The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Инициатива по увеличению защищённости openSUSE

15.09.2014 13:42

Дэвид Штерба (David Sterba), разработчик ядра Linux, трудоустроенный в компании SUSE, рассказал о создании проекта openSUSE-gardened, в рамках которого развивается набор пакетов, включающих дополнительные механизмы обеспечения безопасности. Дэвид считает, что штатных средств обеспечения безопасности, таких как SELinux и AppArmor, недостаточно для формирования защищённого рабочего стола. Поэтому он предлагает дополнительно использовать в дистрибутиве наработки проекта Grsecurity для ядра Linux и средства повышения защиты на уровне сборочного инструментария GCC.

Формально проект пока находится на стадии бета-тестирования, но вариант openSUSE-gardened для деcктоп-систем на основе openSUSE 13.1 и графических чипов Intel уже оценивается как пригодный для ежедневного использования. Для систем с видеокартами NVIDIA и AMD, а также для не входящих в состав openSUSE 13.1 окружений рабочего стола, пока могут наблюдаться нерешённые проблемы. Для openSUSE 13.1 и openSUSE Factory подготовлены сценарии упрощённой установки компонентов openSUSE-gardened, которые можно использовать в YaST для настройки репозитория и установки набора пакетов в один клик. В будущем наработки openSUSE-gardened планируется по возможности интегрировать в основной состав openSUSE.

В openSUSE-gardened пользователю предлагается вариант штатного ядра openSUSE, собранный с использованием плагинов и дополнений к GCC и от проекта grsecurity. Обеспечивается поддержка механизмов для защиты от записи исполняемых областей памяти, рандомизации адресного пространства, эмуляции NX-бита на не поддерживающих данную технологию CPU. Хранение PaX-флагов осуществляется только в обрасти расширенных атрибутов файлов на уровне файловой системы (xattr user.pax.*) без внесения изменений в ELF-заголовки исполняемых файлов. Для автоматического обновления PaX-флагов для свежеустанавливаемых исполняемых файлов подготовлен применяемый на стадии установки пакетов плагин к zypper (zypp-plugin-pax-flags).

  1. Главная ссылка к новости (https://lizards.opensuse.org/2...)
  2. OpenNews: Вариант ядра Linux для платформы Android с интегрированными наработками GRSecurity
  3. OpenNews: openSUSE Factory становится независимым дистрибутивом с rolling-обновлениями
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/40586-hardening
Ключевые слова: hardening, opensuse
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (11) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, grec (?), 14:52, 15/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ИМХО особая мощь в grsec acl, но сопровождать сие сложно. Без этого тоже не плохо, но всё же хочется по максимуму из коробки.

    > Хранение PaX-флагов осуществляется только в обрасти расширенных атрибутов файлов на уровне файловой системы

    Это весьма новая фича, еще руки не дошли распробовать.

     
  • 1.5, Журналовращатель (?), 15:19, 15/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Давид Стерва? Возможно всё-таки hardening? Ладно, сочтём это полезным.
     
     
  • 2.6, Аноним (-), 15:51, 15/09/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Все правильно! Они решили сделать свой защищенный садик, с манной кашей и компотом.
     
  • 2.9, Аноним (-), 20:08, 15/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Возможно всё-таки hardening?

    Не, там именно gardened:

    "Why -gardened? According to Wikipedia, gardening is "a practice of growing and cultivating, an activity that brings relaxation", pun intended."

     
  • 2.13, Какаянахренразница (ok), 06:42, 16/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Таки gardening. Огородничество. О(т)гораживание, то есть.
     
     
  • 3.14, Журналовращатель (?), 13:04, 16/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да, об огораживании таки не подумал.
     

  • 1.8, Аноним (-), 18:44, 15/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    разве суся еще жива?
     
  • 1.10, Анжелика (?), 21:58, 15/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да! Надо накрутить побольше секьюрных фич.
    SELinux, вдобавок к нему AppArmor и плюс этот gardened.
    Чтобы вобще дистрибутив превратился в паралитика, а у юзера волосы на башке начинали шевелиться ещё на этапе скачивания исошника.
     
     
  • 2.12, Аноним (-), 23:59, 15/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Антивирус, антивирус нужен, это же так очевидно.
     
     
  • 3.15, Fox Mulder (?), 16:43, 16/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Тормозить будет. Надо антиюзер!
     

  • 1.11, Аноним (-), 22:05, 15/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    "Обеспечивается поддержка механизмов для защиты от записи исполняемых областей памяти, рандомизации адресного пространства, эмуляции NX-бита на не поддерживающих данную технологию CPU."

    1. SELinux запрещает писать в исполняемую часть даже unconfined_u.Из официального руководства: By default, subjects running in an unconfined domain cannot allocate writeable memory and
    execute it. T his reduces vulnerability to buffer overflow attacks.
    2. Уже есть реализация рандомизации адресного пространства. Из вики: С 2005 года (ядро 2.6.12) Линукс имеет простой вариант ASLR. Различные патчи безопасности (PaX, ExecShield, и др) реализуют более сложные и полные варианты ASLR. В дистрибутивах, содержащих в названии «Hardened», а также в современных версиях Ubuntu, сильные варианты включены по умолчанию.
    3. эмуляция NX-бита - ну наверно на их машинах это актуально..
    Актуально поработал сусе. Как всегда

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру