URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 70592
[ Назад ]

Исходное сообщение
"Оценка безопасности различных дистрибутивов Linux "

Отправлено opennews , 13-Сен-10 11:43 
Лаборатория компании MWR Infosecurity (http://www.mwrinfosecurity.com) провела сравнительный анализ дистрибутивов Linux с точки зрения информационной безопасности. Результаты исследования изложены в статьях "Анализ безопасности кода, выполняемого в адресном пространстве пользователя (userspace) (http://labs.mwrinfosecurity.com/notices/security_mechanisms_.../)" и "Анализ безопасности кода ядра (http://labs.mwrinfosecurity.com/notices/assessing_the_tux_st.../)".


Атаки вредоносного кода, направленные на разрушение структур оперативной памяти сегодня являются одними из наиболее распространенных, эволюционируя от известных способов переполнения стека к новым, более сложным механизмам, разрушающим логическую целостность процессов операционной системы. С большой вероятностью, практически любая из известных типов атак в той или иной степени применима к ОС Linux, а защита от таких атак негативно сказывается на...

URL: http://labs.mwrinfosecurity.com/notices/assessing_the_tux_st.../
Новость: http://www.opennet.me/opennews/art.shtml?num=27938


Содержание

Сообщения в этом обсуждении
"Оценка безопасности различных дистрибутивов Linux "
Отправлено prapor , 13-Сен-10 11:43 
Хм. Надо потестить на эту тему RHEL с включенным SELinux. Интересно, как оно себя покажет.

"Оценка безопасности различных дистрибутивов Linux "
Отправлено аноним , 13-Сен-10 12:21 
Действительно странно.
Всё-таки RHEL/CentOS используются гораздо чаще, чем Hardened Gentoo, а по плюшкам безопасности находятся на том же уровне, если не выше.

Наверное, авторы просто не хотели рекламировать отдельно взятую фирму.


"Оценка безопасности различных дистрибутивов Linux "
Отправлено Аноним , 13-Сен-10 12:33 
>Действительно странно.
>Всё-таки RHEL/CentOS используются гораздо чаще, чем Hardened Gentoo, а по плюшкам безопасности
>находятся на том же уровне, если не выше.

Ситуацию с RHEL/CentOS неплохо отражает Fedora. Так как в Fedora дополнительно обкатываются некоторые экспериментальные вещи, которых еще нет в RHEL/CentOS, то Fedora 13 заведомо содержит больше связанных с безопасностью функций.


"Оценка безопасности различных дистрибутивов Linux "
Отправлено аноним , 13-Сен-10 14:02 
>Ситуацию с RHEL/CentOS неплохо отражает Fedora.

Нет. Fedora - обычный десктопный дистр, там нет кучи параноидальных защит, характерных для промышленных дистрибутивов.
Просто потому, что они усложняют жизнь простым юзерам и часто приводят к замедлению скорости работы.


"Оценка безопасности различных дистрибутивов Linux "
Отправлено Michael Shigorin , 14-Сен-10 23:17 
> там нет кучи параноидальных защит, характерных для промышленных дистрибутивов.

Можно примерчик?

> Просто потому, что они усложняют жизнь простым юзерам и часто приводят
> к замедлению скорости работы.

Когда это особо кого беспокоило в rawhide/fedora...


"Оценка безопасности различных дистрибутивов Linux "
Отправлено prapor , 13-Сен-10 14:02 
Но ситуация таки отличается. Вот пример из RHEL 6 beta 2 (примерно та же 12-13 федора):
2.6.32-44.2.el6.x86_64 #1 SMP Wed Jul 21 12:48:32 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed
Executable anonymous mapping (mprotect)  : Vulnerable
Executable bss (mprotect)                : Vulnerable
Executable data (mprotect)               : Vulnerable
Executable heap (mprotect)               : Vulnerable
Executable stack (mprotect)              : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Writable text segments                   : Vulnerable
Anonymous mapping randomisation test     : 28 bits (guessed)
Heap randomisation test (ET_EXEC)        : 14 bits (guessed)
Heap randomisation test (PIE)            : 28 bits (guessed)
Main executable randomisation (ET_EXEC)  : No randomisation
Main executable randomisation (PIE)      : 28 bits (guessed)
Shared library randomisation test        : No randomisation
Stack randomisation test (SEGMEXEC)      : 28 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 28 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Vulnerable
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy, PIE)         : Vulnerable

