• Linux Красноглазики TIL Сегодня я узнал, что в неприязнь к "иксам на сервере" красноглазики подразумевают не только наличие там X11-сервера, но и X11-клиента!
    После дискуссии с первым, на всякий случай опросил второго — оба два боятся libX11 как огня! Типа "я точно не знаю, но какиры ведь как-то могут получить из воздуха root-права, я слышал libX11 дырявая, значит волшебным образом через нее можно получить права даже без X11-сервера!". Как мне убедить этих двух в обратном?
    ♡ recommended by @oxpa, @juick

Replies (51)

  • @vt, один из двух — я.
    зачем иксовый клиент на сервере мне тоже не объяснили.
  • @vt, Смотрите‐ка, Профессор Кислых Щей не умеет объяснять материал своим студентам.
    Иди на пенсию, старое насекомое.
  • @vt, иксы на сервере точно не нужны! в 21м веке А еще непонятно, зачем в конфиге sshd разрешать вход руту — это ж тааакая дырища!!!
  • @ermine, permitrootlogin withoutpassword — более-менее ОК. один фиг, любой локальный аккаунт — дырень.
  • @oxpa, у нас на сервере нет даже sudo, надо всякий раз набирать пароль рута :) ибо sudo — это дыраааа
  • @vt, Икс-клиент как нечего делать потянет за собой и сервер, кде какой-нибудь.
  • @rkit, А libcurl как нечего делать потянет за собой apache, php и wordpress, какой-нибудь! moar ебанутых версий!
  • @ermine, Это все понятно, а клиентская либа тут при чем?
  • @vt, Жалко места на диске? Купи диск потолще!
  • @mabu, денги зарабатываются ведь не на диски, а на таблетки и водку
  • @vt, Ну например, вбил в генту с серверным профилем. Зачем оно пытается тянуть темы и гтк? Ну понятно, что поебавшись можно заставить работать как надо, тем более в генту. Но осадочек остается, оттуда и неприязнь. Лично у меня, по крайней мере.

    # emerge -pvt porthole
    * Last emerge --sync was 137d 5h 40m 40s ago.

    These are the packages that would be merged, in reverse order:

    Calculating dependencies... done!

    The following USE changes are necessary to proceed:
    (see "package.use" in the portage(5) man page for more details)
    # required by x11-libs/gtk+-2.24.32::gentoo
    # required by x11-themes/gtk-engines-adwaita-3.22.3::gentoo
    =x11-libs/cairo-1.14.12 X
    !!! The ebuild selected to satisfy "x11-libs/gtk+:3" has unmet requirements.
    — x11-libs/gtk+-3.22.30::gentoo USE="introspection -X (-aqua) -broadway -cloudprint -colord -cups -examples -test -vim-syntax -wayland -xinerama"

    The following REQUIRED_USE flag constraints are unsatisfied:
    any-of ( aqua wayland X )

    The above constraints are a subset of the following complete expression:
    any-of ( aqua wayland X ) xinerama? ( X )

    (dependency required by "x11-themes/adwaita-icon-theme-3.24.0::gentoo" [ebuild])
    (dependency required by "x11-libs/gtk+-2.24.32::gentoo" [ebuild])
    (dependency required by "x11-themes/gtk-engines-adwaita-3.22.3::gentoo" [ebuild])
  • @ermine, Лучше посоветуй мне авторитетного перца, который объяснит oxpe как работает X11-протокол, ибо мне он никогда не поверит!
  • @rkit, Ну и что темы тебе? Они слушают порты с рутовыми правами? Они просто лежат на диске! Никаких серверов они не потянут с собой даже в самом ебанутом дистрибутиве
  • @vt, The following REQUIRED_USE flag constraints are unsatisfied:
    any-of ( aqua wayland X )
    А это што?
  • @rkit, Понятия не имею что это, возможно это именно libX11, дальше что? Оно ставит Xserver или нет?
  • @rkit, wayland client в федоре оно (java) тоже притащило. гтк3, либх, куча каких-то левых библиотек
  • @oxpa, надо нонче откреститься от предрассудков 90-х годов и считать что всё это делается для нашего блага
  • @oxpa, Вот за wayland-клиент( клиент ли он, или там еще и сервер есть) я бы переживал, но уж в деревянном libX11 точно нечему материализовать рут-права
  • @ermine, Если ты хозяин шаред-хостинга из 90-х, который дает клиентам ограниченный доступ только чтоб запускать пэхапе — там да, каждая лишняя библиотека это потенциальная дыра для выхода из песочницы. Но мы же не в шаред-хостинге.
  • @vt, en.wikipedia.org
    не благодари
  • @segfault, штоэта? Инструкция как получить рута через libX11 без икс-сервера?
  • @vt, Да, читай от корки до корки завтра приходи сдавать экзамен по Х11
  • @segfault, Знаю как работает X11-протокол от корки до корки, рассказывай как сломать
  • @vt, мне это не нужно
  • @segfault, Ясно, то есть третий "верую в какиров, которые могут материализовать сервер и рут-права из воздуха"
  • @vt, adept рассказывал давно, как он удаленно запустил какому-то парню "глаза", которые следили за курсором мыши. Нео смотрит на тебя! Наверное, из-за его рассказа пошли эти страхи
  • @vt, нет конеш, но любая лишняя либа или программа на сервере — потенциальная дыра. Это же ебаный си, тебе недавних уязвимостей в imagemagic мало? Веруешь, что никто никогда не будет эксплуатировать неизвестную дыру в твоей системе?
  • @ermine, Ну да, я охре сегодня про это рассказывал, что это ОН может меня взломать, а не я его
  • @segfault, что за уязвимость в imagemagick позволяет повысить привелегии?
  • @vt, при чем тут повышение привелегий, да и зачем они тебе? У какира задача данные спиздить, или попортить, для этого даже рута не надо.
  • @segfault, Да, в случае с libX11 какир на СЕРВЕРЕ может спиздить МОИ данные, если я подключаюсь к какиру, пробрасывая ему свои иксы, совершенно верно.
  • @vt, Ты про минимизацию площади атаки ченить слышал? Ты хочешь чтобы я тебе вот так вот показал, как с помощью libX11 можно спиздить данные, а когда я этого не сделаю считать это доказательством, безгрешности твоей системы. Все верно?
  • @segfault, если ты не взломал — ты попадешь в рай
  • @ermine, А если взломал, то просто сдохнешь. Железная защита.
  • @vt, Ты не забыл что в иксах сервер выполняется на клиенте? :)
  • @segfault, а заломаешь ли?
  • @vt, Включил X, радостно потянулся дрм и опенгл. Опенгл потянул видеодрайвера, дрм сказал, что Радеон его не поддерживает и ебитесь конем. Графика в системе, разумеется, интел. Иксы в любой форме умножают говенность линукса в сто раз.
  • @Irsi, Так разговор как раз,что на headless сервере даже Х-клиенту делать нечего.
  • @Irsi, Совершенно верно, я о том и говор — сервер находится на клиенте, на сервере, где лежит только libX11 — выполняться нечему и никакой "площади атаки" тут просто нету
  • @segfault, Спиздить данные можно одним способом — запустить посторонний код. Запустить посторонний код можно, подав на вход программы данные, которая она некорректно обработает, поломает стек и выскочит на адрес в памяти, где наш код сидит. Злоумышленник подает на вход imagemagick специально сконструированный файл, который роняет imagemagick и тот запускает этот файл как код.
    Злоумышленник присылает специально сконструированный файл на вход libX11/libXPM и … они отправляют его икс-сервер, которого находится у клиента, а не на сервере.
  • @vt, отправляют его на икс-сервер*
  • @rkit, Ну жопа у тебя а не дистрибутив, не понимаю какое это имеет отношение к X11-протоколу
  • @oxpa, На шаред-хостинге libcurl тоже нечего делать, все верно, только php_safe_mode, только хардкор!
  • @vt, Ну это потому что ты не читаешь, что тебе пишут. Неприязнь образуется из любого говеного поведения, а дальше проецируется.
  • @rkit, Где мне пишут ошибки в моих утверждениях? Я вот заебался писать простыни о том, как работают "уязвимости" и X11, и не вижу чтоб их кто-то читал и опровергал
  • @vt, Верно. Потому что с этим никто не спорит
  • @rkit, Ну это ты выдвинул свою версию "libX11 притащит kde", изначально мне доказывали что "какиры сломают непосредственно через libx11, они же какиры", я и ищу какира, который является авторитетом местным красноглазикам и объяснит, что через libX11 сломать сервер, на диске которого лежит libX11, но нет Xserver — невозможно
  • @vt, Ты мне щас тут доказываешь, что не существует ветктора аттаки потому, что ты его не видишь? Ладно похуй, с верующим спорить бесполезно отписон.
  • @segfault, Лол, блять, опять верующий проецирует.
    Здесь Я привел аргументы, ПРОСТО покажи где мои аргументы инвалидны, в каком месте?
  • @vt, Как мне убедить этих двух в обратном?правильный вопрос не "как?" а "нахуя?"
  • @gothicsquash, потому что мне с ними нужно иметь дела?