Обнаружена очередная local root уязвимость в ядре Linux 3.8

mod_ruid2

наверное, фря его не умеет, оттуда и бурная реакция.
//на правах шутки

Аргументы «это не модно» в техническом мире за аргументы не считаются :)

Аргументы: можно настроить всё под себя, а не страдать и не клянчить админа «а можно обновить php? А можно поставить sphinx? А можно подкруить настройки mysql? А почему не работает крон?». Кроме того, каждая панель имеет свои пути. С учётом этого миграция с одного хостинга на другой превращается в ад с путями (особенно если они в базе захардкодены) и правами.

hostgator cpanel vulnerability

погуглил, смешно :) если память не изменяет, слышал краем уха (в 2006 году я немного другими вещами занимался), но проблема серьезная конечно.
расскажешь, каким местом cpanel к разграничению прав пользователей веб сервером?

можно настроить всё под себя, а не страдать и не клянчить админа «а можно обновить php? А можно поставить sphinx? А можно подкруить настройки mysql? А почему не работает крон?».

пользователь точно так же будет клянчить админа завести все это на купленном вдс. или уже юзер == админ?
//сфинкс на 256 памяти разве будет нормально работать?

ты ни одного пруфлинка не привел.

Я так понял они использут cpanel. Значит, как минимум, все дыры cpanel это их дыры. Например:

http://news.netcraft.com/archives/2006/09/22/hacked_hostgator_sites_distribut...

И далее: http://secunia.com/community/advisories/search/?search=cpanel

Mysql у них, подозреваю, тоже shared, а в нём 100500 дыр находили: http://secunia.com/community/advisories/search/?search=mysql

Хотя, наверно, для простых пользователей сойдёт и шаред... На эту тему глупо спорить. Но если есть более надёжные и гибкие вещи аля lxc то зачем городить всё по-старинке?

Аргументы: можно настроить всё под себя

Выйди в реальный мир, бро.

или уже юзер == админ?

Разные сценарии бывают. Если надо будет - в гугле прочитает.

сфинкс на 256 памяти разве будет нормально работать?

я же писал что на шаред хостинге и этого не дадут. Ну купи vds с 512метрами, это будет не сильно дороже. Впрочем, тебе решать что использовать, я просто говорю что на шаредах не стоит расчитывать на полную изоляцию пользователей.

Unix user и стандартные права доступа.

no way.
я про разделение прав на уровне вхостов и/или виртуальных юзеров

Я так понял они использут cpanel. Значит, как минимум, все дыры cpanel это их дыры. Например:

cpanel - популярная панель. это такая штука, в которой критические дыры (которые сложнее находить, чем в открытых продуктах) фиксятся моментально - они за это деньги получают, и очень хорошие.

Например:
http://news.netcraft.com/archives/2006/09/22/hacked_hostgator_sites_distribut...
Hacked HostGator Sites Distribute IE Exploit

гм, ты это серьезно? на шаред залили связку сплойтов, шок-сенсация. ее можно залить на любой хост, поддерживающий аплоад файлов (100.0%), гы.

И далее: http://secunia.com/community/advisories/search/?search=cpanel

какой ужас, ага.

Successful exploitation of this vulnerability requires that the Apache Piped Log Configuration is used (disabled by default).

и все в том же духе.

Mysql у них, подозреваю, тоже shared, а в нём 100500 дыр находили: http://secunia.com/community/advisories/search/?search=mysql

вот тут я серьезно начал подозревать, что у тебя угнали аккаунт.

Разные сценарии бывают. Если надо будет - в гугле прочитает.

да не надо ему это, он хочет купить хостинг с хотя бы минимальным админством в комплекте, где все работает.

я же писал что на шаред хостинге и этого не дадут.

на шаредах бд сервер, вебсервер, фтп сервер, ссшд вообще клиента не касаются - а на вдсе у тебя только эти банальные вещи почти всю озу сожрут.
к тому же, динамичное распределение нагрузки на шаредах решает - скрипты же в таких случаях не 24/7 тарабанят на полную? если да, то под них берут сервер

ну ты в HOME писать можешь? У тебя HOME в корне? Вешайся.

