Eu configurei um ambiente chroot (Ubuntu Jammy). Preciso executar o nmclicomando para alguns propósitos. nmclidepende NetworkManager.service, mas o serviço systemd não é permitido no ambiente chroot.
Como disponibilizar nmclicomandos no chroot?
doasé um sudocomando semelhante a - recentemente empacotado no Debian 12, Ubuntu Jammy (universe) e algumas outras distros Linux.
Um usuário não sudoers ( doasuser) pode ser adicionado para /etc/doas.confobter acesso root. Instruções detalhadas no Debian Wiki .
Problema:
O doasusernão é membro de nenhum grupo. Se você conceder acesso root a doasuser, essas informações não serão sincronizadas com sudo(visto como usuário sem privilégios). doasvem apenas com um programa binário, um arquivo de configuração PAM e arquivos /etc/doas.conf.
Além de /etc/doas.conf, um superusuário não consegue encontrar as permissões do doasuser.
Existe alguma linha de comando para verificar as permissões de doasuser?
O projeto Debian incluiu um novo componente de repositório non-free-firmwareno bookworm Debian.
É o mesmo que o non-freerepositório?
Preciso ativar o novo componente junto com o antigo non-freeno meu sources.list?
Durante apt upgrade, apttente baixar de 3 a 4 pacotes de uma vez, aqui está um exemplo:
71% [133 openjdk-11-jre-headless 4,353 kB/37.3 MB 12%] [74 linux-firmware 55.8 MB/125 MB 45%] [137 linux-modules-extra-5.4.0-107-generic 22.9 MB/39.4 MB 58%]
Existe uma maneira aptde baixar a lista de pacotes atualizáveis um por um?
Ao verificar a dkmsdependência do pacote, notei que aptpode recomendar a instalação de alguns pacotes que não são empacotados pelo Debian. No exemplo a seguir, existem esses dois pacotes. É claro que aptirá ignorá-los durante a instalação:
rec: linux-headers-686-pae Header files for Linux 686-pae configuration (meta-package) or linux-headers-amd64 Header files for Linux amd64 configuration (meta-package) or linux-headers-generic Package not available or linux-headers Package not available
Por que alguns pacotes Debian declaram dependências indisponíveis em seus arquivos de controle ( Recommendscampo)?
O iwdé o daemon sem fio promissor para linux lançado pela Intel e o sucessor do wpasupplicant. O desenvolvimento do iwd ainda está em andamento , mas está empacotado em algumas distribuições linux Gentoo, Arch-linux, Ubuntu (Cosmic) e Debian ( Buster e Sid)...
A configuração da rede e da conexão é possível através do modo interativo usando iwctl, o comando help exibirá a lista de comandos disponíveis (sem manpage ).
Sem usar o modo interativo:
iwctl?
Código malicioso foi encontrado e excluído posteriormente de 3 pacotes AUR acroreade blaz( minergatepor exemplo: acroread PKGBUILD detail ). Ele foi encontrado em um commit lançado por um usuário malicioso, alterando o proprietário do pacote AUR órfão e incluindo um curlcomando malicioso.
O curlcomando baixará o script bash principal xe depois o segundo script u( u.sh) para criar um serviço systemd e usar uma função para coletar alguns dados do sistema (dados não confidenciais), mas os scripts podem ser modificados pelo invasor para serem carregados sequencialmente.
Na prática nem todos os usuários têm a capacidade de verificar o PKGBUILD antes de construir qualquer pacote em seus sistemas por alguns motivos (requer algum conhecimento, leva mais tempo etc...). Para entender como funciona, baixei e carreguei os 2 scripts bash nesta página do pastbin .
Qual é a maneira mais fácil de verificar se há código malicioso em um pacote AUR?
segurança nua: Outra comunidade Linux com problemas de malware
Pacotes de software malicioso encontrados no repositório de usuários do Arch Linux
Pesquisadores de segurança publicaram no Project Zero uma nova vulnerabilidade chamada Specter and Meltdown permitindo que um programa roube informações da memória de outros programas. Afeta as arquiteturas Intel, AMD e ARM.
Essa falha pode ser explorada remotamente visitando um site JavaScript. Detalhes técnicos podem ser encontrados no site da redhat , equipe de segurança do Ubuntu .
Vazamento de informações por meio de ataques de canal lateral de execução especulativa (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754, também conhecido como Spectre e Meltdown)
Foi descoberto que uma nova classe de ataques de canal lateral afeta a maioria dos processadores, incluindo processadores da Intel, AMD e ARM. O ataque permite que processos maliciosos do espaço do usuário leiam a memória do kernel e códigos maliciosos nos convidados leiam a memória do hipervisor. Para resolver o problema, serão necessárias atualizações no kernel do Ubuntu e no microcódigo do processador. Essas atualizações serão anunciadas em futuros Avisos de Segurança do Ubuntu assim que estiverem disponíveis.
Implementação de exemplo em JavaScript
Como prova de conceito, foi escrito um código JavaScript que, ao ser executado no navegador Google Chrome, permite que o JavaScript leia a memória privada do processo em que é executado.
Meu sistema parece ser afetado pela vulnerabilidade do espectro. Eu compilei e executei esta prova de conceito ( spectre.c).
Informação do sistema:
$ uname -a
4.13.0-0.bpo.1-amd64 #1 SMP Debian 4.13.13-1~bpo9+1 (2017-11-22) x86_64 GNU/Linux
$ cat /proc/cpuinfo
model name : Intel(R) Core(TM) i3-3217U CPU @ 1.80GHz
$gcc --version
gcc (Debian 6.3.0-18) 6.3.0 20170516
Como mitigar as vulnerabilidades Spectre e Meldown em sistemas Linux?
Leitura adicional: Usando o Meltdown para roubar senhas em tempo real .
Atualizar
Usando o Spectre & Meltdown Checkerdepois de mudar para a 4.9.0-5versão do kernel seguindo a resposta de @Carlos Pasqualini porque uma atualização de segurança está disponível para mitigar o cve-2017-5754 no debian Stretch:
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel: NO (only 31 opcodes found, should be >= 70)
> STATUS: VULNERABLE (heuristic to be improved when official patches become available)
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Hardware (CPU microcode) support for mitigation: NO
* Kernel support for IBRS: NO
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* Mitigation 2
* Kernel compiled with retpoline option: NO
* Kernel compiled with a retpoline-aware compiler: NO
> STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
> STATUS: NOT VULNERABLE (PTI mitigates the vulnerability)
Atualização 25 de janeiro de 2018
O spectre-meltdown-checkerscript é empacotado oficialmente pelo debian , está disponível para Debian Stretch através do repositório de backports , Buster e Sid.
Speculative Store Bypass (SSB) – também conhecido como Variante 4
Sistemas com microprocessadores que utilizam execução especulativa e execução especulativa de leituras de memória antes que os endereços de todas as gravações de memória anteriores sejam conhecidos podem permitir a divulgação não autorizada de informações a um invasor com acesso de usuário local por meio de uma análise de canal lateral.
Rogue System Register Read (RSRE) – também conhecido como Variante 3a
Sistemas com microprocessadores que utilizam execução especulativa e que realizam leituras especulativas de registros do sistema podem permitir a divulgação não autorizada de parâmetros do sistema a um invasor com acesso de usuário local por meio de uma análise de canal lateral.
Editar 27 de julho de 2018
NetSpectre: Ler memória arbitrária pela rede
Neste artigo, apresentamos o NetSpectre, um novo ataque baseado na variante Spectre 1, que não requer código controlado pelo invasor no dispositivo alvo, afetando assim bilhões de dispositivos. Semelhante a um ataque Spectre local, nosso ataque remoto requer a presença de um gadget Spectre no código do alvo. Mostramos que os sistemas que contêm os dispositivos Spectre necessários em uma interface de rede ou API exposta podem ser atacados com nosso ataque Spectre remoto genérico, permitindo a leitura de memória arbitrária na rede. O invasor apenas envia uma série de solicitações elaboradas para a vítima e mede o tempo de resposta para vazar um valor secreto da memória da vítima.