LINUX.ORG.RU
Ответ на: комментарий от mky

кстати не лишено смысла, можно не отключать а кнопки все переназначить гыгыгы вообще смысл был в том что даже если пользователь и увидит то он ничего с этим сделать не сможет. но я как то больше имел ввиду сервачки которые низя вот так вот пойти и ребутнуть потому что там чета показалось -)))

antech
()
Последнее исправление: antech (всего исправлений: 1)
Ответ на: комментарий от sanyo1234

Потому что проковырявшись полтора часа с TPM модулем (и это при том, что я делал это раньше!), я уткнулся в 404 вместо какого-то crl, без которого ничего не работает.

MagicMirror ★★★
()
Ответ на: комментарий от sanyo1234

Диски некоторые шифруют.

И что? Зловред запускается в уже запущенной сессии.

Некоторые пользуются современными хранилками паролей даже с привязкой к аппаратным токенам для открытия ключницы, и с автоматическим вытиранием нешифрованного пароля из RAM-ы.

Сложно, с половиной несовместимо, дорого, ещё раз сложно.

MagicMirror ★★★
()
Ответ на: комментарий от antech

кстати не лишено смысла, можно не отключать а кнопки все переназначить гыгыгы вообще смысл был в том что даже если пользователь и увидит то он ничего с этим сделать не сможет. н

А это вообще законно?

sanyo1234
()
Ответ на: комментарий от sanyo1234

Nitrokey

Думаю о приобретении его или аналогов, но дорого для «поиграться» и с доступностью проблемы.

MagicMirror ★★★
()
Последнее исправление: MagicMirror (всего исправлений: 1)
Ответ на: комментарий от Pierre_Dolle

Настроить от пользователя? ЕМНИП, вся работа с SeLinux требовала root, то есть если ты просто пользователь и тащишь себе непонятно какой код, то тебе SeLinux никак не поможет дополнительно ограничить запускаемый код, да ещё и сообщений не видно, что там код пытался сделать запрещённого.

Так то, если в рамках исходного случая, то root может на authorized_keys выставить immutable bit (на extfs) и никто туда ничего не допишет.

mky ★★★★★
()
Ответ на: комментарий от mky

Ну, удалённой машине доступны какие-то секретные данные, она их обрабатывает и решает, что вот сейчас нужно другую машину чем-то озадачить.

IMHO неправильно давать доступ внешним компам на порты локальных компов.

Если тебе нужна связь оттуда, можно пробросить обратные порты через SSH?

sanyo1234
()
Ответ на: комментарий от MagicMirror

Рутокен у меня есть. Тоже проблем дофига и больше, вплоть до зависания отдельных программ просто потому что он подключен.

А что за модель? Поди ещё и КриптоПро использует?

У них есть модели ECP2 и ECP3, вот эти работают даже с opensc, т.е. в теории даже на OpenBSD.

sanyo1234
()
Ответ на: комментарий от antech

мне не известен закон который бы запрещал отключать клавиатуру.

Хакерам в России запрещено причинять вред пользователям, вмешиваться в работу пользовательских компьютеров, а также блокировать их работу (например, отключать клавиатуру) на основании нескольких норм российского законодательства, прежде всего Уголовного кодекса РФ.

Основные законодательные нормы

  • Статья 272 УК РФ «Неправомерный доступ к компьютерной информации» предусматривает ответственность за незаконный доступ к охраняемой информации, который может сопровождаться уничтожением, блокированием, модификацией или копированием информации, нарушением работы компьютера, системы или сети[8]. Это включает вмешательство в работу пользовательских компьютеров и блокирование их функций.

  • Статья 273 УК РФ «Создание, использование и распространение вредоносных программ» запрещает создание и распространение программ, которые могут привести к несанкционированному уничтожению, блокированию, модификации или копированию информации, нарушению работы ЭВМ и их сетей.

  • Статья 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру» вводит уголовную ответственность за атаки на объекты критической информационной инфраструктуры, что усиливает защиту важных информационных систем.

  • Федеральный закон №187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливает правовые основы защиты критических информационных систем от кибератак, включая меры по обнаружению, предупреждению и ликвидации последствий атак.

Итог

Таким образом, в России запрещено хакерам причинять вред пользователям, вмешиваться в работу их компьютеров и блокировать их функции на основании статей 272, 273, 274, 274.1 Уголовного кодекса РФ, а также Федерального закона №187-ФЗ о безопасности критической информационной инфраструктуры. Эти нормы предусматривают уголовную ответственность за неправомерный доступ, создание и распространение вредоносного ПО, а также за нарушение правил эксплуатации компьютерных систем.

sanyo1234
()
Ответ на: комментарий от sanyo1234

давать доступ внешним компам на порты локальных компов.

С этого топик начинался. Что смысла что-то дописывать в authorized_keys нет, всё должно быть ограничено/перекрыто в firewall и пр.

И тут ведь даже не про руткиты или трояны, получившие права root'а, а про обычный код, что он может пакосить в системе. И как бы нет деления на локальный/внешний комп, пользователь может этот npm поставить и тут и там, если там какая-то полезная библиотека.

обратные порты через SSH

Ну в ssh то опять авторизация по ключам? Или аппаратные токены на каждую пару компов? Это что-то уже из будущего, типа каналов передачи данных на основе квантовой запутанности :)

mky ★★★★★
()
Ответ на: комментарий от sanyo1234

А что за модель? Поди ещё и КриптоПро использует?

ЭЦП 3.0. Но не очень для этого предназначен. Есть проприетарная либа librtpkcs11ecp.so и есть поддержка в OpenSC, но инициализация нетривиальная. КриптоПРО не нужен для этого.

MagicMirror ★★★
()
Ответ на: комментарий от mky

Или аппаратные токены на каждую пару компов?

Как у тебя количество ключей связано с количеством компов?

Хотя бы один аппаратный ключ для безопасной SSH сессии достаточно использовать хотя бы с одной стороны, обычно с клиентской. На других компах ты просто прописываешь открытые части ключей, можно даже одного и того же ключа.

На SSH серверах в authorized_keys прописываются только открытые части ключей, они прекрасно доступны любому, кто может подкличиться к твоему SSH серверу. В принципе можешь их выложить на гитхаб, шибко опаснее от этого твоя инфра не станет. Максимум твои ключи могут побанить через DPI, придётся тогда генерить и прописывать новые, - только и всего.

sanyo1234
()
Ответ на: комментарий от sanyo1234

ИМХО, незаконно уже будет:

Если добирешся до рута то уже можно и не прятатся

Там, если захоят, статью подберут. Главное, чтобы «по предварительному сговору» с автором заметки на thehackernews.com не добавили :) А игры с клавой уже частности.

mky ★★★★★
()
Ответ на: комментарий от sanyo1234

У меня есть удалённая виртуалка, там я запускаю скрипт, который должен подключиться к моему домашнем компу и что-то сделать.

А зачем так делать?

Да, ну соответствующие органы разберутся...

superuser ★★★★★
()
Ответ на: комментарий от MagicMirror

Вот ещё почему: тот же ssh-agent, на момент когда я последний раз проверял, не умеет импортировать из pkcs11 отдельные ключи, только все доступные сразу.

Возможно умеет в RHEL, попробуй какой-нибудь клон типа Rocky, у них там какие-то свои навороты для работы с ключами PKCS11, ессно можно в контейнере, чтобы не менять дистр.

sanyo1234
()
Ответ на: комментарий от sanyo1234

Я ещё хотел автодобавление в агент, разблокируя токен паролем юзера через PAM, как это с kwallet/гномовским кейрингом происходит, но пока не осилил.

Пока отрабатывает PAM - ssh-agent ещё не запущен, добавлять некуда.

MagicMirror ★★★
()
Ответ на: комментарий от sanyo1234

что до воздействия, оно должно быть во первых неправомерным а во вторых на критическую инфраструктуру. твой ноутбук это не критическая инфраструктура, а пароль от рута ты сам на форуме выдал. -)

antech
()
Ответ на: комментарий от sanyo1234

нет слова РЭБ может твой чатгтп слишком урезаный, и недочитал законы? Про рэб надо искать в разделе запрета на применение спец среств. что нибудь вроде этого.

antech
()
Последнее исправление: antech (всего исправлений: 1)
Ответ на: комментарий от antech

Так любое целенаправленное осознанное вредительство по отношению к пользователям компов - незаконно, а вредители являются по сути представителями ОПГ.

sanyo1234
()
Последнее исправление: sanyo1234 (всего исправлений: 1)
Ответ на: комментарий от antech

Не все законы прописаны для критической инфры. Есть законы защищающие любые компы пользователей. Не надо пытаться выгораживать преступников, вредящих пользователям.

sanyo1234
()
Последнее исправление: sanyo1234 (всего исправлений: 1)
Ответ на: комментарий от antech

к несанкционированному уничтожению, блокированию, модификации или копированию информации, нарушению работы ЭВМ и их сетей.

Мне сейчас лень вчитывать в законы и некогда, но у тебя явно слишком однобокое мнение о том, кого законы должны защищать, а кого не должны.

sanyo1234
()
Ответ на: комментарий от sanyo1234

а вот ты не поленись и почитай. всем только кажется, по факту там написано вообще совсем не то что всем кажется. Должны, должны, а почему тогда не прописали ? ну вот прямо, любой вред любым компам пользоваетелей. написали только про информацию и вредноносное ПО.

antech
()