The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Оценка безопасности различных дистрибутивов Linux "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от opennews (??) on 13-Сен-10, 11:43 
Лаборатория компании MWR Infosecurity (http://www.mwrinfosecurity.com) провела сравнительный анализ дистрибутивов Linux с точки зрения информационной безопасности. Результаты исследования изложены в статьях "Анализ безопасности кода, выполняемого в адресном пространстве пользователя (userspace) (http://labs.mwrinfosecurity.com/notices/security_mechanisms_.../)" и "Анализ безопасности кода ядра (http://labs.mwrinfosecurity.com/notices/assessing_the_tux_st.../)".


Атаки вредоносного кода, направленные на разрушение структур оперативной памяти сегодня являются одними из наиболее распространенных, эволюционируя от известных способов переполнения стека к новым, более сложным механизмам, разрушающим логическую целостность процессов операционной системы. С большой вероятностью, практически любая из известных типов атак в той или иной степени применима к ОС Linux, а защита от таких атак негативно сказывается на...

URL: http://labs.mwrinfosecurity.com/notices/assessing_the_tux_st.../
Новость: http://www.opennet.me/opennews/art.shtml?num=27938

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Оценка безопасности различных дистрибутивов Linux "  +3 +/
Сообщение от prapor (??) on 13-Сен-10, 11:43 
Хм. Надо потестить на эту тему RHEL с включенным SELinux. Интересно, как оно себя покажет.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Оценка безопасности различных дистрибутивов Linux "  +1 +/
Сообщение от аноним on 13-Сен-10, 12:21 
Действительно странно.
Всё-таки RHEL/CentOS используются гораздо чаще, чем Hardened Gentoo, а по плюшкам безопасности находятся на том же уровне, если не выше.

Наверное, авторы просто не хотели рекламировать отдельно взятую фирму.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Оценка безопасности различных дистрибутивов Linux "  –5 +/
Сообщение от Аноним (??) on 13-Сен-10, 12:33 
>Действительно странно.
>Всё-таки RHEL/CentOS используются гораздо чаще, чем Hardened Gentoo, а по плюшкам безопасности
>находятся на том же уровне, если не выше.

Ситуацию с RHEL/CentOS неплохо отражает Fedora. Так как в Fedora дополнительно обкатываются некоторые экспериментальные вещи, которых еще нет в RHEL/CentOS, то Fedora 13 заведомо содержит больше связанных с безопасностью функций.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Оценка безопасности различных дистрибутивов Linux "  +5 +/
Сообщение от аноним on 13-Сен-10, 14:02 
>Ситуацию с RHEL/CentOS неплохо отражает Fedora.

Нет. Fedora - обычный десктопный дистр, там нет кучи параноидальных защит, характерных для промышленных дистрибутивов.
Просто потому, что они усложняют жизнь простым юзерам и часто приводят к замедлению скорости работы.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

55. "Оценка безопасности различных дистрибутивов Linux "  +1 +/
Сообщение от Michael Shigorin email(ok) on 14-Сен-10, 23:17 
> там нет кучи параноидальных защит, характерных для промышленных дистрибутивов.

Можно примерчик?

> Просто потому, что они усложняют жизнь простым юзерам и часто приводят
> к замедлению скорости работы.

Когда это особо кого беспокоило в rawhide/fedora...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Оценка безопасности различных дистрибутивов Linux "  +2 +/
Сообщение от prapor (??) on 13-Сен-10, 14:02 
Но ситуация таки отличается. Вот пример из RHEL 6 beta 2 (примерно та же 12-13 федора):
2.6.32-44.2.el6.x86_64 #1 SMP Wed Jul 21 12:48:32 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed
Executable anonymous mapping (mprotect)  : Vulnerable
Executable bss (mprotect)                : Vulnerable
Executable data (mprotect)               : Vulnerable
Executable heap (mprotect)               : Vulnerable
Executable stack (mprotect)              : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Writable text segments                   : Vulnerable
Anonymous mapping randomisation test     : 28 bits (guessed)
Heap randomisation test (ET_EXEC)        : 14 bits (guessed)
Heap randomisation test (PIE)            : 28 bits (guessed)
Main executable randomisation (ET_EXEC)  : No randomisation
Main executable randomisation (PIE)      : 28 bits (guessed)
Shared library randomisation test        : No randomisation
Stack randomisation test (SEGMEXEC)      : 28 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 28 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Vulnerable
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy, PIE)         : Vulnerable

SELinux стоит как Permissive (рабочий десктоп). В логах проскакивает ругать, что кое-что из прошедшего должно было быть заблокировано:
type=1400 audit(1284371906.231:27969): avc:  denied  { execheap } for  pid=17696 comm="mprotheap" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=process

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "Оценка безопасности различных дистрибутивов Linux "  +2 +/
Сообщение от stranger (??) on 13-Сен-10, 15:35 
>Но ситуация таки отличается. Вот пример из RHEL 6 beta 2 (примерно
>та же 12-13 федора):
>2.6.32-44.2.el6.x86_64 #1 SMP Wed Jul 21 12:48:32 EDT 2010 x86_64 x86_64 x86_64
>GNU/Linux

А что помешало включить enforcing перед проверкой? Было бы интересно посмотреть на результаты со включенным SELinux.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

37. "Оценка безопасности различных дистрибутивов Linux "  +1 +/
Сообщение от prapor (??) on 13-Сен-10, 17:34 
Да результат не сильно отличился.
2.6.32-44.2.el6.x86_64 #1 SMP Wed Jul 21 12:48:32 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed
Executable anonymous mapping (mprotect)  : Vulnerable
Executable bss (mprotect)                : Vulnerable
Executable data (mprotect)               : Vulnerable
Executable heap (mprotect)               : Killed
Executable stack (mprotect)              : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Writable text segments                   : Vulnerable
Anonymous mapping randomisation test     : 28 bits (guessed)
Heap randomisation test (ET_EXEC)        : 14 bits (guessed)
Heap randomisation test (PIE)            : 28 bits (guessed)
Main executable randomisation (ET_EXEC)  : No randomisation
Main executable randomisation (PIE)      : 28 bits (guessed)
Shared library randomisation test        : No randomisation
Stack randomisation test (SEGMEXEC)      : 28 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 28 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Vulnerable
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy, PIE)         : Vulnerable

Но в общем таки можно его силами прикрыться.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

48. "Оценка безопасности различных дистрибутивов Linux "  +1 +/
Сообщение от solardiz (ok) on 14-Сен-10, 06:01 
> Но ситуация таки отличается. Вот пример из RHEL 6 beta 2 (примерно та же 12-13 федора):
> 2.6.32-44.2.el6.x86_64 #1 SMP Wed Jul 21 12:48:32 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux

Это не сравнение Fedora vs. RHEL. Это сравнение i686 vs. x86_64 - разумеется, результаты будут разными, хотя бы потому что размер адресного пространства отличается. А если запустить 32-битную сборку paxtest на x86_64 ядре (с CONFIG_IA32_EMULATION) - получится еще один набор результатов, не совпадающий ни с одним из двух "простых".

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

58. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от prapor (??) on 15-Сен-10, 00:58 
Ну нету у меня i686, нету. И проверять негде.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

52. "Оценка безопасности различных дистрибутивов Linux "  +1 +/
Сообщение от i (??) on 14-Сен-10, 11:01 
на том же уровне? не смешите, ещё раз перечитайте статью и сравните какие механизмы где используются.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Оценка безопасности различных дистрибутивов Linux "  –6 +/
Сообщение от Аноним (??) on 13-Сен-10, 11:50 
А, где *BSD системы?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Оценка безопасности различных дистрибутивов Linux "  +3 +/
Сообщение от BirdGovorun email(??) on 13-Сен-10, 12:53 
> А, где *BSD системы?

Причем здесь *BSD системы, в заголовке написано,
Оценка безопасности различных дистрибутивов Linux

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от Аноним (??) on 13-Сен-10, 11:57 
>напирмер, wine требует установки mmap_min_addr в 0

Wine уже давно такого не требует.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от RapteR email(ok) on 13-Сен-10, 12:12 
Етерсофтовский требует
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

41. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от log (ok) on 13-Сен-10, 19:38 
Не видел, чтобы требовал. Только рекомендации от ребят с Etersoft в мануале встречал.
На практике -wine@etersoft ни разу не требовал установить vm.mmap_min_addr = 0.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Оценка безопасности различных дистрибутивов Linux "  +3 +/
Сообщение от Зенитар on 13-Сен-10, 14:36 
Этого требуют 16-битные программы для Windows 3.1
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "+"  +/
Сообщение от daevy (ok) on 13-Сен-10, 12:10 
>Hardened-версия Gentoo выбрана как демонстрация дистрибутива, который включает >в себя практически все известные методы защиты кода.

ради демонстрации, NetSecL надо было еще затестить.

> SSP ... Gentoo - почти не используют (10%).

wtf?!? по дефолту все собирается с pie и ssp. они там gcc-nossp использовали чтоли??

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "+"  +1 +/
Сообщение от Daemontux (ok) on 13-Сен-10, 13:25 
>> SSP ... Gentoo - почти не используют (10%).
>wtf?!? по дефолту все собирается с pie и ssp. они там gcc-nossp использовали чтоли??

тоже удивило.

Либо они чего то не так сделали, либо боялись, что владельци др дистров лопнут от завести

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "+"  +/
Сообщение от upyx (ok) on 13-Сен-10, 13:27 
А зачем?
Как я понял, SSP дает возможность определить изменения в выполняемом коде, в то время как RELRO не позволяет их произвести. Бишь, при использовании RELRO, SSP уже излишен.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "+"  +/
Сообщение от daevy (ok) on 13-Сен-10, 13:47 
однако

media ~ # wget -q http://www.debian-administration.org/articles/76/test-ssp.c
media ~ # gcc-3.4.6 -fstack-protector -o test-ssp test-ssp.c
media ~ # ./checksec.sh --file test-ssp
RELRO           STACK CANARY      NX            PIE                     FILE
Full RELRO      No canary found   NX enabled    PIE enabled             test-ssp
media ~ # ./test-ssp `perl -e 'print "x"x1234'`
Hello xxxxxxx....
*** stack smashing detected ***: test-ssp - terminated
test-ssp: stack smashing attack in function foo - terminated
Report to http://bugs.gentoo.org/
Убито

наличие canary кагбэ нет, но ssp работает. пипес =)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

42. "+"  +/
Сообщение от pavlinux (ok) on 13-Сен-10, 21:27 
>однако
>
>media ~ # wget -q http://www.debian-administration.org/articles/76/test-ssp.c
>media ~ # gcc-3.4.6 -fstack-protector

Гы, гы, гы, ... в GCC 3.4.6 этот флаг есть, но он не работает.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

50. "+"  +/
Сообщение от daevy (ok) on 14-Сен-10, 08:26 
остается явно прописать в make.conf сфлаги -fforce-addr -fstack-protector
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

54. "+"  +/
Сообщение от pavlinux (ok) on 14-Сен-10, 16:38 
>остается явно прописать в make.conf сфлаги -fforce-addr -fstack-protector

-fstack-protector -fstack-protector-all -DFORTYFY_SOURCE=2 \
-fPIE -fpie -fPIC -fpic -s -fvisibility=protected \
-Wformat-security -W -Wall -Wextra -Wformat=2 -Werror

:)

---

А -fforce-* вроде уже отменили. Не?!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "+"  –1 +/
Сообщение от daevy (ok) on 13-Сен-10, 13:54 
>А зачем?
>Как я понял, SSP дает возможность определить изменения в выполняемом коде, в
>то время как RELRO не позволяет их произвести. Бишь, при использовании
>RELRO, SSP уже излишен.

да, так и есть, но при RELRO в некоторых случаях снижается общая производительность.
при использовании ssp вобще было бы неплохо вести лог при обнаружении изменений стека))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "+"  +/
Сообщение от solardiz (ok) on 13-Сен-10, 15:57 
> Как я понял, SSP дает возможность определить изменения в выполняемом коде, в то время как RELRO не позволяет их произвести. Бишь, при использовании RELRO, SSP уже излишен.

Нет, это неправильное понимание.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

34. "+"  +1 +/
Сообщение от daevy (ok) on 13-Сен-10, 16:10 
тогда в чем магия? relro защищает структуры бинарников, а ssp защищает стек с которым работают бинарники, получается так..
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от daevy (ok) on 13-Сен-10, 12:19 
trapkit реально вещь))) musthave.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от estet (??) on 13-Сен-10, 12:25 
openbsd 4.7:

~/tmp/paxtest-0.9.9$ ./paxtest kiddie
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Writing output to paxtest.log
It may take a while for the tests to complete
Test results:
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Mode: kiddie
OpenBSD 4.7 GENERIC.MP#130 amd64

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable anonymous mapping (mprotect)  : Vulnerable
Executable bss (mprotect)                : Vulnerable
Executable data (mprotect)               : Vulnerable
Executable heap (mprotect)               : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Executable stack (mprotect)              : Vulnerable
Anonymous mapping randomisation test     : 16 bits (guessed)
Heap randomisation test (ET_EXEC)        : 21 bits (guessed)
Main executable randomisation (ET_EXEC)  : No randomisation
Shared library randomisation test        : 16 bits (guessed)
Stack randomisation test (SEGMEXEC)      : 15 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 14 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Vulnerable
Return to function (memcpy, PIE)         : Vulnerable
Executable shared library bss            : Killed
Executable shared library data           : Killed
Writable text segments                   : Vulnerable

~/tmp/paxtest-0.9.9$

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "Оценка безопасности различных дистрибутивов Linux "  +1 +/
Сообщение от slepnoga (??) on 13-Сен-10, 14:58 
>[оверквотинг удален]
> : Vulnerable
>Executable shared library bss        
>   : Killed
>Executable shared library data        
>  : Killed
>Writable text segments          
>         : Vulnerable
>
>
>~/tmp/paxtest-0.9.9$

там же  только трамполине, и тот ископаемый.  Ну и трассировка, которая нафик не работает

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от Аноним (??) on 13-Сен-10, 12:36 
Где рейтинг дистрибутивов по всем тестам?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Оценка безопасности различных дистрибутивов Linux "  +4 +/
Сообщение от solardiz (ok) on 13-Сен-10, 13:12 
> Где рейтинг дистрибутивов по всем тестам?

Думаю, такой рейтинг по тестам составить нельзя, либо же способ его составления будет субъективным - т.е. мы получим рейтинг по мнению составителей. Лучше уж по сумме голосов N-го количества экспертов, а результаты этих и ряда других "тестов" можно максимально объективно предоставить экспертам.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Оценка безопасности различных дистрибутивов Linux "  –1 +/
Сообщение от gunlinux email(ok) on 13-Сен-10, 12:46 
Господа, в принципе ожидаемая картина, но хотелось бы большее количество систем, мне было бы интересно посмотреть на archlinux, и slackware.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Оценка безопасности различных дистрибутивов Linux "  +4 +/
Сообщение от Аноним (??) on 13-Сен-10, 12:57 
А чего там смотреть? KISS же.
Как соберешь/настроишь - так и будет.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от mma on 13-Сен-10, 13:17 
>А чего там смотреть? KISS же.
>Как соберешь/настроишь - так и будет.

ну да. тулчейн не забудте только соответсвующий собрать:)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Оценка безопасности различных дистрибутивов Linux "  +20 +/
Сообщение от Аноним (??) on 13-Сен-10, 12:49 
Это - в качестве примера, о чем нужно писать новости.
А то:
"- Убунта сменила тему по умолчанию!"
"- Вах, вах, срочно на главную! И выделить, выделить не забудьте!"
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Оценка безопасности различных дистрибутивов Linux "  +15 +/
Сообщение от solardiz (ok) on 13-Сен-10, 12:54 
Это полезная проверка/публикация, и в целом все так и есть, но вывод не столь прост. Упомянутые не-Gentoo дистрибутивы уделяют немало внимания безопасности в других областях, причем более затратных для них, чем просто "подмена" опций сборки программ и подмена ядра. Кстати, кажется, у Debian тоже раздается hardened ядро - просто его почему-то не включили в это исследование.

Критериев сравнения дистрибутивов по безопасности может быть гораздо больше, чем просто hardening от выполнения произвольного кода (чисто своего или сконструированного из имеющегося) в предположении наличия соответствующей уязвимости и способа до нее добраться (attack vector). Конечно, это предположение верное, но количество таких сочетаний (уязвимости и способа) для разных дистрибутивов (и вариантов их установки/настройки) будет отличаться, а также будет отличаться скорость исправления уязвимостей после их публикации (а зачастую и до публикации).

