здорово, но когда разработчики доработают свои программы под эту технологию...

здорово, но когда разработчики доработают свои программы под эту технологию...

Разработчики? Это можно сделать на уровне мейнтейнера.

Убунторазработчики будут патчить, это же очевидно!

полумера.

плюс: простота генерации этих самых seccomp-листов

минус: selinux она все равно не заменит (возможно, с этим и можно поспорить...)

итого, на критичных серверах этим ограничиться не удастся, а на десктопе это излишнее усложнение и торможение.

Разработчики молодцы!
Но новости, которые содержат в заголовке «Ubuntu» или «Canonical», задолбали.

Ну да, давненько никто не постил про падения арчика после очередного обновления или про то, что «Патрег забухал?0_о».

Они идут в сторону мобилок-планшетов.

полезность?

Что-то я не очень понимаю полезность сего.

В в популярном случае уязвимости в сетевом демоне у программы есть write(), read(), open(), connect(), close(). Этого вполне достаточно для DoS и кражи данных.

Ещё пример: у sudo есть chmod(), send(), recv(), chdir(), fork(), execve(), read(), write().

можно ограничивать набор входных параметров для сисколлов. ничего лучше, по сути, все равно нет в домене ограничения сисколлов.

Но новости, которые содержат в заголовке «Ubuntu» или «Canonical», задолбали.

Если контора реально делает что-то, то в чём проблема. Тут у нас воют постоянно, что мол, Каноникл ничерта не делает, а вот новости говорят об обратном.

Арчекапец

open, write, unlink ? :-)

> open, write, unlink ? :-)

> Seccomp использует Berkley Packet Filter, что в сочетании с проверкой аргументов и возвращаемых значений позволяет реализовать сложную логику проверки.

Не понятно только, нахрена это. Возможностей selinux-а что ли не хватает для перекрытия кислорода?

Разве в убунте есть селинукс?

Честно говоря, понятия не имею. Полагал, что есть.

Так вот ты какой, антивирус Попова!

А как быть с Перлом, Питоном?

Короче, сделайте тут закладку. Я говорю: не взлетит.

Нет, в убунте apparmor

использует Berkley Packet Filter, что в сочетании с проверкой аргументов и возвращаемых значений позволяет реализовать сложную логику проверки.

Маркетоидный бред.

Не желают ли уважаемые господины на уровне машинных команд «реализовать сложную логику проверки» ?

Что в данном случае сделал Космодромикл? Включил чужой код в свой дистр? Это подвиг, конечно, и польза для всего СПО.

А как быть с Перлом, Питоном?

strace ./asdf.sh или strace ./asdf.py

узнаешь много нового

А как быть с Перлом, Питоном?

А они типо с системой не СИСколлами общаются что-ли?

s/Berkley/Berkeley/

Canonical дал этому самому «чужому коду» огромную аудиторию тестеров. По мне так это один из важнейших аспектов в развитии СПО.

Блджад! Им по определению должно быть позволено использовать любые сисколы.

Тестеры в курсе, что они тестеры? Об этом наборе патчей они вообще знают? Багрепорты слать собираются? Ну да, как скажете... ))

> Тестеры в курсе, что они тестеры?

А кому это вообще интересно?

А нужное они что-нибудь делают? Мне таки любопытно, ведь должно быть что-нибудь кроме разнообразных ненужных велосипедов марки Ubuntu.

Идея, конечно, простая и легко реализуемая: фильтровать сисколы. Но вопрос - а что это даст?

Где пример «сложной логики проверки с Berkley Packet Filter» ?

То, что это пихают в Убунту, не делает идей правильной, это говорит только о том, что убунтоманагеры больные на всю голову.

Просто тестер, который не знает, что он тестер - он не тестер. ))

А нужное они что-нибудь делают? Мне таки любопытно, ведь должно быть что-нибудь кроме разнообразных ненужных велосипедов марки Ubuntu.

Делают концептуальное законченное решение под названием Ubuntu, которое многим по душе http://itmag.es/3m331 а значит и нужно.

итого, на критичных серверах этим ограничиться не удастся, а на десктопе это излишнее усложнение и торможение.

Имхо это отличная штука скорее не для безопасности, а для отладки и повышения стабильности.

И кстати, она по идее ортогональна selinux. Одно другого не заменяет в любом направлении.

Потерпи, немножко осталось.

Я вот сейчас собирался поставить тетке на ноут убунту, запустил ее в виртуалке, чтобы глянуть, что она из себя представляет. Пощупал юнити и как-то все желание пропало. Это неюзабельное говно не может быть «концептуальным законченным решением».

Это отличная штука для роста продаж.

А сисколы с радостью покажет strace или truss.

Я уж молчу про dtrace :-)

А как быть с Перлом, Питоном?

чем программа на питоне отличается от программы на сях?

selinux она все равно не заменит (возможно, с этим и можно поспорить...)

selinux не нужен, есть apparmor

для отладки и повышения стабильности.

и как оно должно помочь при отладке?

А сисколы с радостью покажет strace

им и спасаемся. Только лог больно жирный от него.

или truss.

надо бы посмотреть.

и как оно должно помочь при отладке?

иногда полезно пропустить забаженый сискол.

Только лог больно жирный от него.

man strace

Ставь Дебиан тестинг. Gnome 3 отлично подходит для неискушённых пользователей.

Я и правда решил ставить дебиан, но естественно стабл, ибо гемор мне не нужен. Gnome 3 не видел и, судя по отзывам, видеть его мне не надо. К тому же там пользователи такие, что врядли смогут когда-либо поставить что-либо даже в винде. Им и ноут-то случайно достался, сами бы они его не купили - бояться «сложного».

Я видел Гном 3. Это отличный выбор для простых смертных.

Уговорил, гляну в виртуалке.

Ты ведь ждёшь вопроса «до чего?», да? ))

Поначалу не в курсе :) Но убунта породила множество пользователей которые готовы в случае ошибки просить помощи у интернетов. И нередко это выражается в том, что они выполняют простейшие инструкции и сообщают дополнительные данные о проблеме. Короче, вещь включенная в убунте по-умолчанию имеет хороший шанс быть отлаженной.
Да, возможно такая схема не лучшим образом подходит для seccomp, но для системных компонент, типа systemd или pulseaudio, а так же для стандартных пользовательских программ это отличный полигон.

Замечательно же. Не селинуксом единым.Я думаю это правильно-когда есть две независимые системы защиты.Монополия в СПО - не есть хорошо.

Это неюзабельное говно не может быть «концептуальным законченным решением».

Ну почему же. Это концептуально законченное говно.