеж (да, за поребрик, ага) внезапно могут возникнуть вопросы, которые потребуют вмешательства МИДа. Потому как условный хаккИр Василий оказывается слишком удобной мишенью чтобы повесить на него проделки всемогущих «рассейских хаккИров». Оно понятно что фраза «the Russians did it» уже вызывает хохот и стала мемасиком для фоточек с котом, который разрыл горшок с цветами, но для mass media сойдёт и наш добрый и скорбный умишком Вася. Если кто-то верует в незыблемость защиты той же телеги или чего-то из массовых средств коммуникации, то это уже повод обратиться к профильному специалисту (мозгоправу). Всё, что не контролируете Вы лично, контролирует кто-то другой.

Ну и наконец. Я не стал говорить об этой стороне, но да, монолитное ядро имеет право на существование. На серверах в особенности и я не зря сказал что на нормальных «боевых» серверах, которые даже имеют доступ в интернет, там нет и не может быть ни gcc, ни исходников ядра. Они даже апдейтятся из «своей» сети, со своих серверов bindist, которые получают со своего же локального зеркала исходники (это чтоб не качать по сто раз одно и то же). Формально Вы безусловно правы, ядро тоже под угрозой. Но здесь есть одно «но». И весьма существенное. До ядра надо ещё и умудриться дорубиться. Т.е., ядро напрямую атаковать не получится, не та поверхность и вектора атаки. Сперва надо повалить что-то менее значимое, публично доступное, дальше добить хост локальным эксплоитом, поднять привилегии и вот только потоооом… Что-то сделать с ядром, банально тот же kernel rootkit присобачить, чтобы закрепиться на хосте. Как это сделать при описываемой мною конфигурации сети и апдейтов я и не спрашиваю. В особенности, если все апдейты проходят проверку. И это в коммерческой компании, я подчеркну. Про госслужбы и не говорим. Там всё куда как жёстче.

Про подписывание ядра ключами и прочие ухищрения и не говорим. Уж больно обширная тема для обсуждения. Тут один вопрос распространения ключевой информации страниц на 20-30 флейма потянет. А дальше ещё применяемые криптоалгоритмы блочных шифров, их плюсы и минусы… В общем, не хотите проблем – ставьте монолитное ядро на сервер и не снашайте мозг. Ну и всё лишнее с сервера долой, это очевидно.

Moisha_Liberman ()
Ответ на: комментарий от anonymous

Да по-русски же уже сказано...

Читайте Gentoo вики.

Где находится приватная часть ключа: CONFIG_MUDULE_SIG_KEY от моего ядра Linux?

https://wiki.gentoo.org/wiki/Signed_kernel_module_support

Не хотят читать? Gentoo? Сложно и долго конпелять ведро? Ну мои соболезнования, чё… =)))

Тогда вот блог Грега Кроа-Хартмана http://www.kroah.com/log/blog/2013/09/02/booting-a-self-signed-linux-kernel/

Зато всё круто. У нас есть UEFI жи!!!11адын-адын Ну и как, сильно полегчало? =)))

И да. Ещё раз. Бинарная сборка ядра типа gentoo-sources-bin это для случая, чтобы не конфигурировать ядро при установке системы. Т.е., сделал emerge gentoo-sources-bin при установке, перезагрузился, далее делайте emerge gentoo-sources; cd linux;make menuconfig||genkernel … и далее как положено. Не более того. На большее, кроме как утешить скорбь bryak, это не тянет.

Moisha_Liberman ()
Последнее исправление: Moisha_Liberman (всего исправлений: 1)

Зачем нам бинарное ядро? Гентушку ставят на личный десктоп, а там не зазорно и отконфигурировать всё в соответствии с хотелками.

RedEyedMan666 ()
Ответ на: Нене... от Moisha_Liberman

Re: самоуверенность мосада...

Мои поделки Вам под руку даже случайно не попадутся.

stuxnet ваш таки попался подруку. Так что возле Иранов вам тоже гулять не советую, они порчу своих центрефуг не забудут.

https://wiki.gentoo.org/wiki/Signed_kernel_module_support

Хорошая ссылка! Именно это иногда здесь напоминаю: Расскажите как вы защищаете свои рабочие станции? (комментарий)

Бинарная сборка ядра типа gentoo-sources-bin это для случая, чтобы не конфигурировать ядро при установке системы. Т.е., сделал emerge gentoo-sources-bin при установке, перезагрузился

Объясни мне зачем? Обычно все компилят сразу свое ядро и перезагружается с LiveCD/DVD уже в свое ядро.

