честно казано цъкаме с език и чоплим семки , докато те четем ;) ако отвориш
бъгтрак ще видиш колко много експлойти има (къде за кернел , къде за
сервизи), и мисля че това трябва да е последната ти грижа на този етап от
живота ти ... който е решил да те хакне нищо няма да го спре ... просто
предпола
1-во има много неща , които се изпълняват от sudo root. 2-ро всяка програма
е легитимен потребител на част от паметта. 3-то потребителят в случаят е
без значение. хората работят на ниво първоначално зареждане и биос. при
такова компрометиране, всичко което правиш ти в последствие е без значение.
2
Тъй като колегата пожела да ми пише директно, а и тази тема сме я обсъждали
доста с колеги от Baidu, Alibaba и Facebook на няколко Kernel Summit-a,
paste-вам писмото му тук:
On 11/01/2016 09:25 AM, Computer Burgas wrote:
честно казано цъкаме с език и чоплим семки , докато те четем ;) ако отвор
Ако нормален потребител на server може да прави sudo root не мисля, че има
нужда от каквито и да са exploits :)
Това, което аз питам е, ако стартираме програмата top с user pencho и top-а е с
pid 1292, други програми на user pencho имат ли легитимна причина да четат от
/proc/1292/mem, /proc/12
Май е крайно време да проуча kexec по-детайлно... Натоварените сървъри
за които се грижа са в LB група, и ги пачвам по отделно без downtime, а
ненатоварените преживяват няколко минути нощна почивка...
Изключвайки дебъгване и други по-специфични процеси, аз също не мога да
се сетя за легитимна прич