У меня ессно не в корне, а корень - отдельная ФС, куда юзеру писать нельзя.

А /tmp в корне?

с 256 памяти и необходимостью самостоятельно админить или платить за администрирование, ага.

что там админить-то?

А /tmp в корне?

ты четвёртый. У меня да. А у тебя? А /var/tmp?

Конэчно.

у меня в памяти очевидно. А /var/tmp вместе с /var, на отдельном разделе.

в большом количестве систем корень и домашний раздел находятся на одном и том же разделе

Ахаха

А вот и неправда

local root в ядре Linux 3.8

Зачем такие свежие и не проверенные версии ядра использовать для случаев, когда вы не единственный пользователь с доступом к шеллу?

У меня на

Linux 2.6.18-274.3.1.el5

эксплоит не работает, как и ожидалось.

Шареды с общим апачём это пережиток прошлого. Как минимум там должен быть lxc или openvz.

Контейнеры рулят, да. Но грамотная замена шаредам (которые должны сдохнуть в муках чем скорее, тем лучше) — всё же не контейнеры, а виртуализованные экземпляры http-серверов. OpenShift и прочий новомодный PaaS.

да не надо ему это, он хочет купить хостинг с хотя бы минимальным админством в комплекте, где все работает.

openshift.

Ну, почему же. Безлимитный доступ по IPv6 от Tierra: http://www.tiera.ru/tarif

не хрена,без ipv4 профиля не хрена не работает,знакомая сидит,и даже ipv4 просят ставить основным

кто-нибудь знает, как правильно ядро сконфигурировать, чтоб эксплойт заработал? В частности, где включить CONFIG_USER_NS

man grep

Возможно, к сожалению, до меня Tierra так и не добралась. У друга подключено с двойным стеком, само собой. Жаловался он только на проблемы с некоторыми сайтами. В принципе, все провайдеры при введении IPv6 будут придерживаться Dual-Stack. Но сам факт получения нативного IPv6 линка от провайдера уже радует. Надо будет как-нибудь к нему в гости зайти и потестить его IPv6 подключение.

А что конкретно не работает у знакомой без IPv4?

греп слишком много всего разного выдает

греп слишком много всего разного выдает

Тогда ищи в этом треде - уже давали.

уфф, наконец-то :)

[**] clown-newuser -- CLONE_NEWUSER local root (C) 2013 Sebastian Krahmer

[+] Found myself: '/home/user/test/a.out'
[*] Parent waiting for boomsh to appear ...
[*] Setting up chroot ...
[+] Done.
[*] Cloning evil child ...
[+] Done.
[*] Creating UID mapping ...
[+] Done.
[+] Yay! euid=0 uid=1000

там 100500 разных ФС надо отключить, чтобы выбор USER_NS появился

а почему все используют маздай? Потому-что ничего другого не знают, не умеют, и не хотят.

используют, потому что не всегда есть альтернативы. профессионального софта под линукс считай нет.

аналогия с ipv6 некорректна.

nginx настроить, хотя бы.

в комплекте с радостями вроде деплоя и опять таки отсутствием администрирования?

Нипонял. Тебе нужна была площадка, где не надо думать об администрировании кишков системы. Я тебе привел пример реализации. Теперь ты чем не доволен?

эксплоит не работает, как и ожидалось.

он и на 3.7 не работает.

Тебе нужна была площадка, где не надо думать об администрировании кишков системы
Я тебе привел пример реализации.

реализации, где даже мускул надо доустанавливать?

в гугле забанили? Вот: http://cateee.net/lkddb/web-lkddb/USER_NS.html

сейчас спросишь, как собрать ядро в убунте?

используют, потому что не всегда есть альтернативы. профессионального софта под линукс считай нет. аналогия с ipv6 некорректна.

корректна. Железа (профессионального), под ipv6 тоже нет. Т.е. кагбэ есть, но если посмотреть, что стоит начиная от дц, и кончая хомячками - то нет. Но это вопрос времени.

