Voor wie? En waarom?

Snap de reactie van 19:46 niet zo goed, of wil deze poster weer een nieuwe "flamewar" starten
tussen security op open en gesloten software?

Er is maar een vorm van "full security", namelijk overal. Of een dergelijk begrip bij beste geweten benadering,
want het is en blijft een relatief begrip.

Eigenlijk geldt dit voor iedereen, die zich bezighoudt met IT security of digitale beveiliging,
in welke niche ook van deze wereld, waarin hij of zij bezig is,
zoals ondergetekende bijvoorbeeld bij "3rd party cold reconnaissance" website-beveiliging & error-hunting.

Veiligheidsbewustzijn is eerder een houding dan iets anders. Ik moet vaststellen dat dat zo is..

Hier geldt "earst leare, dan kinne en begjinne" ofwel vrij vertaald naar het Hollands:
"Leer om te weten, weet om te kunnen en slagen is je loon".

Niet allen op linux en zeker niet exclusief op Secure Enhanced linux ofwel SElinux, ook bij PHP, json, jQuery, python.

Relevante kennis over veiligheid moet onafhankelijk zijn van commerciële en overheidsbelangen
of platform en omgevingsgerelateerd zijn.. Daar wringt de veiligheidsschoen nogal eens of kraakt bedenkelijk.

"Security through obscurity" en kennis weghouden bij iedereen,
behalve een bevoorrechte elite zijn en blijven de grootste vijanden van alle vormen van security.

Op dus naar een veiliger gevoel, ik doe dit al meer als veertien jaar.
Enkele dankjewelletjes voor gehad, soms ook nare trappen na van degenen, die daarbij door de mand vielen.

Met dank aan iedereen onderweg (ook hier op dit platform).

Voor hen, die mijn veiligheidskennis hebben gevormd en steeds weer opgefrist,
van" undefined javascript errors" tot "excessieve naamserver info proliferatie"
en onveilige encryptie-standaarden tot certificeringsinzichten.

luntrus

heb je het gelezen al?

Ik vind de vraag niet zo gek, kwam bij mij ook op toen ik de naam van het Topic las. Interesant voor wie, en waarom?

Van mij mag de intro van een topic best iets meer info geven dan "hier, link, allemaal lezen".

Als dit doorzet dan wordt het knap onoverzichtelijk.

Niet iedereen waardeert het evenzeer als een bijdrage waarmee een topic wordt gestart slechts enkel een URL bevat, zonder enige verder toegevoegde bijdrage van de topicstarter, zoals enige uitleg, of misschien eigen inzichten.
En dan volgen reacties zoals die van Anoniem van 18:46 uur.

dan adviseer ik die mensen gewoonweg ook niet eens te reageren want dat kost meer moeite dan even de link te bekijken :).

Goed punt

Volgens mij gaat het daar niet om. Maar om alleen een (link klikbare) url te posten zonder enige informatie, is niet echt een discussie starten

Nee... Waarom zou ik dit moeten doen? Er staat in het topic totaal geen informatie, waarom ik dit zou moeten lezen. Als de OP nu enige nuttige informatie zou bevatten, waardoor in het artikel zou moeten lezen, dan had ik dit zeker gedaan.
Ik heb geen zin om zomaar ergens tijd aan te besteden, lijkt nu meer een spam link, dan een interessant artikel

Wil de topic starter eens onbevooroordeeld aan de hand van een link met een bepaalde geponeerde stelling een discussie uitlokken, is het weer niet goed volgens de reactie. Ik vind het eigenlijk wel wijs gedaan van de topic starter, want je wordt niet meteen op voorhand op zo'n onderwerp via een negatieve reactie gelijk half "met azijn overgoten".

Er zijn er ook, die het gebruik van bepaalde handvatten (cheat sheets) zien als een inperken van de creativiteit van de ontwerper. Ik meen dat men eigenlijk constant met security in het achterhoofd moet coderen en bij problemen even naar "stack overflow" of naar gelijkaardige code zoeken op github. Evenwel knippen en plakken vanwege tijdnood is natuurlijk altijd uit den boze, je knipt en plakt in zo'n geval wel andermans blinde vlekken.

Even deze erbij houden: https://infosec.mozilla.org/guidelines/web_security.html
en voor de developers, ga naar: http://overapi.com/ [url/] Daar vind je ze allemaal.Voor de amateurs is er ook volop om problemen te voorkomen, bij voorbeeld voor WordPress CMS gedreven websites:Voor het opzoeken van af te voeren jQuery bibliotheken: https://retire.insecurity.today/#Scanner voor een quick and dirty wat betreft Word Press issues: https://hackertarget.com/wordpress-security-scan/Bij Word Press plug-ins bestaat de mogelijkheid dat men fouten krijgt door een zekere plug-in die code overschrijft. Toets F 12 in een kijk in de browser console door welke file dit veroorzaakt wordt.Het eerste wat je moet doen is deze plug-in dan de-activeren, en vervolgens is de oplossing de gewraakte code te verwijderen, maar in zo'n geval is wel wat kennis van javascript vereist. (info bron: Jasminder Pal Singh in een van zijn video's).luntrus

Totaal niet een interresante read sorry.

jeezes wat een special snowflakes hier... lees gewoon die url, leer wat, krijg meer inzicht in wat er op gebied van security technologie ontwikkeld wordt en beschikbaar is voor enterprises en neem het als bagage in je carriere mee.

De link is best interessant. Als je in een bubble leeft dan is het lastig uit die bubble te komen.
"Red Hat has its own Red Hat Identity Manager, but as Thacker observed, most of its customers use Active Directory (AD)."
Wie is thacker? https://devconfcz2018.sched.com/mthacker2Dat is de productmanager van deze grote commerciële partij. https://www.nasdaq.com/symbol/rht

tja als je met een dogma start... vrij vertaald, als je alleen een hamer kent is alles een spijker...

van alles wat er in die url te lezen is pik *JIJ* weer een zinnetje over AD uit.

Dus, even wat achtergrond vwb de technologie van AD:

https://en.wikipedia.org/wiki/Active_Directory

"Active Directory uses Lightweight Directory Access Protocol (LDAP) versions 2 and 3, Microsoft's version of Kerberos, and DNS."

en LDAP bestond bijvoorbeeld al voor MS bestond. Ooit gehoord van Yellow Pages (NIS)? Ook al van voor de tijd van AD (YP uit 1992, AD uit 1999).

Dus..... neem je eigen advies eens te harten en kom uit die bubble yourself!

Die mensen hebben vermoedelijk wat verder doorgedacht dan jij.

Vraag je eens af hoeveel mensen zo'n post lezen. Dat is ongetwijfeld een veelvoud van het aantal reacties dat je ziet. Het zijn er minstens vele tientallen, vermoed ik.

Als die mensen een post als deze niet meteen ter zijde leggen (wat de hele post zinloos maakt) dan moeten ze een url kopiëren en plakken omdat de schrijver de moeite niet nam om er even een hyperlink van te maken, en vervolgens een heel artikel doornemen om te ontdekken wat er voor de poster zo interessant aan is. Dat kost elk van die personen tijd en inspanning.

Die inspanning moet je dus met een factor van vele tientallen vermenigvuldigen om de totaal geleverde inspanning voor zo'n post te verkrijgen, aangenomen dat niemand die deze pagina heeft geopend afhaakt omdat er niets staat.

Als de poster bijvoorbeeld een kwart van die totale inspanning had geleverd om (a) even aan te geven naar wat voor iets hij linkt en (b) om er door elf tekens extra in te tikken ook echt een hyperlink van te maken dan was de totale inspanning van de groep een stuk lager geweest.

Natuurlijk zal niet iedereen die deze post opent het artikel razend interessant vinden. Door als poster in een of enkele zinnen samen te vatten wat je kan verwachten als je de link volgt en waarom je het interessant vindt selecteer je ook meteen je doelgroep (de mensen voor wie het ook echt interessant is). De mensen voor wie het niets toevoegt bespaar je de inspanning om dat zelf uit te vinden, van de mensen voor wie het wel wat toevoegt houd je degenen erbij die afhaken als je niet even de moeite neemt om aan te geven waarover het gaat. Een beetje uitleg doet dus al een hoop om je doelgroep te selecteren.

De discussie onder de post was dan vermoedelijk niet over de vorm maar over de inhoud gegaan.

Je hebt als poster direct iets aan de extra inspanning omdat je je doelgroep beter bereikt en betere reacties krijgt, en indirect omdat je zelf baat hebt bij al die mensen die die extra inspanning ook voor jou leveren.

De moraal van het verhaal: communicatie wordt efficiënter als je het niet afraffelt maar wat inspanning levert om het goed te doen.

Je bent zelfs niet in staat om de kop van je post correct te spellen. Ik klik daarom niet eens op je link.

Volgens de volgende zin in het artikel kan deze bubble van Red Hat met de overeenkomstige bubble van Microsoft geïntegreerd worden:
Ze hebben documentatie die de verschillende manieren waarop dat kan uitlegt:
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/windows_integration_guide/

Ik snap niet wat je bedoelt met "lastig uit die bubble te komen". Voor zover ik zie is niemand bezig te proberen uit een bubble te komen.

Ik heb het even gelezen. Een prachtig stukje marketing tekst. Lijkt wel of ik sales over de vloer had.

Was het nu echt interessant zoals het "lege" topic beschrijft.. Absoluut niet. Daarom zijn dit soort openings posts waardeloos en een tijd verspilling.

Als ik de OP nu vermeld dat was dit een marketing verhaal was, had bijna iedereen meteen het zelfde gedaan en het stukje overgeslagen. Daarom is er zoveel commentaar op dit soort posts. Besteed gewoon wat professionaliteit in je posts......

Dus nee het commentaar is volledig terecht.

Zeker voor iemand die in de open source zit is het een interessante link. Insider informatie die het programma foss als commerciële partij aanvoert.

@ THE FOSS van 10:13

Schrijver keek waarschijnlijk naar een Engelstalige tekst.

Ja, ik denk dat dit nu juist komt door de digitalisering. Juiste spelling en tekstverklaring staan onder grote druk.
Ik zie het ook aan de uitpuilende examenlokalen tijdens verlengde toetsen wegens zogeheten B.O. (bijzondere omstandigheden).

Student X mag schuin over de bank hangen vanwege het verklarend psychologisch rapport, dat ie bij zich draagt.

Veel mensen met dyslexie, steeds meer eigenlijk. Ook veel nieuwkomers,
die hun taalachterstand nooit meer weten in te halen.
Mijnheer, wij komen met "de gasfornuis" e.d. uitspraken worden gehoord.
Als maar genoeg dit met "common gender" nazeggen wordt het al snel de standaardvorm.

Soms moeten we emoticons gaan toevoegen in teksten, anders begrijpt men ons niet meer.
Baudet heeft wat dit betreft nog een hele kruistocht te voeren, lijkt mij.

Niet iedereen heeft de Historische Grammatica van het Nederlands onder de knie
of heeft gepubliceerd in vakbladen.

Niet iedereen leert nog een vreemde taal met zes naamvallen na zijn vijftigste.

Zonder vlekkeloos spellen in klas 4 had je bij de oude PABO in klas 5 niets te zoeken.

Ik heb er begrip voor, maar waar ik teksten bijna niet kan lezen van de schrijffouten en het excuus is,
"Ik zit op een smartphone te werken", vind ik dat wel een beetje goedkoop excuus.

Je schriftje hoeft hier echt niet open op de ouderavond op de bank te liggen
(alleen bij de goede en armere leerlingen hoefde dat). Laten we elkaar toch vooral helpen.

Jodocus Oyevaer

het beperkt je in het open-minded zijn en dus nieuwe dingen te leren die uitgesproken arrogantie.

Redhat is mega mooie en goede organisatie welke een HOOP doet voor de gehele online en offline eco-sphere. Ook een perfect bedrijf om zaken mee te doen als je linux servers en services nodig hebt. Goede eerlijke prijzen en zeer goede adequate dienstverlening.

Verder is de read, voor mij, niet interessant... maar velen zullen deze link hier op security.nl WEL waarderen denk ik.

Klopt het staat er netjes en als je met free open mind er naar kijkt is er weinig mis mee.
Het is ergernis uit de praktijk waarbij linux puristen dit schofferen want AD is zo fout dat ze daar niets mee te maken willen hebben. Het andere is dat je veel te veel open krijgt met Samba Cifs/SMB in een niet leuke afhankelijkheid dan wel met andere verassingen. Dit is in de big data bi analytics wereld met de meeste gevoelige data een aardige om over na te denken.

@ karma4 met zijn bericht van 16:45 u heden,

Is het echt zo, dat de ware linux adepten binnen andere filterkaders leven?

Wanneer je het zo presenteert, als jij doet, karma4, zou je bijna gaan denken aan gedweep van een bepaalde secte met bepaalde sub-loges zoals o.a. het "SE-linux-dispuut". Lees bij voorbeeld de escape problemen bij firejail op SElinux: https://firejail.wordpress.com/download-2/release-notes/ Inmiddels gepatcht, maar toch...

We zitten allebei in een wereld, waar je met een collisie van systemen te maken heb, bij website security heb je dat zeker aan de webserver kant in relatie tot de client-zijde en v.v.. Allebei hebben hun specifieke security problemen, ook in relatie tot elkaar, wat een extra complicerende factor oplevert.

Bij jouw werken met Big Data analyse zal het niet anders zijn. De weg vooruit gaat steeds meer via gebruik van VE's (virtuele omgevingen), die zijn immers vaak ook snel weer terug te zetten.

Doe maar eens een asafaweb scan in combinatie met een DOM-XSS scan en kijk naar waar op gescand wordt.
Daar komen ook herhaalde en specifieke problemen voor - proliferatie problemen, http-only-cookies, clickjacking,
error-fails etc.

luntrus

Interessant: aluhoedjes af, rode hoedjes op!

Klopt Luntrus.
Die collisies van systemen is hoe het is. In jouw wereld is de verbinding naar het OS wat losser. Je zou met een gedegen selinux confinement (niet de out of the box, shock) , path traversal, shared service accounts op Multi tenancy shared boxes en nog wat detail wat hebben naar het OS maar met de DOM_XSS zit je er al vandaan.

Met big data wordt juist heel zwaar op het OS gebouwd, zoals:

- performance (omvang en snelheid) nee een VE helpt niet. Met hadoop wil je om de beperking van het ijzer door meerdere doosjes te koppelen. Met Vertica Teradata Netezza kom je specifieke getuned hardware met specifieke software. Het wordt gewoonlijk door de leverancier neergezet (appliance) en valt buiten de interne OS beheerders.
Een VE wordt gepromoot door OS mensen om de vrij laag belaste dozen in aantal omlaag te brengen zodat je ijzer en licentiekosten/onderhoudskosten voor een OS toch omlaag brengt. Een redelijk flater als je met zoiets de licentiekosten voor middleware (eg SAP Oracle en veel anderen) laat exploderen.
Met big data kopt die veronderstelling van laag belaste machines niet. Ik kom ook slecht ingerichte machines tegen waar de IO (big data zwaar io) en memory) nauwelijks voldoen. Je krijgt de teleurstelling en vragen vanuit de gebruikers (analisten sponsors).

- Veranderingen , data structuur data betekenis data governance. Met big data moet je juist dit allemaal goed hebben.
Veel van de big data tools worden her een der bij elkaar gesprokkeld die software zou je als alle middleware tools moeten beheren.
- Het is de data (training validation evaluation) die heel zwaar op de uiteindelijk gegenereerde scoring-code doorwerkt via de tools. Zoiets past niet in het klassieke denken dat je die code bedenkt en inklopt. Je moet er met het releasematig uitrollen specifiek rekening mee houden. Neem maar aan dat dat gewoonlijk niet gebeurt.
De benadering dat je met een data ware house ook van alles transformeert wil zeggen dat je de fabriek labaratorium en het magazijn niet meer gescheiden ziet. Het datalake is een stap terug naar wat een magazijn warehouse zou moeten zijn.

Ik denk ik de aanvaringen (collisies) met de techniek zo wel op een rijtje gezet heb.

joh het woord SELinux komt niet eens voor op de pagina van je firejail link.

firejail werk met cgroups en suid sandboxing en cgroups != SELinux.

je hebt ergens een klepel gehoort maar niets van een bel gezien.

een post vol met techno-bla-bla-bull-shit dus weer.

@karma4,

Goed begrepen, dat ik niet "collusion" in engere IT-zin bedoelde van twee devices dus binnen eenzelfde netwerkje, die elkander met pakketjes in de weg zitten. Dat is hier niet bedoeld, dus niet in engere zin. Maar de naamserver configuratie en implementatie kan wel degelijk het website security design in de weg zitten en andersom. Dat soort botsing bedoel ik.

Mijn idee hier is dat van security through obscurity by design. Marktbescherming desnoods ten koste van security (mono-cultures), wegredeneren van incompatibiliteitsproblemen en van oplossingen vanwege gelobby en maatregelen door autoriteiten, die het niet doorzien ten faveure van???? (we denken hier even wel, maar doen geen uitspraken).

Daar wringt de schoen, daar zit de FUD, daar zit de "bullebak in de draaikolk van oud Amsterdam", Het enige dat helpt is dat overduidelijk te maken. Aan de andere kant krijgt degene, die het moet doen, of ie nou Big Data handler is of website security analist, daartoe te weinig ruimte. Maatregelen zijn niet gericht op het verhelpen van problemen, maar zijn een onderdeel van het probleem, omdat ze bepaalde belangen dienen te beschermen, desnoods via FUD en desinfo.

Het wordt ons steeds meer uit de handen gehaald. Denk aan de knalpot, die je niet meer zelf ontkolen kan, het is nu onderdelen ontkoppelen en vervangen, de wegwerpmaatschappij van de groot-graaier (fijn milieuvriendelijk ook).

De leer en de praktijk staan haaks op elkaar en een gedeelte van de leer wordt eventueel nog weggehouden om de praktijk beter aan te laten sluiten op het gewenste model. Dat is de situatie, waar we met z'n allen zitten. Denk er maar eens over na.

luntrus

Is dit de klepel dan? http://seclists.org/oss-sec/2016/q4/236 SELinux sandbox escape - Firejail is CVE-2016-9016

luntrus

Dan lezen we de text eventjes:

"
On Sun, 2016-09-25 at 13:49 +0200, up201407890 () alunos dcc fc up pt wrote:

When executing a program via the SELinux sandbox, the nonpriv session
can escape to the parent session by using the TIOCSTI ioctl to push
characters into the terminal's input buffer, allowing an attacker to
escape the sandbox.


it seems that firejail was affected by the same vulnerability, which
was fixed in 0.9.44 with
https://github.com/netblue30/firejail/commit/46dc2b34f1fbbc4597b4ff9f6a3cb28b2d500d1b

The commit log reuses the CVE-2016-7545 number, but I guess a new one
should be assigned since they don't share the same codebase?
"

en dan staat daar dat er problemen zijn met programmas die naar de parrent kunnen escapen uit de SELinux sandbox door een TIOCSTL ioctl te misbruiken. Daarna staat er dat datzelfde gebruikt kan owrden om uit de firejail sandbox te escapen. De SELinux sandbox en de firejail sandbox zijn verschillende soorten sandboxes waarbij firejail gebaseerd is op cgroups. Er zat idus een probleem in de ioctl eerder dan elders.

Efin, inderdaad een tepel gehoord, maar de bel niet begrepen!

Een tepel? ;-)

Ik hou ook meer van de tepel dan van het klokkenspel ..,

Leest ten zeerste als het gevolg van ernstige uitdrogingsverschijnselen. Kater misschien, gezien het tijdstip van de post?
'Woordbrij' een andere classificatie verdient het niet. Oh... niet komen aanzeilen met het excuus dat het een gevolg is van woordblindheid want in de basis is het toegepaste taalgebruik hier niet symptomatisch voor deze kwaal.
Misschien dan het gebruikelijke gepiepel met een smartphone in de veronderstelling dat daar leesbare tekst uit voortkomt?

Dat vermoed ik meer.

nah geen smartphone :), maar een te klein Nederlandstalig toetsenbord waar alle dingekes elders zitten en natuurlijk ook nog eens vlug-vlug-vlug doen en niet nog eens lezen. Anyway, het gaat eerder om de inhoud, niet de vorm zo zeer. Wat heb je anders aan welgevormde / correct gespelde onzin? Dat blijft onzin dan toch?

Snap de reactie heel goed, gezien het feit dat enige toelichting ontbreekt.


Nee, topic nodigt niet echt uit. Doordat de TS niet de moeite neemt om toe te lichten waar het over gaat, en waarom het interessant zou zijn.


Idd.


Topic starter kan volgende keer ook iets meer moeite steken in het topic, dan het dumpen van een link zonder verdere toelichting. Weinig moeite, veel plezier.

Niet zo interessant.

als het niet op een oud en vertrouwd zilvere dienblad gepresenteerd wordt dan kent de boer het niet en eet ie het niet.

misschien ben je daarom dus ook wel niet de beoogde doelgroep?

moeten lastige dagen zijn voor al die snowflakes hier :).

Die is wel ijzersterk :-)

;-)

nou maar hopen dat de boodschap wel blijft hangen bij luntrus

Ik zie enkel de onderbouwing van wat Luntrus nog als een veronderstelling gaf.
sekteleden vertonen naar gedrag als ze geloven dat hun geloof aangevallen wordt.

dan adviseer ik jou ook eens naar een lees cursus engels te gaan.

het geciteerde textje (uit de link van luntrus) geeft aan dat de firejail issue geen selinux issue is ondanks (en daar zit em de slordige leesheid in) dat zowel firejail (gebaseerd op cgroups) als een sandbox tool (let op niet eens alles, maar slechts een enkele tool die sandbox heet) gebaseerd op selinux beiden een en hetzelfde onderliggende ioctl probleem hebben.

https://wiki.archlinux.org/index.php/Firejail
https://danwalsh.livejournal.com/28545.html

en dat kun je eenvoudig onomstotelijk duidelijk maken door een Arch linux te installeren (die komt zonder SELinux) en darain de firejail sandbox tool te installeren en low and behold, een sandbox zonder SELinux (omdat de firejail gebaseerd is of dezelfde dingen zoals docker bijv, cgroups)!

maarja dat zullen jij en je dikke maatje luntrus never nooit toe gaan geven dat jullie WEER gebrekkige technische kennis toonen en daarom met slordig lezen de plank finaal mis slaan. het probleem met onwetende mensen is dat ze nooit zelf weten wanneer ze fout zitten en afhankelijk van persoonlij karakter corrigeerd dat bij onomstotelijk bewijs, of de kop gaat in het zand en het welles-nietes-ik-geef-nooit-toe-want-dan-heb-ik-verloren-spelletje begint.

same old same old

@karma4,

Juist, ik heb er gelukkig zelf nooit zo ingestaan als sommige "fanboys pur sang". Mijn insteek is altijd: "Onderzoek alle dingen en behoudt wat de meest betrouwbare security biedt". SElinux deed veel, doet veel en belooft veel voor de toekomst als "Secure Enhanced linux".

Daarbij heeft de open source wereld zo veel voor op de (half en heel) gesloten software wereld, dat een krampachtige houding of een zich aangevallen voelen naar aanleiding van vrijwel van alles en nog wat, helemaal niet hoeft en nodig is vaak. Men kan immers alles in volle openheid zelf vaststellen. En dan nog, ik kom hier om ook nog eens wat op te steken van degenen, die ergens wat specifieker mee omgaan dan ik, want ik leer ook graag en liefst voortdurend. "Leare, kinne, begjinne", zegt het motto niet voor niks. Hoedt u echter voor overschatting, immer.

Ik heb o.a. veel geleerd van het stelselmatig openen van uri's met javascript code via een unpacker. Loopt de zaak langer af dan verwacht is dat een extra verdenking. Stuit ik op errors, gaat de reis naar stackoverflow en github, lees ik over dergelijke errors en zoek ik vervolgens naar beschreven exploits en bugs en bepaalde patronen, die ik herken, fuzzen kan ook vervolgens, of een DOM-XSS scan voor eventele sources & sinks.

Ik ben blij met de bug huntertjes die nu overal met toestemming ook bij de grote bedrijven hun bug-melding kunsten slijten. Ik doe zoiets niet, ik werk meer als een soort certified malware remover, in een internationale anti-malware platform omgeving en met de relevante capaciteit gericht op website security. Bijvoorbeeld sub-domeinen van domeinen, die BV:Miner-T[Trj] scripts verspreiden om maar eens een voorbeeldje te geven. Heel divers en erg leerzaam en ik acht het nuttig.

Ook heb ik sinkholing onderwezen gekregen van een van de eersten en besten in het veld, een Weense hacker-later entrepeneur, wij hebben een poging gedaan om sinkholing in gevallen, dat dit kon, te automatiseren. Bijvoorbeeld in een land als Polen heeft sinkholing van staatswege het aantal malware infecties aanmerkelijk weten te drukken. Maar zoals begrijpelijk kun je niets uitrichten in mainland China en zo.

Opvallend bijvoorbeeld is dat de scanner voor jQuery libraries hier: https://retire.insecurity.today/# onderhouden door de Noor Erlend Oftedal heel vaak meer af te voeren libraries vindt dan bij de op het gebruik van Snyk gebaseerde sonarwhal.

Vaak moeten we MS systemen laten samenspelen met linux of linux toepassen op Windows systemen, bij voorbeeld voor het gebruik van een dnscrypt-proxy. Dan is alle kennis die je van de (SE)linux adepten hier krijgt aangedragen mooi meegenomen en ook vaak urgent nodig. Laten we van elkaar leren en elkaar niet snel even onderuitschoffelen.

Ik weet het de "toppers in het veld" hebben vaak korte tenen, vooral als ze verveeld raken, waar we eerder de tepel of "trechter" der opbouwende kennis zouden verwachten en zeker nodig blijven hebben. Genieten van de hoorn des overvloeds dus. Nooit geweten, dat ik mijn eerste codeerpogingen op een stand-alone Atari in de jaren 90, die ik samen met een lid van Neerlands wapen ging kopen, mij uiteindelijk ook hierheen zou voeren.

Groet aan allen,

luntrus

Kijk anoniem, luntrus gelet aan dat we elkaar nodig hebben om tot een beter geheel te komen.
Met de lange tenen en het afgeven op anderen wat jij toont heb je het grootste gebrek aangetoond. Die wil is er niet en je bent enkel uit op je eigen gelijk. Toch wel een beetje triest dat je die ernstige tekortkoming op het gebied van synergie zo probeert te compenseren dat het anderen zijn die er niets van snappen.

Selinux en Cgroups zijn manieren van containerisatie voor informatieafscherming. Was dat gewoon vanaf het begin goed gedaan dan had je nooit vna shellshock gehoord en had je niet van zoveel datalekken gehoord.
Docker en anderen (voorheen vritualisatie) zijn de banale scriptjes op zoiets zonder uit te voeren. Selinux zelf modificeren wordt afgeraden wegens de complexiteit en ondoorzichtelijkheid voor gewone beheerders.
Als niveau voor blijft het dan bij yum / setup enter enter. Dat is ongeschoold lopende bandwerk, niet iets voor wat met een echte opleiding en echte toekomst.

die lange tenen die jij denk te ervaren komen steevast pas nadat je iemand weer voor linux nerd uitgemaakt hebt als reactie op kritiek op je eigen slordige lezen, onduidelijk posten en gebrekkige kennis.

ook hier weer; shellshock was geen issue met selinux:

https://blog.hqcodeshop.fi/archives/243-SElinux-and-Shellshock.html
https://danwalsh.livejournal.com/71122.html
https://cybermatters.info/2014/10/09/shellshock-selinux/

je hebt steevast een mening en duidelijk geen inhoudelijk technische kennis om die mening te onderbouwen. je kakelt maar wat af jij met wat techno-talk om indruk te maken. sneu.

Interresante ? Interessante ?

Snapt men na het volgen van deze draad nu, waarom zovelen tegenwoordig aan het "knippen en plakken" zijn geslagen met de diverse "Cheat Sheets" ernaast. Toch kom ik overal allerlei jQuery libraries tegen met nog grote aantallen bibliotheken, die direct dienen te worden afgevoerd. Let op: "Wat u eens heeft verkregen, zult u ook weer op tijd afvoeren" leert een IT jQuery- bibliotheek-gebod. Het is een algemene regel voor alle "security blink", het verroest en verspokt vaak sneller dan u het kunt oppoetsen.

Hee, een alertje op t,hanstrackr. com via een sub-domain php etc voor een BV:Miner-T[Trj] scriptje, hoe is het mogelijk.
Een zucht als het sub-domein al neergehaald blijkt.

Niet gezegd overigens, dat er bij de SElinux experts van deze draad ooit zulke foutjes insluipen of iets niet pre-defined is of eigenlijk binnen de gehele array moet worden genomen. Oordeel dus niet op voorhand, opdat gij niet geoordeeld worde.

luntrus

schoenmaker blijf bij je lees

vwb dat oordelen:

"Ik weet het de "toppers in het veld" hebben vaak korte tenen,"
"Was dat gewoon vanaf het begin goed gedaan dan had je nooit vna shellshock gehoord en had je niet van zoveel datalekken gehoord."
"Docker en anderen (voorheen vritualisatie) zijn de banale scriptjes op zoiets zonder uit te voeren."

Kijk ze maar na, 99% begint met een linux fan die zo nodig moet bashen al slaat het nergens op.
Als je daarop reageerdt heb je meteen de lange tenen geraakt.
Als je het over informatieveiligheid hebt en zeg dat linux fans ef een zooitje van make dan zitten ze boven op de kast.
Inhoudelijk komen ze niet eens mee. Dat toon je ook nu weer.
Je kakelt zelf een algemene mening na zonderde over ba te denken. Ooit van sofware ontwerp gehoord met Dijkstra?

Shellshock zou namelijk nauwelijks impact gehad hebben als selinux en cgroup conrainerisarie strict was ingezet. De root cause is nog ernstiger: een volledige Shell op parame0terdoorgave in user context switching is een ontwerpfaal van de eerste orde. Minimalisatie van onnodige functionaliteit is gemist.

Feit blijft dat met SElinux op "aan" Shellshock alleen werkt voor het gecompromitteerde proces, niet daarbuiten,
ergo daarna verder geen toegang heeft, noch naar het interne netwerk, noch naar de gebruikersdata.
Moeten toch sommige lieden gaan waarderen, dat SElinux instellen. ;)

Lees https://blog.hqcodeshop.fi/archives/243-SElinux-and-Shellshock.html & https://cybermatters.info/2014/10/09/shellshock-selinux/

De slimmigheid van SElinux uitgelegd hier: http://danwalsh.livejournal.com/71122.html &
http://danwalsh.livejournal.com/71396.html

Vreemd dat een link op dit volgende onderwerp niet thuis geeft:
"disrupting-the-disruptor-security-of-docker-containers" als onderwerp waar karma4 het over heeft.

luntrus

herhaling: je hebt steevast een mening en duidelijk geen inhoudelijk technische kennis om die mening te onderbouwen.

+1

De onderbouwing krijg je steevast mee.
Dat de evangelisten daar niet mee overweg kunnen is wat anders. Het toont het probleem van de geloofsverblinding.

Helaas tonen évangéliste zich van een nare kant door op de persoon te gaan spelen als ze het inhoudelijk niet aankunnen en daarbij grootste onzin verkondigen.

geef die onderbouwing voor stelling uit de post van 29-05-2018, 15:23 van je maar eens.hij wordt ontkracht door menig eerdre posts al o.a. van luntrus. je speelt het welles-nietes-ik-geef-nooit-toe-want-dan-heb-ik-verloren-spelletje. je bent erg voorspelbaar en zeer ongeloofwaardig. dus conclusie weer: je hebt steevast een mening en duidelijk geen inhoudelijk technische kennis om die mening te onderbouwen.

Het is eerder een gebrek aan meta-cognitieve perceptie, dat hier in de weg zit. De "dommerds" van heden met een overweldigende geborneerde eigendunk tegenover de mega-cognieve wetende met relevante kennis, die steeds maar aan zichzelf onterecht aan het twijfelen is.

Dat heeft niets met evangelisten van doen. Voorbeeld, want dat zegt meer dan duizend discussies. NoScript en uMatrix als oplossingen tegenover webschild blokkeringen van een av-boer als voorbeeld.

De NoScript script blokkering werkt voor alle gevallen, ook de mogelijke scriptbedreigingen uit de toekomst. Goed afgesteld beveiligt het altijd en onder alle omstandigheden. Het abonnement van de blokkeringslijst oplossingen loopt altijd hijgend achter de feiten aan, geeft FPs of is niet langer of eigenlijk nooit actueel genoeg. Toch hebben velen er meer vertrouwen in als in andere permanent werkende oplossingen (die ze niet aankunnen, zoals NoScript & SElinux dus bij voorbeeld) en laten ze zich op het verkeerde been zetten door FUD verkopers.

luntrus

Excuses voor de spelfout "mega cognieve"moet natuurlijk "meta cognitieve" zijn. Meta cognitief, een begrip binnen het zogeheten "dunning-kruger"-effect. Zie https://www.youtube.com/watch?v=mu-hp39e5zc mega-leuke video met john cleese.

Tevens: https://www.youtube.com/watch?v=Qao4BBYzorM voor een dieper op het effect ingaand verhaal (stoor je niet aan het zwaar Gaelic accent).

Neem me niet kwalijk voor het even "off-topic" bewegen, maar het verklaart heel veel over sommige bewegingen binnen deze draad (en andere topics). Zit je boven in het segment als "quick learner" dan leer je veel en snel via feedback, andersom onderin het segment weinig of met heel, heel veel en blijven zich te lang volledig overschatten, zich vasthouden aan vooroordelen en komen niet veel verder.

luntrus

Waar gaat het over ? Waarom is het ''interresant'' ?

Kijk deze pist maar na.
Ik heb mijn reactie over de link van TS met:
- AD (microsoft) als voorkeursmethodiek waargenomen door de genoemde Redhat vooraanstaande persoon.
Redhat is de werkgever / geldschieter van L.Torvald en verdient flink aan de vrije software. Interessant omdat zoiets als AD dier linux evangelisten vervloekt wordt.
Toen ik het eerder langere tijd terug hier vermelde was het meteen de lange tenen reactie.
- met luntrus is er vermeld dat met selinux actief Shellshock nooit zo in het nieuws geweest zou zijn. Ook daarvan de lange tenen reactie dat het niet zo zou zijn. Zelfs de analyse dat een volledige Shell op dat punt niet nodig is wordt genegeerd ( C functies bestaan met alternatieven) Daarmee blijft het dat evangelisten niet tegen een kritische visie kunnen.
Dat is jammer want daarmee blokkeert verbetering op informatieveiligheid

@karma4

Maar dan moet het argument van te repliceren veiligheid zoals bij NoScript & uMatrix tegenover niet te repliceren veiligheid boven momentane black- en whitelisting gebaseerde blokkeringsoplossingen jou toch aanspreken?

Het criterium moet dus liggen op onder welke omstandigheden security immer werkzaam is en preferent altijd werkzaam is of waar het soms kan werken en soms ook helemaal niet (zoals bij security door obscurity). Het moet een kwestie van weten zijn en niet geloven of als je niet wenst te geloven als dualistisch mens, dan noem je het gokken voor mijn part. In dat laatste geval, dat je moet gaan gokken, ben je wel gezakt voor je toets. Kijk tegen excessieve info proliferatie is niets bestand, dat is de hacker-kat op het digitale spek binden.

Voor op 3rd party gebaseerde verdachte scripts lijkt de balans dus ten voordele van een bepaalde oplossing snel gemaakt,
in andere gevallen ligt de zaak wat complexer. Hoe kan, als ik op af te voeren jQuery bibliotheken scan met gebruikmaking van de scan van Erlend Oftedal (retire.insecurity.today) meer af te voeren bibliotheken vinden, dan met een scan met behulp van Snyk op sonarwahl dot com bij voorbeeld.

In het onderhavige geval van SElinux vraag ik me dus af of de SElinux implementering niet net zo stringent werkt als een in te regelen scriptblokker als NoScript ten opzichte van andere blokkeringsoplossingen, waarbij je niet alle condities op voorhand onder controle kunt hebben.

Kan de SElinux adept mij daarvan overtuigen en langzaam rijpt dus dit inzicht of was ik er al van overtuigd, dan heeft deze zijn punt gemaakt en moet dat dan ook tot uitdrukking komen voor het actief beveiligen o.a. tegen Shellshock e.d.

Daar heb ik nog geen inhoudelijke reactie op vernomen? Bestaan deze twee wijzen van veiligheidsdenken - het zoeken naar een adhoc oplossing zonder uit te gaan van een permanent werkende tegenover de betere variant? Gelijkwaardig zijn de twee benaderingen geenszins, laten we dat vooral even goed over het voetlicht brengen hier, zodat daar geen twijfel over kan bestaan. Daarom was het concept van Giorgio Maone zo revolutionair in al de eenvoud ervan. Is SElinux dat ook?

luntrus

je post van 29-05-2018, 15:23 gaat over shellshock die een probleem is ook al wordt SELinux gebruikt. dat wordt door mij, en daarna herhaalt luntrus dat nog eens (alsof hij het zelf ineens gevondend heeft), met links en referenties ontkracht.

je reactie hierboven is weer een deflectie van dat punt en eindigd weer met de ongefundeerde stelling dat ik een evangelist ben. dat is totale onzin en als zodanig kan als kwetsend ervaren worden. heb een greintje fatsoen en laat dat eens.

ik herhaal dus:

je speelt het kinderlijke welles-nietes-ik-geef-nooit-toe-want-dan-heb-ik-verloren-spelletje. je bent erg voorspelbaar en zeer ongeloofwaardig.

@ anoniem van 8:34 heden,

Dan neem je mij hierbij tevens ook op de hak. Ik wist niet dat de term "evangelist" beledigend uitgelegd of opgevat moest worden. Ik ben al meer dan 14 jaar een trotse evangelist en zelfs hoger, niet van of voor M$ or SElinux, maar toch.

karma4 was al eerder aan het bestaan van SElinux herinnerd, ook in diverse andere draden hier op security dot nl, maar dat terzijde. Hij reageerde daarop met te zeggen, dat hij er mee bekend was.

Ikzelf ben tussen linux administratoren getrained voor NT4 & de kernel destijds, dus ik ken het linux wereldje uit de eerste hand. Ik ken dus de beperkingen van NT4 en opvolgers vanaf de start, weet wat o.a. de event viewer niet opmerkt en je met linux wel ziet.

Mijn expertise ligt echter geheel elders, namelijk bij website beveiliging, maar ik ben wel zo wijs om toe te geven, als uitgelegd wordt, wat precies de zeer beperkte impact van shellshock binnen een SElinux omgeving is & om dat ruiterlijk toe te geven en aan te nemen. Een man een man, een paard een paard, erezaak. Beter ten halve gedwaald dan geheel de weg kwijt. Het halve ei en de dop verhaal.

Als we nu toch bezig zijn over wat niet gezien wordt, kijk eens naar de JQuery bibliotheken op de website, waarop we nu bezig zijn. https://bugs.jquery.com/ticket/11290 gevonden voor Vergelijk: https://sonarwhal.com/scanner/332bcbec-0608-4613-9af7-22069013405d
x-content-type-options: 4 errors

disown-opener: 2 errors & idem for twitter

sri: 4 errors requested without integrity attribute for <script type="text/javascript" src="/js/jquery/jquery.securitynl.js?1375791299"></script>

no-vulnerable-javascript-libraries: 1 error
Query@1.7.2 has 2 known vulnerabilities (2 medium). See https://snyk.io/vuln/npm:jquery for more information.

Zie sources & sinks: http://www.domxssscanner.com/scan?url=https%3A%2F%2Fwww.security.nl%2Fjs%2Fjquery%2Fjquery.securitynl.js%3F1375791299

Nu ben ik dus inmiddels weer klaar for de kwalificatie "scan tijger".

Evangelist en scan tijger, je moet wel een dikke huid gaan krijgen hier.

luntrus

Kun jij toegeven dat met selinux shellshoch nooit die impact gehad zou hebben als het toen had? Gewoon omdat de meeste sites met apache en bash dat selinux niet op de machines actief hadden. Dat is wat ik beweer.

Daarnaast kun je met containerisatie in subprocessen nog verder aan de slag oa met aparte service processen en cgroups.
Het is voor mij nooit ander geweest terwijl ik aanhef dat het voor de os beheerders niet zo ver gaat. Het heet dan applicatief ofwel: niet mijn probleem zoek het zelf uit. Herken je dat echt niet?

Kun je toegeven dat wat de redhat persoon uit de link post: de waarneming dat AD de voorkeur werkwijze in de praktijk is.
Het staat er letterlijk nogal kinderachtig om dat niet te erkennen. Wat is je doel daarbij?

@ de beide opponenten of kemphanen,

Ik vind dit niet zo'n vriendelijke manier om met elkaar om te gaan. Het "scoren" gaat hier duidelijk boven gezamenlijke waarheidsvinding uit.

Of je leert van elkanders reacties en ieders feedback dient een doel, of je bent met een flame-war bezig van "mijn kung-fu is beter dan jouw kung-fu of zoiets".

luntrus

je post begon met:

"Kijk ze maar na, 99% begint met een linux fan die zo nodig moet bashen al slaat het nergens op.
Als je daarop reageerdt heb je meteen de lange tenen geraakt.
Als je het over informatieveiligheid hebt en zeg dat linux fans ef een zooitje van make dan zitten ze boven op de kast.
Inhoudelijk komen ze niet eens mee. Dat toon je ook nu weer.
Je kakelt zelf een algemene mening na zonderde over ba te denken. Ooit van sofware ontwerp gehoord met Dijkstra?"

ongefundeerd en daarmee op het randje van discriminatie (https://nl.wikipedia.org/wiki/Discriminatie), enigszins kwetsend en zeker weten hoogst onfatsoenlijk.

@karma

"Kun je toegeven dat wat de redhat persoon uit de link post: de waarneming dat AD de voorkeur werkwijze in de praktijk is."

dat is niet wat er in de originele text staat:

"... most of its customers use Active Directory (AD)."

de meeste van Red Hat klanten != de voorkeur werkwijze voor de rest van enterprise linux land zoals jij dat stelt (en zoals al eerder is opgevallen door iemand, je uit de context van de text haalt en met oogkleppen op in leest wat je als evangelist er in wilt lezen).

Er zijn plenty CentOS en SLES installs in de cloud die dus geen Red Hat klanten zijn en die dus buiten dit venn diagrammetje blijven dat je incorrect probeert te vormen. Daarnaast heb je nog een heleboel non enterprise distro installs a la debian en ubuntu en daar dor meneer Red Hat dus ook geen uitspraak over. Je kunt die conclusie die jij er in leest niet trekken op basis van wat in de orginele text staat en zelf kom je ook niet met meer referenties.

dus.. wel zelf zuiver blijven als je mensen afwimpelt die je wijzen op je onzorgvuldige (en onfatsoenlijke gedrag). anders verlies je je geloofwaardigheid nog meer!

Het was niet mijn post die zo begon. Dat was namelijk een reactie op een andere eerdere post.
Daarvoor zat zoals gewoonlijk een persoonlijke asnval naar mij toe. Ik post niet anoniem, reacties onder Anoniem zijn vaak moeilijk uit elkaar te houden zonder ondertekening.

Kijk evenaar de posts 27-05 13:11 en 29-05 10:47. Het ongefundeerde begint daar en komt vanuit een bepaalde hoek.
Niet eens op mij gericht dat kwam pas vol door toen ik daarop reageerde.
Die hoek leeft kennelijk van kwetsen en beledigen. Deel van hun cultuur. Zoals ik vaker beweer zoiets is niet opbouwend en helpt niet voor informatieveiligheid. Wat ga jij aan die cultuur doen?

en nu doe je het weer! ongefundeerd en daarmee op het randje van discriminatie (https://nl.wikipedia.org/wiki/Discriminatie), enigszins kwetsend en zeker weten hoogst onfatsoenlijk.

verder grijp je naar strohalmen:

de post 27-05 13:11

1) is reactie op luntrus en niet op karma en jij hoeft niet beledigend te reageren voor luntrus.
2) feitelijk juist omdat inderdaad het woordt selinux niet in de links terug te vinden is en luntrus inderdaad cgroups sandboxing verwisseld / vergist met SELinux

de post 29-05 10:47

ik verwijs je naar de post ervoor van 28-05-2018, 22:39. er is weer slordig gelezen, en door gebrekkige technische kennis wordt daarna door luntrus (die jij niet hoeft te verdedigen op een beledigende manier wat je wel doet waarop de post die je nu noemt een reactie op is) de verkeerde conclusie getrokken. hij trekt onterrecht de conclusie met die post dat firejail gebaseerd zou zijn op SELinux. had luntrus en jij een fatsoenlijke technische bagage gehad over hetgeen je jestellig uit spreekt, dan had je begrepen dat de gestelde stelling onzin was.

dus nogmaals, stop beledigend te reageren en borderline te discrimineren als er een post is waarin je gewezen wordt op je gebrekkige begrip, slordige lezen en het daardoor herhaaldelijk verkeerde conclusie te trekken. het zou je sieren en meer geloofwaardigheid geven als je eens ruiterlijk toe zou geven dan je weer eens de plank mis geslagen hebt en niet in het patroontje te vervalen door mensen dan zonder fundering te gaan beledigen of kwetsen en borderline te discimineren en in groepen te stoppen en kenmerken toe te bedelen die niet kloppen.

er is maar een uitweg voor je, of toegeven dat je de bocht gemist hebt, of weer afgaan als een gieter en-publiek en steeds minder geloofwaardiger te worden.

maak je keuze rationeel en zorgvuldig.

@ anoniem van 18:34

Conclusie: Firejail zou dus een simpeler alternatief voor SElinux of een VM met fedora en SElinux zijn?
Ik zou dan wel eens willen weten of een strikt afgeregeld SElinux altijd en in alle gevallen beter is.
Ik neem op basis van wat wordt aangegeven aan van wel.

We zitten nu eenmaal in deze discussie en laten we er dan allemaal zo optimaal mogelijk van profiteren,
dan krijgt het nog een positief eind en is ieder happy.

De toegevoegde bagage via deze "flitscursus" nemen we graag mee.
Men kan niet overal inzicht van hebben, anderen hebben dat ook niet.

Dit afgezien van mijn eigen ervaring, waar ik van pretendeer wel iets te weten,
namelijk het tragische verhaal van en de gevolgen van JavaScript, free JavaScript inbegrepen.

Men moet zich denk ik toch steeds gaan specialiseren.
Het hele complexe veld overzien is een beetje te veel hooi op de vork nemen,
alhoewel de "quick and dirty" kennis altijd meegenomen is,

Schijnt dat niemand karma4's technische kennis in twijfel trekt, wel dat hij ergens wel eens snel doorschiet.

luntrus

Ik maak de keuze rationeel en zorgvuldig. Je krijgt de ontwikkeling in de tijdsvolgorde in dit draadje Hoe het beledigen begint en je ontkend het.
Je zegt zelf dat je luntrus niet netjes beantwoorde en tevens dat daar niet op had mogen reageren omdat je het tegen luntrus had.
Ik heb het gewoonlijk over containerisarie als functie met een doel waarvoor zeer veel technieken bestaan.. Het geheel moet een gedegen informatieveiligheid opleveren.

