URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 77282
[ Назад ]

Исходное сообщение
"AnikOS - попытка формирования концепций защищенного дистрибу..."

Отправлено opennews , 23-Май-11 16:51 
Вышла первая предварительная версия дистрибутива "AnikOS (https://sourceforge.net/projects/anikos/)", создаваемого с целью построения системы повышенной защищенности для рабочих станций и серверов. Дистрибутив основан на разработках проекта Hardened Gentoo, а также включает в себя ряд дополнительных технологических решений, реализующих механизмы защиты информации на уровне операционной среды. Предварительная версия AnikOS выполнена в виде LiveCD (размер iso-образа (http://sourceforge.net/projects/anikos/files/ISO/) 1.1 Гб) с возможностью установки на жесткий диск.


Особенности дистрибутива:


-  Ядро Linux 2.6.28.6 с наборами патчей GRsecurity и PAX;
-  Графическая подсистема: Xorg Server 1.10.1, LibDRM 2.4.25+, Mesa 7.10.2+;
-  Рабочее окружение: XFce 4.8, Thunar File Manager 1.2.1+,  Slim DM;
-  Возможность установки и запуска Windows-приложений посредством Wine 1.3.20;
-  Офисные приложения: LibreOffice 3.3.2.2, Gedit 2.30.4, Notepad++ 5.9 (предустановлено в Wine);
-  Веб-...

URL: https://sourceforge.net/projects/anikos/
Новость: http://www.opennet.me/opennews/art.shtml?num=30632


Содержание

Сообщения в этом обсуждении
"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Аноним , 23-Май-11 16:51 
Безопасность hardened gentoo - это миф, преувеличенный пиаром. Основа этой "безопасности" - древнее ядро с кучей незакрытых дыр. Более новые (менее уязвимые) ядра использовать проблематично, потому что на них хреново ложатся какбэ "безопасные" патчи grsecurity/pax, которые по части обеспечения безопасности умеют разве что рандомно валить систему (ага, паникующее ядро действительно сложно взломать).

По-настоящему безопасными среди линуксов являются разве что RHEL-based дистрибутивы - в них можно включить SELinux, и система сможет нормально работать (в других дистрах это нереально). Кроме того, у красношапки очень жесткая политика аудита кода, большинство фиксов по безопасности ядра поступают от них.


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено pavlinux , 23-Май-11 17:05 
Как SELinux спасает от разыменования NULL-указателя, и переполнения стека в флехе?  
---
Первый шаг к безопасности - выкидывание железа с маркой Intel. :)

"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Аноним , 23-Май-11 17:20 
От дыр в ядре спасает аудит кода ядра. В отличие от grsecurity/pax оно не только реально работает, но еще и не приводит к падению стабильности ниже плинтуса.

"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено pavlinux , 23-Май-11 18:07 
> От дыр в ядре спасает аудит кода ядра.

Ага,... через лет 5-7 можно будет дать заключение.


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Аноним , 23-Май-11 19:54 
> От дыр в ядре спасает аудит кода ядра. В отличие от grsecurity/pax
> оно не только реально работает, но еще и не приводит к
> падению стабильности ниже плинтуса.

Ну как бы лишний слой защиты еще никому не мешал. Особенно с учетом того что selinux выносится сплойтами одной левой. А PaX нацелен на усложнение эксплойтам жизни.


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено анон , 23-Май-11 21:08 
>Ну как бы лишний слой защиты еще никому не мешал.

Кроме тех случаев, когда он, вместо того, чтобы защищать, начинает играть на руку нападающим. pax и grsecurity закрывают некоторые дыры, но вынуждают пользоваться старыми дырявыми ядрами. Кроме того, стабильность там ниже плинтуса, паники ядра на ровном месте.

>Особенно с учетом того что selinux выносится сплойтами одной левой.

