ValdikSS 14 мар 2013 в 11:33

Linux 3.8 Local Root Vulnerability

1 мин

12K

Настройка Linux *

+22

Комментарии 53

3vi1_0n3 14 мар 2013 в 11:50

Отсюда первое правило. Разделяйте систему и пользовательские домашние директории.

Disasm 14 мар 2013 в 12:03

ага, и не выдавайте никому права на /tmp
// а хотя и /tmp можно отдельным разделом сделать

3vi1_0n3 14 мар 2013 в 12:07

Если я ничего не путаю, tmpfs обычно размещается в оперативной памяти и с точки зрения файловых систем в корневую все равно не попадает? При чем тут отдельный раздел?

adeep 14 мар 2013 в 12:11

вы путаете /tmp и tmpfs

3vi1_0n3 14 мар 2013 в 12:14

Да, возможно. Это наверное потому, что у меня /tmp и tmpfs — это одно и то же.

Sicness 14 мар 2013 в 13:10

В некоторых дистрибутивах /tmp имеет ФС tmpfs

ivan_kolmycheck 14 мар 2013 в 16:01

Сходу: Arch, Gentoo. Где ещё?

ArtKun 14 мар 2013 в 16:31

Fedora >18

blackp 14 мар 2013 в 17:01

Altlinux

xiWera 15 мар 2013 в 07:41

fedora >= 16, уже в ней была tmpfs на tmp

ArtKun 15 мар 2013 в 07:50

Да вроде нет…
fedoraproject.org/wiki/Features/tmp-on-tmpfs

kekekeks 14 мар 2013 в 17:42

Ubuntu, например.

adeep 15 мар 2013 в 08:35

12.10
root@chip:~# mount|grep tmpfs
udev on /dev type devtmpfs (rw,mode=0755)
tmpfs on /run type tmpfs (rw,noexec,nosuid,size=10%,mode=0755)
none on /run/lock type tmpfs (rw,noexec,nosuid,nodev,size=5242880)
none on /run/shm type tmpfs (rw,nosuid,nodev)
none on /run/user type tmpfs (rw,noexec,nosuid,nodev,size=104857600,mode=0755)
cgroup on /sys/fs/cgroup type tmpfs (rw,relatime,mode=755)

kekekeks 15 мар 2013 в 10:03

Гм. Не припомню, чтобы я сам это настраивал, но /tmp у меня смонтировано как tmpfs.

StamPit 14 мар 2013 в 22:15

Gentoo? Давно ли? /run — да, tmpfs по умолчанию.

ivan_kolmycheck 14 мар 2013 в 16:02

Мне казалось, что во всех руководствах давно рекомендуют разные разделы для root fs и /home.

3vi1_0n3 14 мар 2013 в 16:13

Вы считаете, что все соблюдают все рекомендации руководств?
В том же Дебиане, например, в инсталлере есть отдельная строка при разбиении диска — все директории в одном разделе.

KawaiDesu 15 мар 2013 в 04:56

Это порой очень неудобно.

BSoD 16 мар 2013 в 14:26

Когда, например?

ValdikSS 16 мар 2013 в 14:27

Например, если у вас SSD на 16ГБ.

KawaiDesu 17 мар 2013 в 05:13

В первую очередь — маленькие диски. Ниже подсказали SSD, я предложу виртуалки. В тех же виртуалках неудобно дробить диски во многих инфраструктурах с большим объёмом виртуалок. Неудобно дробить там, где сложно предсказать, сколько будет установлено ПО и где и сколько будет данных.

BSoD 18 мар 2013 в 22:15

Мне кажется, что LVM отлично подойдёт для такой задачи. Особенно в том случае, если в дальнейшем место планируется увеличить.

KawaiDesu 19 мар 2013 в 12:22

А производительность?

StamPit 20 мар 2013 в 06:31

LVM — незначительная прослойка, производительность практически не падает. ФС сама по себе гораздо больше оверхеда даёт.

BSoD 20 мар 2013 в 07:12

Использую LVM и на рабочих серверах, и на домашних машинах. Какого-то ощутимого падения в скорости не замечал, если честно.

isden 14 мар 2013 в 11:52

> а также у пользователя есть права на запись в корневую файловую систему

Во всех вменяемых дистрибутивах по дефолту корень принадлежит руту с правами 755. Если рут сам ставит там 777, то он сам себе злобный буратина.
UPD: Или имеется ввиду вообще весь корневой раздел, включая всякие /tmp, $HOME и прочее?
UPD2: копипаста с LOR.

3vi1_0n3 14 мар 2013 в 11:54

Речь не о рутовой директории, а о файловой системе, на которой находится корневая директория. Это кагбэ разные вещи.

isden 14 мар 2013 в 11:55

Я уже проапдейтил коммент, сорри.

Mezomish 14 мар 2013 в 13:10

Решето! :)

krovatti 14 мар 2013 в 14:36

Пошёл ты! :)
У большинства пока что 3.7, так что ничего подобного… :P

Mezomish 14 мар 2013 в 14:57

У меня вообще ещё 3.2 ;)

ivan_kolmycheck 14 мар 2013 в 16:05

Откуда взялась мода меряться, у кого старее софт?

Mezomish 14 мар 2013 в 16:10

Да примерно оттуда же, откуда мода меряться чем угодно :)

Roxis 14 мар 2013 в 19:48

Уронили мишку на пол,
Оторвали мишке лапу.
Все равно его не брошу ―
Потому что он хороший.

abrwalk 14 мар 2013 в 13:36

/ пост про longterm ветки ядер, про 2.6.32 в debian stable /

НЛО прилетело и опубликовало эту надпись здесь

kekekeks 14 мар 2013 в 14:15

Ни в одном из дистров пока 3.8 нет. Даже в арче пока 3.7, так что можете не беспокоиться.

ValdikSS 14 мар 2013 в 15:30

В тестинге давно есть. Ну и linux-ck тоже 3.8.2 сразу, как 3.8.2 вышел.

kekekeks 14 мар 2013 в 15:32

Так кто в здравом уме этот тестинг запускает на production-системах?

ValdikSS 14 мар 2013 в 15:35

Честно говоря, вообще ни разу не видел арча на серверах.

Disasm 14 мар 2013 в 16:06

У меня стоит на всех. Не вижу в этом ничего странного или необычного.

Gunnar 14 мар 2013 в 13:54

Гонка версий к добру не приводит

Kastrulya 14 мар 2013 в 15:43

А если бы у ядра была версия 2.6.100500, то все было бы ок, ага ;)

ivan_kolmycheck 14 мар 2013 в 16:04

Если бы были версии с названием коммита из git, никто бы не выл про нумерацию.

stalker_by 14 мар 2013 в 15:28

Вы бы еще для Linux 4 эксплоиты постили…
А набор тегов у статьи просто не дать не взять.

ivan_kolmycheck 14 мар 2013 в 16:00

Вы бы еще для Linux 4 эксплоиты постили…

А что плохого в посте эксплоитов для версий ядра, которые ещё не стали популярными?

ivan_kolmycheck 14 мар 2013 в 15:59

В каких дистрибутивах уже 3.8?

ValdikSS 14 мар 2013 в 16:02

Fuduntu

ArtKun 14 мар 2013 в 16:32

Fedora.

mwizard 14 мар 2013 в 19:41

Gentoo

barker 15 мар 2013 в 08:20

Arch

BSoD 14 мар 2013 в 21:19

К слову, уже пофиксили. И да, на ЛОРе так и не нашлось счастливца, у которого бы экплойт отработал. «Вечно в этом вашем Линуксе ничего не работает!» ©

amarao 5 мая 2013 в 10:57

Всё, что касается namespace'ов на -цать версий от продакта. Используйте 3.2 до появления следующей LTS, и всё будет хорошо.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий