LINUX.ORG.RU

Уязвимость в LightDM

 , , ,


0

1

Из-за уязвимости в менеджере входа в систему LightDM в релизах Ubuntu начиная с 16.10 временно прекращена возможность использования гостевого сеанса.

Проблема открывает гостю доступ к чужим файлам на компьютере. Она была вызвана прекращением применения ограничений AppArmor (в Ubuntu 16.04 и более ранних выпусках применялся профиль /usr/lib/lightdm/lightdm-guest-session) после перехода к использованию systemd для управления сеансами.

>>> Подробности



Проверено: anonymous_incognito ()
Последнее исправление: sudopacman (всего исправлений: 4)
Ответ на: комментарий от awesomebuntu

Скажем так, виновато соединение тех и других в одном поделии.

narkoman228
() автор топика
Ответ на: комментарий от mandala

Guix так умеет штатными средствами, на выбор — или системная установка, или только юзерская. В шинде, кстати, это тоже штатная возможность, но не юзер выбирает, а сборщик пакета.

Есть unixway, а есть i-way. i - тут от idiot :) Это я собственно о тех, кто ставит софт в /home. Там кроме пользовательских настроек пакетов (если само собой речь идет о программах, а не о документах и т.п.) вообще нечего быть не должно. Ибо бред.

DrRulez ★★★★
()
Ответ на: комментарий от intelfx

Ну блин, ты же понимаешь что с переходом на новую святую корову надо переписать дофига всего, чтоб оно не разваливалось? А разгадка одна - приходит новая технология - она должна иметь полную обратную совместимость со старой (неважно какими дикими костылями). В=Системд ниосилил - вот и тред.

Я тебя, кстати, тоже могу описать, а за матерные описания модеры не наказывают, между прочим...

timdorohin ★★★★
()
Ответ на: комментарий от mandala

Зачем не привилегированному пользователю читать содержимое за пределами его хомяка?

А сами как думаете?

Вон тут уже предлагают контейнеры городить — вот это наркомания.

Наркомания выше в высказывании «Зачем не привилегированному пользователю читать содержимое за пределами его хомяка? »

anc ★★★★★
()

Что-то в этом lightdm постоянно то дыры, то баги какие-то. Про sddm не помню когда последний раз слышал что-то такое.

Deleted
()
Ответ на: комментарий от anc

А сами как думаете?

Именно пользователю? Не программы, которые он запускает и которым там надо что-то прочитать, а сам пользователь?

mandala ★★★★★
()
Ответ на: комментарий от mandala

Guix так умеет штатными средствами, на выбор — или системная установка, или только юзерская. В шинде, кстати, это тоже штатная возможность, но не юзер выбирает, а сборщик пакета.

Вы точно ничего не употребляли?

anc ★★★★★
()
Ответ на: комментарий от anc

Большая. Процесс может быть запущен и не от имени пользователя, а с нынешними свистоперделками (дбас, сустемдиком, selinux) так делать и нужно, иначе зачем они? Что б были? Упарываться всяким говном — так упарываться до конца!

mandala ★★★★★
()
Ответ на: комментарий от mandala

Всетаки употребляли. Какая в попу разница по большому счету, системные либы мы читаем, нужные конфиги тоже, бинарники тоже... вам выше уже несколько раз намекнули, но вы не поняли.

anc ★★★★★
()
Ответ на: комментарий от mandala

Именно пользователю? Не программы, которые он запускает и которым там надо что-то прочитать, а сам пользователь?

прежде чем в следующий раз писать, предварительно подключите /dev/brain. Я слышал - это сильно помогает :) дело в том, что так уж вышло, но при запуске различных программ у них есть так сказать уровень привелегий. Который определяется учетной записью от которой произошел запуск. Бяда в том, что обычно пользовательские программы (за некоторыми исключениями и простите за тавталогию) запускает пользователь. Именно поэтому, красношапковый вы мой, у него должны быть ПРАВА на чтение и запуск того, что ему нужно. Но, как я понимаю, длительное ношение красной шапки отрицательно воздействует на /dev/brain и в воспаленном воображении рисуется сферический конь в вакууме, который может запускать что-то (предварительно прочитав) не имея на это прав :) Это даже не мировой рекорд в тройном прыжке по идиотизму - это гораздо круче. Вы кстати не подскажете - а где вы такую траву покупаете ? :)

DrRulez ★★★★
()
Ответ на: комментарий от anc

Что я не понял? Я все понял. Я просто тут фантазирую — что не разрешено, то запрещено! ФМ не имеет права вылазить из хомяка! Каждая прожка сложнее текстового редактора запускается под своим пользователем и имеет право читать только свои файлы! Шаг влево, шаг вправо — расстрел! Вот.

mandala ★★★★★
()
Ответ на: комментарий от DrRulez

Ну вот пусть все нужное лежит в хомяке по максимуму, а остальное управляется каким нибудь селинукс — процесс может читать только свой каталог/файл, и не больше.

mandala ★★★★★
()
Ответ на: комментарий от DrRulez

может запускать что-то (предварительно прочитав) не имея на это прав

Надо лёне сказать — выкидываем атавизм в виде обычных прав на файлы и приделываем еще одну шину. Она в соответствии с политиками безопасности будет давать содержимое запрашиваемых файлов для не привелигированных процессов. Можно это всунуть в сустемдик, в пид1.

mandala ★★★★★
()
Ответ на: комментарий от DrRulez

Вы кстати не подскажете - а где вы такую траву покупаете ?

