Обсуждем Заббикс

Обсуждем Заббикс

церковь метрик протекла!

Обсуждем Заббикс

Оффлайн?

Оффлайн?

На докладе

Надо как-нибудь присоединиться.

https://pp.vk.me/c836232/v836232167/20923/TYmMB5dL1DI.jpg

ПИВО пришел

А где проходит?

На ваське

А где проходит?

http://spblug.org/

Ок, попробую в марте поучаствовать.

Не пробуй, учавствуй

А я не пришел (

Не смог

И зря

Ну хотя сегодня сказали что занятия все

я с интересом наблюдаю, но тоже пока не пришёл

у вас вроде даже женщины были (и Чистяков!)

Так что в марте выберусь думаю

Когда там 12 бздя выходит?)

ты где?

Кипр

Кстати, коллеги, что думаете про не-Линукс операционку от Касперских? Взлетит?

Нет

Спросите пожалуйста :)

Спросите про то как они борятся с атаками на полосу и атаками на application, когда трафик маленький, ботов немного и они все из разных мест, но клиенту все равно больно

на аликликейшен никак

Жесть

Уязвимость в ядре Linux, позволяющая получить права root http://www.opennet.ru/opennews/art.shtml?num=46084 У ядре Linux выявлена уязвимость (CVE-2017-6074), позволяющая непривилегированному локальному пользователю выполнить код на уровне ядра. Проблема устранена 17 февраля и проявляется во всех ядрах с поддержкой DCCP, начиная с 2.6.14 (октябрь 2005 г.) и вплоть до выпуска 4.9.11. #opennet

oO

еще и в Дебиане патч есть только под Wheezy

У нас сегодня "Slackware Install Party"

А почему vscale.io не поддерживает slackware?

Слака еще живая вообще?

вполне

что ей будет)

Патрик жив)

А почему vscale.io не поддерживает slackware?

Пользователи слаки пишут свой vscale.io чтобы запустить виртуалку со слакой.

Пользователи слаки пишут свой vscale.io чтобы запустить виртуалку со слакой.

А ты хорош!

вы еще там?!

вы еще там?!

Праздник продолжается!!!!

Коллеги, а есть ли где-нибудь в открытом/полу-открытом/закрытом доступе видео архив с нашими докладами спблуг?

Коллеги, а есть ли где-нибудь в открытом/полу-открытом/закрытом доступе видео архив с нашими докладами спблуг?

Принято считать, что нет

Уязвимость в ядре Linux, позволяющая получить права root http://www.opennet.ru/opennews/art.shtml?num=46084 У ядре Linux выявлена уязвимость (CVE-2017-6074), позволяющая непривилегированному локальному пользователю выполнить код на уровне ядра. Проблема устранена 17 февраля и проявляется во всех ядрах с поддержкой DCCP, начиная с 2.6.14 (октябрь 2005 г.) и вплоть до выпуска 4.9.11. #opennet

Чего вы так переживаете. Уже много раз тут и много где поднимали тему. Локальные уязвимости неприятны, но не более того. Патчить - патчим. Но в целом вообще не паримся Примите за аксиому: есть доступ до любого пользователя == есть root.

Чего вы так переживаете. Уже много раз тут и много где поднимали тему. Локальные уязвимости неприятны, но не более того. Патчить - патчим. Но в целом вообще не паримся Примите за аксиому: есть доступ до любого пользователя == есть root.

Поднимите руки у кого ядро с опцией CONFIG_IP_DCCP собрано? )

Чего вы так переживаете. Уже много раз тут и много где поднимали тему. Локальные уязвимости неприятны, но не более того. Патчить - патчим. Но в целом вообще не паримся Примите за аксиому: есть доступ до любого пользователя == есть root.

Нет. Это неправда

Нет. Это неправда

Фил, регулярно находят дырки в ядре, различных модулях или просто в софте с suid битом. Считать что локальная система при этом в безопасности просто глупо!

Фил, регулярно находят дырки в ядре, различных модулях или просто в софте с suid битом. Считать что локальная система при этом в безопасности просто глупо!

В remote тоже регулярно находят дырки. suid бит надо избегать. Считать, что система в безопасности в принципе глупо. Но не повод делать такие резкие радикальные заявления про локального пользователя.

В remote тоже регулярно находят дырки. suid бит надо избегать. Считать, что система в безопасности в принципе глупо. Но не повод делать такие резкие радикальные заявления про локального пользователя.

Потому что надо использовать posix caps

Потому что надо использовать posix caps

чо?

чо?

capabilities

не понимаю

гугль на первой странице выдал фарш

чо?

https://linux.die.net/man/7/capabilities

они не POSIX все-таки

они не POSIX все-таки

Угу. Надо будет внимательно прочитать http://zesty.ca/capmyths/

они не POSIX все-таки

No standards govern capabilities, but the Linux capability implementation is based on the withdrawn POSIX.1e draft standard; see ⟨http://wt.tuxomania.net/publications/posix.1e/⟩

Ай вы в ккакие дебри полезли

Ай вы в ккакие дебри полезли

чой-то дебри?!

No standards govern capabilities, but the Linux capability implementation is based on the withdrawn POSIX.1e draft standard; see ⟨http://wt.tuxomania.net/publications/posix.1e/⟩

угу, там вот прям написано, что оно во-первых драфт, а во-вторых withdrawn :)

Не, я тоже за plan9 модель )

ERROR: S client not available

Ай вы в ккакие дебри полезли

ты уже с ними живёшь проверь ls -l $(command -v ping) /sbin/getcap $(command -v ping) Как видишь нету suid бита, зато есть capabilities

phil@phil-home:~$ ls -l $(command -v ping) -rwsr-xr-x 1 root root 44168 май 7 2014 /bin/ping phil@phil-home:~$ /sbin/getcap $(command -v ping) Это прости Ubuntu 16.04

[schors@temple] ~$ ls -l $(command -v ping) -r-sr-xr-x 1 root wheel 28200 Feb 17 2011 /sbin/ping [schors@temple] ~$ /sbin/getcap $(command -v ping) -bash: /sbin/getcap: No such file or directory

вот и страдай

[23:51]alukardd@alex:~% /sbin/getcap $(command -v ping) /bin/ping = cap_net_raw+ep [23:51]alukardd@alex:~% ls -l $(command -v ping) -rwxr-xr-x 1 root root 61240 Nov 10 09:23 /bin/ping

И на чем такое?

федора небось

И на чем такое?

Debian Sid, когда появилось сказать точно не могу

Поднимите руки у кого ядро с опцией CONFIG_IP_DCCP собрано? )

Он модулем может это подгрузить

В stable (Debian Jessie) также используются capabilities

Он модулем может это подгрузить

угу, в Debian'е так: CONFIG_NF_CT_PROTO_DCCP=m CONFIG_NF_NAT_PROTO_DCCP=m CONFIG_NETFILTER_XT_MATCH_DCCP=m CONFIG_IP_DCCP=m CONFIG_INET_DCCP_DIAG=m # DCCP CCIDs Configuration # CONFIG_IP_DCCP_CCID2_DEBUG is not set CONFIG_IP_DCCP_CCID3=y # CONFIG_IP_DCCP_CCID3_DEBUG is not set CONFIG_IP_DCCP_TFRC_LIB=y # DCCP Kernel Hacking # CONFIG_IP_DCCP_DEBUG is not set CONFIG_NET_DCCPPROBE=m

да, в дебиане действительно так

ну т.е. только в дебиане

ну т.е. только в дебиане

это врядли

Нет, не только. В CentOS 7 тоже

Хех

в общем каноникловцам просто нравится suid...

А уда кстати записываются они? Я чего-то не вкурил

В расширенных атрибутах файла

Судя по ману до 2.6 не было никаких расширенных аттрибутов

Коллеги, а есть ли где-нибудь в открытом/полу-открытом/закрытом доступе видео архив с нашими докладами спблуг?

Мавляне говорит что не дело нашу срамоту в Интернет выкладывать

Мавляне говорит что не дело нашу срамоту в Интернет выкладывать

В этом есть зерно истины, однако для своих можно было бы пошарить ? Бывали очень здравые мысли, которые хотелось бы освежить в памяти

Судя по ману до 2.6 не было никаких расширенных аттрибутов

ну ты ещё 1.0 вспомни...

ну ты ещё 1.0 вспомни...

А тогда куда писали?

Судя по ману до 2.6 не было никаких расширенных аттрибутов

а ты заценил как прикольно Антоха устроил?

Кстати, у меня на телефоне сегодня было только видео трансляция без звука Android + Chrome

Ну он там явовскую поделку взял и поправил да

Когда там 12 бздя выходит?)

Вроде не объявляли

Мавляне говорит что не дело нашу срамоту в Интернет выкладывать

я не совсем так говорю.

Кстати, у меня на телефоне сегодня было только видео трансляция без звука Android + Chrome

там вроде кодек закрытый для звука

поясни