ВН
Все эти спектры и т.п это только про виртуалки
Size: a a a
2020 August 28
AT
Все эти спектры и т.п это только про виртуалки
Или про не привилегированных юзеров :)
ВН
Или про не привилегированных юзеров :)
Ну, с возможностью выполнения кода, короче
ВН
Многие cephx-то отключают =))
ВН
Это вообще все операции в цефе всем разрешает
i
Все эти спектры и т.п это только про виртуалки
Эм, кагбе нет, дело в интеловом мельдонии и дырявом SMT
i
Так что баря или вирт, один фиг аудит у СБ не пройдёт
ВН
Эм, кагбе нет, дело в интеловом мельдонии и дырявом SMT
Не, я имею в виду, что если на хостах выключить спектры, и на хостах только цеф и рядом с ним нет виртуалок, то вроде как особой опасности нет
t
Вот этот пассаж триггернул. Да, давайте ещё mitigations=off, нам же нужна МОЩЩЩ, а про безопасность кто-то другой подумает
Ммм, а зачем тебе на цеф нодах? Там кроме цефа ничего не должно быть, хотя были герои что пытались ещё KVM запустить
I
Ммм, а зачем тебе на цеф нодах? Там кроме цефа ничего не должно быть, хотя были герои что пытались ещё KVM запустить
в проксе в порядке вещей на ноды раскатать цеф )
t
Если стор отдаётся по LAN, например iSCSI и тот же цепх, любая дырка в реализации аутентфикации, -> получаем шелл от юзера, эскалируем служебного юзера до root любыми доступными методами (у нас же нет изоляции AppArmor), и бонжур
Ага, ну iscsi таргет демона на ОСДшках, прям так и запускаешь.
t
Звучит проще, чем на самом деле, и нужна подготовка, но атака вполне реальна, при разведке и раскрутке цепочки эксплоитов
Хз, чёт пахнет фантастикой
t
Тогда надо делать чисто локальный менеджмент, и из сети оставлять только кластерную, в которую никто кроме сторадж нод не воткнут
Ну, как бы обычно так и есть
i
Ага, ну iscsi таргет демона на ОСДшках, прям так и запускаешь.
Безотносительно цефа - отключать apparmor без альтернативы - хуёвая идея
i
На цеф вообще насрать
ВН
Безотносительно цефа - отключать apparmor без альтернативы - хуёвая идея
а селинукс?)))
ВН
а докир
ВН
ну в общем хз. всё-таки на ноде где крутится ВРОТПРСС и на ноде где один цеф, разные всё-таки вещи
t
Безотносительно цефа - отключать apparmor без альтернативы - хуёвая идея
Я его не отключаю, его нет на центосе 😂 а selinux (как и аппармор) нужен лишь для того, что б его отключали