Здравствуйте, Ops, Вы писали:
Ops>Здравствуйте, Somescout, Вы писали:
Щ S>>Просто я не могу представить зачем может потребоваться теребить эту политику где-либо кроме корпоративной среды (да и там перемещаемые профили скорее исключение).
Ops>Так шаловливые ручки же. Многие вон постоянно "лишние" сервисы отключают, а потом бегут жаловаться, что "ничего не работает", почему с политиками должно быть иначе?
Да не в политике таи дело, всё сильно проще. Сегодня мелкомягкие разродились:
Здравствуйте, Michael7, Вы писали:
M>Причем весьма возможно, что драйвера нет из-за обязательности его подписывания, иначе бы кто-то заставил работать.
Техническая сторона неважна.
Главное, что производители железа подталкивают к обновлению (см. выше, на что я отвечал).
Так-то дрова на встроенную 1Gbps Intel сетевую карту тоже отказываются устанавливаться в Windows Server, в т.ч. через *.inf, а в 10ке работают прекрасно. И также прекрасно работают в Server, если установить их "вручную".
Видимо есть серверное железо, построенное на том же чипе. И чтобы хитрые юзеры не юзали дешманские матплаты для серверов — слепили вот такое анальное огораживание.
Самсунг тоже с подобным замечен. Фирменный M.2 драйвер отказывается устанавливаться в серверной ОС для не-Pro накопителей.
Здравствуйте, Vetal_ca, Вы писали:
V_>Глянул я написанное и ужаснулся. Развел ты меня на несвойственный срач. Из-за чего? Из-за с***ной винды!
Ты, дорогой мой, чего то попутал. Это ты прибежал с лопатой какашек наперевес в топик. Ну и получил ей же. А теперь рассказываешь что тебя развели.
V_>Кто такой DM — не знаю, правда. Аппроксимировал на Development Manager.
Он самый. Только это довольно особенный менеджер, тот кто занимается непосредственно разработкой, а вовсе не написанием писем.
V_>Звания, ранги и прочее для мяня фиолетовы, в том числе и свое собственно. Я знаю что мне надо, что интересно и что надо для проекта. Я и воинские звания еще со школы игнорировал
Речь не про знания была, а про суть работы — отвечать за процесс разработки.
V_>Далее, тогда с виндой, не соглашусь. Нарушен был принцип Single responsibility. Хотя, не супер большая проблема чтобы из-за этого срач устраивать. Не помню что там именно было уже, правда, забыл. Типа Updates service влиял на что-то не свойственное...
Ну так перечитай свои же сообщения. Ты там в своей борьбе с апдейтами заблокировал МС сервера, а потом поливал этот самый МС за то что у тебя при этом иснталлятор фич обрубился.
V_> Но меня выбесило не это. А того что надо было возиться с IIS и инсталлятором Thycotic Secret Server. В свете того, что уже все налажено и затемплейчено с тем же nginx, haproxy или traefik, копание в IIS бесит нереально
Ну а меня бесит копание с nginx в одном из моих проектов. При этом те люди, которые втащили этот nginx в проект, сами не особо с ним умеют, хуже меня. И аргументировали это наличием у него ssl offload (у IIS нету искаропки, есть у App Gateway за неадекватные деньги). И это при том, что тем замечательным сервисом пользуется довольно скромное количество народа, а убиранием косяков из инфраструктуры и кода удалось повысить перформанс в несколько раз.
Только вот я, в отличие от тебя, не делаю вывод что nginx с линухом гавно, а Сысоев криворукий недоучка. Проблема не в нем, а в тех людях, которые до меня принимали неадекватные решения по проекту.
Здравствуйте, Somescout, Вы писали:
S>Извините, но "корректное разграничение прав" — это root может всё, остальные — ничего? Корректное разграничение прав как раз в винде, с её User Rights Assignment.
Не, они с тех пор ещё кучу костылей понатащили и поналепили.
— extended attributes и capabilities
— ACL (Access Control List)
— LSM (Linux Security Module) и Selinux в частности (это вообще отдельный большой лулз, можно настроить систему, но только в очень жестких рамках. Типа правил проактивной защиты в Win. Шаг влево-вправо и нихрена не работает, сиди, копошись в логах, ищи что отвалилось и думай как сочинить разруливающее правило с учётом существующих).
Всё это влияет на доступ, но при этом никак/слабо связано друг с другом.
Здравствуйте, IID, Вы писали:
IID>Здравствуйте, Somescout, Вы писали:
S>>Извините, но "корректное разграничение прав" — это root может всё, остальные — ничего? Корректное разграничение прав как раз в винде, с её User Rights Assignment.
IID>Не, они с тех пор ещё кучу костылей понатащили и поналепили.
IID>- extended attributes и capabilities
Насчёт этого не скажу, не изучал.
IID>- ACL (Access Control List)
Убожество. Работает (или по крайней мере работало несколько лет назад) как попало, нарушая совместимость с самими же линуксовыми правами.
IID>- LSM (Linux Security Module) и Selinux в частности (это вообще отдельный большой лулз, можно настроить систему, но только в очень жестких рамках. Типа правил проактивной защиты в Win. Шаг влево-вправо и нихрена не работает, сиди, копошись в логах, ищи что отвалилось и думай как сочинить разруливающее правило с учётом существующих).
Да, знаю. У меня пока не было необходимости такую хрень использовать, потому выключаю сразу после установки линуха. Да и в целом не вижу особой необходимости в этой штуке, кроме очень специфичных случаев.
IID>Всё это влияет на доступ, но при этом никак/слабо связано друг с другом.
Угу, только вот ничего из это (кроме, может первого — не работал с этим) не меняет того, что root может всё.
Здравствуйте, Kolesiki, Вы писали:
K>А M$ — не думаю, что они настолько богаты, чтобы всех производителей железа подкупать на "10 only"! Прошли времена, когда венда была незыблемым и незаменимым инструментом, сейчас даже офисом можно пользоваться из браузера! Поэтому рычаги MS поржавели и погнулись, а железячникам нет смысла убивать продажи только из-за просьб микрософта. МЫ ПОБЕДИМ
Интересно, как можно с помощью браузерных офисных приложений автоматизировать всякую офисную рутину типа генерации всякого рода отчетов, отправки их по мылу, и все это из всоего приложения?
Здравствуйте, Somescout, Вы писали:
S>Здравствуйте, IID, Вы писали:
IID>>Сбросило приложение свои Capabilities — и всё. Хоть ты 0/0, нифига сделать не можешь.
S>Можно подробнее — не сталкивался с этии.
Потоки (суть процессы в одной группе) содержат битовую маску, которая определяет разрешено ли ему подмножество API.
В любой момент бит(ы) можно сбросить (drop capabilities) и обратно этот фарш уже не провернуть.
Используется, например, при старте привелегированных демонов. Когда они выполнили всю инициализацию — сбрасывают себе capabilities, чтобы если их ломанут — атакующий код не имел полных root прав.
IID>>Аналогично с selinux.
S>setenforce 0?
Это если разрешено тебе такое делать. А иначе нет.
НС>Ты, дорогой мой, чего то попутал. Это ты прибежал с лопатой какашек наперевес в топик. Ну и получил ей же. А теперь рассказываешь что тебя развели.
V_>>Кто такой DM — не знаю, правда. Аппроксимировал на Development Manager. НС>Ну так перечитай свои же сообщения. Ты там в своей борьбе с апдейтами заблокировал МС сервера, а потом поливал этот самый МС за то что у тебя при этом иснталлятор фич обрубился.
Есди я к тебе приду и скажу, что ты на кнопки нажимать не умеешь, то какова будет реакция?
Сервер был отключен от gateway (а не блокировался!, что за форумная безграмотная терминология?) после установки. После! Если ты интерпретируешь по-своему, ради чего?
Что-то там не работало с подключенным gateway и отключенными update. Без gateway оно упало бы на первом незакэшированном dns query наружу
НС>Ну а меня бесит копание с nginx в одном из моих проектов. При этом те люди, которые втащили этот nginx в проект, сами не особо с ним умеют, хуже меня. И аргументировали это наличием у него ssl offload (у IIS нету искаропки, есть у App Gateway за неадекватные деньги). И это при том, что тем замечательным сервисом пользуется довольно скромное количество народа, а убиранием косяков из инфраструктуры и кода удалось повысить перформанс в несколько раз. НС>Только вот я, в отличие от тебя, не делаю вывод что nginx с линухом гавно, а Сысоев криворукий недоучка. Проблема не в нем, а в тех людях, которые до меня принимали неадекватные решения по проекту.
Потому что надо было сделать один раз, с толковым контрактором и вывести high level параметры в конфигурацию. Все это делается однократным погружением в тему а не копанием тысячу раз, знающими или не знающими людьми
У меня отработанный инструментарий и перееиспользовал его у нескольких клиентов. Работает годами.
Здравствуйте, Vetal_ca, Вы писали:
V_>Потому что надо было сделать один раз, с толковым контрактором и вывести high level параметры в конфигурацию. Все это делается однократным погружением в тему а не копанием тысячу раз, знающими или не знающими людьми
О да, гениально. Нанять контрактора чтобы он там что то наковырял, и чтобы никто не знал как оно там внутри работает. А потом при каком либо изменении типа прилетевшего GDPR — лыко-мочало, начинай с начала.
Здравствуйте, IID, Вы писали:
IID>Потоки (суть процессы в одной группе) содержат битовую маску, которая определяет разрешено ли ему подмножество API. IID>В любой момент бит(ы) можно сбросить (drop capabilities) и обратно этот фарш уже не провернуть. IID>Используется, например, при старте привелегированных демонов. Когда они выполнили всю инициализацию — сбрасывают себе capabilities, чтобы если их ломанут — атакующий код не имел полных root прав.
Понятно, ну в прицнипе хоть что-то.
IID>Это если разрешено тебе такое делать. А иначе нет.
А с чего root'у это не разрешено? Да и вообще вариантов хватает, включая прямой доступ к физической памяти.
CC>Тут всё ок, но людям играющим W10 сама по себе нафиг не упала — никаких бенефитов.
Будующий Raytracing на уровне API DirectX. Не ?
Впрочем не только играющим.
Здравствуйте, Ночной Смотрящий, Вы писали:
НС>О да, гениально. Нанять контрактора чтобы он там что то наковырял, и чтобы никто не знал как оно там внутри работает. А потом при каком либо изменении типа прилетевшего GDPR — лыко-мочало, начинай с начала.
И, да, это гениально. Увы, но тебе надо перейти на следующий уровень, чтобы понять. И, вообще, иметь силу признавать собственные ошибки.
Судя по тому, что ты не спсобен остановиться и сказать "извини", силы у тебя нет. Обычное самодурство слабого, неуверенного в себе человека.
CC>Основные движки поддерживают Vulkan, так что DX12 не нужен — всё прекрасно летает на 7ке.
Вулкан поддерживают далеко не все. Основная масса остается DirectX обезьянами.
Здравствуйте, Somescout, Вы писали:
IID>>Это если разрешено тебе такое делать. А иначе нет.
S>А с чего root'у это не разрешено?1
Мало быть рутом, точнее даже необязательно.
Необходимо чтобы в selinux было правило, которое твоему процессу разрешает setenforce.
S>Да и вообще вариантов хватает, включая прямой доступ к физической памяти.
1) устройства /dev/mem может не быть
2) чтобы патчить со смыслом — сначала надо обойти KASLR. Т.е. получть layout адресного пространства. А там что-то добавляли, обнуляющее указатели при чтении (навскидку не помню, искать лень).
3) Там тоже selinux
Вообщем только искать kernel mode exploit, а учитывая зоопарк в мире буханок — заюзать его будет та ещё лотерея.
Хотя случается прекрасное, например Dirty Cow.
Здравствуйте, Vetal_ca, Вы писали:
V_>И, да, это гениально. Увы, но тебе надо перейти на следующий уровень, чтобы понять.
Это тебе надо понять, что incident response это не просто умное слов, и между девопсом и публичными сервисами есть довольно существенное отличие.
V_>Судя по тому, что ты не спсобен остановиться и сказать "извини"
За что мне извинятся? За то что отплатил тебе твоей же монетой?
V_>, силы у тебя нет. Обычное самодурство слабого, неуверенного в себе человека.
Чего, опять началось? Ну так опять получишь тем же самым по тому же самому.
V_>FYI: GDPR и прокси — не связаны.
Здравствуйте, Ночной Смотрящий, Вы писали:
НС>Это тебе надо понять, что incident response это не просто умное слов, и между девопсом и публичными сервисами есть довольно существенное отличие.
Что?!!
НС>За что мне извинятся? За то что отплатил тебе твоей же монетой?
Все понятно. Удачи тебе, неуважаемй "начальник".
НС>Чего, опять началось? Ну так опять получишь тем же самым по тому же самому.
Нет, я тебя использую как стимул и вдохновение. Когда есть уровень, всех начальничков-самодуров, с комплексом иператора, оставляешь далеко внизу. С людьми, которые вынуждены тепеть это жалкое недоразумение.
Ведь не зря у тебя собрались люди которые "не могут". Те кто могут, такое "добро" и даром не надо, ибо есть выбор. Каждый застревает на своем уровне.
Здравствуйте, Vetal_ca, Вы писали:
НС>>За что мне извинятся? За то что отплатил тебе твоей же монетой? V_>Все понятно. Удачи тебе, неуважаемй "начальник".
У тебя, похоже, еще какой то баттхерт по поводу начальников. Повышения не дают, в 50 лет трудишься простой сошкой? Понимаю.
НС>>Чего, опять началось? Ну так опять получишь тем же самым по тому же самому. V_>Нет, я тебя использую как стимул и вдохновение.
Стимул и вдохновение похамить с переходом на личности? Тяжело тебе живется.
V_> Когда есть уровень, всех начальничков-самодуров, с комплексом иператора, оставляешь далеко внизу. С людьми, которые вынуждены тепеть это жалкое недоразумение.
Таки явно у тебя с карьерой не задалось.
V_>Ведь не зря у тебя собрались люди которые "не могут".
Опять ты со своими попытками опой изобразить Кассандру присел в лужицу. Эти люди, которые не могут, они не у меня, они до меня. И их за это немогут всей командой отправили на мороз.
Тебе повезло больше, да. Тебя просто держат на маленькой должности, чтобы ты сильно не мешался.
А мои люди как раз таки знают, и у них все шоколадно с инфраструктурой, и никаких контракторов для вещей посложнее настройки reverse proxy не требуется. Даже с учетом того, что у нас оно не столько прокся, сколько LB.
V_> Те кто могут, такое "добро" и даром не надо, ибо есть выбор. Каждый застревает на своем уровне.
По крайней мере ты понимаешь, что застрял. Жаль, выводы неправильные делаешь.
