| Ilfreddo | Ciao c'è nessuno?ho bisogno di aiuto per Ubuntu su PC fisso | 10:52 |
|---|---|---|
| Ilfreddo | C'è nessuno? | 11:02 |
| lx | salve, sono uno studente di sicurezza e con il professore stiamo facendo esempi su ubuntu, vorrei sapere se c è qualcuno che può rispondere a qualche domanda riguardo il SUID | 13:50 |
| kiokoman | fai le domande se qualcuno sa risponderà | 13:50 |
| lx | abbiamo visto un esmpio di escalation base che funziona su ubuntu 16 e non nelle successive, premetto che siamo agli inizi ma vorrei tracciare e capire come è stato patchato il problema. cosa è stato cambiato per far sì che il bit S non abbia questo comportamento? | 13:52 |
| lx | non abbiamo ancora parlato delle policies, non so se qualcosa integrato in selinux o altro che adesso è utilizzato, oppure era un problema nella shell. ho visto che anche nel kernel ci sono riferimenti ma non saprei dire nè cercare con esattezza dove queste cose sono gestite | 13:56 |
| [Enrico] | lx: i binari SUID sono gestiti dal kernel. SELinux non è in uso su Ubuntu. Ubuntu usa AppArmor di default | 14:20 |
| lx | si, nel frattempo sto vedendo e facendo prove | 14:21 |
| lx | ho disabilitato apparmor e ancora non funziona, ora sto vedendo il kernel | 14:21 |
| lx | c è una syscall chiamata setuid, quindi suppongo che sia lì il punto | 14:22 |
| [Enrico] | lx: no | 14:22 |
| [Enrico] | lx: un binario con bit S settato semplicemente parte con un utente diverso di default. Diciamo che to hail binario foo, e il suo owner è pippo. Se tu sei l'utente pluto e lanci il binario foo (suppoinendo tu abbia i permessi per farlo) il processo foo viene lanciato con utente pippo, non pluto | 14:23 |
| [Enrico] | tuttavia questo funziona solo se il file system su cui foo risiede è montato *senza* l'opzione nosuid (che ovviamente disabilita questo comportamento) | 14:24 |
| [Enrico] | lx: quindi quando fai il tuo test devi assicurarti di essere in una cartella su un file system dove SUID sia abilitato | 14:24 |
| lx | noi usiamo tmp | 14:24 |
| [Enrico] | lx: che nelle versioni recenti è nosuid :) | 14:25 |
| lx | nell fstab non ho visto nosuid | 14:25 |
| [Enrico] | lx: è un default. Controlla in /proc/mounts | 14:25 |
| lx | tmp sarebbe tmpfs? | 14:26 |
| [Enrico] | comunemente, ma non necessariamente | 14:26 |
| lx | la partizione principale però non ha nosuid, se non è messo in altre parti. vuol dire che è vulnerabile? | 14:27 |
| [Enrico] | lx: una partizione non è considerata vulnerabile se permette il SUID | 14:29 |
| [Enrico] | è una cosa perfettamente normale avere il SUID | 14:29 |
| [Enrico] | senza il SUID sudo non funziona | 14:29 |
| lx | ma se è rischioso, non dovrebbe essere abilitato solo in alcuni punti ben definiti? così da non permettere attacchi? | 14:29 |
| [Enrico] | lx: si è giusto non abilitarlo per tutte le partizioni. infatti per le chiavfette USB è disabilitato di default tipicamente (e si dovrebbe anche aggiungere noexec imho). Tuttavia per / va abilitato, per questo normalmente si mettono /tmp, /var/tmp /home eccetera in altre partizioni | 14:31 |
| lx | ah, ora capisco il senso della home separata, pensavo fosse per abitudini vecchie xD | 14:32 |
| [Enrico] | lx: la protezione in / ce l'hai con DAC e MAC (se usi SELinux o AppArmor). Un utente normale non può fare il chown di un file, quindi non può fare privilege escalation | 14:32 |
| [Enrico] | lx: avere la /home separata è in generale una buona idea | 14:32 |
| [Enrico] | lx: solo root può fare il chown di un file, quindi basta evitare che file scritti nel sistema vengano scritti con owner root e SUID, a meno che non siano fidati (come i pacchetti Ubuntu per esempio) | 14:33 |
| lx | posso chiederti cosa succede al binario con suid quando lo avvio sotto nosuid? ignora il bit e va in errore oppure continua se può funzionare senza permessi? non ho fatto DAC e MAC. root fa chown ma tutti fanno chmod che e quindi possono mettere suid | 14:35 |
| lx | io non penso solo a root, root è un possibile obiettivo, ma se l utente ha ciò che voglio a me basta scalare sull'utente interessato e quindi avere comunque un privilegio in più rispetto al mio bloccato | 14:38 |
| [Enrico] | lx: tutti fanno chmod si, ma solo su file di cui sono owner. Se non sei l'owner non puoi fare chmod. Se non sei root, non puoi aggiungere il SUID a un binario di cui l'owner è root | 14:41 |
| [Enrico] | lx: e lo stesso vale per un qualunque altro utente | 14:41 |
| [Enrico] | lx: il DAC lo hai fatto di sicuro. I permessi UNIX sono DAC | 14:42 |
| lx | i permessi si, ma non ho mai sentito la parola DAC dal prof | 14:42 |
| [Enrico] | lx: Discretionary Access Control | 14:42 |
| [Enrico] | lx: comunque sia se tu sei l'utente pippi e vuoi scalare a utente pluto non puoi ne fare il chown di un programma con SUID a pluto e non puoi fare il chmod di un programma non SUID di cui l'owner è pluto. L'unico modo per attaccare è convincere l'utente pluto a scaricare un programma ostile. Che sia SUID o no, poco importa a quel punto | 14:44 |
| [Enrico] | ora devo uscire, mi riconnetto dopo | 14:46 |
| lx | si intendevo che lui avvia qualcosa, altrimenti non si pone il problema perchè dovresti avere un exploit nel sistema che fa leva su qualcosa indipendente. Ti ringrazio delle risposte :) | 14:46 |
| [Enrico] | lx: si beh se l'utente avvia qualcosa è fregato, anche se non è SUID. Tuttavia se hai /tmp e /home con noexec per l'utente diventa difficile riuscire a fare questa cosa | 14:47 |
| [Enrico] | o/ | 14:47 |
| SAX | ? | 15:21 |
| === cecchini is now known as Guest43940 | ||
| Ilfreddo | Ciao a tutti c'è nessuno?ho un problema con la configurazione del WiFi di Ubuntu sul mio fisso | 16:45 |
| Ilfreddo | ... | 16:46 |
| Danyjoker | Salve, ho installato su un vecchio portatile ubuntu 10.04 (asus k53u). Installazione avvenuta con successo però già al riavvio si blocca sulla schermata viola con scritto ue lacontinuamente delle scritte in dos e il pc non parte. E' l'unico sistema operativo installato sul pc | 17:02 |
| Mr_Pan | Danyjoker> avevi fatto la prova con la live prima di installare ? | 17:03 |
| Danyjoker | Su ubuntu 10.04 non ha la live | 17:03 |
| Danyjoker | almeno non l'iso che ho scaricato | 17:03 |
| Mr_Pan | 10.04 ... ? ? | 17:03 |
| Mr_Pan | Danyjoker> ế leggermente fuori supporto direi | 17:04 |
| Danyjoker | si perchè ho letto su un forum che era la versione adatta al mio notebook | 17:04 |
| Danyjoker | la 19 ho provato ma non parte nemmeno la live | 17:04 |
| Mr_Pan | Danyjoker> ammesso che parta non avrai aggiornamenti di nessun tipo ... che te fai | 17:04 |
| Mr_Pan | Danyjoker> certo che ha la live la 19.04 | 17:04 |
| Mr_Pan | Danyjoker> intanto processore e ram di questo portatile ? | 17:04 |
| Danyjoker | lubuntu 19 nemmeno parte l'installazione, fa il solito problema ma sulla prima scritta di avvio | 17:05 |
| Danyjoker | la 19 infatti ho provato la live ma non funziona | 17:05 |
| Danyjoker | il notebook ha 4 gb di ram ssd da 120gb e processore amd c-50 dual core da 1ghz | 17:06 |
| Mr_Pan | Danyjoker> ok ram ci sei pure ma il processore veramente scarso | 17:07 |
| Danyjoker | scheda video amd radeon hd 6250 | 17:07 |
| Danyjoker | eh lo so | 17:07 |
| Mr_Pan | li puoi fare girare giusto lubuntu | 17:07 |
| Danyjoker | per quello optavo per un ubuntu datato o lubuntu | 17:07 |
| Mr_Pan | scarica la iso decidi tu se lts o no | 17:07 |
| Mr_Pan | e fai il test con la live prima di installare | 17:07 |
| Danyjoker | lubuntu 19 si blocca subito dopo aver scelto la provare la live | 17:08 |
| Danyjoker | di* | 17:08 |
| Mr_Pan | si ok magari all avvio devi selezionare una delle opzioni che sdi trovano ssotto F6 tipo nomodeset noacpi ecc | 17:08 |
| Mr_Pan | prova a selezionare nomodeset e vedi se si avvia | 17:08 |
| Danyjoker | ok provo subito | 17:09 |
| Danyjoker | avevo già fatto il dvd | 17:10 |
| Mr_Pan | Danyjoker> si ma di che versione ? | 17:12 |
| Mr_Pan | ddvd ? ma non é meglio una usb ? | 17:13 |
| Danyjoker | ho fatto il dvd perchè da usb mi fa il solito problema | 17:14 |
| Danyjoker | e ho provato con quello | 17:15 |
| Danyjoker | faccio partire la live ma dopo la scritta sullo sfondo blu viene un schermata nera e in alto a sinistra lampeggia la linguetta e li si blocca | 17:19 |
| lx | ma non è meglio debian vanilla per quel portatile? la famiglia ubuntu usa troppe risorce per pc datati e te ne rimangono poche per te | 17:49 |
| lx | oppure un altra cosa completamente ancora più leggera | 17:50 |
| Danyjoker | del tipo? | 17:58 |
| Mr_Pan | Danyjoker> hai letto cosa ho scritto sopra ? devi premere F6 allàvvio e selezionare nomodeset ... | 18:03 |
| Danyjoker | Ho letto e fatto ma fa così ugualmente | 18:04 |
| lx | manjaro, elementaryOS, deepin, queste sono tutte user-friendly, puoi togliere un paio di cose pre-installate che non usi e sono abbastanza leggere e soprattutto aggiornate | 18:06 |
| lx | l'unico problema che puoi avere è che i driver catalyst non ci sono per nessuna distro recente a meno di fare patch, downgrade di pacchetti ecc.., io non ho mai provato i driver open, ma dicono che adesso per le schede vecchie come la tua sono al pari degli amd, forse giusto poco meno ma non dovresti risentirne | 18:08 |
| Danyjoker | mi serve solo per far visualizzare powerpoint,pdf e video | 18:09 |
| Mr_Pan | lx> questo é il canale di supporto ufficiale per ubuntu e derivate | 18:11 |
| Mr_Pan | quelle citate non rientrano nella categoria derivate ufficiali | 18:12 |
| Mr_Pan | ti invito ad andare su | 18:12 |
| Mr_Pan | !chat | 18:12 |
| ubot-it | per qualsiasi argomento non inerente strettamente il supporto a ubuntu, /join #ubuntu-it-chat | 18:12 |
| lx | ah, ok, scusami | 18:12 |
| robilive | Sera | 19:10 |
| robilive | Ho un problema con i driver video credo, dopo il login mi appare lo sfondo del desktop e nulla più. Avevo provato ad installare dei driver proprietari amd e non aveva mai finito la procedura con successo, pensavo non fosse cambiato nulla invece dopo aver riavviato ho avuto la sorpresa... | 19:12 |
| vitodoc | robilive: la cosa più semplice che puoi fare è avviare con un kernel precedente | 19:14 |
| robilive | vitodoc lo farei volentieri, solo che dopo un decennio che non usavo un pc non ricordo come si faccia. Grub non compare all'inizio, non ho la gui e da riga di comando non ho memoria... | 19:16 |
| vitodoc | appena accendi il pc premi il tasto esc o lo shift per visualizzare il grub. Da li segli recovery e seleziona un kernel precedente | 19:19 |
| robilivetest | Provo! | 19:21 |
| robilivetest | vitodoc allora, recovery non lo avevo. Tra le impostazioni avanzate comunque c'era un altro kernel ma non è cambiato nulla | 19:25 |
| robilive | Ci mancava la connessione ballerina... | 19:28 |
| robilive | Niente, sempre sfondo desktop | 19:31 |
| Robilivetest | Non c'è modo da live di riconfigurare? | 19:33 |
| Robilivetest | Uhm, è come se non partisse X... | 19:34 |
| robilivetest | Qualche idea/guida per risolvere con la scheda video amd? Non capisco dove sia il problema... | 20:12 |
| Carlin0 | qual'è il problema ? | 20:13 |
| robilivetest | Carlin0, ho un notebook da poco. Non aveva molte opzioni di regolazione video ed ho pensato di installare l'ultimo driver amd (e non è andato a buon fine). Al riavvio mi loggo ma ho solo lo sfondo del desktop. | 20:14 |
| Carlin0 | hai installato driver presi fuori dai repo ? | 20:15 |
| robilivetest | Carlin0 dal sito amd mi sa, stavano su una guida per ubuntu (19.04 o 18.10, non ricordo) | 20:16 |
| Carlin0 | non diamo supporto per roba fuori dai repo , cmq per la cronaca le ati/amd vanno tranquilllamente con i driver open | 20:17 |
| robilivetest | Perfetto, mi sapresti dire come reinstallare quelli open? Considera che non riesco neanche a trovarla sta scheda online (radeon r2) | 20:20 |
| Carlin0 | non so come e cosa hai installato .. | 20:21 |
| robilivetest | Ho controllato, mo sa che ho fatto una minchiata... Il nome dovrebbe essere amdgpu-pro e credo di capire che sta scheda non sia tanto pro :') | 20:24 |
| robilivetest | Ho provato a disinstallarli ma da errori di dipendenze. Consigli un apt --fix-broken che non va a buon fine. | 20:27 |
| Carlin0 | ma era un deb o cosa ? | 20:27 |
| robilivetest | */consiglia | 20:27 |
| robilivetest | Tar | 20:27 |
| Carlin0 | bonanotte | 20:27 |
| robilivetest | :'D | 20:28 |
| robilivetest | Non ho modo da live di sovrascrivere? | 20:29 |
| Carlin0 | puoi contrllare se oltre al ./install ci sia anche l'./unistall manon tutti lo hanno | 20:29 |
| Carlin0 | robilivetest, piuttosto di sovrascrivere ... aspè... | 20:30 |
| robilivetest | Aspetto. | 20:30 |
| robilivetest | No, uninstall non ce ne sono, però c'è il comando amd-pro-uninstall che non va a segno | 20:31 |
| Carlin0 | fai un lavoro pulito https://pastebin.com/raw/WBEGB61b | 20:31 |
| robilivetest | Uhm, sto scrivendo dal telefono ed il pc pc ha solo terminale. Ho modo di pastebinnare comunque? | 20:33 |
| robilivetest | Ah, certo, hai scritto tu... Volo. | 20:33 |
| Carlin0 | se il pc è in rete aggiungi al comando | nc termbin.com 9999 | 20:34 |
| robilivetest | A quale comando? Al get selection? | 20:35 |
| Carlin0 | al posto di dpkg --get-selections > my-packages | 20:36 |
| Carlin0 | dpkg --get-selections | nc termibn.com 9999 | 20:36 |
| Carlin0 | ops scusa | 20:36 |
| Carlin0 | dpkg --get-selections | nc termbin.com 9999 | 20:36 |
| Carlin0 | poi ti segni il link e dopo lo recuperi | 20:37 |
| robilivetest | Ok, ma non ho capito cosa fare dopo aver "salvato" i pacchetti... Formatto? | 20:39 |
| robilivetest | Ma cose da pazzi, ho inserito una pendrive e me l'ha aperta sulla gui, però continuo a non avere pannelli con menu nè icone sul desktop. È strano... | 20:48 |
| robilivetest | Ok, stacco, grazie di tutto, spero di risolvere in qualche modo. Notte. | 20:52 |
Generated by irclog2html.py 2.7 by Marius Gedminas - find it at mg.pov.lt!