Как некоторые обратили внимание, RHEL/CentOS до сих пор не выпустили патча для CVE-2016-2851.

Конечно, атака не очень практичная, требует вливания гигабайтов данных и вы ее, наверное, заметите. Но.

Можно все обновить.

Описание ебли вприсядку )
Все-таки выяснилось, что из CentOS6 беспроблемный десктоп не получается. Например, HEVC есть только в vlc, причем vlc только с atrpms, а там собирают вообще упоротые люди, которые хотят даунгрейда целой кучи пакетов. Можно было бы заняться своим репозиторием, но жить ему осталось слишком недолго, что имело смысл морочиться. Да и вообще я слишком стар для этого дерьма. Когда умрет этот ноутбук (IBM T61), десктопный линукс у меня окончательно переедет в короткоживущие виртуалки.
Как мы знаем, Linux из коробки имеет дурную привычку подключать USB-устройства сразу и без вопросов. Что, разумеется, может быть использовано для rogue HIDs и прочей гадости. Настраивать udev руками всем лень. Кому интересно, есть готовый рецепт:

The BadUSB attack bases on the fact that computers allow and enable HID devices on all usb ports. Faked network adapters are no real danger. My answer tries do describe how to use udev to temporarily disable the addition of new HID devices. I'm no udev expert, but I've tested my approach, and it works for me.

For preparation, create a file /etc/udev/rules.d/10-usbblock.rules with the content:

#ACTION=="add", ATTR{bInterfaceClass}=="03" RUN+="/bin/sh -c 'echo 0 >/sys$DEVPATH/../authorized'"

If you want to block other classes too, then look up the class number, and copy the line, and change the class.

Now you can block all new HID devices using the command

sed -i 's/#//' /etc/udev/rules.d/10-usbblock.rules; udevadm control --reload-rules

and unblock with:

sed -i 's/^/#/' /etc/udev/rules.d/10-usbblock.rules; udevadm control --reload-rules

Before you shut down, always unblock, as the setting is persistent, and your "good" HID devices would be rejected on reboot.

I don't know whether you can edit the temporary rules directory, but if changes there affect the behaviour, you should edit that instead, as then you don't need to unblock before shutdown.

(from https://security.stackexchange.com/questions/64524/how-to-prevent-badusb-attacks-on-linux-desktop/64552#64552 )

Понятно, что block/unblock можно вставить в стартовые скрипты. Хоть бы кто еще нарисовал гуекнопки для всего этого, желательно, с более умными whilelists при загрузке.
cmake и pkgconfig, дети, это такие штуки, чтобы все само находилось и само собиралось. Ну да вы знаете, что я об этом думаю. А вот и иллюстрация:

%build

%if 0%{?el4}
  export LDFLAGS="-L/usr/gnutls2/lib -L/lib -L/usr/evolution28/lib/ -L/usr/evolution28/lib64/"
  export CFLAGS="-I/usr/gnutls2/include -L/usr/gnutls2/lib"
  export GNUTLS_LIBS=/usr/gnutls2/lib
  export PKG_CONFIG_PATH=/usr/gnutls2/lib/pkgconfig/:/usr/evolution28/lib/pkgconfig:/usr/lib/pkgconfig/
  %ifarch x86_64
    export GLIB_LIBS=/usr/evolution28/lib64/libglib-2.0.so
    export PKG_CONFIG_PATH=/usr/evolution28/lib64/pkgconfig:/usr/lib64/pkgconfig/:/usr/gnutls2/lib/pkgconfig/
  %else
    export GLIB_LIBS=/usr/evolution28/lib/libglib-2.0.so
    export PKG_CONFIG_PATH=/usr/evolution28/lib/pkgconfig:/usr/lib/pkgconfig/
  %endif
%endif

%if 0%{?el5}
  export LDFLAGS="-L/usr/gnutls2/lib -L/lib -L/usr/evolution28/lib/ -L/usr/evolution28/lib64/"
  export CFLAGS="-I/usr/gnutls2/include -L/usr/gnutls2/lib"
  export GNUTLS_LIBS=/usr/gnutls2/lib
  export PKG_CONFIG_PATH=/usr/gnutls2/lib/pkgconfig/
%endif

cmake -DCMAKE_VERBOSE_MAKEFILE=ON \
        -DCMAKE_INSTALL_PREFIX=%{_prefix} \
        -DSYSCONFDIR=%{_sysconfdir} \
        -DLOCALSTATEDIR=%{_localstatedir}


%if 0%{?el4}0%{?el5}
perl -p -i -e "s[^include= ][include= -I/usr/gnutls2/include -L/usr/gnutls2/lib ]" openvas.tmpl
%endif


Блеать, и эти люди запрещают мне ковыряться в носу и жепят ебрило при виде старого доброго Makefile!

JFYI

May. 27th, 2011 01:47 am
arkenoi: (asian face)
На http://www.codeweavers.com/ все еще распродают Crossover Bundle за $26.

Да, оно того стоит. Я купил.

Если вы не знаете, зачем это, оно вам, скорее всего, не нужно. Это способ запускать хороший продукт Microsoft Office (и еще много что), не покупая себе Мак и не пользуясь идиоцкой операционной системой Windows. Стоит, как видите, дешевле не только лицензии Windows в коробке, но и меньше официальной суммы возврата, если отказываетесь от операционной системы при покупке компьютера.

Ну то есть если вы цените свое время настолько дешево, что вам проще руками подбирать заветные комбинации библиотек и настроек Wine, оно вам тоже не нужно. Функционально все то же самое, просто все работает само.

Да, его можно и украсть на piratebay. Но нужно ли?
Tags:

Profile

arkenoi: (Default)
arkenoi

January 2017

S M T W T F S
1234567
891011121314
1516 1718192021
22232425262728
293031    

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 23rd, 2017 03:57 am
Powered by Dreamwidth Studios