Перехоплення паролів з допомогою strace (і заборона цього у F17)

[Володимир Лісівка]

http://www.youtube.com/v/WVRS9krNFxU&feature=embeded

[yurchor]

На робочих станціях (не серверах) використання SELinux з вказаним у темі гілки призначенням призводить до неможливості трасування програм (тобто неможливості їхнього зневаджування).

Для користувачів використання SELinux у такий або трохи інший спосіб означає незрозумілі проблеми з програмним забезпеченням та беззмістовні повідомлення про вади.

Встановлення багатьох пакунків, відмінних від базових пакунків GNOME, призводить до скидання впровадженого Деном Волшем прапорця. Зокрема до скидання цього прапорця призводить встановлення будь-якого з пакунків KDE.

Тому користуватися вимиканням strace можна рекомендувати на серверах, де встановлено GNOME.  

[yurchor]

На робочих станціях (не серверах) використання SELinux з вказаним у темі гілки призначенням призводить до неможливості трасування програм (тобто неможливості їхнього зневаджування).

Для користувачів використання SELinux у такий або трохи інший спосіб означає незрозумілі проблеми з програмним забезпеченням та беззмістовні повідомлення про вади.

Встановлення багатьох пакунків, відмінних від базових пакунків GNOME, призводить до скидання впровадженого Деном Волшем прапорця. Зокрема до скидання цього прапорця призводить встановлення будь-якого з пакунків KDE.

Тому користуватися вимиканням ptrace можна рекомендувати на серверах, де встановлено GNOME.  

[Володимир Лісівка]

Тому користуватися вимиканням strace можна рекомендувати на серверах, де встановлено GNOME.  

На сервері не має стояти ніяких графічних приблуд — чим менше коду, тим менше дірок.

Про цю серйозну дірку в безпеці відомо вже давно, тому при введені пароля з клавіатури на початку сеансу рекомендується завжди використовувати SAK (Secure Access Key), — у Windows це Ctrl-Alt-Del, у Лінуксі воно так і називається: saK (sysrq-alt-K). Інакше хтось може залишити запущений GDM чи KDM і перехопити пароль. Strace це один з найлегших варіантів це зробити, але не єдиний. Я сам заповнював звіт про помилку з SAK-ом у Федорі пару років тому.

[Юлія Торіна]

Тому користуватися вимиканням strace можна рекомендувати на серверах, де встановлено GNOME.  

На сервері не має стояти ніяких графічних приблуд — чим менше коду, тим менше дірок.

Про цю серйозну дірку в безпеці відомо вже давно, тому при введені пароля з клавіатури на початку сеансу рекомендується завжди використовувати SAK (Secure Access Key), — у Windows це Ctrl-Alt-Del, у Лінуксі воно так і називається: saK (sysrq-alt-K). ...  Я сам заповнював звіт про помилку з SAK-ом у Федорі пару років тому.

Як думаєте: Чому вони до сих пір її не виправили?
---
Про мінімальність ПЗ на сервері я знав. Дякую що іще раз нагадали.
---

[r00t x]

Хм-м... Переглянув відео. От вам і федораСевентін...

[Володимир Лісівка]

Як думаєте: Чому вони до сих пір її не виправили?

Якщо ви про помилку, про яку я звітував, то розробники її виправили ще в 14-ій Федорі здається. Тільки що перевірив в 17-ій Федорі — коли SysRq ввімкнений, то вбивання сесії на першому терміналі відбувається абсолютно нормально.

[Володимир Лісівка]

Хм-м... Переглянув відео. От вам і федораСевентін...

Що ви маєте на увазі?

[r00t x]

Що ви маєте на увазі?

та я ДУМАВ що досих пір цю "фіччу" не виправили, а випуск федори розхвалюють. От і написав: От вам і Федора 17... (хвалять, хвалять, а помилки не виправляють).

Та я вже зрозумів (начебто  :-? ).

[yurchor]

Що ви маєте на увазі?

та я ДУМАВ що досих пір цю "фіччу" не виправили, а випуск федори розхвалюють. От і написав: От вам і Федора 17... (хвалять, хвалять, а помилки не виправляють).

Та я вже зрозумів (начебто  :-? ).

Нічого ви не зрозуміли. Відео про те, що «помилку» виправлено у основному дистрибутиві: встановлено відповідний прапорець у SELinux. Тепер розробляти програми у GNOME без спеціальних знань неможливо. Бобро перемогло!

[r00t x]

...

Нехочу сперечатись: Я про Ф17 писав, бо думав що досих пір не виправили помилку.

[Володимир Лісівка]

Нічого ви не зрозуміли. Відео про те, що «помилку» виправлено у основному дистрибутиві: встановлено відповідний прапорець у SELinux. Тепер розробляти програми у GNOME без спеціальних знань неможливо. Бобро перемогло!

Ця фіча вимкнута за замовчуванням. Потрібно ввести команду "setsebool deny_ptrace 1" для того щоб заборонити відлагодження. Якщо людина знає як заборонити ptrace, то вона має знати і як його дозволити. ;-)

[yurchor]

Нічого ви не зрозуміли. Відео про те, що «помилку» виправлено у основному дистрибутиві: встановлено відповідний прапорець у SELinux. Тепер розробляти програми у GNOME без спеціальних знань неможливо. Бобро перемогло!

Ця фіча вимкнута за замовчуванням. Потрібно ввести команду "setsebool deny_ptrace 1" для того щоб заборонити відлагодження. Якщо людина знає як заборонити ptrace, то вона має знати і як його дозволити. ;-)

Ви читали неуважно. Її увімкнено у GNOME. Я це гарантую як відповідальний за випуск з нашого боку.

[yurchor]

Нічого ви не зрозуміли. Відео про те, що «помилку» виправлено у основному дистрибутиві: встановлено відповідний прапорець у SELinux. Тепер розробляти програми у GNOME без спеціальних знань неможливо. Бобро перемогло!

Ця фіча вимкнута за замовчуванням. Потрібно ввести команду "setsebool deny_ptrace 1" для того щоб заборонити відлагодження. Якщо людина знає як заборонити ptrace, то вона має знати і як його дозволити. ;-)

Ви читали неуважно. Її увімкнено у GNOME. Я це гарантую як відповідальний за випуск з нашого боку.

http://docs.fedoraproject.org/uk-UA/Fedora/17/html/Release_Notes/sect-Release_Notes-Changes_for_Sysadmin.html#id1050641

[Володимир Лісівка]

Ви читали неуважно. Її увімкнено у GNOME. Я це гарантую як відповідальний за випуск з нашого боку.

Я не помітив.   (RFRemix 17 з Ґномом). :-(