SELinux стоит как Permissive (рабочий десктоп). В логах проскакивает ругать, что кое-что из прошедшего должно было быть заблокировано:
type=1400 audit(1284371906.231:27969): avc:  denied  { execheap } for  pid=17696 comm="mprotheap" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=process


"Оценка безопасности различных дистрибутивов Linux "
Отправлено stranger , 13-Сен-10 15:35 
>Но ситуация таки отличается. Вот пример из RHEL 6 beta 2 (примерно
>та же 12-13 федора):
>2.6.32-44.2.el6.x86_64 #1 SMP Wed Jul 21 12:48:32 EDT 2010 x86_64 x86_64 x86_64
>GNU/Linux

А что помешало включить enforcing перед проверкой? Было бы интересно посмотреть на результаты со включенным SELinux.



"Оценка безопасности различных дистрибутивов Linux "
Отправлено prapor , 13-Сен-10 17:34 
Да результат не сильно отличился.
2.6.32-44.2.el6.x86_64 #1 SMP Wed Jul 21 12:48:32 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed
Executable anonymous mapping (mprotect)  : Vulnerable
Executable bss (mprotect)                : Vulnerable
Executable data (mprotect)               : Vulnerable
Executable heap (mprotect)               : Killed
Executable stack (mprotect)              : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Writable text segments                   : Vulnerable
Anonymous mapping randomisation test     : 28 bits (guessed)
Heap randomisation test (ET_EXEC)        : 14 bits (guessed)
Heap randomisation test (PIE)            : 28 bits (guessed)
Main executable randomisation (ET_EXEC)  : No randomisation
Main executable randomisation (PIE)      : 28 bits (guessed)
Shared library randomisation test        : No randomisation
Stack randomisation test (SEGMEXEC)      : 28 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 28 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Vulnerable
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy, PIE)         : Vulnerable

Но в общем таки можно его силами прикрыться.


"Оценка безопасности различных дистрибутивов Linux "
Отправлено solardiz , 14-Сен-10 06:01 
> Но ситуация таки отличается. Вот пример из RHEL 6 beta 2 (примерно та же 12-13 федора):
> 2.6.32-44.2.el6.x86_64 #1 SMP Wed Jul 21 12:48:32 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux

Это не сравнение Fedora vs. RHEL. Это сравнение i686 vs. x86_64 - разумеется, результаты будут разными, хотя бы потому что размер адресного пространства отличается. А если запустить 32-битную сборку paxtest на x86_64 ядре (с CONFIG_IA32_EMULATION) - получится еще один набор результатов, не совпадающий ни с одним из двух "простых".


"Оценка безопасности различных дистрибутивов Linux "
Отправлено prapor , 15-Сен-10 00:58 
Ну нету у меня i686, нету. И проверять негде.

"Оценка безопасности различных дистрибутивов Linux "
Отправлено i , 14-Сен-10 11:01 
на том же уровне? не смешите, ещё раз перечитайте статью и сравните какие механизмы где используются.

"Оценка безопасности различных дистрибутивов Linux "
Отправлено Аноним , 13-Сен-10 11:50 
А, где *BSD системы?

"Оценка безопасности различных дистрибутивов Linux "
Отправлено BirdGovorun , 13-Сен-10 12:53 
> А, где *BSD системы?

Причем здесь *BSD системы, в заголовке написано,
Оценка безопасности различных дистрибутивов Linux


"Оценка безопасности различных дистрибутивов Linux "
Отправлено Аноним , 13-Сен-10 11:57 
>напирмер, wine требует установки mmap_min_addr в 0

Wine уже давно такого не требует.


"Оценка безопасности различных дистрибутивов Linux "
Отправлено RapteR , 13-Сен-10 12:12 
Етерсофтовский требует

"Оценка безопасности различных дистрибутивов Linux "
Отправлено log , 13-Сен-10 19:38 
Не видел, чтобы требовал. Только рекомендации от ребят с Etersoft в мануале встречал.
На практике -wine@etersoft ни разу не требовал установить vm.mmap_min_addr = 0.

"Оценка безопасности различных дистрибутивов Linux "
Отправлено Зенитар , 13-Сен-10 14:36 
Этого требуют 16-битные программы для Windows 3.1

"+"
Отправлено daevy , 13-Сен-10 12:10 
>Hardened-версия Gentoo выбрана как демонстрация дистрибутива, который включает >в себя практически все известные методы защиты кода.

ради демонстрации, NetSecL надо было еще затестить.

> SSP ... Gentoo - почти не используют (10%).

wtf?!? по дефолту все собирается с pie и ssp. они там gcc-nossp использовали чтоли??


"+"
Отправлено Daemontux , 13-Сен-10 13:25 
>> SSP ... Gentoo - почти не используют (10%).
>wtf?!? по дефолту все собирается с pie и ssp. они там gcc-nossp использовали чтоли??

тоже удивило.

Либо они чего то не так сделали, либо боялись, что владельци др дистров лопнут от завести


"+"
Отправлено upyx , 13-Сен-10 13:27 
А зачем?
Как я понял, SSP дает возможность определить изменения в выполняемом коде, в то время как RELRO не позволяет их произвести. Бишь, при использовании RELRO, SSP уже излишен.

"+"
Отправлено daevy , 13-Сен-10 13:47 
однако

media ~ # wget -q http://www.debian-administration.org/articles/76/test-ssp.c
media ~ # gcc-3.4.6 -fstack-protector -o test-ssp test-ssp.c
media ~ # ./checksec.sh --file test-ssp
RELRO           STACK CANARY      NX            PIE                     FILE
Full RELRO      No canary found   NX enabled    PIE enabled             test-ssp
media ~ # ./test-ssp `perl -e 'print "x"x1234'`
Hello xxxxxxx....
*** stack smashing detected ***: test-ssp - terminated
test-ssp: stack smashing attack in function foo - terminated
Report to http://bugs.gentoo.org/
Убито

наличие canary кагбэ нет, но ssp работает. пипес =)


"+"
Отправлено pavlinux , 13-Сен-10 21:27 
>однако
>
>media ~ # wget -q http://www.debian-administration.org/articles/76/test-ssp.c
>media ~ # gcc-3.4.6 -fstack-protector

Гы, гы, гы, ... в GCC 3.4.6 этот флаг есть, но он не работает.


"+"
Отправлено daevy , 14-Сен-10 08:26 
остается явно прописать в make.conf сфлаги -fforce-addr -fstack-protector

"+"
Отправлено pavlinux , 14-Сен-10 16:38 
>остается явно прописать в make.conf сфлаги -fforce-addr -fstack-protector

-fstack-protector -fstack-protector-all -DFORTYFY_SOURCE=2 \
-fPIE -fpie -fPIC -fpic -s -fvisibility=protected \
-Wformat-security -W -Wall -Wextra -Wformat=2 -Werror

:)

---

А -fforce-* вроде уже отменили. Не?!


"+"
Отправлено daevy , 13-Сен-10 13:54 
>А зачем?
>Как я понял, SSP дает возможность определить изменения в выполняемом коде, в
>то время как RELRO не позволяет их произвести. Бишь, при использовании
>RELRO, SSP уже излишен.

да, так и есть, но при RELRO в некоторых случаях снижается общая производительность.
при использовании ssp вобще было бы неплохо вести лог при обнаружении изменений стека))


"+"
Отправлено solardiz , 13-Сен-10 15:57 
> Как я понял, SSP дает возможность определить изменения в выполняемом коде, в то время как RELRO не позволяет их произвести. Бишь, при использовании RELRO, SSP уже излишен.

Нет, это неправильное понимание.


"+"
Отправлено daevy , 13-Сен-10 16:10 
тогда в чем магия? relro защищает структуры бинарников, а ssp защищает стек с которым работают бинарники, получается так..

"Оценка безопасности различных дистрибутивов Linux "
Отправлено daevy , 13-Сен-10 12:19 
trapkit реально вещь))) musthave.