Не надо подменять понятия. selinux защищает прежде всего юзерспейс, против дыр ядра он бессилен. От них может защитить только виртуализация, как это сделано в qubes os. Всё остальное - плацебо.

> А PaX нацелен на усложнение эксплойтам жизни.

Одному эксплойту жизнь усложнит, десяти - облегчит.


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Гентушник , 23-Май-11 21:57 
> но вынуждают пользоваться старыми дырявыми ядрами.

Релиз 2.6.39 на kernel.org: 2011-05-19
Ебилд 2.6.39 добавлен в тот же день.

К тому же самое новое ядро не единственное где фиксятся дырки. Их ещё бекпортируют в другие ветки.

> Кроме того, стабильность там ниже плинтуса, паники ядра на ровном месте.

Хватит звиздеть. Киляние неугодных процессов - да, но паники это какие же руки надо иметь чтобы до паники его довести?


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено анон , 23-Май-11 23:40 
>Ебилд 2.6.39 добавлен в тот же день.

А что, патчи pax и grsecurity там тоже в комплекте? И они корректно накладываются?
Тогда надо срочно отправить их разработчику, а то он, несчастный, всё никак патчи для 38-го оттестировать не может (да и stable ветка там оставляет желать лучшего).

>К тому же самое новое ядро не единственное где фиксятся дырки. Их ещё бекпортируют в другие ветки.

Бекпортировать что-либо на ядро с pax и grsecurity - себе дороже. Оно даже по дефолту стабильностью не отличается, а если там ещё и поправить что-то, так вообще может не запуститься :-)

>Киляние неугодных процессов - да,

А что, оно ещё и процессы рандомно убивает? Не знал.

>но паники это какие же руки надо иметь чтобы до паники его довести?

Скажу по секрету: к паникам этого быдлокода могут привести даже абсолютно легальные сисколлы. А то ж почему, по-вашему, его в мейнстрим не берут?


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Гентушник , 24-Май-11 01:14 
>>Ебилд 2.6.39 добавлен в тот же день.
> А что, патчи pax и grsecurity там тоже в комплекте? И они
> корректно накладываются?
> Тогда надо срочно отправить их разработчику, а то он, несчастный, всё никак
> патчи для 38-го оттестировать не может (да и stable ветка там
> оставляет желать лучшего).

Ошибся. Но не суть важно. Я говорю о том что нет никакого смысла гнаться за самой распоследней версией ядра. Но стоит держаться ядер помеченных "stable" или "lts" на kernel.org.

> Бекпортировать что-либо на ядро с pax и grsecurity - себе дороже. Оно
> даже по дефолту стабильностью не отличается, а если там ещё и
> поправить что-то, так вообще может не запуститься :-)

Я не об этом. На kernel.org не единственный одновременно поддерживаемый релиз. Есть ещё stable и lts. Вон на них то и бекпортирует апстрим (kernel.org) багофиксы, а hardened патчи уже ессно потом накладываются.

> А что, оно ещё и процессы рандомно убивает? Не знал.

Если туго затянуть гайки то может (но не рандомно конечно).

> Скажу по секрету: к паникам этого быдлокода могут привести даже абсолютно легальные
> сисколлы. А то ж почему, по-вашему, его в мейнстрим не берут?

в мейнстрим много чего не берут, что же, всё это по вашему мнению "быдлокод"?



"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Гентушник , 23-Май-11 21:59 
>> А PaX нацелен на усложнение эксплойтам жизни.
> Одному эксплойту жизнь усложнит, десяти - облегчит.

Пример облегчения жизни эксплойту конкретно PaX`ом или слив защитан.


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено анон , 23-Май-11 23:44 
> Пример облегчения жизни эксплойту конкретно PaX`ом

Пожалуйста: любой сплойт для дыры, обнаруженной с момента выпуска 2.6.28.6 (февраль 2009) по текущий момент :-)


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Гентушник , 24-Май-11 01:17 
>> Пример облегчения жизни эксплойту конкретно PaX`ом
> Пожалуйста: любой сплойт для дыры, обнаруженной с момента выпуска 2.6.28.6 (февраль 2009)
> по текущий момент :-)

Откуда эта версия? Вот же патчи: http://grsecurity.net/test.php


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено коксюзер , 24-Май-11 06:51 
Вы кормите жирного тролля.