К тому же, PIE все-таки имеет ненулевую цену по производительности. Например, в http://d-sbd.alioth.debian.org/www/?page=pax_pie приводится оценка в 5.8% для одного из вариантов сборки под 32-битный x86. В приведенном исследовании речь шла как раз о 32-бит. (На x86-64, по информации с той же ссылки, замедления почти нет.)

grsecurity/PaX - это, предположим, хорошо, но кто и на каком основании в такой компании как Red Hat или Novell возьмет на себя ответственность за большой объем не-upstream изменений в ядро, которые аудиту толком не подвергнешь (кто пробовал этот код читать, тот знает почему)? "Я пил пиво с авторами на таком-то con'е и теперь готов поручиться" - что скажут на это клиенты?

Возможно, ситуация была бы иной если бы когда PaX только начал появляться, к нему был бы интерес со стороны mainstream, но это тогда было нереально, как и к моему non-exec stack patch несколькими годами ранее. А несколькими годами позже аудит и включение PaX уже было нереальным по причине объема и сложности кода (вернее, нетривиальности причин, стоявших за на вид простыми изменениями кода), разрабатывавшегося в одиночку. (Возможно, если бы автор попытался вежливо, "самопожертвенно", но целенаправленно и активно давать в upstream отдельные патчи для отдельных вещей, как это, например, стали делать OpenVZ, результат был бы во многом иным. Но я понимаю, что в целом это неблагодарное занятие.) Появился exec-shield, который этих недостатков не имел, но обеспечивал менее полную защиту (частично из здравых соображений, таких как отсутствие замедления и сложных изменений кода), что мы здесь и видим.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Оценка безопасности различных дистрибутивов Linux "  +4 +/
Сообщение от XoRe (ok) on 13-Сен-10, 14:41 
Gentoo рулит =)
Но, справедливости ради, стоит сказать, что hardened - это не дефолтное ядро в Gentoo.
В портежах Gentoo вообще есть несколько ядер на выбор.
Gentoo, Vanilla, Hardened, Tux.
Поэтому сравнивать ядра общего назначения с hardened ядром - несколько некорректно.
У бинарных дистрибутивов так же можно устанавливать разные ядра.
Поэтому разработчики бинарных дистрибутивов вполне могут добавить в свои репозитории hardened версии ядер.
Кстати, возможно, данное исследование сподвигнет их на это =)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от slepnoga (??) on 13-Сен-10, 15:01 

>Поэтому разработчики бинарных дистрибутивов вполне могут добавить в свои репозитории hardened версии
>ядер.
>Кстати, возможно, данное исследование сподвигнет их на это =)

Угу, не забудь пересобрать всю репку.
Как человек, написавший не одну сотню ебилдов для генты (в том числе для hardened), могу сказать что на этом пути тебя ждет много чудных открытий.
Степень осилянства автотулзов разрабами федоры/дебиан уже вошла в поговорку ::)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

56. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от Michael Shigorin email(ok) on 14-Сен-10, 23:31 
>Угу, не забудь пересобрать всю репку.

С какого перепугу?

>Как человек, написавший не одну сотню ебилдов для генты (в том числе
>для hardened), могу сказать что на этом пути тебя ждет много
>чудных открытий.

Как человек, собравший не одну сотню пакетов для альта, в т.ч. времён ow-патча и компании -- вежливо интересуюсь: с патчоматиком каким не перепутали случайно?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

46. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от yurii (??) on 14-Сен-10, 01:07 
> Но, справедливости ради, стоит сказать, что hardened - это не дефолтное ядро в Gentoo.
> В портежах Gentoo вообще есть несколько ядер на выбор.
> Gentoo, Vanilla, Hardened, Tux.
> Поэтому сравнивать ядра общего назначения с hardened ядром - несколько некорректно.
> У бинарных дистрибутивов так же можно устанавливать разные ядра.
> Поэтому разработчики бинарных дистрибутивов вполне могут добавить в свои репозитории > > hardened версии ядер.
> Кстати, возможно, данное исследование сподвигнет их на это =)

вполне корректно.
читай новость так:
сравнение дистрибутивов с найболее харденед опциями поставляемые\доступные "искаропки" или через подключения дополнительного __официального__ и __стабильного__ репозирория.

