The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В OpenBSD прекращена поддержка монтирования непривилегированным пользователем

15.07.2016 23:53

Под впечатлением от серии уязвимостей, о которых сообщалось утром, разработчики OpenBSD приняли решение об удалении функции монтирования файловых систем непривилегированным пользователем (sysctl kern.usermount=1). Из соображений безопасности начиная со следующего выпуска OpenBSD 6.0 монтировать разделы можно будет только с правами root, а sysctl-параметр kern.usermount будет игнорироваться.

В общем виде озвученные в вышеупомянутых уязвимостях проблемы в системном вызове mount названы вершиной айсберга, так как слишком много кода вовлечено в его работу, поэтому пользователям рекомендуется отключить поддержку режима монтирования обычными пользователями в своих системах (sysctl kern.usermount=0).

Дополнение: Речь об удалении специфической особенности OpenBSD, отсутствующей в других системах, которая позволяла, в теории, без увеличения рисков безопасности избавиться от необходимости использовать привилегии root когда нужно что-то смонтировать в произвольную часть дерева vfs. К сожалению, реализация оказалась слишком сложна для небольшого коллектива разработчиков, поэтому сейчас вернулись к единственному варианту с setuid root mount и ключевым словом "user" в fstab.

  1. Главная ссылка к новости (http://undeadly.org/cgi?action...)
  2. OpenNews: Серия уязвимостей в ядре OpenBSD
  3. OpenNews: При портировании во FreeBSD утилиты doas, аналога sudo от OpenBSD, возникла опасная уязвимость
  4. OpenNews: Досрочно выпущен OpenBSD 5.9
  5. OpenNews: Проект OpenBSD перешёл на обязательное использование механизма защиты W^X
  6. OpenNews: Разработчики OpenBSD подготовили для libc механизм защиты anti-ROP
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/44796-openbsd
Ключевые слова: openbsd, mount
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (66) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 00:04, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +24 +/
    Предлагаю в следующей версии отключить возможность входа в систему... и вообще запуска каких-либо процессов... из соображений безопасности...
     
     
  • 2.2, ssh (ok), 00:11, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Предлагаю в следующей версии...

    Зачем вы тут предлагаете? Тео же не читает опеннет, напишите ему на deraadt@openbsd.org.

     
     
  • 3.11, Teo de Raadt (?), 09:02, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +32 +/
    Vse ya chitayu. Nat predlozheniem podumayu.
     
     
  • 4.20, анонимоус7657 (?), 13:17, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Господин Тео, может вообще снести систему, перекрасить компьютер в зеленой цвет и выбросить в поле чтобы никто не нашел? Думаю таким образом проблема уязвимостей будет окончательно решена.
     
     
  • 5.42, Аноним (-), 18:29, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Лучше еще заменить компьютер на железобетонный блок, для надежности.
     
     
  • 6.61, Аноним (-), 19:47, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Еще питание отключить. Мало ли что там в блок встроено. А с батарейками у всего человечества проблемы, еще никто не смог это победить.
     
  • 5.47, kuku (ok), 21:04, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    а можно говорить по теме, по существу ?
     
  • 3.14, ы (?), 11:26, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Тео скажет что молодые программисты нынче не те. Часть лезет на IT форум ничего не понимая и не интересуясь в разработке чтобы прокомментировать чужую работу, а часть - чтобы прокомментировать тех кто комментирует. Но самой разработкой никто не интересуется, да и знаний и навыков нет, хватает только тяфкунуть. Вот как я сейчас. Хотя хотел бы найти работу связанную с разработкой ОС
     
     
  • 4.19, наноним (?), 12:48, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    >знаний и навыков нет, хватает только тяфкунуть. Вот как я сейчас.

    Тяф-кун?

     
  • 4.30, nuclight (??), 15:33, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Хотя хотел бы найти работу связанную с разработкой ОС

    Легко. Например, хоть те же средства доверенной загрузки, работающие до старта "полноценной" ОС (скажем на базе UEFI, Grub2) - им нужно уметь в файловые системы, интерфейсы отрисовывать, etc., вполне себе получаются миниатюрные узкоспециализированные ОС.

    С "большими" ОС типа линукса тоже достаточно легко можно найти работу, связанную, скажем, с написанием/допилом драйверов... да много всего.

    P.S. Но, конечно, всегда можно поступить проще, записаться в майнтейнеры/тестировщики какого-нибудь дистрибутива, и всем гордо говорить "я разработчик операционных систем", гы-гы. Встречал таких.

     
     
  • 5.31, жабабыдлокодер (ok), 15:41, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А системным программистом еще проще стать, чем разработчиком операционных систем. Я вот на днях посматривал вакансии, читаю: "Системный программист". Думаю, что за хрень? Кому тут у нас системный программист понадобился? Полез в вакансию, а там: "Требуется программист для работы в системе 1С"...
     