Je hoeft op mij niet te reageren dat ik moet kappen met beledigend te reageren als ik er niet mee begin en me enkel verdedig.

Inhoudelijk mijn achtergrond:
Juist in het bi en Analytics (marketing) werkveld komen alle technieken langs. Elk tool kan wat oplossen maar heeft ook zijn beperkingen. Selinux heb ik op de machines die ik kreeg niet echt actief gezien. De veelheid aan processen van de software van leveranciers die moeten samenwerken met een vrijheid voor gebruikers maken dat te lastig. Cgroups op een beperkt niveau voor algemene middleware met shared generieke users weer wel maar dan is tevens geen scheiding meer mogelijk op gebruikers zelf. De mooiste en moderne tools waar veel.mogelijk is om het goed te doen maar wat dan niet gebeurt. Kun je meevoelen met die frustratie?

Verder
- Een vm zie ik als een techniek om de overdaad aan hardware nuttig te gebruiken of om sneller tussen identieke hardware te wisselen. Als er een tekort aan hardware voor de gevraagde verwerkingen is dan is een vm daarvoor niet de oplossing.
- met selinux kun je services processen zo isoleren dat ze niet buiten hun eigen gebied kunnen komen ook al draaien die root.
Het helpt niet voor multi tenancy vraagstukken binnen die processen. Daarvoor zou je met aparte service accounts en cgroups voor workloadbalancing aan de slag kunnen gaan.

Nu gaarne de firejaul positie.

Ik maak de keuze rationeel en zorgvuldig. Je krijgt de ontwikkeling in de tijdsvolgorde in dit draadje Hoe het beledigen begint en je ontkend het.
Je zegt zelf dat je luntrus niet netjes beantwoorde en tevens dat daar niet op had mogen reageren omdat je het tegen luntrus had.
Ik heb het gewoonlijk over containerisarie als functie met een doel waarvoor zeer veel technieken bestaan.. Het geheel moet een gedegen informatieveiligheid opleveren.

Je hoeft op mij niet te reageren dat ik moet kappen met beledigend te reageren als ik er niet mee begin en me enkel verdedig.

Inhoudelijk mijn achtergrond:
Juist in het bi en Analytics (marketing) werkveld komen alle technieken langs. Elk tool kan wat oplossen maar heeft ook zijn beperkingen. Selinux heb ik op de machines die ik kreeg niet echt actief gezien. De veelheid aan processen van de software van leveranciers die moeten samenwerken met een vrijheid voor gebruikers maken dat te lastig. Cgroups op een beperkt niveau voor algemene middleware met shared generieke users weer wel maar dan is tevens geen scheiding meer mogelijk op gebruikers zelf. De mooiste en moderne tools waar veel.mogelijk is om het goed te doen maar wat dan niet gebeurt. Kun je meevoelen met die frustratie?

Verder
- Een vm zie ik als een techniek om de overdaad aan hardware nuttig te gebruiken of om sneller tussen identieke hardware te wisselen. Als er een tekort aan hardware voor de gevraagde verwerkingen is dan is een vm daarvoor niet de oplossing.
- met selinux kun je services processen zo isoleren dat ze niet buiten hun eigen gebied kunnen komen ook al draaien die root.
Het helpt niet voor multi tenancy vraagstukken binnen die processen. Daarvoor zou je met aparte service accounts en cgroups voor workloadbalancing aan de slag kunnen gaan.

Nu gaarne de firejail positie.
Ik neem aan dat deze link goed genoeg is.
https://www.ostechnix.com/improve-linux-systems-security-using-firejail/
"To put this simply, Firejail is a SUID (Set owner User ID up on execution) program that reduces the risk of security breaches by restricting the running environment of untrusted applications." Ofwel elk functioneel proces zijn eigen rechten geven via een tool dat suid gebruikt (a la sudo).
Prima daar ben ik een voorstander van. Ik noem het gewoonlijk gescheiden service accounts (Server Based).

Dat wordt met bepaalde applicaties nog een uitdaging bijvoorbeeld webbased op server via java containers. Het is de jvm welke zich als applicatie voor de Webserver gedraagt.
Als er meerdere java applicaties door die jvm geserviced worden, dan moet je daarover nadenken.

Zit ik hier fout met firejail? Dan geef ik dat gaarne toe.

Lekker lui van de Topicstarter. Als je verlangt dat mensen een lik openen om een artikel te lezen dan is het normaal dat je een duidelijke titel verzint voor je topic en ook een kleine inleiding van een paar zinnen over waar het artikel over gaat en waarom je denkt dat het interessant is. Nu is het gewoon pure luiheid. Dus flikker maar lekker op met je link.

half. firejail is een tool waarmee je een enkel command of een shell in een sandbox kan starten. SELinux is een OS breede implementatie op basis van MAC en als zodanig kan die sandboxen en dat kan dan als gebruiker weer via een SELinux sandbox tool. je kunt je firefox bijvoorbeeld in een snadbox starten met de SELinux tool of met de firejail tool, maar het is SELinux die ook het gehele OS breed meteen van policies voorziet.


ik vind van wel dus. het is OS breed en doet aan MAC en kan ook nog eens aan role based access control doen en aan multi level role based access control.

basis uitleg: https://www.techotopia.com/index.php/Mandatory,_Discretionary,_Role_and_Rule_Based_Access_Control
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/mls

wel een leuk klein detail; MS windows heeft ook zoiets dat bell-la padula doet (https://en.wikipedia.org/wiki/Mandatory_Integrity_Control) maar typisch weer staan defaults zo dat alles leesbaar is ook al ga je over een security boundary:

https://msdn.microsoft.com/en-us/library/windows/desktop/bb648648(v=vs.85).aspx

"By default, the system creates every object with an access mask of SYSTEM_MANDATORY_LABEL_NO_WRITE_UP."

boot gemist weer, in mijn ogen.



klopt maar de manier waarin discussie met karma vaak verlopen zijn niet profesioneel of prettig en dat komt grotendeels door zijn houding aangezien hij vaak met veel mensen dit soort aanvaringen heeft. patroon: hij doet stelling kort door de bocht, repliek daarop waarin gebrek aan inzicht/kennis aangestipt wordt, en ineens is iedereen weer een linux nerd die het allemaal op hem gemunt hebben.


ik en vele doen dat inmiddels wel omdat het elke keer zo mis gaat met hem. die bal ligt in zijn veld om dat te veranderen door een andere houding aan te nemen en meer open te staan voor het concept dat hij niet altijd gelijk heeft en dingen begrepen heeft.

deel 1:

je kiest voor door-plassen. je gedrag patroon: stellingen nemen met gebrekkige kennis en in absolutheden, krijgt commentaar op die houding en bochten die je gemist hebt, en dan ga je die mensen in groepjes stopppen en eigenschappen toekennen. dat is borderline discriminerend. offensive en alles behalve volwassen. dat je dat doet zul je ook nooit gaan toegeven zoals je nu ook weer irrationeel en emotioneel kiest voor door-plassen. je bent je geloofwaardigheid kwijt!

deel 2:

het is je door meerdere al eens verteld dat jouw wereldje en referentie kader niet algemeen is en zeker niet als een absoluutheid toepasselijk is op de rest van de wereld. Neem nu bijv weer de eerste zin uit dit deel. Je stelt dat ALLE technieken de revu paseren in je MARKETING wereldje. joh, ik durf te wedden dat jij nog nooit een deeltjes versneller in het echt gezien hebt. een reductio ad absurdum om aan te tonen dat je absoluut gestelde stelling gewoonweg niet klopt. je gaat weer door de bocht, ik wijs je daar op en gaan we nu mij weer voor een linux adept / nerd uit maken en bordeline discimineren? of doe je eens volwassen en laat je het gaan, of geef je toe dat je formulering dus ongenuanceerd was per ongeluk en herformuleer je je stelling dan? waar kies je voor?


de firejail link is basis documentatie voor gebruikers en een eenvoudige quick+dirty how to om er mee te starten. de onderliggende technologie die laat je onbelicht. begin eens te lezen van deze links:

overzicht: https://en.wikipedia.org/wiki/Cgroups
enterprise implementatie: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/resource_management_guide/ch01
diepte in door een representatieve reeks links: https://lwn.net/Articles/236078/ https://www.kernel.org/doc/ols/2007/ols2007v2-pages-209-222.pdf https://github.com/torvalds/linux/blob/master/Documentation/cgroup-v2.txt

@ de linux deskundigen in deze draad, "Over firejail en jailbreak".

Ik heb gelukkig ook niet altijd gelijk, want wie ben ik en wie heeft dat binnen deze complexe INF-wereld?

Waar we het hier over hebben en als ik iets niet of niet voldoende weet/begrijp, luister ik stil en met gespitste oren naar degenen, die van de hoed en de rand weten of menen te weten. Daarna kan ik gelaafd en versterkt met relevante kennis voort.

Verder. Ivoren torentjes gebazel, ik werp het verre van mij. "Come down your high horse, meet and greet", het zij onze "mode of conduct."

Ik wilde wat dieper op firejail als " 5-sterren sanfbox oplossing" (5 sterren qua doeltreffendheid, gemak, betrouwbaarheid o.a.) ingaan, vanwege een speciale browser, die ik gebruik, namelijk bobby's malzilla, die ik draai in een speciale door mij via resource engineering uitgebreide configuratie en sandbox. De toepassing zegt dat ik met mijn versie een speciale vriend van bobby moet zijn, vanwege de eigen ingebrachte aanvullingen, waarvan akte.

Malzilla (zie: http://malzilla.sourceforge.net/ is een extra sandboxed browser (denk aan sandboxie) waar je o.o. redelijk veilig redirects van verschillende (potentieel) kwaadaardige websites kan onderzoeken op scripts e.d., die deze draaien. Ik weet wel dat dat uitsluiten op van het netwerk afgekoppelde machines moet gebeuren, maar voor de zaken dat ik dat doe is dat niet direct nodig, al is het dan geen preferred lab settings omgeving.

Lees de commentaren, aangaande de vraag hier gesteld via deze link
->: https://github.com/netblue30/firejail/issues/240

Mijn vraag is dus in welke gevallen ten aanzien van een bepaalde terminal een aanvaller in staat is "to drop the jail"?

Misschien heeft iemand daar nog aanvullende en relevante info over. Als je sommige zaken gaat "disabelen" werkt de toepassing niet meer, bij voorbeeld de browser start niet meer op. Dan moet je weer gaan blacklisten en whitelisten. En.. hoe zit het t.a.v. bepaalde "race conditions"?

Ik heb nog wat uurtjes in het week-end over om de zaak is goed via de gegeven links door te spitten. Dus mijn vrouw moet vrezen dat ik nog eventjes "voor het blauwe schermpje" zit, zoals zij dat opmerkt. Daarom ga ik nu eerst een paar uurtjes met haar wandelen om vogels te gaan fotograferen (haar hobby).

met vriendelijke groet en een glorieus weekend gewenst,

luntrus (3rd party cold reconnaissance website beveiligingsanalist en fouten-jager a.k.a. "de scan tijger").

Mijn mening is dat een os niet zaligmakend is voor informatieveiligheid. Die is van begin af zo geweest en ga ik niet veranderen om iemand te plezieren.
Die krijg ik met firejail Docker en anderen onderbouwd.
Dat de geloofwaardigheid van linux als het wondermiddel voor alles afbrokkelt is niet aan mij.
Dat jij dat je datpersoonlijk aantrekt dat ligt niet aan mij.
Het is wel typisch dat het zoals gewoonlijk op de persoon gespeeld moet worden als een mening niet bevalt.

De big data ai bi wereld is zeer breed wordt overal ingezet ook al is de manier waarop dat gebeurt niet goed. Mongo-db aws buckets en meer van shadow-it halen het nieuws met datalekken.

Overheid bedrijfsleven ngo's het begint mst excel loopt door in hadoop en appliances en dat noem jij een uitzondering?
Dan is een deeltjesversneller eerder een uitzondering, hoeveel worden er daarvan ingezet? Dan heb je het ook nog over zuiver technisch zonder persoonsgegevens en zo der financiële doelen.
Met dat er bij te halen herken ik een oude bekende met eerdere onenigheden. Het zou wel zo netjes te zijn dat aan te geven. Ik verberg me niet.

Met de techniek raak ik de hardware tuning dmz web java inormatiestromen met veel gevoelige data. Nee ik ben geen marketeer en heb ook niets met microsoft. Het gaat om inormatieveiligheid met big data persoonsgegevens profiling.

Ik voel met die deeltjesversneller opmerking oud zeer en een oude strijd. Zinvol? Niet echt. De deeltjesversneller wordt er niet anders van. De informatieveiligheid wordt ook niet beter.

Ik ben thuis in de techniek de onderliggende zaken tot in Kernels moeten nalopen. Dat soort links als jij nu post hen ik tijden terug al doorgewerkt.

Waar het wringt is de frictie in uitbesteding leveranciers interne auditing en interne arcitecten.. Hoe vaak heb ik gezegd dat containerisarie ten onder gast in "het moet snel het moet goedkoop". Dan is een verkoper die beweerd in de boardroom je hoeft niets zelf te doen want .... graag gehoord en als doodoener in de praktijk gebruikt.

Waar zijn we hier nu hier weer mee bezig? Persoonlijke opinies uitwisselen of werkelijk op weg naar "fact finding" of eerder een geloofsoorlog. Mijn professionele linux geloof is beter als jouw professionele Windows-geloof. Deus Vult, zoiets bijkans.

Op veiligheidsgebied is de linux gebruiker toch vanwege een meegebrachte professionaliteit vaak in het voordeel ten opzichte van een Microsoft gebruiker, of dat ook op "professioneel versus professioneel"gebied zo is, niet direct vast te stellen als ik zo eens het quasi gebekvecht beluister.

Helpt ook niet erg als de omgeving erg eenzijdig is vertegenwoordigd, zeker op de desktop, waar je maar acht (web)shops in Nederland hebt om een met linux en drivers pre-geïnstalleerd device te kopen (nee ik laat android etc. erbuiten) en dan vaak ook nog 200 euro te duur als elders, tik maar 700 ballen af voor een installatie met de juiste drivers.

Little old me bijvoorbeeld gebruik graag linux of vrije software oplossingen binnen een Windows omgeving. Hoe moest dat anders op lenovo 700/900 die linux niet ondersteunt? Libre office, eigen ingeklopte dhcp server etc. zijn daartoe persoonlijke inzetten. Ook linux virtueel draaien in een browser is leuk oefenen.

Het is bij de meeste handelaars ook een probleem als je van je Windows licentie af wil. Ik wil de feiten, ik wil de echte omvang zien, de echte veiligheid van oplossingen zonder opinie en zonder geloof. Niet gokken, weten graag.

luntrus

P.S. als een draad alleen maar gaat over het uitwisselen van opinies zou de moderatie beter zo'n draad op slot doen.

niemand die dat geloofd gezien je gebrekkige kennis in de posts hierboven; lees de links, leer, en kom daarna terug met inhoud en dan krijg je pas weer aandacht. tot die tijd ga ik je negeren als een klein kind en als je de bocht ui gaat krijg je een tik op je vingers.

overzicht: https://en.wikipedia.org/wiki/Cgroups
enterprise implementatie: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/resource_management_guide/ch01
diepte in door een representatieve reeks links: https://lwn.net/Articles/236078/ https://www.kernel.org/doc/ols/2007/ols2007v2-pages-209-222.pdf https://github.com/torvalds/linux/blob/master/Documentation/cgroup-v2.txt