Moritz Muehlenhoff опубликовал (http://permalink.gmane.org/gmane.linux.debian.devel.announce... информацию о запланированных улучшениях Debian Lenny (http://wiki.debian.org/Hardening), связанных с повышением безопасности. Краткое обобщение:- Stack protector (http://en.wikipedia.org/wiki/Stack-smashing_protection) - сборка пакетов с включенной в GCC опцией "-fstack-protector" для защиты от атак, направленных на переполнение буфера и стека.
- Fortify Source - активация средства glibc ("-D_FORTIFY_SOURCE=2" ) для дополнительной внутренней проверки выхода за пределы буфера функций, таких как strcpy.
- Format warnings (http://en.wikipedia.org/wiki/Format_string_attack) - защита от атак через параметры форматирования строки (format-string), обеспечивается сборкой с параметрами "-Wformat" и "-Wformat-security".
- Address Space Layout Randomization - случайный выбор позиции для размещения стека и области выделяемой через mmap памяти;
- relro - переключение определенных областей памяти, после загрузки исполняемого приложения, в режим только для чтения. Включается через сборку с "-Wl,zrelro";
Для проверки сборки программ с новыми опциями компилятора, создан
экспериментальный враппер (http://packages.qa.debian.org/h/hardening-wrapper.html),&nbs...сейчас сборка около 700 пакетов завершается ошибкой.
URL: http://permalink.gmane.org/gmane.linux.debian.devel.announce...
Новость: http://www.opennet.me/opennews/art.shtml?num=13936
А как в Gentoo включить этот "-fstack-protector" кто-нить знает?
>А как в Gentoo включить этот "-fstack-protector" кто-нить знает?в /etc/make.conf в переменной CFLAGS внутри ковычек добавить -fstack-protector
а SELinux помоему если нужен то стоит того, чтоб вручную настоить...
>а SELinux помоему если нужен то стоит того, чтоб вручную настоить...а если не нужен, то не стоит того, чтоб вручную настроить?..
полет мысли...
>А как в Gentoo включить этот "-fstack-protector" кто-нить знает?в hardened-stage идет hardened-gcc и там уже включены эта и другие укрепляющие опции и в нагрузку идут технологии PIE и SSP
Ещё бы SELinux из каробки вставал - я бы на него с убунты перешёл...
>Ещё бы SELinux из каробки вставал - я бы на него с
>убунты перешёл...Сам понял че сказал?
>Ещё бы SELinux из каробки вставал - я бы на него с
>убунты перешёл...У Гены коробки нету,а [...] есть: может она не для бубунтологов ?
Это насколько надо иссушить моск безпрерывной компиляцией чтобы не заметить что новость про Debian, а не про генту?!
>А как в Gentoo включить этот "-fstack-protector" кто-нить знает?в /etc/make.conf в переменной CFLAGS внутри ковычек добавить -fstack-protector
а SELinux помоему если нужен то стоит того, чтоб вручную настоить...
Возникает вопрос по скорости ПО после применения таких флагов, ls не интересно, интересно только Apache, mysql и т.д.
-3-5% в минус на больших нагрузках 2-3% RAM в плюц расхода (Gentoo hardened glibc-2.7+ grsecurity)
" интересно только Apache, mysql и т.д." -> Сильно (+-2%) зaвисит от характера кода и архитектуры приложения (частота подгрузки библиотек,кол-во буферов,стиль кода .. etc)