"Оценка безопасности различных дистрибутивов Linux "
Отправлено estet , 13-Сен-10 12:25 
openbsd 4.7:

~/tmp/paxtest-0.9.9$ ./paxtest kiddie
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Writing output to paxtest.log
It may take a while for the tests to complete
Test results:
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Mode: kiddie
OpenBSD 4.7 GENERIC.MP#130 amd64

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable anonymous mapping (mprotect)  : Vulnerable
Executable bss (mprotect)                : Vulnerable
Executable data (mprotect)               : Vulnerable
Executable heap (mprotect)               : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Executable stack (mprotect)              : Vulnerable
Anonymous mapping randomisation test     : 16 bits (guessed)
Heap randomisation test (ET_EXEC)        : 21 bits (guessed)
Main executable randomisation (ET_EXEC)  : No randomisation
Shared library randomisation test        : 16 bits (guessed)
Stack randomisation test (SEGMEXEC)      : 15 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 14 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Vulnerable
Return to function (memcpy, PIE)         : Vulnerable
Executable shared library bss            : Killed
Executable shared library data           : Killed
Writable text segments                   : Vulnerable

~/tmp/paxtest-0.9.9$


"Оценка безопасности различных дистрибутивов Linux "
Отправлено slepnoga , 13-Сен-10 14:58 
>[оверквотинг удален]
> : Vulnerable
>Executable shared library bss        
>   : Killed
>Executable shared library data        
>  : Killed
>Writable text segments          
>         : Vulnerable
>
>
>~/tmp/paxtest-0.9.9$

там же  только трамполине, и тот ископаемый.  Ну и трассировка, которая нафик не работает


"Оценка безопасности различных дистрибутивов Linux "
Отправлено Аноним , 13-Сен-10 12:36 
Где рейтинг дистрибутивов по всем тестам?

"Оценка безопасности различных дистрибутивов Linux "
Отправлено solardiz , 13-Сен-10 13:12 
> Где рейтинг дистрибутивов по всем тестам?

Думаю, такой рейтинг по тестам составить нельзя, либо же способ его составления будет субъективным - т.е. мы получим рейтинг по мнению составителей. Лучше уж по сумме голосов N-го количества экспертов, а результаты этих и ряда других "тестов" можно максимально объективно предоставить экспертам.


"Оценка безопасности различных дистрибутивов Linux "
Отправлено gunlinux , 13-Сен-10 12:46 
Господа, в принципе ожидаемая картина, но хотелось бы большее количество систем, мне было бы интересно посмотреть на archlinux, и slackware.

"Оценка безопасности различных дистрибутивов Linux "
Отправлено Аноним , 13-Сен-10 12:57 
А чего там смотреть? KISS же.
Как соберешь/настроишь - так и будет.

"Оценка безопасности различных дистрибутивов Linux "
Отправлено mma , 13-Сен-10 13:17 
>А чего там смотреть? KISS же.
>Как соберешь/настроишь - так и будет.

ну да. тулчейн не забудте только соответсвующий собрать:)


"Оценка безопасности различных дистрибутивов Linux "
Отправлено Аноним , 13-Сен-10 12:49 
Это - в качестве примера, о чем нужно писать новости.
А то:
"- Убунта сменила тему по умолчанию!"
"- Вах, вах, срочно на главную! И выделить, выделить не забудьте!"

"Оценка безопасности различных дистрибутивов Linux "
Отправлено solardiz , 13-Сен-10 12:54 
Это полезная проверка/публикация, и в целом все так и есть, но вывод не столь прост. Упомянутые не-Gentoo дистрибутивы уделяют немало внимания безопасности в других областях, причем более затратных для них, чем просто "подмена" опций сборки программ и подмена ядра. Кстати, кажется, у Debian тоже раздается hardened ядро - просто его почему-то не включили в это исследование.

Критериев сравнения дистрибутивов по безопасности может быть гораздо больше, чем просто hardening от выполнения произвольного кода (чисто своего или сконструированного из имеющегося) в предположении наличия соответствующей уязвимости и способа до нее добраться (attack vector). Конечно, это предположение верное, но количество таких сочетаний (уязвимости и способа) для разных дистрибутивов (и вариантов их установки/настройки) будет отличаться, а также будет отличаться скорость исправления уязвимостей после их публикации (а зачастую и до публикации).

К тому же, PIE все-таки имеет ненулевую цену по производительности. Например, в http://d-sbd.alioth.debian.org/www/?page=pax_pie приводится оценка в 5.8% для одного из вариантов сборки под 32-битный x86. В приведенном исследовании речь шла как раз о 32-бит. (На x86-64, по информации с той же ссылки, замедления почти нет.)

grsecurity/PaX - это, предположим, хорошо, но кто и на каком основании в такой компании как Red Hat или Novell возьмет на себя ответственность за большой объем не-upstream изменений в ядро, которые аудиту толком не подвергнешь (кто пробовал этот код читать, тот знает почему)? "Я пил пиво с авторами на таком-то con'е и теперь готов поручиться" - что скажут на это клиенты?

Возможно, ситуация была бы иной если бы когда PaX только начал появляться, к нему был бы интерес со стороны mainstream, но это тогда было нереально, как и к моему non-exec stack patch несколькими годами ранее. А несколькими годами позже аудит и включение PaX уже было нереальным по причине объема и сложности кода (вернее, нетривиальности причин, стоявших за на вид простыми изменениями кода), разрабатывавшегося в одиночку. (Возможно, если бы автор попытался вежливо, "самопожертвенно", но целенаправленно и активно давать в upstream отдельные патчи для отдельных вещей, как это, например, стали делать OpenVZ, результат был бы во многом иным. Но я понимаю, что в целом это неблагодарное занятие.) Появился exec-shield, который этих недостатков не имел, но обеспечивал менее полную защиту (частично из здравых соображений, таких как отсутствие замедления и сложных изменений кода), что мы здесь и видим.


"Оценка безопасности различных дистрибутивов Linux "
Отправлено XoRe , 13-Сен-10 14:41 
Gentoo рулит =)
Но, справедливости ради, стоит сказать, что hardened - это не дефолтное ядро в Gentoo.
В портежах Gentoo вообще есть несколько ядер на выбор.
Gentoo, Vanilla, Hardened, Tux.
Поэтому сравнивать ядра общего назначения с hardened ядром - несколько некорректно.
У бинарных дистрибутивов так же можно устанавливать разные ядра.
Поэтому разработчики бинарных дистрибутивов вполне могут добавить в свои репозитории hardened версии ядер.
Кстати, возможно, данное исследование сподвигнет их на это =)

"Оценка безопасности различных дистрибутивов Linux "
Отправлено slepnoga , 13-Сен-10 15:01 

>Поэтому разработчики бинарных дистрибутивов вполне могут добавить в свои репозитории hardened версии
>ядер.
>Кстати, возможно, данное исследование сподвигнет их на это =)

Угу, не забудь пересобрать всю репку.
Как человек, написавший не одну сотню ебилдов для генты (в том числе для hardened), могу сказать что на этом пути тебя ждет много чудных открытий.
Степень осилянства автотулзов разрабами федоры/дебиан уже вошла в поговорку ::)


"Оценка безопасности различных дистрибутивов Linux "
Отправлено Michael Shigorin , 14-Сен-10 23:31 
>Угу, не забудь пересобрать всю репку.

С какого перепугу?

>Как человек, написавший не одну сотню ебилдов для генты (в том числе
>для hardened), могу сказать что на этом пути тебя ждет много
>чудных открытий.

Как человек, собравший не одну сотню пакетов для альта, в т.ч. времён ow-патча и компании -- вежливо интересуюсь: с патчоматиком каким не перепутали случайно?


"Оценка безопасности различных дистрибутивов Linux "
Отправлено yurii , 14-Сен-10 01:07 
> Но, справедливости ради, стоит сказать, что hardened - это не дефолтное ядро в Gentoo.
> В портежах Gentoo вообще есть несколько ядер на выбор.
> Gentoo, Vanilla, Hardened, Tux.
> Поэтому сравнивать ядра общего назначения с hardened ядром - несколько некорректно.
> У бинарных дистрибутивов так же можно устанавливать разные ядра.
> Поэтому разработчики бинарных дистрибутивов вполне могут добавить в свои репозитории > > hardened версии ядер.
> Кстати, возможно, данное исследование сподвигнет их на это =)

вполне корректно.
читай новость так:
сравнение дистрибутивов с найболее харденед опциями поставляемые\доступные "искаропки" или через подключения дополнительного __официального__ и __стабильного__ репозирория.

просто у бинарных дистрибутивов зачастую нет такого фулл-харденед\нефулл-харденед сборка.
каждый следует своей секурити-полиси исходя из тех или иных трейдоффов.


"Оценка безопасности различных дистрибутивов Linux "
Отправлено XoRe , 15-Сен-10 00:55 
>вполне корректно.
>читай новость так:
>сравнение дистрибутивов с найболее харденед опциями поставляемые\доступные "искаропки"

Gentoo и "искаропки"... - взаимоисключающие понятия)
Он вообще не вписывается в список бинарных дистрибов.
Я могу лишь предположить, что на примере Gentoo, авторы сравнения хотели указать дистростроителям, как можно защитить систему.

>просто у бинарных дистрибутивов зачастую нет такого фулл-харденед\нефулл-харденед сборка.
>каждый следует своей секурити-полиси исходя из тех или иных трейдоффов.

Вот на то, чтобы такая сборка появилась, возможно и расчет авторов статьи)


"Оценка безопасности различных дистрибутивов Linux "
Отправлено yurii , 15-Сен-10 10:20 
> Gentoo и "искаропки"... - взаимоисключающие понятия)

ничего не взаимоисключающие.
я сказал: сравнение дистрибутивов с найболее харденед __опциями__ поставляемые\доступные "искаропки" ( чит. харденед опции включённые поумолчанию).
ты выбрал харденед тулчейн. скомпилировал с дефолтными настройками(PIC-PIE\неPIС-PIE,SSP\не-SSP,ASLR\не-ASLR). получил результат. вот и сравнили результат.

> Он вообще не вписывается в список бинарных дистрибов.

а я не говорил что генту - бинарный дистрибутив


"Оценка безопасности различных дистрибутивов Linux "
Отправлено XoRe , 18-Сен-10 12:20 
>> Gentoo и "искаропки"... - взаимоисключающие понятия)
>
>ничего не взаимоисключающие.

А где тогда можно скачать генту, который не надо компилировать, и который рыботал бы "из коробки"?
Я про современную версию генту.

>> Он вообще не вписывается в список бинарных дистрибов.
>
>а я не говорил что генту - бинарный дистрибутив

И я не говорил.
И тестировщики тоже, наверное, не говорили.
Тогда вопрос - напуркуа сравнивать бинарные дистры с компилируемым дистром?
Это как сравнивать машины только с завода с машиной, прошедшей тюнинг.


"Оценка безопасности различных дистрибутивов Linux "
Отправлено Frank , 21-Сен-10 12:41 
> просто у бинарных дистрибутивов зачастую нет такого фулл-харденед\нефулл-харденед сборка

Вы неправы.
~# apt-cache show harden
Package: harden
Priority: extra
Section: universe/admin
...
Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Original-Maintainer: Ola Lundqvist <opal@debian.org>
...
Depends: harden-environment, harden-servers, debconf (>= 1.2.0)
Recommends: harden-tools
Suggests: sudo, harden-clients, harden-nids, harden-remoteaudit, harden-surveillance, harden-doc
...
Description: Makes your system hardened
This package is intended to help the administrator to improve the security
of the system, or at least make the host less susceptible.
.
NOTE! This package will not make your system uncrackable, and it is not
intended to do so. Making your system secure involves a LOT more than just
installing a package. You are recommended to read at least some documents
in addition to installing this package.
.
There is a LOT of information available on making your system more secure.
A good place to start is with the harden-doc package or at
http://www.debian.org/doc/manuals/securing-debian-howto/

так что...


"Оценка безопасности различных дистрибутивов Linux "
Отправлено slepnoga , 13-Сен-10 15:06 
И вообще то это довольно странные товарищи - сравнивают теплое с мягким.
Как я  понимаю  , ни в одном дистре не быи включены штатные защиты или не выполнены рекомендаации девов дистров.
Ну и в добавок - сравнение рхела  и харденед генты будет неккоректным, ибо 2-е в своей полной ипостаси ( с включением MAC ) требует ручной настройки ( и достройки) каждой машины, в отличие  от selinux

"Оценка безопасности различных дистрибутивов Linux "
Отправлено pavlinux , 13-Сен-10 21:49 
> Как я  понимаю  , ни в одном дистре не быи включены штатные защиты или
> не выполнены рекомендаации девов дистров.

Все троллишь...
Xorg у всех работает от рута ? Да! да! да!....
Так воть, видимо забыли про дырень, именуемую vmsplice?!
Ломались все, даже пентагоновские и АНБэшно-ФБРно-ЦРУвские.


"Оценка безопасности различных дистрибутивов Linux "
Отправлено slepnoga , 14-Сен-10 06:42 
>> Как я  понимаю  , ни в одном дистре не быи включены штатные защиты или
>> не выполнены рекомендаации девов дистров.
>
>Все троллишь...
>Xorg у всех работает от рута ? Да! да! да!....
>Так воть, видимо забыли про дырень, именуемую vmsplice?!
>Ломались все, даже пентагоновские и АНБэшно-ФБРно-ЦРУвские.
>
>

А вот фигу, как раз хреденед и не был подвержен


"Оценка безопасности различных дистрибутивов Linux "
Отправлено i , 14-Сен-10 14:18 
совершенно верно, помню сам проверял. От PAX-a мессага приходила тока.

"Оценка безопасности различных дистрибутивов Linux "
Отправлено iZEN , 13-Сен-10 15:18 
Вывод? Ada рулит!

"Оценка безопасности различных дистрибутивов Linux "
Отправлено Иван Иванович Иванов , 13-Сен-10 16:59 
> Главный вывод из написанного состоит в том, что ни один из рассмотренных дистрибутивов, кроме, пожалуй, Hardened Gentoo, не уделяет должного внимания безопасности.

Или то, что автор - слишком разогнался.

1) К сожалению, _все_ приведенные здесь защиты не спасают от дыр в ядре - а они, увы, случаются, регулярно.

2) Наличие одного только лишь включенного SeLinux достаточно, чтобы предотвратить 95% дыр.


"Оценка безопасности различных дистрибутивов Linux "
Отправлено prapor , 13-Сен-10 17:41 
Кстати, простой пример. Вот результаты на Debian Sid (свежий апдейт) с Enforcing:
Mode: kiddie
Linux excelsior 2.6.32-5-amd64 #1 SMP Wed Aug 25 13:59:41 UTC 2010 x86_64 GNU/Linux

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed
Executable anonymous mapping (mprotect)  : Killed
Executable bss (mprotect)                : Killed
Executable data (mprotect)               : Killed
Executable heap (mprotect)               : Killed
Executable stack (mprotect)              : Killed
Executable shared library bss (mprotect) : Killed
Executable shared library data (mprotect): Killed
Writable text segments                   : Killed
Anonymous mapping randomisation test     : 28 bits (guessed)
Heap randomisation test (ET_EXEC)        : 14 bits (guessed)
Heap randomisation test (PIE)            : 28 bits (guessed)
Main executable randomisation (ET_EXEC)  : No randomisation
Main executable randomisation (PIE)      : 28 bits (guessed)
Shared library randomisation test        : 28 bits (guessed)
Stack randomisation test (SEGMEXEC)      : 28 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 28 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Vulnerable
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy, PIE)         : Vulnerable

А вот это - Permissive:
Mode: kiddie
Linux excelsior 2.6.32-5-amd64 #1 SMP Wed Aug 25 13:59:41 UTC 2010 x86_64 GNU/Linux

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed
Executable anonymous mapping (mprotect)  : Vulnerable
Executable bss (mprotect)                : Vulnerable
Executable data (mprotect)               : Vulnerable
Executable heap (mprotect)               : Vulnerable
Executable stack (mprotect)              : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Writable text segments                   : Vulnerable
Anonymous mapping randomisation test     : 28 bits (guessed)
Heap randomisation test (ET_EXEC)        : 14 bits (guessed)
Heap randomisation test (PIE)            : 28 bits (guessed)
Main executable randomisation (ET_EXEC)  : No randomisation
Main executable randomisation (PIE)      : 28 bits (guessed)
Shared library randomisation test        : 28 bits (guessed)
Stack randomisation test (SEGMEXEC)      : 28 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 28 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Vulnerable
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy, PIE)         : Vulnerable


"Оценка безопасности различных дистрибутивов Linux "
Отправлено Аноним , 13-Сен-10 17:25 
у Debian надо ставить highmem ядро, только тогда будут использоваться NX бит, это же PAE

"Оценка безопасности различных дистрибутивов Linux "
Отправлено pavlinux , 13-Сен-10 21:39 
/usr/lib64/xorg/modules/drivers/nvidia_drv.so:

No RELRO        No canary found   NX enabled    Dynamic Shared Object

Nvidia рулит!  :)


"Оценка безопасности различных дистрибутивов Linux "
Отправлено pavlinux , 13-Сен-10 22:01 
Тока опять ни хрена не ясна цель!

Если враг получил рута, это пипец,
и никаких модификации секций PLT (Procedure Linking Table) или
GOT (Global Offset Table) ELF-файла, и прочего подделывать не нужно.

-----

> Вредоносный код переполнения буфера обычно помещается в стек
> и, таким образом, разрушает метки.
> Работа механизмов SSP обнаруживает разрушение
> и аварийно завершает взломанный процесс.

То есть, если этих меток нет, процесс будет спокойно работать дальше, а не прибьется.

Вопрос: Какой от них толк?


"Оценка безопасности различных дистрибутивов Linux "
Отправлено yurii , 14-Сен-10 01:12 
>[оверквотинг удален]
>
>> Вредоносный код переполнения буфера обычно помещается в стек
>> и, таким образом, разрушает метки.
>> Работа механизмов SSP обнаруживает разрушение
>> и аварийно завершает взломанный процесс.
>
>То есть, если этих меток нет, процесс будет спокойно работать дальше, а
>не прибьется.
>
>Вопрос: Какой от них толк?

да много причин могут быть. я не силён в истории GCC, но вариантов может быть как минимум 2:
1) не завершенная фича
2) временно убранная фича ( изза проблем при сборке или ломает чего то там )
3) gcc собран без етой опции



"Оценка безопасности различных дистрибутивов Linux "
Отправлено daevy , 14-Сен-10 09:29 
>Вопрос: Какой от них толк?

так толк как раз в том чтобы они были))) чтобы запалить какието манипуляции со стеком

а если злодей получил таки рута, процесс должен быть ограничен рамками grsec\selinux (т.е. RBAC)



"Оценка безопасности различных дистрибутивов Linux "
Отправлено Харон , 15-Сен-10 12:06 
а я другой вывод сделал - Харденед Генту работает медленнее всех из-за суровых настроек безопасности :)

"Оценка безопасности различных дистрибутивов Linux "
Отправлено Аноним , 16-Сен-10 07:33 
Слакварь забыли :(

"Оценка безопасности различных дистрибутивов Linux "
Отправлено FreeDoS , 16-Сен-10 13:22 
Народ, разговор об Hardened Gentoo в данном отчете не ведется.
Стоит хотя бы посмотреть на то, что SSP не нашли. В харденед спек для gcc содержит уже SSP, PIC и PIE, если вы конечно сами не выбрали другой (спек т.е.).

Еще, мне кажется, стоит обратить внимание, что gentoo - это метадистрибутив. И ставить рядом с Fedora, Debian и т.д. не совсем верно. Пример выше говорит именно об этом. Из Gentoo можно собрать разные по сути дистрибутивы: хошь серверный, хош дектопный, хош мегазащищенный (hardened) с SSP, PIE/PIC, grsec+PaX или SELinux и т.д.

Из Gentoo можно собрать действительно мощьный и защищенный дистрибутив.


"Оценка безопасности различных дистрибутивов Linux "
Отправлено pavlinux , 17-Сен-10 16:13 
> Из Gentoo можно собрать действительно мощьный и защищенный дистрибутив.

Ага :) - http://www.opennet.me/opennews/art.shtml?num=27979


"Оценка безопасности различных дистрибутивов Linux "
Отправлено i , 26-Сен-10 14:14 
чего ага, не заработало ведь без system.map

"Оценка безопасности различных дистрибутивов Linux "
Отправлено pavlinux , 26-Сен-10 19:52 
>чего ага, не заработало ведь без system.map

Добрайо утры, пофиксили уже все что тока можно...


"Оценка безопасности различных дистрибутивов Linux "
Отправлено i , 26-Сен-10 22:44 
так я тогда на старом ядре проверял, щас то конечно пофиксили.

"Оценка безопасности различных дистрибутивов Linux "
Отправлено pavlinux , 26-Сен-10 23:55 
>так я тогда на старом ядре проверял, щас то конечно пофиксили.

чуть фантазии и добавить

    for (uint64_t i=0; i < ~0; i++)

через минуту всё получится.


"Оценка безопасности различных дистрибутивов Linux "
Отправлено xoomer , 18-Сен-10 03:20 
Но я ещё так с ним и не разобрался... :)
Надо садится, да и учить его. :)