ValdikSS Mar 14 2013 at 15:33

Linux 3.8 Local Root Vulnerability

1 min

12K

Configuring Linux*

+22

Comments 53

3vi1_0n3 Mar 14 2013 at 15:50

Отсюда первое правило. Разделяйте систему и пользовательские домашние директории.

Disasm Mar 14 2013 at 16:03

ага, и не выдавайте никому права на /tmp
// а хотя и /tmp можно отдельным разделом сделать

3vi1_0n3 Mar 14 2013 at 16:07

Если я ничего не путаю, tmpfs обычно размещается в оперативной памяти и с точки зрения файловых систем в корневую все равно не попадает? При чем тут отдельный раздел?

adeep Mar 14 2013 at 16:11

вы путаете /tmp и tmpfs

3vi1_0n3 Mar 14 2013 at 16:14

Да, возможно. Это наверное потому, что у меня /tmp и tmpfs — это одно и то же.

Sicness Mar 14 2013 at 17:10

В некоторых дистрибутивах /tmp имеет ФС tmpfs

ivan_kolmycheck Mar 14 2013 at 20:01

Сходу: Arch, Gentoo. Где ещё?

ArtKun Mar 14 2013 at 20:31

Fedora >18

blackp Mar 14 2013 at 21:01

Altlinux

xiWera Mar 15 2013 at 11:41

fedora >= 16, уже в ней была tmpfs на tmp

ArtKun Mar 15 2013 at 11:50

Да вроде нет…
fedoraproject.org/wiki/Features/tmp-on-tmpfs

kekekeks Mar 14 2013 at 21:42

Ubuntu, например.

adeep Mar 15 2013 at 12:35

12.10
root@chip:~# mount|grep tmpfs
udev on /dev type devtmpfs (rw,mode=0755)
tmpfs on /run type tmpfs (rw,noexec,nosuid,size=10%,mode=0755)
none on /run/lock type tmpfs (rw,noexec,nosuid,nodev,size=5242880)
none on /run/shm type tmpfs (rw,nosuid,nodev)
none on /run/user type tmpfs (rw,noexec,nosuid,nodev,size=104857600,mode=0755)
cgroup on /sys/fs/cgroup type tmpfs (rw,relatime,mode=755)

kekekeks Mar 15 2013 at 14:03

Гм. Не припомню, чтобы я сам это настраивал, но /tmp у меня смонтировано как tmpfs.

StamPit Mar 15 2013 at 02:15

Gentoo? Давно ли? /run — да, tmpfs по умолчанию.

ivan_kolmycheck Mar 14 2013 at 20:02

Мне казалось, что во всех руководствах давно рекомендуют разные разделы для root fs и /home.

3vi1_0n3 Mar 14 2013 at 20:13

Вы считаете, что все соблюдают все рекомендации руководств?
В том же Дебиане, например, в инсталлере есть отдельная строка при разбиении диска — все директории в одном разделе.

KawaiDesu Mar 15 2013 at 08:56

Это порой очень неудобно.

BSoD Mar 16 2013 at 18:26

Когда, например?

ValdikSS Mar 16 2013 at 18:27

Например, если у вас SSD на 16ГБ.

KawaiDesu Mar 17 2013 at 09:13

В первую очередь — маленькие диски. Ниже подсказали SSD, я предложу виртуалки. В тех же виртуалках неудобно дробить диски во многих инфраструктурах с большим объёмом виртуалок. Неудобно дробить там, где сложно предсказать, сколько будет установлено ПО и где и сколько будет данных.

BSoD Mar 19 2013 at 02:15

Мне кажется, что LVM отлично подойдёт для такой задачи. Особенно в том случае, если в дальнейшем место планируется увеличить.

KawaiDesu Mar 19 2013 at 16:22

А производительность?

StamPit Mar 20 2013 at 10:31

LVM — незначительная прослойка, производительность практически не падает. ФС сама по себе гораздо больше оверхеда даёт.