"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Alex , 24-Май-11 10:10 
Да хватит же кормить троля!
Не ужели не видно, что все высказывания многоуважаемого аноимного аналитега ложны, ибо в вопросе он вообще не разбирается.

"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено alexxy , 23-Май-11 23:35 
Прямо так старыми и дырявыми?


# uname -a
Linux somesite 2.6.38-hardened #2 SMP PREEMPT Tue Mar 29 23:22:25 MSD 2011 x86_64 Intel(R) Core(TM) i3 CPU 540 @ 3.07GHz GenuineIntel GNU/Linux

Мда.. это hardened gentoo (pax+grsec)


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено анон , 23-Май-11 23:47 
> # uname -a
> Linux somesite 2.6.38-hardened #2 SMP PREEMPT Tue Mar 29 23:22:25 MSD 2011
> x86_64 Intel(R) Core(TM) i3 CPU 540 @ 3.07GHz GenuineIntel GNU/Linux
> Мда.. это hardened gentoo (pax+grsec)

...
>2.6.38
>pax

Особенно умиляет на фоне того факта, что последний стабильный релиз pax был выпущен для ядра 2.6.27 :-)


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено cmp , 23-Май-11 17:38 
1. Безопасность десктопа понятие весма сомнительное, потому как не может одна компания написать все программы и плагины к ним, и не потому, что индусов мало, а из-за необходимости для этого нарушить кучу чужих патентов.
1.1 Аудит чужого кода, трудозатратнее написания своего, да и не всегда этот код дадут посмотреть, в лучшем случае будем иметь не самый свежий софт.
2. В новостях на опеннете не раз мелькали новости о нахождении дыр, и не раз в них исключением был RHEL как не подверженный в связи с каким-то там их патчем. А откуда вылез автор этого чуда совершенно не ясно, ИМХО, очередной дениска решил завоевать мир.

"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Аноним , 23-Май-11 20:04 
> 1. Безопасность десктопа понятие весма сомнительное, потому как не может одна компания
> написать все программы и плагины к ним, и не потому, что
> индусов мало, а из-за необходимости для этого нарушить кучу чужих патентов.

Одна компания написала операционку и брауер. Сами знаете какие. И теперь постоянно выпускает к ним патчи почему-то... :). Тезис опровергнут.


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено cmp , 24-Май-11 06:15 
> Одна компания написала операционку и брауер. Сами знаете какие. И теперь постоянно
> выпускает к ним патчи почему-то... :). Тезис опровергнут.

Сомнительность безопасности именно этой оси и этого браузера дают право на данное утверждение.


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено анон , 23-Май-11 21:53 
>1.1 Аудит чужого кода, трудозатратнее написания своего,

Да, но зато чужой код после независимого аудита станет потенциально более безопасным, а для написанного с нуля собственного кода независимый аудит надо ещё организовать :-)

>да и не всегда этот код дадут посмотреть,

Разумеется, закрытый софт необходимо рассматривать как затрояненный по определению, это азы безопасности. Но сейчас вроде как про опенсорс говорим?

>в лучшем случае будем иметь не самый свежий софт.

Неизбежные издержки, надо мириться. А если смириться никак - значит, безопасность в данном случае не так уж и важна была...

>А откуда вылез автор этого чуда совершенно не ясно, ИМХО, очередной дениска решил завоевать мир.

Это было понятно с первых строчек новости :-)


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Аноним , 23-Май-11 19:49 
> в них можно включить SELinux,

Да нафиг ваш селинукс, выносится  первым же эксплойтом. А геморроя от него много.


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено анон , 23-Май-11 21:10 
> Да нафиг ваш селинукс, выносится  первым же эксплойтом. А геморроя от
> него много.

Отнюдь не первым. Нужна охрененно большая дыра в ядре, такая, чтобы ничего не спасало (кроме виртуализации или air gap).


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено анон , 23-Май-11 21:11 
> Да нафиг ваш селинукс, выносится  первым же эксплойтом. А геморроя от
> него много.

Кстати, то же самое можно сказать про pax & grsecurity :-)

Правда, от них гемора ещё больше. Гораздо больше.


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено fcuku , 24-Май-11 01:45 
>> в них можно включить SELinux,
> Да нафиг ваш селинукс, выносится  первым же эксплойтом. А геморроя от
> него много.

Глупости говорите.



"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено коксюзер , 24-Май-11 06:55 
>> Да нафиг ваш селинукс, выносится  первым же эксплойтом. А геморроя от
>> него много.
> Глупости говорите.

Почему глупости? SELinux действительно просто отключить посредством эксплуатации уязвимости ванильного ядра. Пейлоад есть, например, здесь: https://grsecurity.net/~spender/enlightenment.tgz


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Ващенаглухо , 24-Май-11 13:05 
как много текста...
кстати говоря, ни один из экплойтов у меня не заработал под hardened ядром (причем старым)

"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено нонэйм , 23-Май-11 17:00 
> Notepad++ 5.9 (предустановлено в Wine);

O_o


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Аноним , 23-Май-11 19:18 
Как соотносится супербезопасность и "Возможность установки и запуска Windows-приложений"?

"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Аноним , 23-Май-11 20:04 
> Как соотносится супербезопасность и "Возможность установки и запуска Windows-приложений"?

Теперь вы сможете выполнять троянов еще безопаснее :)



"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Аноним , 23-Май-11 20:51 
Наоборот - теперь на линукс можно поставить нормальный виндовый антивирус и не бояться за безопасность... Гениально!

"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Аноним , 23-Май-11 21:49 
расходятся данные по особенностям дистрибутива

"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Аноним , 23-Май-11 21:59 
Вообще-то интеллигентные люди сперва рожают концепцию, а потом пишут код в соответствие с ней. А лошадь впереди телеги вообще характерно ставить для СПО - сперва пишем, потом думаем. Одно принципиальное отсутствие стандартов чего стоит.

"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Аноним , 23-Май-11 23:08 
А телегу впереди лошади - в проприетарном ПО, согласен

"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено анон , 23-Май-11 23:48 
> Одно принципиальное отсутствие стандартов чего стоит.

Принципиальное отсутствие стандартов - это же визитная карточка microsoft. Каким боком здесь СПО?


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Аноним , 24-Май-11 10:48 
Тю. Прямым. Win32 худо-бедно стандарт. Написанное 10 лет назад ПО с высокой вероятностью стартует на XP/семере. Far, например. Есть ABI/API совместимость между дистрами пингвиня? Полная, м? Или на уровне "сорцы-configure && make && make install" совместимость не обязательна?

"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Аноним , 25-Май-11 00:13 
POSIX - худо-бедно стандарт. UTF-8 - стандарт. А Win32 - ну нифига не стандарт, скорее анти-стандарт. Учите предметную область и избавляйтесь от синдрома утенка.

"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено fcuku , 24-Май-11 01:51 
Вообще-то интеллигентные люди или интегрируют PAX в ваниллу, или игнорируют его.

"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено NoName , 24-Май-11 02:20 
> интеллигентные люди сперва рожают концепцию, а потом пишут код в соответствие с ней.
> А лошадь впереди телеги вообще характерно ставить для СПО - сперва пишем, потом думаем.

Разумеется, так и есть. Разве что, интеллигентными зря троллей называете. Сперва рожают концепцию: возникает идея на чём бы обобрать весь мир, потом считают - сколько будет прибыли, потом считают сколько затрат на разработку, потом минимизируют затраты и кое-как лишь бы что-то реализуют, а дальше оптимизируют рекламу/стоимость/продажи до максимума. И набивают карманы деньгами. Уныло как-то, не правда ли? А в случае с СПО так и есть: сперва напишут что-то - неизвестно что, воплотив самые немыслемые идеи! никому, казалось бы, ненужное на данный момент! но это невиданное ранее и гениальное! прорыв в новое время! и новую эпоху человечетсва! Открытие!!! а потом... всем миром уже думают, как бы куда применить это, в том числе и тролли, чтобы набить себе карманы :) Так ведь если посмотрите и есть всё в мире, сперва открыли что-то (вместо что-то подставить что угодно) причём ради идеи создания и воплощения, а потом уже через какое-то время обрело применение, причём такое, что казалось бы, как же раньше люди то жили без этого, разве возможно это? (подставить можно и электричество, и лазер, и плазмы и те же компьютеры и всё что угодно... вплоть до тетриса) :)
P.S. а теперь время малость пошутить :)
> лошадь впереди телеги

а вы, видимо, всегда лошадей позади повозки запрягаете? да, видимо, и на машине ездите туда на 5и скоростях, а обратно возвращаетесь на одной задней ;) хи


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Аноним , 24-Май-11 10:52 
>[оверквотинг удален]
> подставить что угодно) причём ради идеи создания и воплощения, а потом
> уже через какое-то время обрело применение, причём такое, что казалось бы,
> как же раньше люди то жили без этого, разве возможно это?
> (подставить можно и электричество, и лазер, и плазмы и те же
> компьютеры и всё что угодно... вплоть до тетриса) :)
> P.S. а теперь время малость пошутить :)
>> лошадь впереди телеги
> а вы, видимо, всегда лошадей позади повозки запрягаете? да, видимо, и на
> машине ездите туда на 5и скоростях, а обратно возвращаетесь на одной
> задней ;) хи

Еще один солипсический идеалист.

Эй, мужик! Весь мир работает за деньги! Иначе сиди на ГОА, жри бананы с дерева и жаст фор фан пиши софт. Не? Не катит? Надо на машинке ездить? В Турцию к аниматорам - и опять за презренное бабло? Жене шубу купить - опять презренный металл?

Тоже мне, бескорыстные двигатели прогресса! Если так - так будьте последовательными и донейтов не просите! А то островок коммунизма посреди капиталистического океана построили, понимаешь, а от зависимости от презренного бабла не избавились!

Вот чем вы достаете, альтруисты хреновы. Сперва пускай коммунизм на земном шаре победит, а потом мы поговорим о "От каждого по способностям - каждому по потребностям".


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Аноним , 24-Май-11 11:40 
У вас очень ограниченный кругозор, вы не видите возможностей дальше продажи определенных строк кода. У open source другие бизнес-модели.

"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Металлист , 25-Май-11 00:16 
> опять презренный металл?

метал не трожьте!


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено коксюзер , 24-Май-11 06:48 
Хотелось бы какой-никакой документации, хотя бы обзорной, хотя бы по ключевым отличиям от Hardened Gentoo.

"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Ващенаглухо , 25-Май-11 12:15 
кстати а почему на скриншотах в выводе paxtest-a так много vunerable ?
Что то не так собрали?

У меня vunerable только на этих двух:
Return to function (memcpy)      
Return to function (memcpy, RANDEXEC)


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено коксюзер , 25-Май-11 15:45 
> кстати а почему на скриншотах в выводе paxtest-a так много vunerable ?
> Что то не так собрали?

<trolling>Наверно повключали все опции PaX и SOFTMODE за одно. ;)</trolling>


"AnikOS - попытка формирования концепций защищенного дистрибу..."
Отправлено Ващенаглухо , 28-Май-11 23:11 
альфа 3 не грузится, не может замонтировать loop