Poważna luka w bezpieczeństwie Fedory 12 – deweloperzy nie widzą problemu
- Dodano: 18 listopada 2009
- Wprowadził: spy000yps
- Komentarze: 210
Dzisiaj jeden z użytkowników Fedory na liście fedora-devel rozpętał małe piekło. Pewnie nie byłoby w tym nic ciekawego, bo kłótnie są codziennością na listach dyskusyjnych deweloperów, gdyby problem nie był poważny, a deweloperzy całkowicie nie odmówili jego naprawy.
Wyobraźmy sobie następujący scenariusz – logujemy się do systemu jako użytkownik bez uprawnień administracyjnych. W takim wypadku jeśli chcemy zainstalować jakiś program za pomocą yuma, otrzymamy komunikat, że musimy być zalogowani jako root, aby wykonać dane polecenie. To jest jak najbardziej poprawne zachowanie systemu, które wszyscy użytkownicy znają i sobie cenią od wielu lat.
Jednak ktoś wpadł na szatański pomysł stworzenia pakietu PackageKit-command-not-found. Jego działanie polega na tym, że jeśli wpiszemy jakieś polecenie na przykład nmap, ale nie zostanie ono rozpoznane jako istniejący w systemie program, ale będzie możliwość zainstalowania go z pakietu, to taka instalacja zostanie zaproponowana. Ta z pozoru bardzo przyjazna dla użytkownika funkcjonalność nie byłaby zła, gdyby nie została połączona z kolejną funkcjonalnością – PolicyKit. Jak wiadomo nieszczęścia chodzą parami (PackageKit, PolicyKit, PulseAudio, Plymouth – wszyscy je znamy) a każda dobra katastrofa wymaga kilku ogniw w łańcuchu.
W nowej wersji Fedory PolicyKit działa tak, że jeśli PackageKit-command-not-found chce zainstalować jakiś program znajdujący się w repozytorium Fedory, to pozwala na zrobienie tego bez podania hasła administratora. Śmieszne? To jeszcze nic – deweloperzy Fedory nie widzą w tym nic złego 
Polecam przeczytać wątek na fedora-devel oraz zapoznać się z błędem 534047.
Więcej informacji: https://www.redhat.com/archives/fedora-d...00926.html
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
210 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
PulseAudio IMO to nie jest nieszczęście, nieszczęściem jest alsa.
A bug przezabawny!
A Plymouth czemu nieszczęście?
pewnie dlatego, że nie działa na każdym sprzęcie i na każdych sterownikach. Szczegółów nie znam, ale m.in. dlatego nie został zaimplementowany w ubuntu.
Nigdy nie używałem Plymouth i cieżko mi się wypowiedzieć.
OSS i arts to dopiero bylo nieszczescia, odkąd jest alsa wszystko dziala prawie idealnie
ROTFLMAO, alsa i idealnie w jednym zdaniu :O
@maciek: w jednym zdaniu mogą być, ale żeby tak bez nieparzystej liczby zaprzeczeń?
Przy okazji – ponieważ oba pakiety są też w innych distrach, to nie zdziwiłbym się, gdyby problem miał większy zasięg…
Poprawili mi dzisiaj humor
Poprawię ci humor bardziej: w innych dystrybucjach (i systemach uniksowych) jest też sudo.
I co z tego? sudo pyta o hasło, nie widzę, w czym problem. I możesz poszczególnym użytkownikom zabronić wykonywania pewnych rzeczy. Nie potrzeba do tego nawet programu visudo, wystarczy stworzyć użytkownika jako 'Desktop user'.
Swoją drogą, śmieszne, że deweloperzy nie widzą problemu…
a co chcesz od sudo ?
Sudo również można skonfigurować tak, aby zezwolić zwykłemu użytkownikowi wykonać czynności, które wymagają konta administratora. Autora niusa takie aplikacje — jak widać — bawią.
no tak, ale to nie sudo wina, ze root zrobil visudo i
pozwolil na "za duzo"… chyba, ze smiejesz sie z Ubuntu
– choc tam chyba powinno dac sie to prosto naprawic.
> chyba, ze smiejesz sie z Ubuntu
zapewniam Cię, że nie z żadnego systemu się śmieję
ok, tzn. smialbym sie z pozostawionego w domyslnej konfiguracji
w roli innej niz desktop. (hehehe, a jak wiadomo, na desktopie
pod Linuxem sie nie da, blablabla
Ja Ci też poprawię humor: funkcjonalność o której piszesz dotyczy tylko *lokalnych* użytkowników. W przypadku lokalnego dostępu do hosta z reguły nic nie stoi na przeszkodzie żeby uzyskać bez upoważnienia uprawnienia roota, nie wiem więc o jakim problemie bezpieczeństwa piszesz…
Hmm, cóż, też nei widzę w tym żadnego problemu. To na pewno nie jest żaden bug, tylko domyślna konfiguracja – PolicyKit pozwala na zdefiniowanie, które aplikacje mają jakie prawa. Właśnie po to on jest – żeby jakiejś aplikacji móc nadać uprawnienia administratora do wykonywania danej czynności.
Jeśli ci ta konfiguracja nie pasuje, to ją zmień. Można mówić o niezbyt przemyślanej decyzji (ale w takim razie jak nazwać architekture Windowsa?
), ale o dziurze w bezpieczeństwie nie ma mowy. To świadome działanie, tu nawet pasuje stwierdzenie "it's not bug, it's feature" 
Wiem, że poziom zaelotstwa na tej stronie już dawno przekroczył wszystkie normy i są tu sami luserzy, dla których Linux jest tylko wspaniały i nie ma błędów a jak jest błąd, to jest to ficzer, no ale bez przesady.
Jeśli nie potrafisz zrozumieć znaczenia tego, że w domyślnej konfiguracji drugiej co do popularności dystrybucji dopuszcza się takie sytuacje, że zwykły gostek, który dostanie konto w systemie może sobie instalować co mu przyjdzie do głowy tylko dlatego, że to jest w repozytorium Fedory, to chyba Ci coś na głowę spadło, albo masz jakiś (miejmy nadzieję czasowy) niedowład /dev/brain.
Weźmy sobie taki scenariusz – chcemy przejąć całkowicie jakiś system – nie ma tam za wiele programów. Ale zawsze możemy bez problemu doinstalować to co potrzeba. Potrzeba kompilator do skompilowania exploita? Nie ma sprawy. W domyślnej instalacji nie ma żadnego dziurawego programu w którym można by wykorzystać lukę do poszerzenia uprawnień? Nie ma sprawy, zaraz doinstalujemy…
Wyobraźmy sobie taki scenariusz: ,,instalujemy eksperymentalną dystrybucję biurkową na produkcyjnych maszynach''…
Nie przesadzasz, dla jedno-użytkownikowego biurka rozwiązanie jest zupełnie poprawne. A tak się składa, że to jest normalne zastosowanie Fedory.
Eksperymentalną? Pewnie tak – a co jest stabilne? Ubuntu? To może porównamy sobie po wersjach i zobaczymy
F – Fedora, U – Ubuntu, O – Opensuse
Gnome – 2.28 (F), 2.28 (U), 2.28 (O)
Linux – 2.6.31 (F), 2.6.31 (U), 2.6.31 (O)
KDE – 4.3 (F), 4.3 (U), 4.3 (O)
GCC – 4.4 (F), 4.4 (U), 4.4 (O)
X.org – 1.7 (F), 1.6 (U), 1.6 (O)
Glibc – 2.11 (F), 2.10 (U), 2.10 (O)
Jakiś kolosalnych różnic tu nie widzę.