Лол, что значит доустанавливать? Нужен тебе мускул - берешь гир с мускулом. Не нужен - не берешь.

реализации, где даже мускул надо доустанавливать?

там его ещё и настроить надо, ибо не взлетит на 256 без свопа, ещё и с апачем и пхп. А если взлетит, то рухнет на 3м юзере.

http://www.webnoise.org.ua/2012/04/oblaka-na-konchikah-paltsev-znakomstvo-s-o...
я это почитал, для неподготовленного юзера не особо подходит, судя по всему

попробуй читать сообщения, на которые отвечаешь., для приличия
речь про openshift, откуда взялись 256рам?

откуда взялись 256рам?

из твоего поста: Обнаружена очередная local root уязвимость в ядре Linux 3.8 (комментарий)

//я всю ветку читаю, и помню хотя-бы свои ответы.

Ответь на простые вопросы:

1) можно ли ограничить кол-во воркеров на виртхост?

2) Можно ли ограничить из общить cpu bandwidth и память?

3) Можно ли сделать то же самое для mysql?

Не, ну если такое положение устраивает то пользуйся хостингами дальше. Для нужд поискового спама сойдёт.

вот тут я серьезно начал подозревать, что у тебя угнали аккаунт.

Меня всегда так умиляют люди. Ты правда думаешь я на это как-то отреагирую? Если слился то так и скажи. Страшно не не знать, а упорствовать в своём невежестве и переходить на личности.

собрал уже и эксплойт заработал, смотри выше

да, посмотрел. Молодец. Теперь поставь нормальное ядро и сделай отдельный /home, /tmp и /var/tmp, ну и остальные каталоги, где юзер может создавать файлы.

упорствовать в своём невежестве

я, если честно, так и не понял сути вашего спора. Что ты доказать пытался?

это:

Шареды с общим апачём это пережиток прошлого.

на самом деле - пусть будут. Если тебе они не нужны, это ни о чём не говорит. Бложик на таком хостинге развернуть вполне реально. Если юзеров я, и моя кошка. Что ещё надо 95% неадминамлокалхоста?

Если тебе они не нужны, это ни о чём не говорит.

Да это всё сопли. Основная суть моих постов то что у шаредов неустойчивость к локальным уязвимостям (впрочем, те кто юзают selinux защищены неплохо) и отсутсвие нормального разграниения ресурсов.

В то же время за те же деньги можно снять vps и радоваться. Даже в 256 метров влезают и мускул, и апач и nginx (у меня такое чудо крутится) и с панелью управления (firstvds.ru, например). Хотя, конечно, и на vps делают оверселлинг и не всегда апдейты ставят (привет, selectel с ведром 2010 года внутри моей виртуалки).

Вот я и говорю что vps, кмк, более оптимальное решение.

Подход «размазать все сайты по всему миру» я тоже ставлю под сомнение. Впрочем, товарищ seo занимается, ему виднее.

ну ты в HOME писать можешь? У тебя HOME в корне? Вешайся.

Таки не совсем понятно, как. В корень писать может только рут. За этим помимо ядра следит еще и selinux.

Правда отсылка к namespaces намекает, что в корень писать не надо. Можно писать в свой хмяк и затем создать новое пространство, где он будет рутом.

Основная суть моих постов то что у шаредов неустойчивость к локальным уязвимостям

я тебе сейчас коммент поставлю: К.О.

Только этот супергерой может доказывать очевидное уже третий день ☺

В то же время за те же деньги можно снять vps и радоваться. Даже в 256 метров влезают и мускул, и апач и nginx (у меня такое чудо крутится)

бложик какой-нить с низкой посещаемостью влезет. Не больше.

Вот я и говорю что vps, кмк, более оптимальное решение.

есть и минусы. Хотя конечно уязвимость у шаредов ниже плинтуса.

Таки не совсем понятно, как.

в то же устройство, где rootfs стоит.

очередная

Наверное, в ядре Linux 3.8 их было уже около 4-5?