У нас есть UEFI

Security Boot и подпись загрузчика Windows (комментарий)

Всяким *Б в BIOS-е было мало места для размещения bootkit-тов и они попросили сделать UEFI.

anonymous ()
Ответ на: комментарий от RedEyedMan666

Ну они наверное стандартный конфиг компиляли через генкернел. А потому там минут на 40 наверное выходило. Оттуда и вопли. бинарное ядро - загрузить модули и сделать make localmodconfig чтобы залезть в make menuconfig и все модули сделать частью ядра выбрав вместо m звездочку *.

anonymous ()
Ответ на: комментарий от RedEyedMan666

Ну я компилирую пока читаю что-то в инете. Там не обязательно все ресурсы отдавать под компиляцию или можно все возможное отдать если пакеты все небольшие. Люди просто делают из мухи слона будто они компилируют на боевых серверах банков, которые кто-то постоянно пытается сломать.

anonymous ()
Ответ на: комментарий от anonymous

Модули? Зачем? Ставь монолитное ядро.

Как раз об этом и речь: Расскажите как вы защищаете свои рабочие станции? (комментарий)

У меня все ядра монолитные как на рабочих станциях, так и на серваках и верифицируются при загрузке в GRUB: https://www.gnu.org/software/grub/manual/grub/grub.html#Using-digital-signatures

А вот сабж пропагандирует бинарное ядро с модулями и непонятно подписывались ли они и у кого приватный ключ: CONFIG_MUDULE_SIG_KEY

anonymous ()
Ответ на: комментарий от anonymous

Ну я компилирую пока читаю что-то в инете.

А я когда компилирую Gentoo, даже обычные пакеты не говорю уже о ядре, от локальной сети отключаюсь не то что от Интернета. И всем гентушникам советую поступать также.

anonymous ()
Ответ на: Re: самоуверенность мосада... от anonymous

Эммм... Вам? Что-либо объяснять? =)))

А Вы уверены что это стоит делать, если учесть что Вы, видимо, уверены что у меня в паспорте написано «Мойши Либерман»? Уверяю Вас, меня даже не «Михаил» зовут в реале и к еврейству я отношусь только ником в интернете. И то не всегда. =)))

По вот этой Вашей ссылке Расскажите как вы защищаете свои рабочие станции? (комментарий), которую Вы и привели. Замечу, что за язык Вас ни кто не тянул… Вы сами за звиздюлями вышли… =)))

Тебе надо отдельной технологией защитить все програмы, библиотеки, настройки.

Внезапно, но это уже есть. Есть опции защиты от дурака при компиляции библиотек, программ. Есть дополнительные опции защиты от дурака при линовке. А как Вы «влёт» поломаете программу, собранную с защитой от срыва кучи, стека и с изменяемыми адресами загрузки программ и библиотек и слинкованную с дополнительными флагами? Напомню, что даже M$ посчитала достаточно безопасным собрать свои server начиная с 2008г. с опцией /Gs (guard stack).

Есть SELinux, вводящий дополнительный уровень защиты за счёт модели принудительного контроля доступа в райтайме. При чём делающий это (вводящий дополнительный уровень защиты) во всей защищаемой системе… Т.е., даже если программьё криво собрано, то по идее ни чего страшного произойти не должно. Наш РусБитТех продолжили это модель дальше, предложив для Astra Linux более совершенную реализацию (верификация математической модели производилась Институтом системного программирования РАН).

Но нет, не существует единой «серебряной пули», решающей все задачи безопасности раз и навсегда. Батенька, вынужден Вам напомнить что безопасность это не состояние, это процесс. И шифрация чего-либо это только одна из степеней защиты.

А вот эта вот фраза из Вашего же коммента заставляет меня снять ремень и высечь Вас от души:

Для начала поставь любую IDS и научись её правильно использовать.

ЛОЛШТО?!? Милейший, эта Ваша рекомендация, это полный бред. Вы хоть сами понимаете что IDS/IPS… Кстати, почему именно IDS? IDS только информирует о предполагаемой попытке НСД (несанкционированного доступа) с каким-то, возможно и неуспешным результатом информирует, т.к. проглядеть может, в то время как IPS пытается предотвратить НСД, и тоже не ясно с каким результатом. Дальше. «Любая IDS». Что под этим подразумевается? И почему именно «любая»? Они есть host-based, network-based, protocol-based, hybrid, application-protocol based… пассивные, активные… какую именно Вы ему рекомендуете поставить-то и чем ему надо научиться пользоваться? На фиг давать советы, если Ваши же знания в обсуждаемой области вызывают массу вопросов?

Moisha_Liberman ()
Ответ на: комментарий от anonymous

Да уже понятно что это...

А вот сабж пропагандирует бинарное ядро с модулями

Эта загрузка – на случай установки системы и только. Потом перезагружаемся и собираем ядро как положено.

Moisha_Liberman ()
Ответ на: Эммм... Вам? Что-либо объяснять? =))) от Moisha_Liberman

Re: Моссад прокололся...

А Вы уверены что это стоит делать, если учесть что Вы, видимо, уверены что у меня в паспорте написано «Мойши Либерман»?

Да мы здесь все свои, в ФСБ/ГРУ донос на вас не напишем, можете не оправдываться.

По вот этой Вашей ссылке Расскажите как вы защищаете свои рабочие станции? (комментарий), которую Вы и привели. Замечу, что за язык Вас ни кто не тянул… Вы сами за звиздюлями вышли… =)))

Тебе надо отдельной технологией защитить все програмы, библиотеки, настройки.