Fakt, zapomniałem, na produkcyjnych desktopach wszyscy instalują RHEL czy SLED…
Produkcyjnych desktopów to jest w ogóle bardzo mało. A i owszem, jak już ktoś instaluje to SLED-a, RHELD albo CentOS-a (bardzo dobra cena
) itp. Ale najczęściej to jednak Windows XP…
Ech, produkcyjnych desktopów linuksowych jest bardzo mało.
Tu się nie zgodzę – nie z tym, że Linuksów jest mało, bo to prawda, tylko z tym, że produkcyjne desktopy to głównie SLED czy RHEL.
No i zboczyliśmy trochę z tematu – uważam, że to jest bardzo duży problem. Jeszcze większym problemem jest olewactwo developerow Fedory. Największym problemem jest to, że istnieją hordy użytkowników myślących tak samo jak developerzy Fedory.
Jutro o tym napisze parę stron, ale nie spodziewam się jakiejś gwałtownej reakcji – paru „znawców” stwierdzi, że tak ma być, paru niekumatych przytaknie „znawcom” a ludzie od szejkurity chwycą się za głowy i zaczną turlać po podłogach.
Jeśli ktoś uważa, że to jest ficzer a nie błąd, to proponuję wywalić wszystkie hasła z systemu, kont pocztowych, bankowych etc. Będzie to nowy ficzer a nie błąd czy głupota
Można nie lubić Ubuntu, ale prawda jest taka, że jest to teraz najpopularniejszy DESKTOP w zastosowaniach produkcyjnych, a nie jakiś RHEL. Sam się w robocie zastanawiam czy nie zmigrować desktopów z Debiana stable na Ubuntu LTS.
Gdzie? Nie znam wdrożenia Ubuntu w Polsce. Oczywiście nie na maszynach deweloperów/administratorów/ogólnie IT ale normalnych stanowiskach pracowniczych.
"Oczywiście nie na maszynach deweloperów/administratorów/ogólnie IT ale normalnych stanowiskach pracowniczych."
Ponieważ słabo odczytujecie sarkazm, to zacznę go oznaczać
sarkazm -> to na takich stanowiskach w ogóle ktoś używa Linuksa? <-
Poza tym nie rozumiem, dlaczego zakładasz, że znasz wszystkie wdrożenia Ubuntu w naszym kraju. Jesteś pieprzonym jasnowidzem czy co? Masz szklaną kulę?
@Theq: wątpię, by tak było w Polsce. Przyczyna jest prosta "Żabka" używa SUSE. A tych sklepików jest w cho… znaczy dużo.
Poza tym bies ma rację. Zwykły użytkownik nie potrzebuje takiego poziomu bezpieczeństwa. Już pal licho, że nie trzeba mieć wcale nie wiadomo jakich uprawnień pod linuksem, by uruchomić większość programów. Bo przecież można skompilować bez instalacji i uruchomić binarkę. Reszta ludności miejskiej i wiejskiej zmieni parę wpisów w PolicyKit zgodnie z dokumentacją (albo pozbędzie się PackageKit-command-not-found) i też będzie zadowolona. Tego typu kroki pokazują do jakich zastosowań Fedorę powinno się stosować, a do jakich nie.
Znacznie większy problem jest, który opisałem poniżej – nikt jakoś nie krzyczy, że Linux jest dziurawy, a każdy może robić, co mu się żywnie podoba.
W Leroy jest Mandriva?
w castoramie również – pozostałość po czasach, kiedy casto była francuska…
Spy_cośtam: szklane kule mam trzy. Ale jedna mi się popsuła i jest u Baby Jagi (Jagusia, wybacz tą ,,Babę'') w naprawie…
jak administrator jest idiotą i instaluje PackageKit-command-not-found nie wiedząc do czego on służy, to jest to już jego problem…
Jasne, każdy administrator nie sprawdzający, czy przy instalacji dowolnego pakietu nie są kompromitowane 40 letnie tradycje systemów UNIXowych jest idiotą… Cool story, bro.
bo przecież do tradycji Uniksowych należy trylion haseł na każdym kroku, a jak coś zrobione prosto i wydajnie, to już nie… A później ludzie się dziwią, że Linuksa nie ma na biurkach
Proponuje w życiu pozamykać sobie wszystkie drzwi w mieszkaniu na klucze i przy przechodzeniu otwierać i zamykać drzwi, natomiast okna wstawić kuloodporne. Na pewno będzie "bezpieczniej".
@iron_irony: proponuje wyłamać wszystkie zamki, powybijać okna, wyjąć drzwi, a klucze wyrzucić, bo przecież i tak można wejść przez szyb wentylacyjny
@Sparrow1: A zapomniałem trzeba jeszcze założyć kilka kłódek i filtrów przeciwgazowych na szyby wentylacyjne, urządzenia sanitarne i zaopatrzyć się we własny generator prądu.
Nie wiem, co jednak będzie w przypadku jakiegoś wybuchu jądrowego – trzeba zdecydowanie znaleźć sobie jakiś przytulny bunkier
, a do jeżdżenia po mieście no trudno nie będzie mniej bezpiecznie – jakiś nie za dużo palący czołg 
Ta sztuczka działa tylko jeśli mamy środowisko graficzne. 40-letnie tradycje, jeśli chodzi o działanie w konsoli, pozostały. Yum jako taki nadal zawsze wymaga podania hasła roota, albo przynajmniej skonfigurowania sudo.
ups 11 minusów – no cóż jestem użytkownikiem Linuksa, ale paranoikiem nie jestem
@iron_irony
Dorzucam jeszcze jednego, abyś miał większą frajdę
mam dzięki. Cieszę się, że jestem linuksiarzem, ale należę do betonu linuksowego…
mam dzięki. Cieszę się, że jestem linuksiarzem, ale _NIE_ należę do betonu linuksowego…
ps. każdy minus liczę jak 5 plusów w moich statystykach, poproszę o więcej
Tak… I oczywiście, dzięki PackageNotFound zainstalujemy sobie nowe jądro, lub program korzystający z bitów setuid lub(co najlepsze) usługę systemową.
Może w przypadku usługi systemowej masz trochę racji, bo jeżeli zainstalujemy sobie jakiś dziurawy komponent do porozumiewania się np. z telefonem komórkowym przez bluetooth, to faktycznie jest problem. Nadmienię jedynie, że bugi w kernelu się łata, a jeżeli nie chcęmy aktualizować jądra(więc jest to dystrybcuja na jakiś serwer), to każdy wyłączy ten przywilej dla PackageNotFound.
Być może jest to nieszczęśliwa domyślna konfiguracja ale czy błąd bezpieczeństwa? To błąd tej samej klasy jak np to, że domyślna konfiguracja sshd w gentoo zezwala na zdalne logowanie na konto roota.