просто у бинарных дистрибутивов зачастую нет такого фулл-харденед\нефулл-харденед сборка.
каждый следует своей секурити-полиси исходя из тех или иных трейдоффов.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

57. "Оценка безопасности различных дистрибутивов Linux "  +2 +/
Сообщение от XoRe (ok) on 15-Сен-10, 00:55 
>вполне корректно.
>читай новость так:
>сравнение дистрибутивов с найболее харденед опциями поставляемые\доступные "искаропки"

Gentoo и "искаропки"... - взаимоисключающие понятия)
Он вообще не вписывается в список бинарных дистрибов.
Я могу лишь предположить, что на примере Gentoo, авторы сравнения хотели указать дистростроителям, как можно защитить систему.

>просто у бинарных дистрибутивов зачастую нет такого фулл-харденед\нефулл-харденед сборка.
>каждый следует своей секурити-полиси исходя из тех или иных трейдоффов.

Вот на то, чтобы такая сборка появилась, возможно и расчет авторов статьи)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

59. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от yurii (??) on 15-Сен-10, 10:20 
> Gentoo и "искаропки"... - взаимоисключающие понятия)

ничего не взаимоисключающие.
я сказал: сравнение дистрибутивов с найболее харденед __опциями__ поставляемые\доступные "искаропки" ( чит. харденед опции включённые поумолчанию).
ты выбрал харденед тулчейн. скомпилировал с дефолтными настройками(PIC-PIE\неPIС-PIE,SSP\не-SSP,ASLR\не-ASLR). получил результат. вот и сравнили результат.

> Он вообще не вписывается в список бинарных дистрибов.

а я не говорил что генту - бинарный дистрибутив

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

67. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от XoRe (ok) on 18-Сен-10, 12:20 
>> Gentoo и "искаропки"... - взаимоисключающие понятия)
>
>ничего не взаимоисключающие.

А где тогда можно скачать генту, который не надо компилировать, и который рыботал бы "из коробки"?
Я про современную версию генту.

>> Он вообще не вписывается в список бинарных дистрибов.
>
>а я не говорил что генту - бинарный дистрибутив

И я не говорил.
И тестировщики тоже, наверное, не говорили.
Тогда вопрос - напуркуа сравнивать бинарные дистры с компилируемым дистром?
Это как сравнивать машины только с завода с машиной, прошедшей тюнинг.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

68. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от Frank email(??) on 21-Сен-10, 12:41 
> просто у бинарных дистрибутивов зачастую нет такого фулл-харденед\нефулл-харденед сборка

Вы неправы.
~# apt-cache show harden
Package: harden
Priority: extra
Section: universe/admin
...
Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Original-Maintainer: Ola Lundqvist <opal@debian.org>
...
Depends: harden-environment, harden-servers, debconf (>= 1.2.0)
Recommends: harden-tools
Suggests: sudo, harden-clients, harden-nids, harden-remoteaudit, harden-surveillance, harden-doc
...
Description: Makes your system hardened
This package is intended to help the administrator to improve the security
of the system, or at least make the host less susceptible.
.
NOTE! This package will not make your system uncrackable, and it is not
intended to do so. Making your system secure involves a LOT more than just
installing a package. You are recommended to read at least some documents
in addition to installing this package.
.
There is a LOT of information available on making your system more secure.
A good place to start is with the harden-doc package or at
http://www.debian.org/doc/manuals/securing-debian-howto/

так что...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "Оценка безопасности различных дистрибутивов Linux "  +2 +/
Сообщение от slepnoga (??) on 13-Сен-10, 15:06 
И вообще то это довольно странные товарищи - сравнивают теплое с мягким.
Как я  понимаю  , ни в одном дистре не быи включены штатные защиты или не выполнены рекомендаации девов дистров.
Ну и в добавок - сравнение рхела  и харденед генты будет неккоректным, ибо 2-е в своей полной ипостаси ( с включением MAC ) требует ручной настройки ( и достройки) каждой машины, в отличие  от selinux
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

44. "Оценка безопасности различных дистрибутивов Linux "  +2 +/
Сообщение от pavlinux (ok) on 13-Сен-10, 21:49 
> Как я  понимаю  , ни в одном дистре не быи включены штатные защиты или
> не выполнены рекомендаации девов дистров.

