Вышла первая предварительная версия дистрибутива "AnikOS (https://sourceforge.net/projects/anikos/)", создаваемого с целью построения системы повышенной защищенности для рабочих станций и серверов. Дистрибутив основан на разработках проекта Hardened Gentoo, а также включает в себя ряд дополнительных технологических решений, реализующих механизмы защиты информации на уровне операционной среды. Предварительная версия AnikOS выполнена в виде LiveCD (размер iso-образа (http://sourceforge.net/projects/anikos/files/ISO/) 1.1 Гб) с возможностью установки на жесткий диск.
Особенности дистрибутива:
- Ядро Linux 2.6.28.6 с наборами патчей GRsecurity и PAX;
- Графическая подсистема: Xorg Server 1.10.1, LibDRM 2.4.25+, Mesa 7.10.2+;
- Рабочее окружение: XFce 4.8, Thunar File Manager 1.2.1+, Slim DM;
- Возможность установки и запуска Windows-приложений посредством Wine 1.3.20;
- Офисные приложения: LibreOffice 3.3.2.2, Gedit 2.30.4, Notepad++ 5.9 (предустановлено в Wine);
- Веб-...URL: https://sourceforge.net/projects/anikos/
Новость: http://www.opennet.me/opennews/art.shtml?num=30632
Безопасность hardened gentoo - это миф, преувеличенный пиаром. Основа этой "безопасности" - древнее ядро с кучей незакрытых дыр. Более новые (менее уязвимые) ядра использовать проблематично, потому что на них хреново ложатся какбэ "безопасные" патчи grsecurity/pax, которые по части обеспечения безопасности умеют разве что рандомно валить систему (ага, паникующее ядро действительно сложно взломать).По-настоящему безопасными среди линуксов являются разве что RHEL-based дистрибутивы - в них можно включить SELinux, и система сможет нормально работать (в других дистрах это нереально). Кроме того, у красношапки очень жесткая политика аудита кода, большинство фиксов по безопасности ядра поступают от них.
Как SELinux спасает от разыменования NULL-указателя, и переполнения стека в флехе?
---
Первый шаг к безопасности - выкидывание железа с маркой Intel. :)
От дыр в ядре спасает аудит кода ядра. В отличие от grsecurity/pax оно не только реально работает, но еще и не приводит к падению стабильности ниже плинтуса.
> От дыр в ядре спасает аудит кода ядра.Ага,... через лет 5-7 можно будет дать заключение.
> От дыр в ядре спасает аудит кода ядра. В отличие от grsecurity/pax
> оно не только реально работает, но еще и не приводит к
> падению стабильности ниже плинтуса.Ну как бы лишний слой защиты еще никому не мешал. Особенно с учетом того что selinux выносится сплойтами одной левой. А PaX нацелен на усложнение эксплойтам жизни.
>Ну как бы лишний слой защиты еще никому не мешал.Кроме тех случаев, когда он, вместо того, чтобы защищать, начинает играть на руку нападающим. pax и grsecurity закрывают некоторые дыры, но вынуждают пользоваться старыми дырявыми ядрами. Кроме того, стабильность там ниже плинтуса, паники ядра на ровном месте.
>Особенно с учетом того что selinux выносится сплойтами одной левой.
Не надо подменять понятия. selinux защищает прежде всего юзерспейс, против дыр ядра он бессилен. От них может защитить только виртуализация, как это сделано в qubes os. Всё остальное - плацебо.
> А PaX нацелен на усложнение эксплойтам жизни.
Одному эксплойту жизнь усложнит, десяти - облегчит.
> но вынуждают пользоваться старыми дырявыми ядрами.Релиз 2.6.39 на kernel.org: 2011-05-19
Ебилд 2.6.39 добавлен в тот же день.К тому же самое новое ядро не единственное где фиксятся дырки. Их ещё бекпортируют в другие ветки.
> Кроме того, стабильность там ниже плинтуса, паники ядра на ровном месте.
Хватит звиздеть. Киляние неугодных процессов - да, но паники это какие же руки надо иметь чтобы до паники его довести?
>Ебилд 2.6.39 добавлен в тот же день.А что, патчи pax и grsecurity там тоже в комплекте? И они корректно накладываются?
Тогда надо срочно отправить их разработчику, а то он, несчастный, всё никак патчи для 38-го оттестировать не может (да и stable ветка там оставляет желать лучшего).>К тому же самое новое ядро не единственное где фиксятся дырки. Их ещё бекпортируют в другие ветки.
Бекпортировать что-либо на ядро с pax и grsecurity - себе дороже. Оно даже по дефолту стабильностью не отличается, а если там ещё и поправить что-то, так вообще может не запуститься :-)
>Киляние неугодных процессов - да,
А что, оно ещё и процессы рандомно убивает? Не знал.
>но паники это какие же руки надо иметь чтобы до паники его довести?
Скажу по секрету: к паникам этого быдлокода могут привести даже абсолютно легальные сисколлы. А то ж почему, по-вашему, его в мейнстрим не берут?
>>Ебилд 2.6.39 добавлен в тот же день.
> А что, патчи pax и grsecurity там тоже в комплекте? И они
> корректно накладываются?
> Тогда надо срочно отправить их разработчику, а то он, несчастный, всё никак
> патчи для 38-го оттестировать не может (да и stable ветка там
> оставляет желать лучшего).Ошибся. Но не суть важно. Я говорю о том что нет никакого смысла гнаться за самой распоследней версией ядра. Но стоит держаться ядер помеченных "stable" или "lts" на kernel.org.
> Бекпортировать что-либо на ядро с pax и grsecurity - себе дороже. Оно
> даже по дефолту стабильностью не отличается, а если там ещё и
> поправить что-то, так вообще может не запуститься :-)Я не об этом. На kernel.org не единственный одновременно поддерживаемый релиз. Есть ещё stable и lts. Вон на них то и бекпортирует апстрим (kernel.org) багофиксы, а hardened патчи уже ессно потом накладываются.
> А что, оно ещё и процессы рандомно убивает? Не знал.
Если туго затянуть гайки то может (но не рандомно конечно).
> Скажу по секрету: к паникам этого быдлокода могут привести даже абсолютно легальные
> сисколлы. А то ж почему, по-вашему, его в мейнстрим не берут?в мейнстрим много чего не берут, что же, всё это по вашему мнению "быдлокод"?
>> А PaX нацелен на усложнение эксплойтам жизни.
> Одному эксплойту жизнь усложнит, десяти - облегчит.Пример облегчения жизни эксплойту конкретно PaX`ом или слив защитан.
> Пример облегчения жизни эксплойту конкретно PaX`омПожалуйста: любой сплойт для дыры, обнаруженной с момента выпуска 2.6.28.6 (февраль 2009) по текущий момент :-)
>> Пример облегчения жизни эксплойту конкретно PaX`ом
> Пожалуйста: любой сплойт для дыры, обнаруженной с момента выпуска 2.6.28.6 (февраль 2009)
> по текущий момент :-)Откуда эта версия? Вот же патчи: http://grsecurity.net/test.php
Вы кормите жирного тролля.
Да хватит же кормить троля!
Не ужели не видно, что все высказывания многоуважаемого аноимного аналитега ложны, ибо в вопросе он вообще не разбирается.
Прямо так старыми и дырявыми?
# uname -a
Linux somesite 2.6.38-hardened #2 SMP PREEMPT Tue Mar 29 23:22:25 MSD 2011 x86_64 Intel(R) Core(TM) i3 CPU 540 @ 3.07GHz GenuineIntel GNU/LinuxМда.. это hardened gentoo (pax+grsec)
> # uname -a
> Linux somesite 2.6.38-hardened #2 SMP PREEMPT Tue Mar 29 23:22:25 MSD 2011
> x86_64 Intel(R) Core(TM) i3 CPU 540 @ 3.07GHz GenuineIntel GNU/Linux
> Мда.. это hardened gentoo (pax+grsec)...
>2.6.38
>paxОсобенно умиляет на фоне того факта, что последний стабильный релиз pax был выпущен для ядра 2.6.27 :-)
1. Безопасность десктопа понятие весма сомнительное, потому как не может одна компания написать все программы и плагины к ним, и не потому, что индусов мало, а из-за необходимости для этого нарушить кучу чужих патентов.
1.1 Аудит чужого кода, трудозатратнее написания своего, да и не всегда этот код дадут посмотреть, в лучшем случае будем иметь не самый свежий софт.
2. В новостях на опеннете не раз мелькали новости о нахождении дыр, и не раз в них исключением был RHEL как не подверженный в связи с каким-то там их патчем. А откуда вылез автор этого чуда совершенно не ясно, ИМХО, очередной дениска решил завоевать мир.
> 1. Безопасность десктопа понятие весма сомнительное, потому как не может одна компания
> написать все программы и плагины к ним, и не потому, что
> индусов мало, а из-за необходимости для этого нарушить кучу чужих патентов.Одна компания написала операционку и брауер. Сами знаете какие. И теперь постоянно выпускает к ним патчи почему-то... :). Тезис опровергнут.
> Одна компания написала операционку и брауер. Сами знаете какие. И теперь постоянно
> выпускает к ним патчи почему-то... :). Тезис опровергнут.Сомнительность безопасности именно этой оси и этого браузера дают право на данное утверждение.
>1.1 Аудит чужого кода, трудозатратнее написания своего,Да, но зато чужой код после независимого аудита станет потенциально более безопасным, а для написанного с нуля собственного кода независимый аудит надо ещё организовать :-)
>да и не всегда этот код дадут посмотреть,
Разумеется, закрытый софт необходимо рассматривать как затрояненный по определению, это азы безопасности. Но сейчас вроде как про опенсорс говорим?
>в лучшем случае будем иметь не самый свежий софт.
Неизбежные издержки, надо мириться. А если смириться никак - значит, безопасность в данном случае не так уж и важна была...
>А откуда вылез автор этого чуда совершенно не ясно, ИМХО, очередной дениска решил завоевать мир.
Это было понятно с первых строчек новости :-)
> в них можно включить SELinux,Да нафиг ваш селинукс, выносится первым же эксплойтом. А геморроя от него много.
> Да нафиг ваш селинукс, выносится первым же эксплойтом. А геморроя от
> него много.Отнюдь не первым. Нужна охрененно большая дыра в ядре, такая, чтобы ничего не спасало (кроме виртуализации или air gap).
> Да нафиг ваш селинукс, выносится первым же эксплойтом. А геморроя от
> него много.Кстати, то же самое можно сказать про pax & grsecurity :-)
Правда, от них гемора ещё больше. Гораздо больше.
>> в них можно включить SELinux,
> Да нафиг ваш селинукс, выносится первым же эксплойтом. А геморроя от
> него много.Глупости говорите.
>> Да нафиг ваш селинукс, выносится первым же эксплойтом. А геморроя от
>> него много.
> Глупости говорите.Почему глупости? SELinux действительно просто отключить посредством эксплуатации уязвимости ванильного ядра. Пейлоад есть, например, здесь: https://grsecurity.net/~spender/enlightenment.tgz
как много текста...
кстати говоря, ни один из экплойтов у меня не заработал под hardened ядром (причем старым)
> Notepad++ 5.9 (предустановлено в Wine);O_o
Как соотносится супербезопасность и "Возможность установки и запуска Windows-приложений"?
> Как соотносится супербезопасность и "Возможность установки и запуска Windows-приложений"?Теперь вы сможете выполнять троянов еще безопаснее :)
Наоборот - теперь на линукс можно поставить нормальный виндовый антивирус и не бояться за безопасность... Гениально!
расходятся данные по особенностям дистрибутива
Вообще-то интеллигентные люди сперва рожают концепцию, а потом пишут код в соответствие с ней. А лошадь впереди телеги вообще характерно ставить для СПО - сперва пишем, потом думаем. Одно принципиальное отсутствие стандартов чего стоит.
А телегу впереди лошади - в проприетарном ПО, согласен
> Одно принципиальное отсутствие стандартов чего стоит.Принципиальное отсутствие стандартов - это же визитная карточка microsoft. Каким боком здесь СПО?
Тю. Прямым. Win32 худо-бедно стандарт. Написанное 10 лет назад ПО с высокой вероятностью стартует на XP/семере. Far, например. Есть ABI/API совместимость между дистрами пингвиня? Полная, м? Или на уровне "сорцы-configure && make && make install" совместимость не обязательна?
POSIX - худо-бедно стандарт. UTF-8 - стандарт. А Win32 - ну нифига не стандарт, скорее анти-стандарт. Учите предметную область и избавляйтесь от синдрома утенка.
Вообще-то интеллигентные люди или интегрируют PAX в ваниллу, или игнорируют его.
> интеллигентные люди сперва рожают концепцию, а потом пишут код в соответствие с ней.
> А лошадь впереди телеги вообще характерно ставить для СПО - сперва пишем, потом думаем.Разумеется, так и есть. Разве что, интеллигентными зря троллей называете. Сперва рожают концепцию: возникает идея на чём бы обобрать весь мир, потом считают - сколько будет прибыли, потом считают сколько затрат на разработку, потом минимизируют затраты и кое-как лишь бы что-то реализуют, а дальше оптимизируют рекламу/стоимость/продажи до максимума. И набивают карманы деньгами. Уныло как-то, не правда ли? А в случае с СПО так и есть: сперва напишут что-то - неизвестно что, воплотив самые немыслемые идеи! никому, казалось бы, ненужное на данный момент! но это невиданное ранее и гениальное! прорыв в новое время! и новую эпоху человечетсва! Открытие!!! а потом... всем миром уже думают, как бы куда применить это, в том числе и тролли, чтобы набить себе карманы :) Так ведь если посмотрите и есть всё в мире, сперва открыли что-то (вместо что-то подставить что угодно) причём ради идеи создания и воплощения, а потом уже через какое-то время обрело применение, причём такое, что казалось бы, как же раньше люди то жили без этого, разве возможно это? (подставить можно и электричество, и лазер, и плазмы и те же компьютеры и всё что угодно... вплоть до тетриса) :)
P.S. а теперь время малость пошутить :)
> лошадь впереди телегиа вы, видимо, всегда лошадей позади повозки запрягаете? да, видимо, и на машине ездите туда на 5и скоростях, а обратно возвращаетесь на одной задней ;) хи
>[оверквотинг удален]
> подставить что угодно) причём ради идеи создания и воплощения, а потом
> уже через какое-то время обрело применение, причём такое, что казалось бы,
> как же раньше люди то жили без этого, разве возможно это?
> (подставить можно и электричество, и лазер, и плазмы и те же
> компьютеры и всё что угодно... вплоть до тетриса) :)
> P.S. а теперь время малость пошутить :)
>> лошадь впереди телеги
> а вы, видимо, всегда лошадей позади повозки запрягаете? да, видимо, и на
> машине ездите туда на 5и скоростях, а обратно возвращаетесь на одной
> задней ;) хиЕще один солипсический идеалист.
Эй, мужик! Весь мир работает за деньги! Иначе сиди на ГОА, жри бананы с дерева и жаст фор фан пиши софт. Не? Не катит? Надо на машинке ездить? В Турцию к аниматорам - и опять за презренное бабло? Жене шубу купить - опять презренный металл?
Тоже мне, бескорыстные двигатели прогресса! Если так - так будьте последовательными и донейтов не просите! А то островок коммунизма посреди капиталистического океана построили, понимаешь, а от зависимости от презренного бабла не избавились!
Вот чем вы достаете, альтруисты хреновы. Сперва пускай коммунизм на земном шаре победит, а потом мы поговорим о "От каждого по способностям - каждому по потребностям".
У вас очень ограниченный кругозор, вы не видите возможностей дальше продажи определенных строк кода. У open source другие бизнес-модели.
> опять презренный металл?метал не трожьте!
Хотелось бы какой-никакой документации, хотя бы обзорной, хотя бы по ключевым отличиям от Hardened Gentoo.
кстати а почему на скриншотах в выводе paxtest-a так много vunerable ?
Что то не так собрали?У меня vunerable только на этих двух:
Return to function (memcpy)
Return to function (memcpy, RANDEXEC)
> кстати а почему на скриншотах в выводе paxtest-a так много vunerable ?
> Что то не так собрали?<trolling>Наверно повключали все опции PaX и SOFTMODE за одно. ;)</trolling>
альфа 3 не грузится, не может замонтировать loop