* [devel] CONFIG_SECURITY_DMESG_RESTRICT=y @ 2022-02-02 18:57 Sergey Bolshakov 2022-02-02 19:47 ` Leonid Krivoshein 0 siblings, 1 reply; 11+ messages in thread From: Sergey Bolshakov @ 2022-02-02 18:57 UTC (permalink / raw) To: devel Раздражает неимоверно, да и, предположу, добавит головной боли саппорту (любому) -- так зачем бы ? -- ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y 2022-02-02 18:57 [devel] CONFIG_SECURITY_DMESG_RESTRICT=y Sergey Bolshakov @ 2022-02-02 19:47 ` Leonid Krivoshein 2022-02-02 20:08 ` Andrey Savchenko ` (2 more replies) 0 siblings, 3 replies; 11+ messages in thread From: Leonid Krivoshein @ 2022-02-02 19:47 UTC (permalink / raw) To: devel 02.02.2022 21:57, Sergey Bolshakov пишет: > Раздражает неимоверно, да и, предположу, добавит > головной боли саппорту (любому) -- так зачем бы ? А чем именно раздражает? Вполне разумное ограничение. Простому юзеру можно разрешить через sudo, если очень надо, да и вообще не нужны ему эти сообщения. Туда же капают и события безопасности, в т.ч. о запускаемых программах и их параметрах. -- Best regards, Leonid Krivoshein. ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y 2022-02-02 19:47 ` Leonid Krivoshein @ 2022-02-02 20:08 ` Andrey Savchenko 2022-02-02 20:53 ` Sergey Bolshakov 2022-02-02 21:50 ` Alexey V. Vissarionov 2 siblings, 0 replies; 11+ messages in thread From: Andrey Savchenko @ 2022-02-02 20:08 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 920 bytes --] On Wed, 2 Feb 2022 22:47:49 +0300 Leonid Krivoshein wrote: > > 02.02.2022 21:57, Sergey Bolshakov пишет: > > Раздражает неимоверно, да и, предположу, добавит > > головной боли саппорту (любому) -- так зачем бы ? > > А чем именно раздражает? Вполне разумное ограничение. Простому юзеру > можно разрешить через sudo, если очень надо, да и вообще не нужны ему > эти сообщения. Туда же капают и события безопасности, в т.ч. о > запускаемых программах и их параметрах. Вот именно. Там вообще может быть trace с критически важной информацией. Best regards, Andrew Savchenko [-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --] ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y 2022-02-02 19:47 ` Leonid Krivoshein 2022-02-02 20:08 ` Andrey Savchenko @ 2022-02-02 20:53 ` Sergey Bolshakov 2022-02-02 20:57 ` Vladimir D. Seleznev 2022-02-02 21:01 ` Dmitry V. Levin 2022-02-02 21:50 ` Alexey V. Vissarionov 2 siblings, 2 replies; 11+ messages in thread From: Sergey Bolshakov @ 2022-02-02 20:53 UTC (permalink / raw) To: devel >>>>> "Leonid" == Leonid Krivoshein <klark.devel-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes: > 02.02.2022 21:57, Sergey Bolshakov пишет: >> Раздражает неимоверно, да и, предположу, добавит >> головной боли саппорту (любому) -- так зачем бы ? > А чем именно раздражает? Вполне разумное ограничение. Простому юзеру можно > разрешить через sudo, если очень надо, да и вообще не нужны ему эти сообщения. > Туда же капают и события безопасности, в т.ч. о запускаемых программах и их > параметрах. Что-то такое я предполагал, да. Что ж, наверное мне не стоит упоминать, что journalctl -k покажет ровно всё то же самое, безо всякого sudo OHSHI~ -- ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y 2022-02-02 20:53 ` Sergey Bolshakov @ 2022-02-02 20:57 ` Vladimir D. Seleznev 2022-02-02 21:01 ` Dmitry V. Levin 1 sibling, 0 replies; 11+ messages in thread From: Vladimir D. Seleznev @ 2022-02-02 20:57 UTC (permalink / raw) To: ALT Linux Team development discussions On Wed, Feb 02, 2022 at 11:53:10PM +0300, Sergey Bolshakov wrote: > >>>>> "Leonid" == Leonid Krivoshein <klark.devel-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes: > > > 02.02.2022 21:57, Sergey Bolshakov пишет: > >> Раздражает неимоверно, да и, предположу, добавит > >> головной боли саппорту (любому) -- так зачем бы ? > > > А чем именно раздражает? Вполне разумное ограничение. Простому юзеру можно > > разрешить через sudo, если очень надо, да и вообще не нужны ему эти сообщения. > > Туда же капают и события безопасности, в т.ч. о запускаемых программах и их > > параметрах. > > Что-то такое я предполагал, да. Что ж, наверное мне не стоит упоминать, > что journalctl -k покажет ровно всё то же самое, безо всякого sudo OHSHI~ $ journalctl -k bash: journalctl: command not found Если серьёзно, то возможно это повод пересмотреть политику разрешения просмотра системного журнала непривилегированным пользователям. -- WBR, Vladimir D. Seleznev ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y 2022-02-02 20:53 ` Sergey Bolshakov 2022-02-02 20:57 ` Vladimir D. Seleznev @ 2022-02-02 21:01 ` Dmitry V. Levin 2022-02-02 21:53 ` Alexey V. Vissarionov 1 sibling, 1 reply; 11+ messages in thread From: Dmitry V. Levin @ 2022-02-02 21:01 UTC (permalink / raw) To: ALT Devel discussion list On Wed, Feb 02, 2022 at 11:53:10PM +0300, Sergey Bolshakov wrote: > >>>>> "Leonid" == Leonid Krivoshein <klark.devel-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes: > > > 02.02.2022 21:57, Sergey Bolshakov пишет: > >> Раздражает неимоверно, да и, предположу, добавит > >> головной боли саппорту (любому) -- так зачем бы ? > > > А чем именно раздражает? Вполне разумное ограничение. Простому юзеру можно > > разрешить через sudo, если очень надо, да и вообще не нужны ему эти сообщения. > > Туда же капают и события безопасности, в т.ч. о запускаемых программах и их > > параметрах. > > Что-то такое я предполагал, да. Что ж, наверное мне не стоит упоминать, > что journalctl -k покажет ровно всё то же самое, безо всякого sudo OHSHI~ $ journalctl -k Hint: You are currently not seeing messages from other users and the system. Users in groups 'adm', 'systemd-journal', 'wheel' can see all messages. На мой взгляд, настройки слишком либеральные, но даже с ними не всем показывают. Было бы логичным, если бы можно было в runtime настроить gid, которому можно смотреть dmesg. -- ldv ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y 2022-02-02 21:01 ` Dmitry V. Levin @ 2022-02-02 21:53 ` Alexey V. Vissarionov 0 siblings, 0 replies; 11+ messages in thread From: Alexey V. Vissarionov @ 2022-02-02 21:53 UTC (permalink / raw) To: ALT Linux Team development discussions On 2022-02-03 00:01:23 +0300, Dmitry V. Levin wrote: > На мой взгляд, настройки слишком либеральные, но даже с ними > не всем показывают. Было бы логичным, если бы можно было в > runtime настроить gid, которому можно смотреть dmesg. Можно, разрешаю: chown root:wheel /dev/kmsg && chmod 640 /dev/kmsg -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y 2022-02-02 19:47 ` Leonid Krivoshein 2022-02-02 20:08 ` Andrey Savchenko 2022-02-02 20:53 ` Sergey Bolshakov @ 2022-02-02 21:50 ` Alexey V. Vissarionov 2022-02-02 22:15 ` Dmitry V. Levin 2 siblings, 1 reply; 11+ messages in thread From: Alexey V. Vissarionov @ 2022-02-02 21:50 UTC (permalink / raw) To: ALT Linux Team development discussions On 2022-02-02 22:47:49 +0300, Leonid Krivoshein wrote: >> Раздражает неимоверно, да и, предположу, добавит >> головной боли саппорту (любому) -- так зачем бы ? > А чем именно раздражает? Вполне разумное ограничение. Ничего разумного в нем нет, а желающим "бизапаснасти" могу предложить chmod 600 /dev/kmsg > Простому юзеру можно разрешить через sudo, если очень > надо, В грамотно настроенной системе sudo вообще не должно быть. > да и вообще не нужны ему эти сообщения. Это кто так решил? > Туда же капают и события безопасности, в т.ч. о запускаемых > программах и их параметрах. И почему же такая важная (sensitive) информация утекает в kmsg, а не отдается доверенным смотрелкам логов через netlink? :-) -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y 2022-02-02 21:50 ` Alexey V. Vissarionov @ 2022-02-02 22:15 ` Dmitry V. Levin 2022-02-02 22:27 ` Alexey V. Vissarionov 0 siblings, 1 reply; 11+ messages in thread From: Dmitry V. Levin @ 2022-02-02 22:15 UTC (permalink / raw) To: ALT Devel discussion list On Thu, Feb 03, 2022 at 12:50:52AM +0300, Alexey V. Vissarionov wrote: > On 2022-02-02 22:47:49 +0300, Leonid Krivoshein wrote: > > >> Раздражает неимоверно, да и, предположу, добавит > >> головной боли саппорту (любому) -- так зачем бы ? > > А чем именно раздражает? Вполне разумное ограничение. > > Ничего разумного в нем нет, а желающим "бизапаснасти" > могу предложить chmod 600 /dev/kmsg Как насчёт системного вызова syslog? -- ldv ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y 2022-02-02 22:15 ` Dmitry V. Levin @ 2022-02-02 22:27 ` Alexey V. Vissarionov 2022-02-02 22:44 ` Dmitry V. Levin 0 siblings, 1 reply; 11+ messages in thread From: Alexey V. Vissarionov @ 2022-02-02 22:27 UTC (permalink / raw) To: ALT Linux Team development discussions On 2022-02-03 01:15:48 +0300, Dmitry V. Levin wrote: >>>> Раздражает неимоверно, да и, предположу, добавит >>>> головной боли саппорту (любому) -- так зачем бы ? >>> А чем именно раздражает? Вполне разумное ограничение. >> Ничего разумного в нем нет, а желающим "бизапаснасти" >> могу предложить chmod 600 /dev/kmsg > Как насчёт системного вызова syslog? С ним как раз все хорошо. Вот без него намного хуже, ага. Ну и /proc/sys/kernel/dmesg_restrict никто не отменял. -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] CONFIG_SECURITY_DMESG_RESTRICT=y 2022-02-02 22:27 ` Alexey V. Vissarionov @ 2022-02-02 22:44 ` Dmitry V. Levin 0 siblings, 0 replies; 11+ messages in thread From: Dmitry V. Levin @ 2022-02-02 22:44 UTC (permalink / raw) To: ALT Linux Team development discussions On Thu, Feb 03, 2022 at 01:27:25AM +0300, Alexey V. Vissarionov wrote: > On 2022-02-03 01:15:48 +0300, Dmitry V. Levin wrote: > > >>>> Раздражает неимоверно, да и, предположу, добавит > >>>> головной боли саппорту (любому) -- так зачем бы ? > >>> А чем именно раздражает? Вполне разумное ограничение. > >> Ничего разумного в нем нет, а желающим "бизапаснасти" > >> могу предложить chmod 600 /dev/kmsg > > Как насчёт системного вызова syslog? > > С ним как раз все хорошо. Вот без него намного хуже, ага. > > Ну и /proc/sys/kernel/dmesg_restrict никто не отменял. О том и речь: The kernel config option ``CONFIG_SECURITY_DMESG_RESTRICT`` sets the default value of ``dmesg_restrict``. -- ldv ^ permalink raw reply [flat|nested] 11+ messages in thread
end of thread, other threads:[~2022-02-02 22:44 UTC | newest] Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2022-02-02 18:57 [devel] CONFIG_SECURITY_DMESG_RESTRICT=y Sergey Bolshakov 2022-02-02 19:47 ` Leonid Krivoshein 2022-02-02 20:08 ` Andrey Savchenko 2022-02-02 20:53 ` Sergey Bolshakov 2022-02-02 20:57 ` Vladimir D. Seleznev 2022-02-02 21:01 ` Dmitry V. Levin 2022-02-02 21:53 ` Alexey V. Vissarionov 2022-02-02 21:50 ` Alexey V. Vissarionov 2022-02-02 22:15 ` Dmitry V. Levin 2022-02-02 22:27 ` Alexey V. Vissarionov 2022-02-02 22:44 ` Dmitry V. Levin
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git