Все троллишь...
Xorg у всех работает от рута ? Да! да! да!....
Так воть, видимо забыли про дырень, именуемую vmsplice?!
Ломались все, даже пентагоновские и АНБэшно-ФБРно-ЦРУвские.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

49. "Оценка безопасности различных дистрибутивов Linux "  +1 +/
Сообщение от slepnoga (??) on 14-Сен-10, 06:42 
>> Как я  понимаю  , ни в одном дистре не быи включены штатные защиты или
>> не выполнены рекомендаации девов дистров.
>
>Все троллишь...
>Xorg у всех работает от рута ? Да! да! да!....
>Так воть, видимо забыли про дырень, именуемую vmsplice?!
>Ломались все, даже пентагоновские и АНБэшно-ФБРно-ЦРУвские.
>
>

А вот фигу, как раз хреденед и не был подвержен

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

53. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от i (??) on 14-Сен-10, 14:18 
совершенно верно, помню сам проверял. От PAX-a мессага приходила тока.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "Оценка безопасности различных дистрибутивов Linux "  –2 +/
Сообщение от iZEN (ok) on 13-Сен-10, 15:18 
Вывод? Ada рулит!
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

35. "Оценка безопасности различных дистрибутивов Linux "  +5 +/
Сообщение от Иван Иванович Иванов on 13-Сен-10, 16:59 
> Главный вывод из написанного состоит в том, что ни один из рассмотренных дистрибутивов, кроме, пожалуй, Hardened Gentoo, не уделяет должного внимания безопасности.

Или то, что автор - слишком разогнался.

1) К сожалению, _все_ приведенные здесь защиты не спасают от дыр в ядре - а они, увы, случаются, регулярно.

2) Наличие одного только лишь включенного SeLinux достаточно, чтобы предотвратить 95% дыр.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

39. "Оценка безопасности различных дистрибутивов Linux "  +3 +/
Сообщение от prapor (??) on 13-Сен-10, 17:41 
Кстати, простой пример. Вот результаты на Debian Sid (свежий апдейт) с Enforcing:
Mode: kiddie
Linux excelsior 2.6.32-5-amd64 #1 SMP Wed Aug 25 13:59:41 UTC 2010 x86_64 GNU/Linux

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed
Executable anonymous mapping (mprotect)  : Killed
Executable bss (mprotect)                : Killed
Executable data (mprotect)               : Killed
Executable heap (mprotect)               : Killed
Executable stack (mprotect)              : Killed
Executable shared library bss (mprotect) : Killed
Executable shared library data (mprotect): Killed
Writable text segments                   : Killed
Anonymous mapping randomisation test     : 28 bits (guessed)
Heap randomisation test (ET_EXEC)        : 14 bits (guessed)
Heap randomisation test (PIE)            : 28 bits (guessed)
Main executable randomisation (ET_EXEC)  : No randomisation
Main executable randomisation (PIE)      : 28 bits (guessed)
Shared library randomisation test        : 28 bits (guessed)
Stack randomisation test (SEGMEXEC)      : 28 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 28 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Vulnerable
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy, PIE)         : Vulnerable

А вот это - Permissive:
Mode: kiddie
Linux excelsior 2.6.32-5-amd64 #1 SMP Wed Aug 25 13:59:41 UTC 2010 x86_64 GNU/Linux

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed
Executable anonymous mapping (mprotect)  : Vulnerable
Executable bss (mprotect)                : Vulnerable
Executable data (mprotect)               : Vulnerable
Executable heap (mprotect)               : Vulnerable
Executable stack (mprotect)              : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Writable text segments                   : Vulnerable
Anonymous mapping randomisation test     : 28 bits (guessed)
Heap randomisation test (ET_EXEC)        : 14 bits (guessed)
Heap randomisation test (PIE)            : 28 bits (guessed)
Main executable randomisation (ET_EXEC)  : No randomisation
Main executable randomisation (PIE)      : 28 bits (guessed)
Shared library randomisation test        : 28 bits (guessed)
Stack randomisation test (SEGMEXEC)      : 28 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 28 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Vulnerable
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy, PIE)         : Vulnerable

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

36. "Оценка безопасности различных дистрибутивов Linux "  +1 +/
Сообщение от Аноним (??) on 13-Сен-10, 17:25 
у Debian надо ставить highmem ядро, только тогда будут использоваться NX бит, это же PAE
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

43. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от pavlinux (ok) on 13-Сен-10, 21:39 
/usr/lib64/xorg/modules/drivers/nvidia_drv.so:

No RELRO        No canary found   NX enabled    Dynamic Shared Object

Nvidia рулит!  :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

45. "Оценка безопасности различных дистрибутивов Linux "  +1 +/
Сообщение от pavlinux (ok) on 13-Сен-10, 22:01 
Тока опять ни хрена не ясна цель!

