Можно ли запретить руту операции с блочными устройствами

Eсли в ядре какой-то кит, который обходит механизм контроля доступа, никакой LSM не поможет.

Сделать отдельного пользователя, ему через sudo разрешить только установку программ

Eсли в ядре какой-то кит, который обходит механизм контроля доступа, никакой LSM не поможет.

Загрузка полностью монолитного ядра (с вкомпиленными в него нужными модулями без возможности догружать другие модули) через PXE по сетке с древнего DHCP+TFTP сервера условно I386+OBSD это выход? Хотя бы если Libreboot загружаемого по PXE хоста прошить в настоящий ROM вместо многократно перезаписываемого FlashROM.

достаточно автора популярного репо хекнуть

Например, Gentoo?

Нинаю. Но у меня SE

Можно вкратце простыми словами преимущества мандатного доступа Astra SE по сравнению с SELinux и AppArmor ?

нельзя, увы. Я пока только палочкой тыкаю на предмет «как это с нашим софтом состыковать»

Можно.

Написать модуль ядра. И при попытке ручной выгрузки вызывать panic().

запретить
руту

/0

запрещать - запрещается (с)

Что можно придумать?

зачем

избежать порчи данных вирусней

есть 2 типа людей
- те, кто делает бекапы
- те, кому бекапить уже нечего

выбор за тобой.

есть 2 типа людей
- те, кто делает бекапы
- те, кому бекапить уже нечего

А если троян окажется на твоем бэкап сервере? Постоянно выдергивать кабель интернета во время бэкапа и потом наоборот выдергивать кабель бэкапа во время подключения интернета?

Если произошла подобная ОКАЗИЯ, то можно лишь констатировать ЗНАТНУЮ ОПЛОШНОСТЬ.

Если произошла подобная ОКАЗИЯ, то можно лишь констатировать ЗНАТНУЮ ОПЛОШНОСТЬ.

А как вы узнаете, когда произойдет эта «оказия» до момента констатации? Много вы видели админов, которые могут защититься от буткитов?

«а если бы и да кабы - дак во рту б росли грибы, и был бы у нас не рот - а целый огород» (с)

знаете такую пословицу


человечество за сотню лет придумало не один способ делать бекапы, что-то мне подсказывает что где-то точно учтен твой сценарий

лучше всего сделать так, чтобы на твоих серверах «не было ни единого раз.... - троянов»

держи сервисы торчащие наружу в ридонди контейнерах, даже если что-то пролезет - бутнешь конентейнер

чтобы оно не выбралось за пределы контейнера - постоянно обновляй свой софт контейниризации

человечество придумало ещё много способов как обезопасить себя

и все они - НАМНОГО лучше и эффективнее, чем оп тред «что-то там запрещать руту»

если админ понятия не имеет о том, что происходит на доверенных ему серварах и не может их защитить - ему не нужно работать админом

чтобы оно не выбралось за пределы контейнера - постоянно обновляй свой софт контейниризации

Серьезно? А что делать, чтобы не вылезло за пределы виртуалки (так называемый exploit «escape from guest») ?

даже если что-то пролезет - бутнешь конентейнер

Если оно вылезло из контейнера на хост и прописалось точкой активации в качестве буткита, то бутнешь контейнер? LOL

и все они - НАМНОГО лучше и эффективнее, чем оп тред «что-то там запрещать руту»

Так не только руту. С каких это пор namespaces стали лучше изолировать, чем LSM ?

если админ понятия не имеет о том, что происходит на доверенных ему серварах и не может их защитить - ему не нужно работать админом

Ты так говоришь, как будто сам умеешь защищаться от буткитов.

Поведай тайну :)

на все эти «если» - уже ответили в треде поговоркой

в кратце если тому, «у кого вылазит» - не стоит работать админом, если он не состоянии обезопасить свой продакшен

Ты походу ЧСВ пришел покачать, вместо того, чтобы написать хоть что-то полезное.

Но спешу тебя огорчить, обычные контейнеры типа докцер, как ты пишешь в одной из своей ветке, и LXC - далеко не идеал для безопасности.

Поэтому придумали запускать контейнеры в Firecracker.

Тебе точно не стоит, научись сначала правильно писать слово docker, двоечник.

тайна очевидна - твой сервер не должен торчать наружу чем-то дырявым

можешь рентануть где хочешь сервер с актуальной ос и правильно настроеной, у которой наружу торчит только ssh - удачи тебе его «похакать»

зови как что-то получится

бесполезный набор букв этом треде пока только от тебя, какие-то теории заговоров, ты в 9 классе учишься?

в любомой твоей теории - твой Firecracker такой же дырявый как и контейнера, из vm тоже можно вылезти и бла бла бла

только на практике этого не происходит ни у одного неуловимого джо

Можно ли

разрешаю

Очередной разрушитель теорий заговоров. Контейнеры не про надежную изоляцию от хитрых троянов, а про удобный деплой.

Без LSM и доверенной загрузки ядра твои контейнеры чуть лучше, чем без них. По сути от ZFS снэпшотов в таком случае они почти не отличаются с точки зрения безопасности.

в любомой твоей теории - твой Firecracker такой же дырявый как и контейнера, из vm тоже можно вылезти и бла бла бла

Надо же, какое открытие ты сделал, а я выше не писал про «escape from guest»?

у нас тс в треде собрался что-то руту запрещать

я нему написал что уже лучше использовать что-то более практичное и адекватное

а ты пришёл сюда и говоришь что контейнера решето и т.д.

ещё раз, возьми сервер подними на нём докер с торчащим на ружу одним ssh - и попробуй в него пролезть

а мы все с радостью посмотрим как у тебя это получится

только на практике этого не происходит ни у одного неуловимого джо

Поэтому то и разработали Эльбрус и другие российские процессоры?

если из этого самого Firecracker тоже можно вылезти, зачем тогда ты вообще про него писал

мой посыл в треде очень прост

чтобы не бороться с чем-то

нужно чтобы это что-то не пролазило на твои сервера

очень просто, легко запомнить

теперь это политоты тред

эльбрусы эти сделали очевидно чтобы было «своё»

зависеть от кого-то идёя так себе

а мы все с радостью посмотрим как у тебя это получится

Я ни разу не хакер и не сотрудник АНБ со связкой ключей ко всем их аппаратным и не очень бэкдорам.

зависеть от кого-то идёя так себе

Зависеть чем?

если из этого самого Firecracker тоже можно вылезти, зачем тогда ты вообще про него писал

А ты не читал его описание? Для чего его сделали? Там про более лучшую безопасность по сравнению с обычными контейнерами, которые ты сначала пытался пиарить, ничего не сказано? Строишь из себя наивного юношу с ничего непонимающим взглядом?

тем что тебе чужие процессоры банально не дадут, не продадут и нигде ты их не достанешь

нужно чтобы это что-то не пролазило на твои сервера очень просто, легко запомнить

Поэтому на защищаемом сервере нужно повешать табличку, осторожно, тут был недобрый smilessss ?

тем что тебе чужие процессоры банально не дадут, не продадут и нигде ты их не достанешь

Вот скажи мне, что сейчас проще достать, Intel или Эльбрус?

ты же у нас любишь теоризировать
и сам же признаешь, что из твоего Firecracker так же можно сбежать
зачем он тогда вообще нужен

хз что там у вас проще достать

зачем он тогда вообще нужен

Повторяю, учи матчасть.

Если ты даже не знаешь, для чего нужен Firecracker, о чем с тобой вообще можно разговаривать в контексте безопасности контейнеров?

перечитай что было написано в моём сообщении, может тогда ты поймёшь что там имелось ввиду

Ты еще и не местный :)

и сам же признаешь, что из твоего Firecracker так же можно сбежать

Очевидно не только лишь все это умеют и таких меньше, чем вылазящих из обычного контейнера?

поэтому позаботься о том, чтобы на серверах где был sanyo1234 не было дырявых сервисов торчащих наружу

ты со своей теорией неуловомиго джо так и не показал как ты пролазишь на свой тестовый ssh, хоть в докере хоть в Firecracker хоть в чём хочешь

какая разница в чём будет запущен сервис если он дырявый

если ты не хочешь чтобы к тебе кто-то зашёл - не оставляй дверь открытой

все не все
это вопрос в времени
сейчас не все, через месяц все

твой Firecracker - очередной костыль чтобы малвари через дырявые сервисы было сложнее пролезть дальше

в то же время - если у тебя не будет дырявых сервисов - твой Firecracker становится ненужен

теперь это политоты тред

Какая связь между политикой и процессорами?

Политики одной страны своими бэкдорами пытаются удержать в своем рабстве политиков другой страны?

ты похоже на лоре недавно

если у тебя не будет дырявых сервисов

А если не будет даже малварей? LOL

Давай пофантазируем, если бы, да кабы.

тогда бы были грибы

ты похоже на лоре недавно

Чтобы зафлудить обсуждение Эльбруса в контексте безопасности, лучше всего назвать Эльбрус какой-нибудь запрещенкой типа политики?

Хитрый ход, - зачетненько.

«А чтобы не нашли закопанный скелет, нужно поверх него посадить растение из красной книги, которое запрещено выкапывать» ? (c) Анекдот.ру

мне не интересно обсуждать эльбрусы

я в этот тред зашёл из-за описания оп

о том, что тс руту собрался что-то запрещать

интересная постановка задачи