Да это уже скорее на печеньки/кексики похоже.

anc ★★★★★
()
Ответ на: комментарий от mandala

Надо лёне сказать — выкидываем атавизм в виде обычных прав на файлы и приделываем еще одну шину. Она в соответствии с политиками безопасности будет давать содержимое запрашиваемых файлов для не привелигированных процессов. Можно это всунуть в сустемдик, в пид1.

У меня для тебя плохие новости: давно сделано и без Лёни (см. например fd passing через dbus http://storaged.org/doc/udisks2-api/latest/gdbus-org.freedesktop.UDisks2.Bloc...).

Вообще говоря, уже не первый раз натыкаюсь что то что себе нафантазировали местные эксперты оказывается давно разработано, задокументировано и внедрено.

d_a ★★★★★
()
Последнее исправление: d_a (всего исправлений: 1)
Ответ на: комментарий от d_a

давно разработано, задокументировано и внедрено.

Тем более. Сколько можно сидеть в 70-х? Пора не просто внедрять, а выкидывать старое говно!

mandala ★★★★★
()
Ответ на: комментарий от mandala

DAC-матрицу по последней моде 69 года не даст выкинуть торвальдс. Всё что к ней уже было добавлено (ACL, LSM) и будет добавлено дальше обречено быть только в форме security enhancements.

d_a ★★★★★
()

systemctl lightdm disable

или как-то так я сделал почти сразу

а нафига он мне я один на компе, а юзеров у меня много

да и вообще, есть же startx, который знает кому какой ВМ грузить

anonymous
()

до конца тему не осилил, кто-нибудь уже объяснял, в чем толком баг? один юзер (хотя гостевой, хоть еще какой), может прочитать файлы другого юзера, если позволяют чмоды? так блин, 700 на домашнюю папку, какие проблемы? и umask (правда, некоторые гуевые программы на него срать хотели и упорно создают с 755/644, или я дурак, и кроме .profile его еще где-то надо прописать)
а то ведь можно и 777 на все поставить, как некоторые делают, а потом орать, что кругом решето

PerdunJamesBond
()

любители startx, а подскажите, пожалуйста, как у вас работает выключение-перезагрузка, монтирование всяких флэшек там и прочая чушь? раньше, когда в Дебиане всякие *dm еще не были завязаны на шыштемд-логиндэ, а был consolekit и прочее говно, я пытался xfce запущать через startx - выключение то ли совсем не работало, то ли требовало пароль, про монтирование не знаю. запуск с помощью всяких заклинанний с ck-launch-session и еще чего-то там - тоже не помогал.
как их всех победить? а то я бы от этих всех dm с радостью избавился, кабы не эта херня

PerdunJamesBond
()
Ответ на: комментарий от PerdunJamesBond

в чем толком баг?

В криворукости убунтоидов, а вообще в том что у дебилиана вот так изкоропки:

$ ls -l /home
итого 8
drwxr-xr-x 62 mandala mandala 4096 май 13 20:48 mandala
drwxr-xr-x  2 tux     tux     4096 дек 25 06:04 tux

И почему гость не должен ни чего читать? Что это за пользователь такой ущербный? Почему Ваня может читать файлы Маши, а их гость Петя вдруг не может? Это же фича дистра — вот и жрите что дали.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

Каждая прожка сложнее текстового редактора запускается под своим пользователем и имеет право читать только свои файлы!

Статическая сборка? Ну да, частично возможно. И каждый разраб будет изобретать велосипеды по своему. Только это уже больше на винвэй похоже, где комбайнит каждый по своему.

anc ★★★★★
()
Ответ на: комментарий от anc

Такую наркоманию сейчас контейнерами делают, даже целые дистры где ядро, контейнеровоз и всё-всё в контейнерах! Я сходу придумал разрешать читать только определенные файлы, но оказывается это всё есть. Только святой Линус не даёт из ядра выкинуть DAC, а так то все фантазии уже реализованы.

mandala ★★★★★
()
Ответ на: комментарий от PerdunJamesBond

LXDE, startx ручками. Но можно сделать и автоматом через юнит автологин и startx пускать сразу башем при этом автологине.

mandala ★★★★★
()
Ответ на: комментарий от mandala

А теперь давайте немного включим мозг. Например есть BIN который для своей работы требует lib1, lib2 - libN, bin1, bin2 - binN и т.д. Минимум что необходимо это создать правило для этого BIN. И так для каждого, которых может быть очень не мало. Далее, BIN обновился до версии BIN+N и ему перестали быть нужны lib2, bin2 но потребовались lib100 bin100 т.е. нужно поменять правила. Кто должен по вашему мнению разрабатывать эти правила? И тем более тестировать что бы случайно что-то не забыли удалить из старых?
ЗЫ И просто напомню с чего началось: Ваш коммент

Зачем не привилегированному пользователю читать содержимое за пределами его хомяка?

Вижу что уже мнение меняете.

anc ★★★★★
()
Ответ на: комментарий от anc

Кто должен по вашему мнению разрабатывать эти правила?

А кто виноват в сабжевой «уязвимости»? Мейнтейнеры дистрибутива и должны. Это адская работа, но идея для платного дистра. Почему ни кто не сделал? Дарю идею для стартапа!

mandala ★★★★★
()
Ответ на: комментарий от PerdunJamesBond

любители startx, а подскажите, пожалуйста, как у вас работает выключение-перезагрузка

В Openbox меню такие строки...

Перезагрузка: xterm -T "Reboot" -geometry 18x1 -e /bin/su -s /sbin/reboot
Выключение: xterm -T "Poweroff" -geometry 20x1 -e /bin/su -s /sbin/poweroff

With ★☆☆
()
Ответ на: комментарий от anc

Криворукость ни кто не исправит, особенно такую. Тут сама идея «гостя» с обрезанными правами без универсально и единственного механизма в ядре ущербна.

Вообще, нужно DAC выкидывать для подвижек. Но это влажные фантазии (да и не нужно, я просто теоризирую).

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)

И вообще имея флешку с линухом на борту, я могу спокойно зайти в live-режиме, подсоеденить тома и сделать всё что угодно, имея доступ к чужой системе, если она конечно не зашифрована, отсюда страсти по поводу локальных уязвимостей, того или иного уровня считаю надуманными.

anonymous
()
Ответ на: комментарий от anonymous

И вообще имея флешку с линухом на борту, я могу спокойно зайти в live-режиме, подсоеденить тома и сделать всё что угодно, имея доступ к чужой системе, если она конечно не зашифрована, отсюда страсти по поводу локальных уязвимостей, того или иного уровня считаю надуманными.

Походу Анон не читай сразу отвечай.

«А имея болгарку/кувалду/тнт/etc я могу сломать сервер...да что там сервер, ДЦ можно поломать... »

anc ★★★★★
()
Ответ на: комментарий от anc

«А имея болгарку/кувалду/тнт/etc я могу сломать сервер...да что там сервер, ДЦ можно поломать... »

Вот поэтому и считаю ЛОКАЛЬНЫЕ уязвимости несущественными, ибо лом, топорик... в этом плане линукс незащищён от слова «вообще», поэтому надо или забить, или что-то кардинально менять.

anonymous
()

в этом плане линукс незащищён от слова «вообще»,

Когда к вам придут с паяльником для проведения тестирования криптостойкости паролей посредством анальногокриптотестирования, ваша задница будет абсолютно незащищена, поэтому:

надо или забить, или что-то кардинально менять.

DrRulez ★★★★
()

Основным было:

Походу Анон не читай сразу отвечай.

Выше были описаны примеры зачем это (гостевой вход) может быть нужно. Т.е. не рассматриваем варианты принципиального взлома.

anc ★★★★★
()
Ответ на: комментарий от Deleted

А по какой причине к управлению сессиями systemd нельзя было применить правила AppArmor?

По причине отсутствия специалистов :-D Кто сам убежал, кого Марк на мороз выгнал... у него, конечно, IoT, IPO и прочие аббревиатуры, но, шаттл-мне-в-рот - работать-то кто будет?

zabbal ★★★★★
()
Ответ на: комментарий от mandala

Зачем это корпоративная кривоватая поделка нормальным людям — загадка.

Да не тужься ты так: там всё просто, станешь нормальным - сразу сам всё поймёшь.

zabbal ★★★★★
()
Ответ на: комментарий от zabbal

startx, mount, shutdown, su, ... - и всё действительно очень просто на персональном десктопе.

dzidzitop ★★
()
Ответ на: комментарий от mandala

sd-отрицательные такие смешные.
Не могут осилить новую технологию и вместо того чтобы научиться ей пользоваться, предпочитают ныть на форумах о злом systemd.

Arlecchino ★★
()
Ответ на: комментарий от Arlecchino

Научись пользоваться квантовой электродинамикой и освой уже греблю на байдарке.

И так по работе всяким дерьмом кормят да просят нахваливать. Зачем ещё и в свободное время всякое мне ни разу не нужное говно изучать и бороться с глюками? Sysvinit работает и каши не просит.

dzidzitop ★★
()
Последнее исправление: dzidzitop (всего исправлений: 1)
Ответ на: комментарий от DrRulez

Да Вы все жертвы заговора, вместо того, чтобы бороздить космическое пространство, мы пересобираем убогое монолитное ядро, одумайтесь, о жалкие!

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.