Внезапно, но это уже есть. Есть опции защиты от дурака при компиляции библиотек, программ.

Не думал что в моссаде такие проблемы с образованием. Ты по ссылке сходи и прочти все: Расскажите как вы защищаете свои рабочие станции? (комментарий)

"Тебе надо отдельной технологией защитить все програмы, библиотеки, настройки.

Технологиями безопасной загрузки защитит ядро, инитрд и на конец сам загрузчик."

Речь в данном посте идет о системе Integrity (проверке автентичноси и целостности), за исключением пункта «Дополнительные опции защиты Линукс:».

Мои посты выше о ключах ядра Linux тоже полностью относятся к системе Integrity, а вы здесь наделали кучку из всех свои ограниченных знаний в области ИБ.

Дальше. «Любая IDS». Что под этим подразумевается?

Хотел тогда написать IDE, но здесь 99% подумают что речь о KDE/GNOME.

Напомню речь идет о Integrity он бывает 2 видов: при доступе и по запросу.

При доступе, это эти ссылки:

https://habr.com/en/post/273497

https://www.gnu.org/software/grub/manual/grub/grub.html#Using-digital-signatures

https://wiki.gentoo.org/wiki/Signed_kernel_module_support

https://sourceforge.net/p/linux-ima/wiki/Home/

По запросу проверка целостности системы Intrusion Detection Environment / Intrusion Detection System. А какие вы знаете? Хотя бы одну?

anonymous ()
Ответ на: У кого есть ключи от вашей квартиры? от anonymous

Только самостоятельная сборка ядра Linux даст вам гарантию контроля над приватными ключами

А также отказ в поддержке дистрибьюторами вроде красношапки. Скрасноглазил свое ядро? мучайся сам.

leg0las ★★★★★ ()
Последнее исправление: leg0las (всего исправлений: 1)
Ответ на: Re: Моссад прокололся... от anonymous

Да хоть в Спортлото, чесслово! =)))

Да мы здесь все свои, в ФСБ/ГРУ донос на вас не напишем, можете не оправдываться.

С этим сразу в Спортлото. Даже не обсуждается. Там разберутся кто тут свой, кто чужой. =)))

По остальному комменту. Понимаете, Вы пишите в общем правильные слова и в правильной последовательности даже. Но получается всё равно фигня. Что неправильно? Да всё неправильно.

У Вас нет одной простой вещи. У Вас нет корня доверия и нет охвата всей системы. Всё (вообще всё), что не прибито гвоздями к полу, читай – что не прошито в железо и может быть своровано, искажено, подменено… Всё это ни как не проходит. Т.е., ключи, на основании которых Вы что-то генерируете, должны быть вшиты в железо. Алгоритмы, которыми Вы что-то генерируете, тоже. Не зря вот уже лет как 10 в любой публично используемый проц, вшиты инструкции AES-NI. Ключи могут быть разные, а алгоритм ищите по cat /proc/cpuinfo. Тот «aes», который там увидите, это оно и есть.

Дальше. С ключами-алгоритмами разобрались, они только отчасти вшиты в систему. Ну и очевидно что прошитые ключи, от которых «пляшем», не должны позволять своё изменение и, как следствие, подмену.

Теперь дальше мы говорим о генерации подписи и подписывании системы. Ядро подписали? Очешуенно. Но что делать с интеллектуальными контроллерами той же сети или RAID-массивов, да с тем же UEFI, например? «Интеллектуальность» устройств подразумевает прошивку. Фирмварь. Вы её подписали? Нет. Ну и с чего Вы взяли что сетевой или RAID-контроллер не будет соловьём на всю Сеть свистеть-заливаться?

Т.е., на основании ключей и алгоритмов из шага выше, мы должны ещё и фирмварь подписывать, которую сами и собрали из исходников и, понятное дело, верифицировали как положено.

Поэтому, Ваш коммент:

А я когда компилирую Gentoo, даже обычные пакеты не говорю уже о ядре, от локальной сети отключаюсь не то что от Интернета.

Заставил меня задуматься о том, что мне делать – то ли плакать от восхищения, то ли орать от хохота, то ли просто застыть в немом офигении… =))) Гениально, конечно, но старина Столлман вообще-то, прав на все 146%, говоря о закрытости решений.

Ну и да, тут народ задумался о том, чтобы UEFI ещё и на ARM взгромоздить, так что скоро будет так «весело», что просто ухихикаться. Шутка про то, что с Вами говорит холодильник, автоответчик в отпуске, уже перестала быть шуткой (/me с опаской покосился на холодильник и стиральную машину с мультиваркой, т.к. почти вся бытовая техника, исключая унитаз уже имеет «доступ в Интернет»).

Ну а так-то, если честно, то есть только один путь реализовать действительно защищённую сеть. Это организовать два контура. Один – подключён к Сети и более-менее публичен, второй, позволяющий циркулировать информации, стоимость которой оправдывает средства по её защите. Больше вариантов нет. IDS/IPD/IDE, это всё сразу лесом. Ни кто не гарантирует их адекватной работы, ни кто не гарантирует своевременного распространения правил, на основе которых они работают, ни кто не гарантирует их срабатывания в принципе. В общем, ни кто и ничего не гарантирует. Про корень доверия и доверенность всей системы в целом, я вообще молчу.

Ну вот, как-то вот так.

UPD. Про TPM, оно же Fritz-чип почитайте, для хранения ключей, по идее и нужно. Но не только для этого. В общем, туда. Правда и TPM не спасает, но это уже другая история.

UPD2. И да, алгоритмы, которые должны быть в систему вшиты, должны быть Стрибог, Магма, Кузнечик. Никакого AES. В принципе. Приговор – курить приснопамятное 519-е постановления до полного просветления. =)))

Moisha_Liberman ()
Последнее исправление: Moisha_Liberman (всего исправлений: 2)

Бряк, а где еще анонимусам офтопить, если нас погнали отовсюду? И всё время закрывают рты?

anonymous ()
Ответ на: Ну онлайн-ритейл... от Moisha_Liberman

Хреновый у тебя бизнес, мойша. Железо всегда дешевле разработчика

arcanis ★★★★ ()
Ответ на: комментарий от leg0las

Да ладно? а как же версии библиотек?

Реальное тестирование ты все равно будешь вести в чем то типа контейнера. Довольно глупо ставить специфичный для текущей работы дистрна лохалхост. Максимум что в своем руте будешь делать - канпелять и запускать перед коммитом

А в контейнере хоть гента, хоть никс, хоть рхел, хоть ещё что

arcanis ★★★★ ()
Ответ на: комментарий от leg0las

> Только самостоятельная сборка ядра Linux даст вам гарантию контроля над приватными ключами

А также отказ в поддержке дистрибьюторами вроде красношапки. Скрасноглазил свое ядро? мучайся сам.

В продакшине ставишь своё ядро со своими ключами. А в углу на одной с медовых ловушек оставляеш ядро от красной шапочки. Все советы «потдержки» красной шапочки, после тестирования на машине с их ядром переносятся на машину в продакшин.

Контроль над приватной частью ключей незыблемое правило Integrity. Админа который нарушает это правило могут уволить как несоответствующего требованиям занимаемой должности.

anonymous ()
Ответ на: комментарий от anonymous

Админа который нарушает это правило могут уволить как несоответствующего требованиям занимаемой должности.

Админа, который ставит на hi-load prod самособранное ядро вместо поставляемого дистрибутивом могут также уволить. Да, кстати, в том же OEL товарищи из оракла каким-то хитрым образром собирают его так, что собранное ядро от OEL работает лучше с i/o чем самособранное с их же конфигом.

Посему я могу сделать вывод, что уважаемый анонимус не имел дела с серьезным хайлоад продакшеном с большим оборотом.

leg0las ★★★★★ ()
Ответ на: комментарий от leg0las

Админа, который ставит на hi-load prod самособранное ядро вместо поставляемого дистрибутивом могут также уволить.

В РФ и Украине все возможно, зависит от руководства, мне попадались те которых больше интересует аутентичность и целостность как гарантии безопасности.

Да, кстати, в том же OEL товарищи из оракла каким-то хитрым образром собирают его так, что собранное ядро от OEL работает лучше с i/o чем самособранное с их же конфигом.

Вот это интересно. Если патчи те-же, сорци те-же, конфиги идентичны… Ну я еще в Makefile подкручиваю: CFLAGS_KERNEL, LDFLAGS_vmlinux под свое железо и понятия правильности оптимизирую. У меня очень быстрые монолитные ядра, даже не смотря на жесткие принципы безопасности, очищаю память при освобождении… Надо проверять и тестить, быстрее чем самосборное бывалым гентушником не будет точно!

Посему я могу сделать вывод, что уважаемый анонимус не имел дела с серьезным хайлоад продакшеном с большим оборотом.

Ну ща растегнем ширинки и померяем у кого хайлоад больше.

Я пытаюсь всех обратить внимание на проблемы безопасности бинарных ядер, в частности наличие приватных ключей у третьих лиц.

anonymous ()
Ответ на: комментарий от anonymous

Вот это интересно. Если патчи те-же, сорци те-же, конфиги идентичны…

Пруфов не будет, сразу скажу, что это тестилось людьми, которые разбираются. Собранное ядро в ынтырпрайзе скорее всего подкручено каким-то образом, может у них там свой компилятор патченный.

Я пытаюсь всех обратить внимание на проблемы безопасности бинарных ядер, в частности наличие приватных ключей у третьих лиц.

Если это бинарик от красношапки или оракла, какие проблемы?

Давай тогда поговорим про безопасность данных, которые находятся на VPS/VDS? да, если что я читал документ, забыл как называется - где указаны требования для безопасного осуществления платежей онлайн, который с 12 частей, начинающийся «используете ли вы SSL» заканчивая «есть ли у вас видеонаблюдение в вашем датацентре».

leg0las ★★★★★ ()

Вот гавно в мой портадж добавили:

https://gitweb.gentoo.org/repo/gentoo.git/tree/sys-kernel/gentoo-kernel/gento...

...
Свой конфиги уже не могут:
	amd64? (
		https://src.fedoraproject.org/rpms/kernel/raw/${CONFIG_HASH}/f/kernel-x86_64-fedora.config
			-> kernel-x86_64-fedora.config.${CONFIG_VER}
	)
...
	ewarn "Starting with 5.7.9, Distribution Kernels are switching from Arch"
	ewarn "Linux configs to Fedora.  Please keep a backup kernel just in case."
...
А дальше сделали даже хуже чем в федорки:
# всем расскажем что это гентоо:
		-e 's:^CONFIG_DEFAULT_HOSTNAME=:&"gentoo":'
# надо добавить поддержку всех старых 32-битных вирей
		-e '/CONFIG_X86_X32/s:.*:CONFIG_X86_X32=y:'
# надо беспрепятственный поддержку руткитов https://www.opennet.ru/opennews/art.shtml?num=53545
		-e '/CONFIG_MODULE_SIG/d'
Вообще отключим защиту ядра:
		-e '/CONFIG_SECURITY_LOCKDOWN/d'
И верификацию отключим, чтобы руткиты все работали:
		-e '/CONFIG_KEXEC_SIG/d'
		-e '/CONFIG_KEXEC_BZIMAGE_VERIFY_SIG/d'
		-e '/CONFIG_SYSTEM_EXTRA_CERTIFICATE/d'
		-e '/CONFIG_SIGNATURE/d'
Все выкинули, ну хоть YAMA оставили, иначе бы стырили их пользовательские приватные ключики
		-e 's/CONFIG_LSM=.*/CONFIG_LSM="yama"/'
В федорке добавили невозможность отключения MAC во время работы, а эти отключают его глобально:
		-e 's/CONFIG_DEFAULT_SECURITY_SELINUX=y/CONFIG_DEFAULT_SECURITY_DAC=y/'
...
anonymous ()
Ответ на: комментарий от leg0las

Кому оставили ключи от квартиры где деньги лежат?

Я пытаюсь всех обратить внимание на проблемы безопасности бинарных ядер, в частности наличие приватных ключей у третьих лиц.

Если это бинарик от красношапки или оракла, какие проблемы?

Приватные ключи:

CONFIG_SYSTEM_TRUSTED_KEYS

CONFIG_MUDULE_SIG_KEY

CONFIG_IMA_X509_PATH

CONFIG_EVM_X509_PATH

остались у них…

anonymous ()

Вот прямо щас зашел на сервер с OEL 7.8, этих параметров вообще нет в /boot/config-4.1.12-124.42.3.el7uek.x86_64

На самособранной генте та же фигня. ни в config.gz, ни в /boot/config-kernel-version

leg0las ★★★★★ ()
Последнее исправление: leg0las (всего исправлений: 1)
Ответ на: комментарий от leg0las

Не совсем так.

CONFIG_SYSTEM_TRUSTED_KEYS

На ноуте, конфиг ядра 5.8.10:

#
# Certificates for signature checking
#
CONFIG_SYSTEM_TRUSTED_KEYRING=y
CONFIG_SYSTEM_TRUSTED_KEYS=""
# CONFIG_SYSTEM_EXTRA_CERTIFICATE is not set
# CONFIG_SECONDARY_TRUSTED_KEYRING is not set
# CONFIG_SYSTEM_BLACKLIST_KEYRING is not set
# end of Certificates for signature checking

Строки 6395-6402 есть, остального нет. Но они появятся, если наложить патчи для Integrity Measurement Architecture (IMA) и поддержки EVM. Ну, то есть, если на ядро натянуть Integrity Policy Enforcement (IPE).

Дело в другом. Смысла нет. Наш анонимный оппонент не понимает что он выстраивать пытается некую «модель защиты от угроз», но у него нет основания на чём строить данную модель, т.е., нет аппаратной поддержки в виде того же TPM (хотя, тоже не панацея, но всё же лучше чем ничего). И у него нет ответа на вопрос от кого именно в данной модели угроз осуществляется защита.

Грубо говоря, «я зашифровал и подписал ядро». Молодец. И что дальше? Ничего. Снёс приватные ключи, ядро теперь загружается только с ключами, указанными в CONFIG_EVM_X509_PATH=«/etc/keys/x509_evm.der» и CONFIG_IMA_X509_PATH=«/etc/keys/ima-x509.der». Ну и что дальше? С той же сторонней фирмварью как? Сетевые адапторы, RAID-массивы? Да ни как. Как говорится, «замок от честных людей» получается.

А по дефолту этого как правило нет, все прекрасно понимают почему. Но позадрачиваться, если делать не особо есть чего, можно.

Moisha_Liberman ()
Ответ на: Да хоть в Спортлото, чесслово! =))) от Moisha_Liberman

Я верю Путину В.В., "Единой России" и ФСБ!

В 2015 году Лео Перрин из Университета Люксембурга и его коллеги представили доклад, в котором говорилось о скрытых особенностях алгоритмов Стрибог и Кузнечик, которые могут свидетельствовать о специально заложенных уязвимостях.

В феврале 2019 года Лео Перрин представил еще одно исследование, в котором вновь обосновал этот тезис.

Подробнее на РБК: https://www.rbc.ru/technology_and_media/24/06/2019/5d0cfea79a7947d12026629f

anonymous ()
Ответ на: комментарий от leg0las

Расскажите как вы защищаете свои рабочие станции? (комментарий)

Есть три варианта:

  1. Защита есть и приватные ключи находятся у вас.

  2. Защита «есть» и приватные ключи находятся у них.

  3. Защиты нет.

ЗЫ: Правильный только первый.

anonymous ()
Ответ на: Не совсем так. от Moisha_Liberman

Re: Не совсем так.

«модель защиты от угроз»

Интересно, а кто кроме меня здесь понимает, что «модель защиты от угроз», это выдумка корпорашек для обдуревания пользователей и создании илюзии безопасности?

нет аппаратной поддержки в виде того же TPM

У меня цель привлечь внимание рядового ЛОРовца к системе Integrity и вбить ему в голову что приватный ключ должен быть только у него, а не у них.

Верифицировать бут в GRUB и всю систему с помощью IMA-EVM для первого этапа вам хватит. Для этого спец оборудование не надо.

anonymous ()
Ответ на: Я верю Путину В.В., "Единой России" и ФСБ! от anonymous

Ну спасибо что хоть не...

докопались до моей личности или синтаксиса.

А так-то, для внимательного человека ясно, что неуязвимой крипты в природе не существует. И тот же AES ещё в 2009г. получил описание уязвимостей при атаке со связанными ключами. Загуглите профессора Люксембургского университета Алекса Бирюкова. Там есть полный список работ, возможно, Вам и будет интересно почитать. Если вкратце, то вот здесь – https://3dnews.ru/578018

Ну и теперь оченно антиресный вопросец. Если позволите. И как же мне поменять вшитый в мой или Ваш процессор алгоритм? И как же мне убедиться что вшитый в проц алгоритм это именно AES? А то получится вот такой вот факап – https://www.opennet.ru/opennews/art.shtml?num=14309

Кстати, последняя ссылка подтверждает мой ранее высказанный тезис о том, что всё что Вы делаете основано только на какой-то уверенности что там именно нужный алгоритм, что он добросовестно реализован и т.д. и т.п. Т.е., это не факты, это железная уверенность в существовании Деда Мороза.

Так что нет.

В 2015 году Лео Перрин из Университета Люксембурга и его коллеги представили доклад, в котором говорилось о скрытых особенностях алгоритмов Стрибог и Кузнечик, которые могут свидетельствовать о специально заложенных уязвимостях.

В феврале 2019 года Лео Перрин представил еще одно исследование, в котором вновь обосновал этот тезис.

С досадой приходится констатировать что попытка напугать ежа (в данном случае меня?) голой задницей успехом не увенчалась. И предлагать отслужить молебен с водосвятием во имя Госдепия и АНБия тут не поможет. Тут не вера, тут, знаете ли, знания нужны… =)))

Я верю Путину В.В., «Единой России» и ФСБ!

Да, подполковник Эдуард Снеговиков Вам кланяться велел и сказал что Ваш прогиб засчитан, но в зачёт не пойдёт… =)))

Moisha_Liberman ()
Ответ на: Re: Не совсем так. от anonymous

О дааа... =)))

Интересно, а кто кроме меня здесь понимает, что «модель защиты от угроз», это выдумка корпорашек для обдуревания пользователей и создании илюзии безопасности?

Тащщемта… «Модель», она не одна, они разные. Если Вас коробит от этого названия, то считайте это просто списком того, что может приключиться в том или ином случае. И списком именно неприятностей.

Вы в данном случае, берёте одну из составляющих этого списка (или «модели угроз») и носитесь с нею по всему форуму. Абсолютно не учитывая больше никаких факторов. Да, я именно вот про это:

У меня цель привлечь внимание рядового ЛОРовца к системе Integrity и вбить ему в голову что приватный ключ должен быть только у него, а не у них.

Да нет у Вас никакого приватного ключа. Приватность этого Вашего ключа ни кем не доказана. И ни на чём не основана кроме как на ряде убеждений, которые не верифицируемы и, следовательно, вполне могут оказаться ошибочными.

Верифицировать бут в GRUB и всю систему с помощью IMA-EVM для первого этапа вам хватит.

От хаккИра Мыколы, может и хватит. Но если Вам прошьют сетевую карту или RAID, а Вы и не заметите, то дальнейшие действия (Ваши) смысла не имеют. Вы будете сидеть с верифицированным бутом и системой, а Ваш хост будет изображать из себя кипящий чайник со свистком. Но каждый раз при апдейте ядра Вы всё будете верифицировать и всё будет верифицироваться, огггаадааа… =)))

Вот почему Столлман прав и по дефолту патчи для integrity в поставку не включаются. Когда сможете всю фирмварь у себя верифицировать, вот тогда и имеет смысл разговаривать на эту тему. Пока приходится доверять производителю, смысла ровно ноль.

Так понятнее? Доходчивее? =)

Moisha_Liberman ()
Последнее исправление: Moisha_Liberman (всего исправлений: 1)
Ответ на: Я верю Путину В.В., "Единой России" и ФСБ! от anonymous

Re: Я верю Путину В.В., "Единой России" и ФСБ!

Конституция РФ, Статья 23:

  1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

  2. [b]Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений[/b]. Ограничение этого права допускается только на основании судебного решения.

https://www.opennet.ru/opennews/art.shtml?num=53756

В сабже походу дела список ОПГ?!!

anonymous ()
Ответ на: Re: Я верю Путину В.В., "Единой России" и ФСБ! от anonymous

Re: Я верю Путину В.В., "Единой России" и ФСБ!

Статья 29

  1. Каждому гарантируется свобода мысли и слова.

  2. Не допускаются пропаганда или агитация, возбуждающие социальную, расовую, национальную или религиозную ненависть и вражду. Запрещается пропаганда социального, расового, национального, религиозного или языкового превосходства.

  3. Никто не может быть принужден к выражению своих мнений и убеждений или отказу от них.

  4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.

[b]5. Гарантируется свобода массовой информации. Цензура запрещается.[/b]

Статья 45

  1. Государственная защита прав и свобод человека и гражданина в Российской Федерации гарантируется.

[b]2. Каждый вправе защищать свои права и свободы всеми способами, не запрещенными законом.[/b]

Тоесть для защиты своих прав от преступной, антиконституционной слежки и цензуры можно шифровать с ECH/ESNI и TLS 1.3 !

anonymous ()
Ответ на: О дааа... =))) от Moisha_Liberman

А шоб тебе Бил Гейц ядро твоего Линукса патчил и ключи приватные у себя хранил!

Вот почему Столлман прав и по дефолту патчи для integrity в поставку не включаются.

У нас всех Integrity в Linux уже 10 лет как есть готово!

Но для тебя, персонально, сделали патчи: https://www.opennet.ru/opennews/art.shtml?num=52691 все подписывается компанией Микрософт и приватные ключи хранятся у Микрософт.

anonymous ()

Re: А шоб тебе Бил Гейц ядро твоего Линукса патчил и ключи приватные у себя хранил!

Нечего больше Мойше Либерману пользоваться бесплатным GNU/Linux. Мойша Либерман должен за проверку автентичности и целосности каждого запускаемого в GNU/Linux файла платить Microsoft! Бил Гейц так старался, для Мойши Либермана, лично все файлы проверил и своим приватным ключиком подписал. Теперь без подписи Била Гейца ни один файлик на компьютере Мойши Либерман с GNU/Linux больше никогда не запустится.

anonymous ()

Толсто же! )

У нас всех Integrity в Linux уже 10 лет как есть готово!

Т.е., вы все за 10 лет так и не поняли что у вас нет аппаратной поддержки этих патчей?!? Чё, серьёзно что ли?

Но для тебя, персонально, сделали патчи: https://www.opennet.ru/opennews/art.shtml?num=52691 все подписывается компанией Микрософт и приватные ключи хранятся у Микрософт.

Батенька, ну я понимаю что Вам нечего сказать по теме, но уж совсем в ахинею зачем скатываться? Ваша ссылка говорит о том, что M$ предложила не подписание «всего» как Вы напейсать изволили, а всего-навсего политики типа SELinux. И сделали они это ровно потому, что сами по себе механизмы IPE имеют пробелы в реализации. И, кстати, если бы Вы не были столь сказочным дол… (ну, Вы поняли, да?), то Вы бы знали что приведённые патчи уже в ядре и расширяют существующие там механизмы IPE, которые в нашем случае, без аппаратной поддержки, просто на хрен не нужны. Так что, опять мимо – это не мне M$ ядро правит, а Вам, бестолочь Вы этакий… =))) Я как раз этим гуано и не пользуюсь. Почему – объяснил выше.

Нате Вам первоисточник, https://lkml.org/lkml/2020/4/6/941, гугльтранслейт в помошь.

Moisha_Liberman ()

Ещё толще. =)))

Да нет. Я как раз этим и не пользуюсь, а вот вам да, скоро Гейтсу платить такими темпами и придётся… Но это у вас там судьба такая. Скупой платит дважды, глупОй трижды, а лох, сующий в ядро что нипопадя и не понимающий что и зачем он суёт, платит по жизни. C’est la vie… =)))

Moisha_Liberman ()
Ответ на: Не совсем так. от Moisha_Liberman

Даже не хочется читать всю эту писанину от нашего анонимуса. Если нужна сесюрити - всякие LUKS2 с полным шифрованием данных, есть шифрование данных прямо в БД, есть еще куча вариантов зашифровать свои данные. Разумеется до тех пор, пока ты не нарушаешь закон в нормальных странах / к тебе не пришел товарищ майор не будем говорить где, а то зобанят за политоту.

leg0las ★★★★★ ()
Ответ на: комментарий от leg0las

Если нужна сесюрити - всякие LUKS2 с полным шифрованием данных

Каким боком и с каких пор шифрование диска или БД относится к Integrity? Это у вас в Харькове такому теперь учат?

anonymous ()
Ответ на: комментарий от leg0las

Вообще-то, да.

В самом широком смысле, если надо защитить данные, то в принципе это можно сделать с приемлемым качеством. Я даже не сильно расстроился когда в генточке по сути, «упразднили» профиль hardened. Теперь включаю для серверов расширенные опции компиляции и SELinux, натягиваю политики, да и не парюсь в принципе. Так что, если у человеков мозги есть, то это решаемая задача. Вопрос только «от кого именно» мы защищаемся.

не пришел товарищ майор не будем говорить где, а то зобанят за политоту.

Следующий абзац не о Вас лично.

[dance floor] Я уже подумываю написать FAQ по звиздежу в инторнете для малолетних… ну, Вы поняли. Если в Россиюшке «Эхо Москвы» финансируется Газпромом, а та же госпожа Захарова спокойно встречается на побухать с господином Венедиктовым (даже фоточки есть и ни кто не палится и никого не парит), то чириканье малолетнего кенора где-то там, в Инторнете, это вообще фактор всех малогребущий. Поток байт в UTF-8 где-то на каком-то сервере. Задумались бы лучше как жить в стране, где MItM производится на уровне государства с подменой сертификатов, да. Привет Франции. Или почему процентов 70-80 onion роутеров (не считал поштучно, но где-то так) ТОРа стоит в Германии. Там BND вообще не церемонится. Начиная с того, что impressum обязан быть на любом публичном сайте и кончая их новыми поправками к законам. Могу дать ссылку, там все весьма забавно.

Понимаете, людям, даже не имеющим загранпаспортов (по статистике ~80% россиян не видят смысла их делать, хотя, вопросов ноль и через «Госуслуги» это делается на раз-два, даже курьер до дома/квартиры доставит, если надо) и никогда не покидавших пределов своих кишлаков, сложно понять что они живут в тепличных условиях. Если чё, то у меня пятилетний шенген и цена вопроса там была за оформление в районе где-то пары тысяч, что ли… Не помню такие мелкие расходы. И этот пресловутый «товарищ майор», это вообще-то элемент самозапугивания в большей степени. Типа, не будешь доедать манную кашу, придёт товарищ майор, будешь в инторнете кричать всякое, придёт товарищ майор… Чтобы он заинтересовался, это надо заниматься паскудством весьма конкретно. Такое к себе отношение надо выпрашивать. Достаточно долго и настойчиво. И когда и не дай Бог он придёт, то всё начнётся с вылетевшей двери и вопля «всем лежать, работает ОМОН». И вот тут я рекомендую сердечно сразу прилечь на пол и руки держать за башкой. Если печени и почек запасных нет. Но, повторю, это надо выпросить. [/dance floor]

Moisha_Liberman ()
Последнее исправление: Moisha_Liberman (всего исправлений: 1)
Ответ на: Вообще-то, да. от Moisha_Liberman

Re: Вообще-то, да.

Про товарища майора все правильно написал.

Сколько я раз повторял лицам либерального направления, что если вами заинтересовались лица в погонах и тем более лица, которые сменили спортивки на костюмы, то вам уже ничего не поможет. Ни шифрование в системе, ни шифрование в интернете, ни………….

Жить нужно правильно, не нарываться, не искать неприятностей на свою пятую точку. В противном случае не скулить про «а меня то за что?!».

anonymous ()
Ответ на: Re: Вообще-то, да. от anonymous

Ну да.

Я только добавлю что «лица либерального направления» (или «ориентации», не важно), они товарищу майору похрен. В принципе. «Придут» за реальные косяки типа терроризма, наркоты, детского прона и прочие такие же невинные «шалости», за которые любой нормальный человек удавил бы собственноручно. И там да, там уже похрен все алгоритмы шифрования и вопросы сохранности/распространения ключей и прочая фигня. ОРМ по такому тяжеляку такие, что фигурантам не позавидуешь.

Но в целом да, согласен.

Жить нужно правильно

Moisha_Liberman ()
Ответ на: Ну да. от Moisha_Liberman

лица либерального направления

Не либерал.

терроризма, наркоты, детского прона

Попрошу бомбу, наркоту и детское порно в багажник мне не подбрасывать.

Жить нужно правильно

И в правильной стране!

anonymous ()
Ответ на: комментарий от anonymous

И в правильной стране!

Что-то мне это напоминает… Это из серии «Я брошу курить, пить с понедельника…» и либеральные мантры «Народ у нас не тот…».

anonymous ()
Ответ на: Да, конечно... от Moisha_Liberman

Сейчас посмотрел на стандартное ядро debian: там стоит Voluntary Kernel Preemption (Desktop) + 250mhz. Всё, смысл своего ядра не имеет смысла. Удалил свое самосборное ядро, ребутнулся. Что со своим ядром, что со стандартным. Занавес

bryak ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.