BSoD Mar 20 2013 at 11:12

Использую LVM и на рабочих серверах, и на домашних машинах. Какого-то ощутимого падения в скорости не замечал, если честно.

isden Mar 14 2013 at 15:52

> а также у пользователя есть права на запись в корневую файловую систему

Во всех вменяемых дистрибутивах по дефолту корень принадлежит руту с правами 755. Если рут сам ставит там 777, то он сам себе злобный буратина.
UPD: Или имеется ввиду вообще весь корневой раздел, включая всякие /tmp, $HOME и прочее?
UPD2: копипаста с LOR.

3vi1_0n3 Mar 14 2013 at 15:54

Речь не о рутовой директории, а о файловой системе, на которой находится корневая директория. Это кагбэ разные вещи.

isden Mar 14 2013 at 15:55

Я уже проапдейтил коммент, сорри.

Mezomish Mar 14 2013 at 17:10

Решето! :)

krovatti Mar 14 2013 at 18:36

Пошёл ты! :)
У большинства пока что 3.7, так что ничего подобного… :P

Mezomish Mar 14 2013 at 18:57

У меня вообще ещё 3.2 ;)

ivan_kolmycheck Mar 14 2013 at 20:05

Откуда взялась мода меряться, у кого старее софт?

Mezomish Mar 14 2013 at 20:10

Да примерно оттуда же, откуда мода меряться чем угодно :)

Roxis Mar 14 2013 at 23:48

Уронили мишку на пол,
Оторвали мишке лапу.
Все равно его не брошу ―
Потому что он хороший.

abrwalk Mar 14 2013 at 17:36

/ пост про longterm ветки ядер, про 2.6.32 в debian stable /

UFO just landed and posted this here

kekekeks Mar 14 2013 at 18:15

Ни в одном из дистров пока 3.8 нет. Даже в арче пока 3.7, так что можете не беспокоиться.

ValdikSS Mar 14 2013 at 19:30

В тестинге давно есть. Ну и linux-ck тоже 3.8.2 сразу, как 3.8.2 вышел.

kekekeks Mar 14 2013 at 19:32

Так кто в здравом уме этот тестинг запускает на production-системах?

ValdikSS Mar 14 2013 at 19:35

Честно говоря, вообще ни разу не видел арча на серверах.

Disasm Mar 14 2013 at 20:06

У меня стоит на всех. Не вижу в этом ничего странного или необычного.

Gunnar Mar 14 2013 at 17:54

Гонка версий к добру не приводит

Kastrulya Mar 14 2013 at 19:43

А если бы у ядра была версия 2.6.100500, то все было бы ок, ага ;)

ivan_kolmycheck Mar 14 2013 at 20:04

Если бы были версии с названием коммита из git, никто бы не выл про нумерацию.

stalker_by Mar 14 2013 at 19:28

Вы бы еще для Linux 4 эксплоиты постили…
А набор тегов у статьи просто не дать не взять.

ivan_kolmycheck Mar 14 2013 at 20:00

Вы бы еще для Linux 4 эксплоиты постили…

А что плохого в посте эксплоитов для версий ядра, которые ещё не стали популярными?

ivan_kolmycheck Mar 14 2013 at 19:59

В каких дистрибутивах уже 3.8?

ValdikSS Mar 14 2013 at 20:02

Fuduntu

ArtKun Mar 14 2013 at 20:32

Fedora.

mwizard Mar 14 2013 at 23:41

Gentoo

barker Mar 15 2013 at 12:20

Arch

BSoD Mar 15 2013 at 01:19

К слову, уже пофиксили. И да, на ЛОРе так и не нашлось счастливца, у которого бы экплойт отработал. «Вечно в этом вашем Линуксе ничего не работает!» ©

amarao May 5 2013 at 14:57

Всё, что касается namespace'ов на -цать версий от продакта. Используйте 3.2 до появления следующей LTS, и всё будет хорошо.