Przykład jest trochę z kosmosu, przecież równie dobrze nie musisz mieć żadnych uprawnień aby sobie na koncie skompilować tego wielkiego exploita. Wystarczy skopiować gcc czy innego na konto użytkownika i skompilować kod lokalnie gdzie tu różnica? A może zapominasz, że prawdopodobnie aby ten prze zły exploit zadziałał musi być (już po skompilowaniu z uprawnieniami użyszkodnika) uruchomiony przez roota?
Zgoda, tego typu ficzery powinny być wyłączone w serwerowych (wieloużytkownikowych) instalacjach ale na biurku we własnym komputerze?
O błędzie będzie można rozmawiać, jeśli system da się oszukać do tego stopnia, że pozwoli zainstalować paczkę z poza repo i przykryć pliki instalowane "legalnie", czyli podmienić dla przykładu /bin/busybox lub lepiej jakiegoś /sbin/fsck.
Często ten przesprytny eksploit nie musi mieć uprawnień root-a, gdyż wykorzystuje eskalację uprawnień.
Co do reszty, to się zgodzę. Lecz i tak musielibyśmy zastosować konkretnego eksploida do konkretnej wersji jądra.
spyOOOyps: zealostwa jesli juz
Powinno być "it's not a bug, it's a feature"
Raczej "it’s not a feature, it’s a bug".
hihi, takie Ubuntu ale bez sudo : )
okej…jako zwykły urzytkownik X=kowalski chce wiedziec czy jaka jest róznica miedzy uprawnieniami do instalacji oprorgamowania a usówaniem jej z zystemu lub też zmianami w ustawieniach systemu które to niekiedy są zabezpieczone hasłem.
Nie wiem czy dobrze rozumiem – instalacja bez uprawnień np. pakietu cp, który zrobi rm / -rf ? Hmmm… to rzeczywiście nie ma problemu
Komentarz 14 w dyskusji pod błędem.
Komentarz numer 35. Pierwsze kreatywne zastosowanie nowej funkcjonalności do zniszczenia całego systemu. Czekamy na następne
"1) User can install whatever they want, including packages which are unstable
and could even destroy the system. As just one example, I tried out
yum-plugin-remove-with-leaves a while back and took it for a spin to see if it
worked and was safe … well, let's just say it "worked" too well — it
definitely was not safe. yum-plugin-remove-with-leaves literally uninstalled my
entire system after a simple test in which I installed a package and its
dependencies, then removed that same package and let
yum-plugin-remove-with-leaves do its thing. Even though root is the only one
who can remove packages, root won't necessarily know the package was installed,
and thus could wipe out the system without realizing what he or she was doing
when they did it."
Kolejny ciekawy komentarz, który sobie pozwolę zacytować (chodzi o podsumowanie SV tego co napisał RH)
Jeff Garzik:
And this enormous security hole of a policy change was done with next to /zero/ communication, making it likely that many admins will not even know they are vulnerable until their kids install a bunch of unwanted packages.
Richard Hughes:
F11 had retained authorisations, which arguably were more of a security weakness. If rawhide had been signed during the F12 cycle everybody would have seen this change much earlier.
If you're deploying F12, then I really think you should know the basics about PolicyKit.
Seth Vidal:
Richard,
to be fair, when I asked you how to edit a .pkla file you couldn't tell me.
So, if our engineers don't know the basics, how should our users?
Jeśli użytkownik chciał użyć czegoś z tego pakietu (a musiał chcieć bo inaczej nic by się nie doinstalowało) i do tego zna hasło roota (a zna, bo typowy scenariusz to maszyna jedno-użytkownikowa). To jedyne co by się zmieniło bez tej zmiany, że zrobiłby su -, yum. Albo sudo yum. Wklepanie hasła nie poprawia w żaden sposób błędnego pakietu.
A wyobraź sobie taką sytuacje:
1. kolega przychodzi do Ciebie (też zna się na Linuksach), rozmawiacie sobie parę minut i wychodzisz na 5-10 do toalety, a twój kumpel właśnie zainstalował jakiegoś rootkita
2. masz zainstalowane sshd (do zdalnej kontroli czy czegokolwiek innego) i ktoś jakimś cudem poznał twój login i hasło. Następnie instaluje Ci (bez su – gdzie musiałby poznać hasło roota) lub kompiluje exploit do dostania roota.
Linux z założenia nie jest systemem jednoużytkownikowym, więc jest do błąd projektowy. Administrator systemu na pewno sobie nie życzy żeby użytkownicy mu w systemie instalowali co popadnie. Dlatego nie daje im hasła administratora.
Jeżeli z mojego domowego komputera korzystam ja, żona, syn (i jego koledzy) to wolę by bez mojej wiedzy nic nie było na nim instalowane. Dlatego hasło root`a jest tylko do mojej wiedzy. "Usprawnienie" Fedory odbiera mi pełną kontrolę nad systemem (nie jestem linuksowym specem i pewnie nie wpadłbym na to by majstorwać w PolicyKit).
@error25 : Jak tego rootkita miałby zainstalować?
Tak samo jak bez pomocy tego PackageKit-command-not-found.
Ma dostęp fizyczny do maszyny? Ma… to nie ma wafla aby nie był w stanie się do niej włamać…
Miał dostęp fizyczny i się nie włamał – znaczy się z tym PackageKit także by nie potrafił…
@error25 wyobraźmy sobie sytuacje: wychodzisz do toalety a kolega zostawia Ci w szafie bombę zdalnie sterowaną.
Apropo Twojego porównania: root-kit musi się znajdować w domyślnych repozytoriach Fedory, żeby kolega mógł go zainstalować. Ciekawe czy go tam go znajdzie?
@up:Rootkit może się znajdować w dowolnym repozytorium, z którego były dodane pakiety. Radze poczytać dokładnie komentarze na bugzilli.
@error25:
Ad 1. Debilne – nie widziałem w repozytoriach fedory rootkitów, więc jak mógłby go zainstalować nie dodając innych repozytoriów (co wymaga uprawnień roota).
Ad 2. Co ma to wspólnego z package-not-found?! Jak pisałem wcześniej – nie możesz dodawać nowych repozytoriów bez roota! Po poznaniu loginu i hasła użytkownika nie potrzeba package-not-found do exploitowania systemu.
A widzisz roznice miedzy instalacja a uruchomieniem programu?
Z bezpieczenstwem w ogole robi sie ciekawie. Zglaszalem jakis czas temu na BTS opensuse, ze domyslnie root moze sie logowac po SSH. Skonczylo sie wontfixem, problemu nie ma, bo uwaga:
a) SSH nie jest wlaczany domyslnie
b) admin moze sobie zmienic
(b) to zawsze jest prawdziwe, ale przeciez naczelna zasada, powinno byc to, ze domyslnie system jest ustawiany w sposob mozliwie bezpieczny, a jesli admin chce, to moze system rozszczelnic. A tu widac robi sie moda na odwrot — jak admin chce, to moze sobie system zabezpieczyc. Swietnie… ;-/
Hmm. Być może jestem dziwny ale mniej mnie martwi logowanie roota przez ssh (nadal trzeba mieć hasło/znać klucz) niż ten bug.
Tez sie nie martwiłem dopoki pewnego razu nie odkryłem że ktoś mi się zalogował na root-a metodą na słownik. A byłem święcie przekonany że moje hasło jest 'niesłownikowe'.