     
  • 6.40, Аноним (-), 17:54, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Систематический.
     
     
  • 7.48, Andrey Mitrofanov (?), 21:49, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Систематический.

    Осистемленный. Осистемлённый. Восистемлённый. Водинэстемлённый.

     
  • 6.58, 1 (??), 10:24, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    http://www.raidix.ru/vacancy/c-developer/

    Разработка файловой системы под Linux.
    Я им посоветовал Ганса, но они сказали, что нужен в офис и на полный день.

     
  • 4.49, Аноним (-), 23:40, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Все просто. Это не моложые программисты. Программистов вообще немного в сравнении с числом посетителей опеннета.
     

  • 1.3, iZEN (ok), 01:40, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ещё запретите писать в /tmp - для верности. А то ещё переполнят невзначай системный раздел. И ещё на Си нужно запретить писать - в нём часто случаются меморилики, выходы за пределы массивов и разрушения куч и стэков, что может сыграть на руку хакерам-террористам. :))
     
     
  • 2.8, Аноним (-), 04:52, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    все на rust!
     
     
  • 3.21, Потёртый (?), 13:46, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Какой раст?! Для Изи существует только один язык программирования.
     
     
  • 4.22, Аноним (-), 14:21, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Причём он тот язык в глаза не видал дальше хелловорлда.
     
  • 3.53, Аноним (-), 16:11, 17/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    тогда уж на Оберон-2 обьектные форки.
    вот уж где файловер допилен "из коробки" и обработка исключений "для ленивых".
    ну или ванильный эрланг(в форках/ампутациях - там наоборот урезано чуток.в тч - как раз это)
     

  • 1.4, Аноним (-), 02:03, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Да что там мелочится - возможность загрузки ОС пусть отключают сразу, от неё все проблемы идут!
     
     
  • 2.44, РОСКОМУЗОР (?), 18:36, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Отключить возможность загрузки ОС непривилегированными пользователями. Это повысит безопасность!
     
     
  • 3.46, Потёртый (?), 20:19, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Предлагаю все полномочия передать Скайнету. Это радикально повысит безопасность, потому что нет людей — нет опасности.
     

  • 1.5, Аноним (-), 02:58, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Предлагаю удалить возможность загрузки системы.
     
  • 1.9, бедный буратино (ok), 04:53, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    из этой новости я узнал, что такая опция там была
     
     
  • 2.10, ssh (ok), 07:10, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Под рутом сидишь!111 :D
     
     
  • 3.23, Аноним (-), 14:21, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Под рутом сидишь!111 :D

    А зачем на роутере под кем-то ещё сидеть?

     

  • 1.12, Аноним (-), 09:59, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Такой ход открывает путь всем тем "уязвимостям", для которых нужен привилегированный доступ, потому как использоваться такой доступ будет чаще.
    Поэтому это решение, возможно, временное.
     
     
  • 2.15, ssh (ok), 11:30, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Такой ход открывает путь всем тем "уязвимостям", для которых нужен привилегированный доступ,
    > потому как использоваться такой доступ будет чаще.
    > Поэтому это решение, возможно, временное.

    doas/sudo позволяют предоставить пользователю возможность монтирования устройств практически с тем же уровнем комфорта. Честное слово, не вижу в запрете никакой драмы.

     
     
  • 3.17, Аноним (-), 12:19, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    проблема не в админе, а в самостоятельных скриптах, которые теперь может потребоваться выполнять из-под рута;  с живым админом проблемы тут действительно нет, потому что при ручном монтировании он будет с привелегиями выполнять только само монтирование (подразумевается разумный админ).
     
     
  • 4.18, Аноним (-), 12:28, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    костыль: можно в скрипте команду заменить на "echo $USERPWD | sudo -S --prompt="" mount ...", и соответственно настроить sudoers;  проблема в том, что $USERPWD тут в скрипте лежать должен, что совсем плохая практика.
     
     
  • 5.24, Аноним (-), 14:22, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > костыль: можно в скрипте команду заменить на "echo $USERPWD | sudo -S
    > --prompt="" mount ...", и соответственно настроить sudoers;  проблема в том,
    > что $USERPWD тут в скрипте лежать должен, что совсем плохая практика.

    man sudo | grep NOPASSWD

     
     
  • 6.33, Аноним (-), 16:29, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Убрать пароль - это очень меткое решение. Продвинутые Windows уже 20 лет как позволяют админу без паролей в систему входить. Очень нехватает этого в юниксах и - особенно - в OpenBSD.
     
     
  • 7.35, бедный буратино (ok), 16:42, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Продвинутые Windows уже 20 лет как позволяют админу без паролей в систему входить.
    > Очень нехватает этого в юниксах и - особенно - в OpenBSD.

    в OpenBSD это уже больше 20 лет, как есть :)

    http://www.openbsd.org/faq/faq8.html#LostPW

     
  • 7.39, Аноним (-), 17:21, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не пойму - ты из секты забанненых в гугле или это ускользающе тонкий юмор?
     
  • 7.52, Аноним (-), 12:10, 17/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем убирать пароль для одной команды? Я свободный от зад ротство человек! Лучше я сохраню его в скрипте, который все прочитают!
     
  • 3.45, Comdiv (ok), 19:37, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    При использовании sudo есть проблема, если её запускать не по абсолютному пути. А Вы когда-нибудь видели, чтобы её запускали по абсолютному пути?

    Я писал об этом заметку http://comdivbyzero.blogspot.ru/2016/01/big-mistake-in-using-sudo.html

     
     
  • 4.54, angra (ok), 18:22, 17/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чудак, об этом все нормальные админы знают и только ты открыл для себя Америку. Хочешь я тебе еще несколько столь же страшных "уязвимостей" расскажу, а ты новую статейку тиснешь в бложик?
     
     
  • 5.56, Comdiv (ok), 00:04, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Чудак, об этом все нормальные админы знают и только ты открыл для
    > себя Америку.

    Очень рад за нормальных админов, у которых есть время покрасноглазить, но есть и ведь и такая разновидность, как админы локалхостов, и безопасность им тоже нужна. И моё мнение просто - в основных дистрибутивах наиболее безопасное поведение должно быть настроено по умолчанию, а если нет, то хотя бы пользователи должны знать об этом. И для этого, как ни страннно, в том числе, нужно писать об этом в бложиках.

    > Хочешь я тебе еще несколько столь же страшных "уязвимостей"
    > расскажу, а ты новую статейку тиснешь в бложик?

    Зачем? Напишите об этом в свой бложик. Вместо того, чтобы высокомерно дартаньянить, гордясь своей причастностью к тру-специалистам, распространяйте информацию и способствуйте повышению общего уровня. Такую деятельность нужно не высмеивать, а поддерживать.

     
     
  • 6.57, angra (ok), 03:08, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Да причем здесь красноглазие? Или вы думаете, что это какая-то особо тайная информация, доступная избранным? Это просто здравый вывод делаемый _самостоятельно_ админом из понимания того, что такое PATH, а также из понимания разграничения прав пользователя. В качестве мощнейшей подсказки выступает невозможность запустить программу непосредственно из текущей директории. А если чуть лучше изучить вопрос и практику работы админов, то окажется, что проблема вообще надумана.

    Хотя если судить по предлагаемым путям решения, то создается впечатление, что кое-кто очень слабо понял как работают права, шелл, пользователи, переменные окружения и запуск привелигированных программ. И вместо реального понимания черпает представления из опыта винды. Вот расскажи мне реальный сценарий получения прав с использованием данной "уязвимости". Ну создал ты юзером файлик sudo со своим кодом, добавил его в _свой_ PATH, а дальше что? Ведь у тебя сразу четыре проблемы:
    1. Заставить админа переключится на твоего пользователя
    2. Заставить его при этом загрузить твое окружение
    3. Убедить его запустить sudo, которое ему нафиг не нужно под твоим пользователем.
    4. Хоть что-то из этого поиметь, кроме получения своего же собственного пароля, который тебе и так известен.

     
     
  • 7.59, Comdiv (ok), 12:04, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Да причем здесь красноглазие? Или вы думаете, что это какая-то особо тайная
    > информация, доступная избранным?

    Об этом догадается любой, кто об этом задумается, но не все задумываются, потому что для них ОС второстепенна, и думают они над решаемыми задачами, а не настройке. Обратите внимание, на чьё сообщение я отвечал. Он об этом догадывался?
    Вы полагаете, что я считаю это тайной информацией, и поэтому говорю об этом в интернете для всех? Сарказм должен быть уместным, иначе он только усиливает сказанную глупость.

    > А если чуть лучше изучить вопрос и
    > практику работы админов, то окажется, что проблема вообще надумана.

    Ещё раз, не все являются админами, а безопасность нужна везде и по умолчанию, а не после долгих настроек. Я исхожу из фактов - почти все рецепты в сети подаются неправильно, даже ОС услужливо подсказывает неправильно. И это свидетельствует о том, что проблема надумана?

    > использованием данной "уязвимости". Ну создал ты юзером файлик sudo со своим
    > кодом, добавил его в _свой_ PATH, а дальше что? Ведь у

    Я же написал, для чего это может быть применено - для повышения привилегий и получения пароля пользователя. Надеюсь, как грамотный админ Вы понимаете, что речь не идёт о проникновении с одной стороны, а с другой стороны, что такие вещи должны исправляться независимо, чтобы у злоумышленника не было возможности совместить обе вещи.
    Итак:
    1. Запускаем злонамеренный код через троян или уязвимость.
    2. Если скопрометирован терминал, вызываем setenv, если нет - правим .bashrc
    3. Создаём свой sudo, считывающий пароль пользователя и незаметно выполняющим подставной код.
    4. Ждём, когда пользователю потребуется sudo
    5. Profit

    Есть такая возможность или нет? Или я из Windows что-то притащил?

     
     
  • 8.60, angra (ok), 14:54, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ой, как всё запущено Я думал ты пытаешься придумать как из под пользователя адм... текст свёрнут, показать
     
     
  • 9.62, iZEN (ok), 22:48, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Похоже на то, что наступил кризис жанра Почему-то под Windows никто не задумы... текст свёрнут, показать
     
  • 9.63, Comdiv (ok), 23:32, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То есть, Вы 2-а раза не поняли о чём заметка, и выставляете это как доблесть Я ... текст свёрнут, показать
     
     
  • 10.64, angra (ok), 02:25, 19/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Последнее объяснение с помощью аналогии, так как нормально ты похоже не понял ... текст свёрнут, показать
     
     
  • 11.65, Comdiv (ok), 03:21, 19/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Последнее объяснение с помощью аналогии, так как нормально Вы так и непоняли и у... текст свёрнут, показать
     
     
  • 12.66, angra (ok), 05:28, 19/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, не надо искажать мою аналогию, а то возникает впечатление, что ты хоч... текст свёрнут, показать
     
     
  • 13.67, Comdiv (ok), 13:40, 19/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Дело в том, что созданные известными архитекторами эскизы, по которым был постро... текст свёрнут, показать
     

  • 1.13, Аноним (-), 11:08, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Нет чтоб починить, решили запретить. Никого не напоминает?
     
     
  • 2.16, Аноним (-), 11:39, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    doas/sudo позволяют предоставить пользователю возможность монтирования устройств практически с тем же уровнем комфорта.
     

  • 1.25, Daemon (??), 14:32, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тео походу пивка обпился :) :) :) Может послабее варить будешь? :) :) :)
     
  • 1.26, Аноним (-), 14:35, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В линуксе уже давно так. Решается Халом и прочими udisk-ами
     
     
  • 2.28, Аноним (-), 15:17, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > В линуксе уже давно так. Решается Халом и прочими udisk-ами

    нет.

     
     
  • 3.29, Аноним (-), 15:28, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А как?
     
     
  • 4.32, Аноним (-), 16:27, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Опциями user и users в /etc/fstab
     
     
  • 5.69, Anonymo (?), 09:09, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И в OpenBSD так
     

  • 1.27, АнониМ (ok), 15:06, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    прям как в нащем гос-ве - всё запретить!
    других методов неприемлем.
     
     
  • 2.34, Аноним (-), 16:32, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Переезжайте в Россию - тут всё свободно. Даже борцунов с кровавым режимом не сажают и не расстреливают (если не заводить романы с моделями из соседнего государства).
     

  • 1.36, Аноним (-), 17:15, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Из соображений безопасности

    теперь все будут root-ами сидеть.

     
     
  • 2.38, Аноним (-), 17:20, 16/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    И ничего не поменятся.
     

  • 1.41, IMHO (?), 18:20, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    скоро в новостях:
    - прекращена поддержка настройки сети
    - прекращена поддержка настройки ОС
    - прекращена поддржка установки программ
    ...
    - прекращена ...
     
  • 1.50, Аноним (-), 23:42, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У них там fuse есть?
    Вообще, если у системы вообще есть (непривилегированные) пользователи, то монтировать нужно. А если система этого немогет, то это делает ее менее юзабильной.
     
     
  • 2.68, Аноним (-), 00:35, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > У них там fuse есть?

    Есть. Работает.

    > Вообще, если у системы вообще есть (непривилегированные) пользователи, то монтировать
    > нужно. А если система этого немогет, то это делает ее менее
    > юзабильной.

    doas mount

     

  • 1.51, Нанобот (ok), 07:45, 17/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это полумеры! Из соображений безопасности нужно запретить непривелигерованых пользователей!
     
     
  • 2.55, Sfinx (ok), 21:31, 17/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Точно, нет юзера - нет и проблемы ;) Хороший юзер - deleted user !
     

  • 1.70, Анатолий (??), 20:49, 23/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Джо Неуловимый давно решил все свои проблемы...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру