Дэвид Штерба (David Sterba), разработчик ядра Linux, трудоустроенный в компании SUSE, рассказал (https://lizards.opensuse.org/2014/09/15/next-opensuse-harden... о создании проекта openSUSE-gardening (https://github.com/kdave/openSUSE-gardened), в рамках которого развивается набор пакетов, включающих дополнительные механизмы обеспечения безопасности. Дэвид считает, что штатных
средств (https://en.opensuse.org/openSUSE:Security_Features) обеспечения безопасности, таких как SELinux и AppArmor, не достаточно для формирования защищённого рабочего стола. Поэтому, предлагает дополнительно использовать в дистрибутиве наработки проекта Gresecurity (http://grsecurity.net/) для ядра Linux и средства повышения защиты на уровне сборочного инструментария GCC.
Формально проект пока находится на стадии бета-тестирования, но вариант openSUSE-gardening для дектоп-систем на основе openSUSE 13.1 и графических чипов Intel уже оценивается как пригодный для ежедневного использования. Для систем с видеокартами NVIDIA и AMD, а также для не входящих в состав openSUSE 13.1 окружений рабочего стола, пока могут наблюдаться нерешённые проблемы. Для openSUSE 13.1 (http://download.opensuse.org/repositories/home:/dsterba:/grs... и openSUSE Factory (http://download.opensuse.org/repositories/home:/dsterba:/grs... подготовлены сценарии упрощённой установки openSUSE-gardening компонентов, которые можно использовать в YaST для настройки установки и набора пакетов в один клик. В будущем, наработки openSUSE-gardening планируется по возможности интегрировать в основной состав openSUSE.
В openSUSE-gardening пользователю предлагается вариант штатного ядра openSUSE, собранный с использованием плагинов и дополнений к GCC и от проекта grsecurity. Хранение PaX-флагов (http://ru.wikipedia.org/wiki/PaX) осуществляется только в обрасти расширенных атрибутов файлов на уровне файловой системы (xattr user.pax.*) без внесения изменений в ELF-заголовки исполняемых файлов. Для автоматического обновления PaX-флагов для свежеустанавливаемых исполняемых файлов подготовлен применяемый на стадии установки пакетов плагин к zypper (zypp-plugin-pax-flags).
URL: https://lizards.opensuse.org/2014/09/15/next-opensuse-hardening/
Новость: http://www.opennet.me/opennews/art.shtml?num=40586
ИМХО особая мощь в grsec acl, но сопровождать сие сложно. Без этого тоже не плохо, но всё же хочется по максимуму из коробки.> Хранение PaX-флагов осуществляется только в обрасти расширенных атрибутов файлов на уровне файловой системы
Это весьма новая фича, еще руки не дошли распробовать.
Давид Стерва? Возможно всё-таки hardening? Ладно, сочтём это полезным.
Все правильно! Они решили сделать свой защищенный садик, с манной кашей и компотом.
> Возможно всё-таки hardening?Не, там именно gardened:
"Why -gardened? According to Wikipedia, gardening is "a practice of growing and cultivating, an activity that brings relaxation", pun intended."
Таки gardening. Огородничество. О(т)гораживание, то есть.
Да, об огораживании таки не подумал.
разве суся еще жива?
Да! Надо накрутить побольше секьюрных фич.
SELinux, вдобавок к нему AppArmor и плюс этот gardened.
Чтобы вобще дистрибутив превратился в паралитика, а у юзера волосы на башке начинали шевелиться ещё на этапе скачивания исошника.
Антивирус, антивирус нужен, это же так очевидно.
Тормозить будет. Надо антиюзер!
"Обеспечивается поддержка механизмов для защиты от записи исполняемых областей памяти, рандомизации адресного пространства, эмуляции NX-бита на не поддерживающих данную технологию CPU."1. SELinux запрещает писать в исполняемую часть даже unconfined_u.Из официального руководства: By default, subjects running in an unconfined domain cannot allocate writeable memory and
execute it. T his reduces vulnerability to buffer overflow attacks.
2. Уже есть реализация рандомизации адресного пространства. Из вики: С 2005 года (ядро 2.6.12) Линукс имеет простой вариант ASLR. Различные патчи безопасности (PaX, ExecShield, и др) реализуют более сложные и полные варианты ASLR. В дистрибутивах, содержащих в названии «Hardened», а также в современных версиях Ubuntu, сильные варианты включены по умолчанию.
3. эмуляция NX-бита - ну наверно на их машинах это актуально..
Актуально поработал сусе. Как всегда