Если враг получил рута, это пипец,
и никаких модификации секций PLT (Procedure Linking Table) или
GOT (Global Offset Table) ELF-файла, и прочего подделывать не нужно.

-----

> Вредоносный код переполнения буфера обычно помещается в стек
> и, таким образом, разрушает метки.
> Работа механизмов SSP обнаруживает разрушение
> и аварийно завершает взломанный процесс.

То есть, если этих меток нет, процесс будет спокойно работать дальше, а не прибьется.

Вопрос: Какой от них толк?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

47. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от yurii (??) on 14-Сен-10, 01:12 
>[оверквотинг удален]
>
>> Вредоносный код переполнения буфера обычно помещается в стек
>> и, таким образом, разрушает метки.
>> Работа механизмов SSP обнаруживает разрушение
>> и аварийно завершает взломанный процесс.
>
>То есть, если этих меток нет, процесс будет спокойно работать дальше, а
>не прибьется.
>
>Вопрос: Какой от них толк?

да много причин могут быть. я не силён в истории GCC, но вариантов может быть как минимум 2:
1) не завершенная фича
2) временно убранная фича ( изза проблем при сборке или ломает чего то там )
3) gcc собран без етой опции


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

51. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от daevy (ok) on 14-Сен-10, 09:29 
>Вопрос: Какой от них толк?

так толк как раз в том чтобы они были))) чтобы запалить какието манипуляции со стеком

а если злодей получил таки рута, процесс должен быть ограничен рамками grsec\selinux (т.е. RBAC)


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

60. "Оценка безопасности различных дистрибутивов Linux "  –1 +/
Сообщение от Харон on 15-Сен-10, 12:06 
а я другой вывод сделал - Харденед Генту работает медленнее всех из-за суровых настроек безопасности :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

61. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от Аноним (??) on 16-Сен-10, 07:33 
Слакварь забыли :(
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

62. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от FreeDoS on 16-Сен-10, 13:22 
Народ, разговор об Hardened Gentoo в данном отчете не ведется.
Стоит хотя бы посмотреть на то, что SSP не нашли. В харденед спек для gcc содержит уже SSP, PIC и PIE, если вы конечно сами не выбрали другой (спек т.е.).

Еще, мне кажется, стоит обратить внимание, что gentoo - это метадистрибутив. И ставить рядом с Fedora, Debian и т.д. не совсем верно. Пример выше говорит именно об этом. Из Gentoo можно собрать разные по сути дистрибутивы: хошь серверный, хош дектопный, хош мегазащищенный (hardened) с SSP, PIE/PIC, grsec+PaX или SELinux и т.д.

Из Gentoo можно собрать действительно мощьный и защищенный дистрибутив.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

65. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от pavlinux (ok) on 17-Сен-10, 16:13 
> Из Gentoo можно собрать действительно мощьный и защищенный дистрибутив.

Ага :) - http://www.opennet.me/opennews/art.shtml?num=27979

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

69. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от i (??) on 26-Сен-10, 14:14 
чего ага, не заработало ведь без system.map
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

70. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от pavlinux (ok) on 26-Сен-10, 19:52 
>чего ага, не заработало ведь без system.map

Добрайо утры, пофиксили уже все что тока можно...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

71. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от i (??) on 26-Сен-10, 22:44 
так я тогда на старом ядре проверял, щас то конечно пофиксили.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

72. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от pavlinux (ok) on 26-Сен-10, 23:55 
>так я тогда на старом ядре проверял, щас то конечно пофиксили.

чуть фантазии и добавить

    for (uint64_t i=0; i < ~0; i++)

через минуту всё получится.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

66. "Оценка безопасности различных дистрибутивов Linux "  +/
Сообщение от xoomer on 18-Сен-10, 03:20 
Но я ещё так с ним и не разобрался... :)
Надо садится, да и учить его. :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру