Архив метки: Linux

Сделал блогпост и видяшку про мой опенсурсный проект Scanvus

Сделал блогпост и видяшку про мой опенсурсный проект Scanvus. Проекту уже год и я этой утилитой практически каждый день пользуюсь. Но вот только сейчас дошли руки нормально попиарить это дело.

Scanvus (Simple Credentialed Authenticated Network VUlnerability Scanner) это сканер уязвимостей для Linux. Задача у него получить список пакетов и версию Linux дистрибутива, сделать запрос к внешнему API для получения уязвимостей (в данный момент только Vulners Linux API поддерживается) и отобразить продетектированные уязвимости в репорте.

Scanvus может показать уязвимости для

- локалхоста
- удаленного хоста по SSH
- docker-образа
- файла c инвентаризацией

Такая простенькая утилита, которая сильно упрощает жизнь при аудитах линуксовой инфраструктуры. Ну и кроме того это проект в рамках которого я могу реализовывать свои идеи по сканированию на уязвимости.

В эпизоде разбираю содержание отчета, как поставить и настроить утилиту, режимы сканирования, ну и размышляю о том можно сделать Scanvus совсем бесплатным (сейчас это интерфейс к платному Vulners Linux API).

Video: https://youtu.be/GOQEqdNBSOY
Video2 (for Russia): https://vk.com/video-149273431_456239100
Blogpost: https://avleonov.com/2022/09/17/scanvus---my-open-source-vulnerability-scanner-for-linux-hosts-and-docker-images/
Github: https://github.com/leonov-av/scanvus

В полку Linux уязвимостей позволяющих поднять привилегии до root-а прибыло

В полку Linux уязвимостей позволяющих поднять привилегии до root-а прибыло. Встречаем DirtyCred (CVE-2021-4154 - февральская, есть PoC; CVE-2022-2588 - свежая, пока нет PoC-а). 8 лет уязвимость никто не замечал. Или замечали и использовали, но помалкивали. Естественно NVD как обычно тормозит и там нового идентификатора пока нет, но он во всю используется в бюллетенях безопасности.

Судя по описанию это уязвимость ядра, похожая на мартовскую Dirty Pipe (CVE-2022-0847), только круче, т.к. работает стабильнее:

"The novel exploitation method, according to the researchers, pushes the dirty pipe to the next level, making it more general as well as potent in a manner that could work on any version of the affected kernel."

И контейнеризация не спасает:

"Second, while it is like the dirty pipe that could bypass all the kernel protections, our exploitation method could even demonstrate the ability to escape the container actively that Dirty Pipe is not capable of."

Ну и так-то уязвимости позволяющие получить в Linux root-а появляются достаточно регулярно. Из громких можно ещё вспомнить Dirty Cow (CVE-2016-5195 - обалдеть 😱, 6 лет назад, помню как вчера как тестил) и Qualys-овские PwnKit (CVE-2021-4034) и Sequoia (CVE-2021-33909).

А что делать? Имхо, патчить. Лучше в рамках регулярного процесса, а не в пожарном режиме. Но если регулярного патчинга Linux-ов нет, то лучше разово обновиться, махая этой уязвимостью (или даже более старыми с публичными эксплоитами) как флагом. После разового упражнения будет видно какие есть проблемы с внедрением регулярного процесса, а где-то возможно получится его внедрить с наскока.

Ну или можно не патчить, обосновывая тем, что оно (вроде) не эксплуатабельно, а где эксплуатабельно, то там не критично или туда не доберутся. И из контейнера не выберутся. И вообще можно внедрить EDR на линуксах. И ещё можно попробовать мандатку настроить.

Но, имхо, оценка эксплуатабельности, харденинг и внедрение СЗИ для Linux-ов это конечно все замечательно, но основное это патчинг и прежде всего нужно разобраться именно с ним.

Вообще скверно у нас обстоят дела с awareness, если вчерашнее интервью Натальи Касперской выстреливает чуть ли не как федеральная новость

Вообще скверно у нас обстоят дела с awareness, если вчерашнее интервью Натальи Касперской выстреливает чуть ли не как федеральная новость. "Смартфоны в России могут быть заблокированы". Да неужели. Конечно могут! Странно предполагать, что если вы сами можете зайти на сайт Google или Apple, авторизоваться и заблочить свой потерянный/украденный смартфон/планшет, то вендор не сможет сделать то же самое по своему усмотрению и в любое время. Более того, если устройство стучится до каких-либо сервисов вендора (а оно стучится), это вполне может быть каналом скрытого управления и в т.ч. для блокировки. И с устройствами под Windows/MacOS та же история. Может только с Linux чуть получше, хотя относительно самых популярных и распространенных дистрибов я бы не стал утверждать с уверенностью. Даже до тех хостов, которые не в сети теоретически можно добраться через обновления и добавить зловредную функциональность с отложенной активацией а-ля олдскульный вирус «Чернобыль» (Virus.Win9x.CIH). Пади проверь, чего они там проносят в сотнях патчей каждый месяц. А уж сколько может быть закладок, через который можно будет проломить периметр организаций. Дух захватывает!

Короче, на случай серьезного кибер-конфликта, дело будет дрянь. Как минимум от краткосрочного эффекта мы все точно офигеем. То, что сейчас мы этого пока ещё не наблюдаем можно объяснить лишь тем, что эскалация не дошла до нужного уровня. Но то, что зарубежные недружественные вендоры, когда будет нужно, прогнутся и бахнут - вообще без вопросов. Поэтому обсуждение отечественных ОС, в том числе мобильных, или ОС дружественных стран конечно может восприниматься с некоторым скепсисом, но вообще это дело стратегически правильное и нужное, и респект тем, кто в разработке этих штук задействован.

Ну и само интервью кстати вполне годное. Хорошо сказано про сложность поиска закладок, про ограничения сертификации, про 30 лет всеобщего внедрения иностранного ПО, в т.ч. в образовании. А про смартфоны там буквально несколько слов в самом конце, с 14:46. 🙂

Продолжаю про новый китайский Linux дистрибутив openKylin

Продолжаю про новый китайский Linux дистрибутив openKylinПродолжаю про новый китайский Linux дистрибутив openKylinПродолжаю про новый китайский Linux дистрибутив openKylinПродолжаю про новый китайский Linux дистрибутив openKylinПродолжаю про новый китайский Linux дистрибутив openKylin

Продолжаю про новый китайский Linux дистрибутив openKylin. У них наконец-то заработал официальный сайт. И с этого официального сайта получилось скачать openKylin-0.7-x86_64.iso от 22 июля. Поставил вчера, немного поигрался.

Миленький такой десктопный дистрибутивчик. С китайским языком проблем нет. Нужно на стартовом экране выбрать вторую сверху опцию ("установка"), выбрать нужный язык и дальше все будет переведено. Для автоматической разбивки размер диска должены быть как минимум 50 Гб, иначе руками. При установке нельзя выбрать конфигурацию, десктопная конфигурация ставится полностью.

У openKylin 0.7 кодовое имя "yangtze" (где-то c g, где-то без g, "yantze") , видимо дальше тоже пойдут по рекам. 🙂 В качестве DE используется UKUI (форк MATE Desktop Environment), так же как в Ubuntu Kylin. Из необычного, в качестве офисного пакета ставится проприетарный WPS Office. Guest Additions для VirtualBox поставились без проблем.

В целом, вполне юзабельно. Жить можно. Насколько все это в итоге отличается Ubuntu Kylin сказать не берусь, но очень похоже на обычный deb-based дистрибутив. Упоминания Ubuntu и Debian из основных мест поубирали, но в конфигах они конечно встречаются. Версии пакетов отличаются от Ubuntu и Debian, поэтому возможно и сами собирают.

Небольшое обновление по китайским Linux дистрибам

Небольшое обновление по китайским Linux дистрибам. А конкретно по openKylin.

1. Официальный сайт https://www.openkylin.top/ (на который есть ссылка с точно-точно официального https://www.kylinos.cn/) не открывается уже 4 дня. В субботу точно открывался, а сейчас выдает "504 Gateway Time-out". Я сначала думал, что может это временный сбой. Потом, что наверное закрыли доступ с некитайских ip. Обидно, но бывает. Оказалось, что и китайские проверялки сайтов его тоже не видят. Похоже просто лежит. Возможно под DDoS-ом. Сайт коммерческого дистриба https://www.kylinos.cn/ то открывается, то нет. Сегодня утром открывался, сейчас "502 Bad Gateway" (и в Китае тоже).
2. В принципе как такового дистриба openKylin пока нет. Поглядел относительно свежий снапшот на Internet Archive от 15 июля. На странице для скачивания ссылка не активна. Пишут "openKylin операционная система с открытым исходным кодом. Следите за обновлениями. Время выпуска: уточняется." А то, что можно скачать это Ubuntu Kylin и его смотреть не интересно, Ubuntu как Ubuntu.

В общем ждем настоящий openKylin и восстановление работы сайта. Там кстати форум есть и насколько можно понять из автоматического перевода там посты либо скептические, либо про "дайте уже образ". 🙂 Все как у нас.

А как там в Китае с операционными системами?

А как там в Китае с операционными системами? Поискал, почитал. Буду отталкиваться от статьи в TheRegister, но вообще в англоязычном интернете инфы по теме маловато.

1. По данным Statcounter доля Windows на десктопах в Китае в июне 2022 составляет 85%. Это так себе источник конечно, с учётом закрытости китайского Интернета, но доминирование Windows очевидно. Китайские статьи такую же статистику показывают и даже похуже (искать можно по 中国操作系统统计). Во многом ещё потому, что они с 2017 года они внедряли специальную Windows 10 China Government Edition. 🤦🏻‍♂️ Занимательно, что есть большая доля EOL операционок: Windows 7 и даже Windows XP.
2. До недавнего времени попытки перейти на свои ОС выглядели так себе. Был rpm-based проект Red Flag Linux просуществовавший с 1999 по 2014. Был проект Kylin, который просуществовал с 2001 до 2009 на ядре FreeBSD, потом с 2010 до 2013-2015 развивался как NeoKylin на ядре Linux и в конечном итоге свелся к Ubuntu Kylin, который по договору поддерживали Canonical (такое себе замещение ОС получилось 🙂).
3. Но кажется в этом году под это дело дали денег и пошла более активная движуха.
3.1. Перезапустили Red Flag Linux. Теперь на основе openEuler. Что это такое? EulerOS это коммерческий дистрибутив от Huawei. А openEuler это их комьюнити-дистриб. Оба на основе CentOS, но с другим ядром и доработками. Плюс тут ещё накладываются какие-то потенциальные связи openEuler/EulerOS с Huawei openHarmony/HarmonyOS и все становится совсем запутано и загадочно. "Huawei's OpenEuler and HarmonyOS (OpenHarmony) currently share kernel technology. Huawei plans to unify additional components between both OSes."
3.2. Откопали Kylin и запустили проект openKylin. openKylin определяют как "the root community of desktop operating system". В это комьюнити сразу вошли штук 20 компаний. В некоторых статьях пишут, что это будет "Linux Root Distribution", т.е. он не будет основан ни на каких других дистрибутивах, только напрямую на ядре Linux. Прямого подтверждения этого я не увидел, а в википедии на китайском наоборот пишут, что дистриб на основе Ubuntu, но будем посмотреть.
3.3. Есть ещё некоторая суета вокруг дистриба Tongxin UOS, который основывается на дистрибе deepin (поддерживается Ухань-Дипин-Технология), который уже в свою очередь основывается на Debian. Тут я чего-то особенно интересного не увидел, но где-то пишут, что Tongxin UOS тоже может стать "Linux Root Distribution". Ещё и приложеньки из HarmonyOS сможет запускать.
3.4. Есть ещё какой-то совсем загадочный дистриб Zhongke Fangde. Для которого даже официальный сайт не гуглится и статьи на википедии нет. Но пишут, что прям из топ 3.

Некоторые статьи пишут, что в Китае можно насчитать как минимум 15 "отечественных ОС" (что-то напоминает), но в англоязычном интернете о них практически не слышно. В целом, пока не увидел чего-то, что было бы интересно поковырять, тем более использовать на практике. Надеюсь на новости от openKylin, пока эта штука выглядит наиболее перспективно. Если конечно это действительно будет "Linux Root Distribution", а не очередная Ubuntu с нескучными обоями.