Roota chyba nawet latwiej złamać niz ZU, bo w drugim przypadku skaner musi trafić w odpowiednią kombinację login / pass
Użyłeś haseł. I to był błąd, nie logowanie na roota. Jakbyś użył odpowiednio długiego klucza nie byłoby problemu.
yeah, tylko ze bylem wtedy zielony w te klocki. Nie wiedzialem o tym ze trzeba zablokowac logowanie na roota, skonfigurowac firewall a najlepiej wylaczyc uwierzytelnianie haslem i uzywac kluczy
Raczej musiales miec wybitnie proste haslo (zdecydowanie ponizej 20 znakow, ograniczone do liter i/lub cyfr).
Macias: na pcol była jakiś czas temu dyskusja nt. sensowności bronienia logowania na roota po ssh. W skrócie jeśli ktoś włamie się na konto z którego robisz su/sudo to dokładnie tak jakby miał roota.
Dziwne czasy. Winda robi się coraz bardziej jak linux (UAC), a z linuxa próbują zrobić Windę. Faktycznie trochę przesadzili.
A ja się śmiałem z domyślnego konta z uprawnieniami roota w Windowsie. Ale tam przynajmniej wszyscy o tym wiedzieli i co najwyżej mogli olać. A tu mamy jeden wielki burdel, o którym w dodatku admini dowiadują się z bugzilli albo slashdota.
Niedawno w środowisku Fedory przetoczyła się dyskusja, że ta marka jest mało rozpoznawalna i nie ma "swojej" grupy użytkowników, która identyfikowałaby się z dystrybucją. Po takim spektakularnym strzale w stopę na pewno będzie o nich głośniej.
To, że nikt nie poinformował w jakiś normalny sposób o tej funkcjonalności jest skandalem, który dyskwalifikuje w moich oczach developerów Fedory. (Dałem im ostatnią szansę po zeszłorocznym skandalu, ale jak widać znowu się zawiodłem.)
Taka funkcjonalność mogłaby znaleźć się w systemie na życzenie użytkownika – na przykład mógłby to wybrać przy pierwszym uruchomieniu systemu. Jednak została wprowadzona bez wiedzy użytkowników i sporej części developerów. Co jeszcze tak zostało wprowadzone?
No i zaczynają mi się powoli kończyć alternatywy w świecie Linuksa – Debian zbanowany za OpenSSL, Fedora za PolicyKit. Czy jeśli deweloperzy Fedory robią coś takiego, to można będzie zaufać RHEL6/CentOS6/i pozostałym?
Migracja w stronę jakiegoś BSD chyba nabiera coraz większego sensu
Jeszcze trochę i nie będziesz w ogóle używać komputera, ze względu na brak oprogramowania na którego jeszcze focha nie strzeliłeś ;D
> Migracja w stronę jakiegoś BSD chyba nabiera coraz większego sensu
Taka "migracja", jeśli chodzi o zastosowania desktopowe, to nonsens kompletny.
"No i zaczynają mi się powoli kończyć alternatywy w świecie Linuksa "
A Linux Mint pewnie za to, ze jest zbyt ladny.
Fedory devowie chcą linuxa upodobnić do windows xp, a windowsa do linuxa przez uac.
A prawda leży po środku, czyli wszystkie te zabiegi można o kant d… potłuc
Hmm – technicznie PolicyKit jest jak sudo – ma dawać uprawnienia niektórym użytkownikom. Podobnie jak:
users ALL=(ALL) NOPASSWD: ALL
nie jest winą sudo (tylko devów pakujących paczke) tak PolicyKit nie jest nieszcześciem.
No właśnie dla mnie te wszystkie nowinki ostatnich lat z grupy *Kit są nieszczęściem.
Próbowałem ostatnio zainstalować rawhide bez tych śmieci i niestety muszę stwierdzić, że wrosły w system już tak mocno, że nie da się ich bezboleśnie wyciąć.
Może uda się zrobić jakiś użyteczny desktop na CentOS6 po wycięciu tego całego badziewia. Inaczej trzeba się będzie przeprosić z FreeBSD.
Akurat PackageKit można usunąć i żadne zależności nie lecą. Robię tak od kiedy tylko się ten pakiet pojawił w dystrybucji.
Czy przypadkiem nie trzeba zastąpić tym orginalne package-not-found? Przecież PolicyKit nie rozpoznaje package-not-found po nazwie(jak zasugerował autor), lecz po pełnej ścieżce(ew. numerze w systemie plików – inode – lub czymś podobnym). Oznaca to tyle, że ktoś musiałby podmienić orginalne package-not-found.
Teraz spytajmy się: czy Package-not-found ma prawo dodawania nowych repozytoriów? Chyba nie… Dlaczego po bezpieczeństwie w Linuksie wymaga się więcej? Kiedy ktoś wpadł na pomysł, by logować się na Vistę bez hasła, podmieniając składnik systemu, to od razu wszyscy zdemontowali, iż jest to coś koniecznie do poprawy. Tutaj mamy taki drobny problem, a wsszyscy podnoszą larmo.
Package-not-found nie ma praw do dodawania nowych repozytoriów czy akceptowania kluczy, W dodatku Package-not-found działa z przywilejami użytkownika, lecz prawo do zapisu ma tylko root. Oznacza to, że nawet po instalacji jakiegoś programu z sieci(np. serwera www), to i tak jest małe zagrożenie dla naszego systemu – jeszcze na tym serwerze trzeba coś uruchomić, zmienić konfigurację, by ta pozwalała np. na wykonanie operacji exec, itd.
Jeżeli już pisać o niebezpieczeństwie, to istnieje przy sudo. PolicyKit zostało skonstrowane tak, że Package-not-found nie przejmuje uprawnień root-a, jak również nie otrzymuje podawanego przez nas hasła. Tu raczej sudo jest problemem. Zły haker ma prawo do podmiany narzędzia sudo(jeżeli wcześniej miał prawa root-a), by przechwycić nasze hasło na root-a. O zgrozo!
A jeżeli naprawdę chcecie pisać o zagrożeniach bezpieczeństwa systemu, to przyjrzyjcie się sudo w połączeniu z ~/bin .
Moja odpowiedź: Nie mam pojęcia, jak można wykorzystać Package-not-found do zrobienia czegoś złego, choć dawanie mu prawa do instalacji zaufanych programów, to chyba kpina. W końcu Fedora nie jest dystrybucją typowo desktopową(nawet Redhat ostatnio się wypowiadał, iż nie będzie poromować swoich systemów na desktopy).
Pfuu.. Zasugerowałem, że wykonanie operacji exec przez skrypt PHP stanowi duże zagrożenie. Błąd – jeżeli PackageKit zainstaluje nam serwer, to oznacza, że wcześniej z niego nie korzystaliśmy. W każdej porządnej dystrybucji serwer www, to oddzielny użytkownik, a bazda danych mysql, to też oddzielny użytkownik. W rezultacie nawet wykonanie exec, jeżeli ktoś już zainstalował nam serwer, a następnie dostał się na root-a, by zmienić jego konfigurację, nie czyni wielce wielkiego zła(lecz już może zdobyć jakieś informacje – przy odrobinie szczęścia). Jak jednak, mając tylko prawa lokalnego użytkownika i specjalnie podmieniony plik systemowy package-not-found, miałby zmienić konfigurację serwera? Tylko korzystając z praw, którymi mysiał się posłużyc, by zmodyfikować package-not-found.
Zwrócę uwage na jeszcze jedną rzecz. Po co od razu podmieniać package-not-found? Wystarczy, gdy już będę mieć odpowiednie uprawnienia, wyedytować uprawnienia dla swojej aplikacji, nadając jej prawo do wszystkiego(mam na myśli ciasteczka z uprawnieniami DBUS-a), na co pozwala PolicyKit. Ba! Mogę nawet nadać swojemu innemu skryptowi bit suid!
Choć dla mnie takie rozwiązanie, to drobna kpina, to jednak bezpieczeństwo nie zostało zbytnio narażone – tracimy faktycznie sterowanie nad własnym systemem, bo osoba niepowołana może zainstalować pożyteczną i zaufaną applikację, jednak nie stanowi to dla nas zbytecznego zagrożenia(hasła nam przecież nie złamie).
Żartujesz? Zaufaną przez kogo? Jakiegoś kolesia z Fedory? W repozytorium Fedory jest ok. 15 tys pakietów-uważasz że wszystkie są jednakowo bezpieczne i w żadnym nie ma(albo nie będzie w przyszłości) dziur bezpieczeństwa? Przecież to absurd. Nie wspominając o możliwości zapchania systemowych partycji i zrobieniu DOSa.
zapominasz o możliwości wyrzucenia komputera przez okno
"zapominasz o możliwości wyrzucenia komputera przez okno"
A tym zapominasz, ze do tego potrzebny jest fizyczny dostep do kompa.
@mby7930 A z kolei Ty zapominasz, że to system na desktop ma być
(A raczej mało znam zwykłych użytkowników, którzy korzystają ze zdalnego desktopu. Z kolei ci, którzy korzystają raczej nie ujawniają publicznie swoich danych do autoryzacji)
Domyślam się, że standardowo po instalacji Fedory sshd i forwardowanie X-ów jest raczej wyłączone.
"Rozpętał małe piekło", bo napisał trzy zdania.
W każdym razie wywalczyli tyle, że odpowiednie informacje znalazły się w Release Notes do Fedory 12.
http://docs.fedoraproject.org/release-notes/f12/e…
jest też napisane jak to "odwrócić".
Można też szybciej:
pklalockdown –lockdown org.freedesktop.packagekit.package-install
Nie, nie – takie coś jednak nie spowoduje zmiany ustawienia na stałe.
Niestety to nie zadziała na stałe, z tego co zrozumiałem: należy zastosować inną metodę – opisana jest na stronie, do której odnośnik podałeś.
PS Wcześniej ponoć nie było informacji o tej zmianie w dokumencie "release notes", a teraz go nawet wyraźnie oramkowali!
@spy000yps: Mniej emocji, poza tym, że informacja ciekawa, to trochę za bardzo subiektywnie ją napisałeś ("totalnie ją olali") i musiałem nieco zredagować, żeby nie raziło, w komentarzach też nie potrzebnie naskakujesz na tych, którzy się z tobą nie zgadzają.
Ja się np. zgadzam, że zasadniczy błąd polegał na braku komunikacji – to jest zaskakująca funkcja systemu i jeśli użytkownicy nie zostali o niej wcześniej powiadomieni, to mają prawo czuć się z tym źle. Ale czy to jest "dziura", to nie byłbym wcale przekonany. Instalowanie pakietów z zaufanych repozytoriów to przecież nie jest to samo co złamanie hasła lub podstawienie rootkita. Jeśli to tylko doinstalowanie (a nie usuwanie), to naprawdę można ocena tego nie jest tak twarda i jednoznaczna, jak to się tobie wydaje.
Zgadzam się z tobą Kocio w 100%. W temacie samego newsa i komentarzy oraz samego bezpieczeństwa.
Tragedia to co się dzieje teraz na osnews…
zgadza się. Autor newsa wygodnie zapomniał napisać, że bez hasła instalowane są wyłącznie paczki podpisane cyfrowo.
"zgadza się. Autor newsa wygodnie zapomniał napisać, że bez hasła instalowane są wyłącznie paczki podpisane cyfrowo."
Pier… dolisz. Napisałem "zainstalować jakiś program znajdujący się w repozytorium Fedory" – każdy pakiet w repo Fedory jest podpisany. I co z tego. Jeśli nie rozumiesz sensu dziury, to po co się odzywasz.
Nie próbuj mnie też dyskredytować jakimś lamerskim, że czegoś tam dla wygody nie napisałem.
wasc pohamuje jezyk — to nie hyde park. z wlasnego
doswiadczenia podpowiem, ze takie odzywki raczej sa
dosc nisko punktowane (:
Za to wysoko punktowana jest kłamliwa insynuacja, że ktoś coś powiedział lub nie powiedział
Naginasz fakty, facet. I tyle na ten temat.
Zgadzam się również, to nie jest "dziura". Administrator jeśli ma ochotę może sobie to bez problemu wyłączyć – odinstalować pakiet, albo wyłączyć repozytoria.
A dlaczego nie tak — "admin jesli chce, moze ja sobie wlaczyc"?
@macias: bo taka jest decyzja projektowa opiekunów dystrybucji. Nie wszystkim musi się podobać, ale to jeszcze nie znaczy, że to dziura.
poza tym kwestia grupy docelowej – Fedora jest podobno na pulpity, podobnie jak zwykłe samochody są do jeżdżenia po mieście w czasie pokoju, a samochody opancerzone w czasie wojny.
Jak ktoś ma ochotę sobie dodać pancerz do swojego samochodu, to niech dodaje, ale nie róbmy wszystkich samochodów w mieście na siłę opancerzonymi.
@kocio: błąd logiczny. To, czy coś jest dziurą czy nie, nie zależy od tego, czy to świadoma decyzja opiekunów, czy przypadkowe omsknięcie się palca.
Czy jak opiekunowie dystrybucji podejmą decyzję projektową "root jest dostępny bez hasła", to będzie to dziura czy nie?
Poza tym spy000ps dobrze napisał, jak to może zadziałać: jest znana exploit na program X, programu X nie ma na kompie, to sobie go user doinstaluje.
A ogólnie to w tym przypadku Fedorę dopadł po prostu trade-off "wygoda usera vs. bezpieczeństwo".
"Czy jak opiekunowie dystrybucji podejmą decyzję projektową “root jest dostępny bez hasła”, to będzie to dziura czy nie?"
No, wlasnie NIE BEDZIE.
Tzw. dziura to sytuacja, ktorej deweloper CHCIAL uniknac, a nie ktora zaplanowal.
Bzdura. Dziura w bezpieczeństwie to coś, przez co można naszkudzić w systemie. Idąc Twoim tokiem rozumowania windowsowy UAC nie jest dziurą, bo został dodany świadomie, chociaż powszechnie wiadomo, że praktycznie nikt dialogów nie czyta tylko klika z automatu OK.
"Bzdura. Dziura w bezpieczeństwie to coś, przez co można naszkudzić w systemie."
czyli idąc twoim tokiem rozumowania tzw. fizyczny dostęp do komputer to dziura
ty chyba, rzeczywiście jesteś z Marsa…
@mby: tak, fizyczny dostęp do komputera to jest dziura. Dlatego do krytycznych maszyn nie można sobie podejść i się pobawić.
(…) i właśnie tutaj musimy się zastanowić – Fedora ma być systemem na krytyczne maszyny czy na maszyny typu Desktop ?
Ja uznaję, że maszyny typu desktop nie należy tak silnie zabezpieczać ja krytyczne maszyny. A taka praktyka – stan psychiczny w którym stosuje się przerost zabezpieczenia nad zabezpieczanym środkiem ma swoją nazwę – paranoja.
@iron_irony: jak dla mnie to ma być jak najbardziej systemem desktopowym, a na takim, w imię wygody użytkownika, się różne dziury toleruje.
Nie zmienia to jednak faktu, że są dziurami.
Nie rozumiem tej gadki, policykit może miec tak zrobione że przy pierwszym użyciu komendy zapyta się czy chcesz mieć bez hasła na teraz czy na zawsze, a może chcesz wpisywać za każdym razem.. Czemu ktoś ustawia że na zawsze user może używać bez hasła? :O
@ufoludek – tak jak wspomniałem wcześniej to nie dziura. Dziurą jest błąd wprowadzony niecelowo, który umożliwia przełamanie zabezpieczeń, a nie jest – świadoma decyzja projektowa.
Jeśli, ta decyzja projektowa się nie podoba, to zmieniamy distro, albo nie instalujemy PackageKit. Niektórzy administratorzy instalują wszystkie pakiety ze standardowych repozytoriów danej dystrybucji. Logicznie rzecz ujmując, nie różni się to niczym od umożliwienia instalacji wszystkich pakietów ze standardowych repozytoriów danej dystrybucji.
Przypominam pakiety muszą być podpisane, oraz repozytoria muszą zostać dodane przez administratora, a PackageKit musi zostać zainstalowany, no i oczywiście na koniec – użytkownik musi być zalogowany (raczej lokalnie).
Admin to najpierw w ogóle musi wiedzieć, że jest coś do wyłączenia. A tu nie miał się skąd dowiedzieć.
to słaby z niego admin
poza tym aktualne rozwiązanie mnie satysfakcjonuje. Teraz już nie ma wymówki.
dziękuję za 3 minusy za poprzedni komentarz – rozumiem, że stawiający je uznają, że ma wymówkę – dziecko czytać nie umie
iron, minus w dzisiejszych czasach to jak plus
kociu ale w połączeniu z możliwością przedstawienia się jako repo fedory to jest już problem. Pozwalający na eskalacje.
Dns poisoning -> jest trywialne
Podpierdzielenie certyfikatu -> nie jest proste ale nie jest także nie możliwe.
Wcale nie musisz hackować żadnych pakietów wystarczy że dodasz swój.
Później wystarczy wpisać jedna komendę z konta normalnego i po krzyku.
W momencie w którym masz prywatny klucz Fedory nie potrzeba żadnego PackageKit. Wystarczy ,,wydać'' nową i ,,poprawioną'' wersję np. OpenSSH. Większość użytkowników zaktualizuje.
"Ale czy to jest “dziura”, to nie byłbym wcale przekonany"
Kolejny znawca ch. wie czego.
Sorry koleś, ale kilku ludzi (między innymi HPA i JG – powinieneś kojarzyć w końcu piszesz bzdety o Linuksie od jakiegoś czasu) chce zarezerwować na to CVE – dlaczego? Bo mają na tyle wyobraźni, żeby zrozumieć możliwe implikacje tego, że każdy sobie może w systemie zainstalować co chce. Jeśli wy tego nie jarzycie, to nie mój problem.
EOT z mojej strony.
Hmm, wczoraj zaktualizowałem kompa do Fedory 12, przetestowałem nawet to command-not-found, ale na istnienie takiego błędu nie wpadłem. Niezła wtopa.
Dziwne, bo jednocześnie w Fedorze zwykłego użytkownika trzeba sobie dodawać do grupy wheel, a potem przez visudo zmieniać uprawnienia dla tej grupy, żeby ten użytkownik mógł korzystać z sudo. Tu taka porażka, a z drugiej strony w przypadku sudo "dbałość" o bezpieczeństwo wręcz irytująca.
Nie. To klasyczna konfiguracja w każdym linuksie.
Zasadę już ktoś opisał – zabezpieczenia na maksa, a jeśli ktoś zechce, to sobie w nich robi "dziurkę".
Jeżeli ma świadomość co i po co robi, to jego sprawa, jeżeli nie, to mu to nie potrzebne i raczej nie będzie również potrafił.
Jeżeli jednak potrzebne, a nie umie, to dość łatwo może się douczyć.
Wbrew zasadzie jest domyślne konfigurowanie "dziurek".
Wyolbrzymiając można napisać "teraz czekamy na wydanie z samych luk, kto ich nie chce, niech sobie poprawi".
W pełni się zgadzam, to brzmi logicznie. Nie zmienia to jednak faktu, że w takim Ubuntu czy openSUSE (niech ktoś mnie poprawi, jeśli się mylę) ta "dziurka" standardowo jest. Zupełnie inaczej jest w Archu czy Slacku, nie pamiętam jak w Debianie.
w ubuntu administrować systemem może tylko konto zrobione przy instalacji, każde następne z profilem "desktop user" ma wyłączoną administrację systemem, nawet jak podadzą swoje hasło po sudo. Oczywiście do wyboru przy zakładaniu nowego konta mamy jeszcze administrator i unpriviliged ten pierwszy może jak sama nazwa mówi wszystko, a ten drugi nic. Same ustawienia co wolno, a co nie można ręcznie dostosować niezależnie od tego jaki profil się wybrało.
Wydaje mi się, że nie załapałeś o co chodzi
.
Tu nie chodzi o sudo – skrypt nie korzysta z sudo(nie ma do niego wpisu w sudoers). Zamiast tego korzysta z PackageKit(i pośrednio z PolicyKit). By odebrać temu skryptowi prawa do wykonania tej akcji, to wystarczy uruchomić specjalne narzędzie konfiguracyjne(dostępne graficznie, pewnie w system->administracja), prawdopodobnie o nazwie uprawnienia. Tam jedynie usuwasz uprawnienie dla command-not-found, a przy każdej próbie zainstalowania czegoś przez command-not-found system poprosi o hasło na konto administratora.
Zainstalowalem na domowym serwerze z f12 PackageKit-command-not-found i niestety na zwyklym uzytkowniku, zalogowanym zdalnie po ssh:
* Waiting for authentication.. The transaction failed: not-authorized, Failed to obtain authentication.
Czy autor nie raczyl sprawdzic, ze dziala to tylko dla lokalnie zalogowanych uzytkownikow zanim napisal newsa o tak krytycznym bledzie?
Dobre… a jak już ktoś jest zalogowany lokalnie i ma dostęp do maszyny, to co mu przeszkadza włamać się w standardowy sposób?
niekoniecznie
1)szyfrowanie dysków i wcale sie tak łatwo nie wbijesz
2) terminal (bootowanie przez sieć)-> jestes zalogowany "lokalnie" ale wcale nie masz dostępu do maszyny
Fizyczny dostęp umożliwia zainstalowanie sprzętowego keyloggera. Przyjmuje się, że maszyna do której miał dostęp atakujący jest skompromitowana (do zaorania/audytu/zniszczenia). Ważny jest tylko punkt 2.
"skompromitowana"
skompromitowana powinien byc ten, kto "przetlumaczyl" w ten sposob slowo "compromised"
Kompromitacja: podważenie autorytetu, wiarygodności. Skompromitowana maszyna — taka, której już nie ufamy. To nie jest kalka z ang. compromised.
dobrze, ze nie "maszyna, ktora dla nas juz nie jest autorytetem"
blahahahahahahahaha – no rzeczywiscie w takim razie luka neizla
– rownie dobrze mozna powiedziec ze komputery sa niezabezpieczone bo mozna dysk wykrecic 
ALERT FAIL
Burzycie się jak by to był wielki błąd bezpieczeństwa, ale chyba malo kto tutaj wie takie życie, że im więcej funkcjonalności, udogodnien, lub dobrej zabawy[wybaczcie, jestem na zejściu:D], tym mniej bezpieczeństwa, "no risk = no fun", jedyna możliwość na 100% bezpieczeństwa to odłączyć sprzęt od prądu… a nawet nie, bo mogą go zniszczyć, ukraść, zepsuć, włączyć, więc najlepiej go nie miec;)
A to że o tym nie poinformowali to inna kwestia… Ale to czy powiedzieli o tej zabawce czy nie, nie ma nic do tego jakie ona stwarza zagorzenie/jak przydatna jest
Bardzo dobra decyzja, przeciez to jest system na desktop. Jezeli z maszyny korzysta jeden uzytkownik, to przed czym ma go chronic wpisywanie hasla roota za kazdym razem? przed samym soba?
Jezeli badware uzyska dostep do konta uzytkownika, to dobranie sie do hasla roota na desktopie jest tylko kwestia czasu (np. moze podszyc sie pod gksu albo gksudo).
Odnoszę wrażenie, że temat jest trochę rozdmuchany. Polecam lekturę artykułu Fedora 12 zmienia uprawnienia instalacyjne.
Odnoszę wrażenie, że linuksowi luserzy poczuli nóż na gardle – w Linuksie pojawiła się funkcjonalność, która w Windows wywołała by salwy śmiechu. Jednak ponieważ pojawiło się to w Linuksie i kilku kolesi łącznie z totalnie ograniczonym developerem PolicyKit nie widzą w tym problemu, to trzeba jakoś usprawiedliwić wtopę.
To mi tak trochę przypomina folwark zwierzęcy i ichniejsze aktualizacje ustanowionego prawa.
No dobra, to już naprawdę EOT z mojej strony. Nie chce mi się tracić czasu na dyskusje.
Wszystkim życzę tego, żeby nowa wspaniała funkcjonalność została zaadoptowana w waszych ulubionych distrach
hm, za takie zyczenia to minus leci jak nic
Grochem o ścianę, co?
Kojarzysz słynny cytat o umarłych z szóstego zmysłu?
Ktoś go kiedyś przerobił – akurat bardzo pasuje do tej sytuacji
I see dumb people – they're everywhere. They walk around like everyone else. They don't even know that they're dumb.
Zawsze się zastanawiam, skąd tacy ludzie, święcie przekonani o swojej racji i widzący idiotów u wszystkich, którzy się z nimi nie zgadzają, się biorą… Całe szczęście, że prędzej czy później jednak sami robią z siebie idiotów, na przykład stylem swoich wypowiedzi :>
I brakiem argumentacji…
spy000yps:
keep him tied, it makes him well,
he's getting better, can't you tell?
Windows pozwala na instalowanie podpisane cyfrowo sterowniki(nawet chyba bez specjalnych uprawnień).
a jezyk polska pozwala na odmienic czasowniku i rzeczownika
przez przypadek.
Odnoszę wrażenie, że powinieneś szybko rozważyć zapomnienie o tym ,,niebezpiecznym'' i ,,lamerskim'' Linuksie i przejść na fribzdi. Mentalnie pasujesz mi do pewnego dewelopera tego ostatniego…
I pozamiatane… Fedora cofa zmianę uprawnień instalacyjnych
Hmm… nie chcę się mądrzyć, ale z tego co wyczytałem, to możemy zainstalować pakiet, ale nie będziemy zdolni do uruchomienia dostarczanych przez niego binarek z uprawnieniami roota. Owszem, może się zdarzyć, że w zainstalowanym pakiecie będzie bug pozwalający na podniesienie uprawnień i to chyba jedyny poważny błąd w założeniach. W pewnym sensie jesteśmy zmuszeni do całkowitego zawierzenia w jakość dostarczanych przez producenta systemu pakietów, ale z drugiej strony w większości przypadków i tak to robimy. Jakoś trudno mi uwierzyć, że każdy z Was ściąga same SRPM'y, przygląda źródła w celu znalezienia bugów, następnie poprawia, kompiluje i testuje każdy pakiet
Jak ktoś twierdzi że to nie błąd, to niech mi powie czy zwykły sposób instalowania programów, bez tego command-not-found, jest możliwy bez konta roota. Jeśli jest to można to nazwać ficzerem, jeśli nie jest – błąd, bo umożliwia instalację, mimo że normalnie nie jest to możliwe. I tyle.
Czyli działanie sudo też jest błędem, a nie ficzerem, bo normalnie nie można uzyskać praw roota bez podania jego hasła… Tak?
Ale o to ze w Ubuntu mozna sie zalogowac na roota bez podawania hasla to sie nie klocicie. I nie chodzi mi o sudo tylko poprostu tryb "naprawiania" w grubie.
Musisz podać hasło – hasło na bootloader
.
Mimo tego, że takie działanie wprowadzono tylko w wydaniu 'Desktop' to sposób wprowadzenia niestety niepokoi mnie odrobinę co może się stać w przyszłości w wydaniach serwerowych/multi-user. Mam nadzieję, że nic podobnego się nie stanie, bo Fedora od wielu lat świetnie sprawowała się na serwerach i chciałbym by tak pozostało.
Czyżby developarzy zmienili zdanie?
http://dodoincfedora.wordpress.com/2009/11/20/fed…
Dzięki za linka – sporo wyjaśnia.
Czego tu się spodziewać w koncu Fedora to poligon testowy dla Red Hata
taaaa… niedługo jak wpiszę komendę której nie ma to mój system sam będzie dzwonił po specjalistę od RedHata, ten w ciągu godziny będzie docierał na miejsce i swoim magicznym abra kadabra naprawiał problem… a potem dostanę darmowego cukierka z logiem RH… Lepiej by się zajęli standaryzacją tych dystrybucji, a nie jakimiś pierdołami się zajmują… ehs…
to co opisujesz chyba i tak jest lepsze niz to, co dostajesz
w Windzie (cukierkow nie ma, tylko przyjezdza tir z napisem
"Service Pack" : )
a tak generalnie to "yum remove PackageKit-command-not-found" i po wielkim bugu ;]
Hmm… trochę nieładnie, to ja tu jestem Identyfikator ;P Wielki burdel tu panuje, opcja "Twoje komentarze" pokazuje mi te komentarze jako moje :/
Trochę się zdziwiłem, że nie pamiętam żebym coś takiego pisał, tym bardziej że na weekendzie nie piłem ;]
O pardon… nie wiedziałem ;] to będę się podpisywał "Identyfikator (wymagane)" ;]
I’d have to settle with you one this subject. Which is not something I typically do! I love reading a post that will make people think. Also, thanks for allowing me to comment!
I’d have to play ball with you here. Which is not something I typically do! I love reading a post that will make people think. Also, thanks for allowing me to comment!
vast diary you’ve secure
There is definitely a ton to know about this. I think you made some good points in this post.
Wonderful site you have here but I was wanting to know if you knew of any community forums that cover the same topics talked about in this article? I’d really like to be a part of group where I can get opinions from other knowledgeable individuals that share the same interest. If you have any suggestions, please let me know. Cheers!
I believe avoiding packaged foods would be the first step to help lose weight. They might taste beneficial, but packaged foods include very little vitamins and minerals, making you take in more only to have enough vigor to get over the day. Should you be constantly ingesting these foods, transferring to whole grains and other complex carbohydrates will let you have more electricity while ingesting less. Great blog post.
I’ve to confess that i sometimes get bored to read the whole thing but i feel you may add some value. Bravo !
I’ve added Your blog to my favourites features and functions and awaiting next articles.
Having just been looking for useful blog posts for the research project I’ve been working on when I happened to find yours. Thanks for this informative material! — Park Clerk of District Court
Wow that was odd. I just wrote an very long comment but after I clicked submit my comment didn’t appear. Grrrr… well I’m not writing all that over again. Anyway, just wanted to say wonderful blog!
Having just been looking forinformative blog posts for the research project I’ve been working on when I happened to stumble upon yours. Thanks for this helpful material! — Picture Scan
One thing I would like to say is the fact before obtaining more laptop memory, take a look at the machine in to which it would be installed. When the machine is actually running Windows XP, for instance, the actual memory limit is 3.25GB. Adding in excess of this would easily constitute some sort of waste. Be sure that one’s mother board can handle the upgrade volume, as well. Good blog post.
These days, it is possible pertaining to Wii owners to smartly run an unlock software and gain access to complete the additional features and not kill their gadget.
At ALL! Not even stupid funny or slapstick humour, it was soo bad (not even comically bad) just so goddamn bad I’d prefer to watch MacGruber and Troll 2 on repeat for 3 straight days before even THINKING about watching this horrendous piece of produced sh!t ever again.
An interesting discussion is worth comment. I think that you should write more on this topic, it might not be a taboo subject but generally people are not enough to speak on such topics. To the next. Cheers
Most anti-aging skin products aim to provide nutrients to skin debris, thus allowing them to be able to heal after there’s been recently damage, and replacing most of the moisture and fat which were lost.
There is not each and every day which i didn’t go to your blog, it’s just so enjoyable and uplifting to be here day in reading your notions and your articles. Keep on posting you have me hook my pal.
This amazing site rocks !. Simply put i always come upon new things & a variety of what follows. Many thanks for which in turn data.
Exceptional short article! I’ll enroll right next wth my best feedreader software application!…
I generally don’t leave blog comments but your blog forced me to, amazing work.
Every time a character would say „fuck” everyone laughed.
Thanks for taking the time to debate this, I feel strongly about it and love studying more on this topic. If possible, as you achieve experience, would you thoughts updating your weblog with further info? It is extremely helpful for me.
Great thanks
Victory in any respect costs, victory despite all terror, victory however lengthy and hard the street additionally be; for without victory, factor as a survival.
Actually like your web sites details! Undoubtedly a wonderful supply of knowledge that’s extraordinarily helpful. Carry on to carry publishing and that i’m gonna proceed reading by the use of! Cheers.
This web site might be walk-through for the information you wanted with this not to mention don’t comprehend who seem to should certainly be asked. Glance on this page, and you may definitely learn about the item.
Superb content! I’ll subscribe best suited at this moment wth my favorite feedreader program!…
Cool
Great blog. Lots of blogs like this cover subjects that just aren’t covered by magazines. I don’t know how we got on 12 years ago with just print media.
Really like your websites particulars! Undoubtedly a wonderful provide of information that is extraordinarily helpful. Stick with it to hold publishing and i’m gonna proceed studying by the use of! Cheers.
Exciting
Great blog you have here. Many websites like this cover subjects that can’t be found in print. I don’t know how we got on 12 years ago with just magazines and newspapers.
I precisely wanted to say thanks all over again. I do not know what I would have gone through without the thoughts shown by you over my question. It was actually an absolute horrifying condition for me, however , understanding your expert avenue you processed that made me to weep with delight. I am happier for your assistance and have high hopes you comprehend what an amazing job you are undertaking teaching the rest through your blog. I’m certain you have never come across any of us.
Please let me know if you’re looking for a article author for your site. You have some really great posts and I believe I would be a good asset. If you ever want to take some of the load off, I’d really like to write some material for your blog in exchange for a link back to mine. Please send me an e-mail if interested. Thanks!coach outlet online
Actually your creative writing abilities has inspired me to begin my own weblog now.
Jesus is God in the flesh he loves Hm clothing
The prostate cancer will be the abnormal growth of cells while in the prostate gland which will be the part of male reproductive system. Prostate cancer symptoms might or will possibly not manifest in a man experiencing this condition. Being a slow developing type of cancer, some men who contain the disease might not even know that they have it.
What an enjoyable (and may I say insightful) read! You may not know it, but this post of yours gave me so many realizations. I wonder if it occurs to you and other people, too, but there are times when I get wonderful ideas from things that don’t have anything to do at all with what’s in my mind. On a different note, I read a lot of blogs, it’s what I do before I head off to the gym, and I can’t believe some of the trash that some people are putting out, like a magic bullet for this, and a so-called-secret for that. Like in the topic of body-building, I’ve read quite a number of blogs that talk about products that make building muscles almost instantaneous! Imagine, bodybuilding without breaking a sweat?! Come on! At the very least you need to have a workout program which you will actually follow! Now I’m ranting, sorry. I’ll look around your blog some more before heading to another one.
Cool
Keep blogging and site-building. Anyway, thank you and I anticipate posting once more sometime!
Great post, I just bookmarked your site and I’ll definitely be back again. -Odessa Linzey
Stop with Rebecca Black.. seriously. I WANT A REAL TRENDING TOPIC!!
Hi my name is bob khakshooy. You completed a number of nice points there. I did a search on the issue and found most persons will have the same opinion with your blog.
very good submit, i certainly love this website, keep on it
Thanx for the effort, keep up the good work Great work, I am going to start a small Blog Engine course work using your site I hope you enjoy blogging with the popular BlogEngine.net.Thethoughts you express are really awesome. Hope you will right some more posts.
Oh my goodness! an amazing article dude. Thank you However I am experiencing issue with ur rss . Don’t know why Unable to subscribe to it. Is there anyone getting identical rss problem? Anyone who knows kindly respond. Thnanks.
Old hammered coins have grown to be increasingly popular among collectors that appreciate the history and culture that is definitely engrained in their very essence.
Amazing post. Extremely informative. Thanks for writing this.
Congratulations on possessing definitely one of one of the crucial refined blogs Ive arrive across in a while! Its simply wonderful how much you’ll be able to take into account away from a thing principally merely because of how visually beautiful it is. Youve place collectively an awesome weblog website space –great graphics, motion pictures, layout. That is actually a should-see website!
Great thanks
Superb Article.appreciate have..way more wait around for ..
…