forum.opennet.ru

Составление сообщения

Исходное сообщение

"Анонсирован Openwall GNU/*/Linux 3.1-stable"
Отправлено solardiz, 10-Янв-15 19:07

>> ........В дистрибутиве по умолчанию применяются передовые методы обеспечения защиты........
... но далеко не все. По ряду показателей Owl сейчас отстает от других hardened дистрибутивов Linux, но и те, в свою очередь отстают от Owl по другим показателям. Я недавно упомянул это здесь - http://www.openwall.com/lists/owl-users/2014/12/30/1
"Finally, as to the future of Owl itself, we need to know why we'd be
continuing to put effort into Owl.  Do we have more new approaches to
demo to others in this way, or would we be playing catch-up?  I think it
might be mostly the latter.  There are things other hardened distros did
and we didn't do yet, so we can merge those in and create a distro that
is in some ways better overall.  (In fact, this was the plan a couple of
years ago, but we didn't proceed to execute on it much yet.)  However,
we would not demo much new in this way, except for the combination of
what we already had and what others already had, and along with newer
upstream software versions.  Is demo'ing this combination worth the
effort?  Would it inspire others to do anything better?  Is it worth the
effort merely for actual use of it during the period that we'd be
maintaining it and keeping it up-to-date?"
> Интересует также результат прохождение передовых тестов:
> paxtest http://pax.grsecurity.net/
> checksec http://tk-blog.blogspot.ru/search/label/checksec.sh
> hardening-check https://wiki.debian.org/Hardening
> scanelf http://hardened.gentoo.org/pax-utils.xml
Эти тесты направлены на hardening от memory corruption атак. Это область которой в том числе и я занимался до начала проекта Owl. В Owl же мы изначально сделали упор на переделку userland'а, в частности для privilege separation, в чем и достигли успехов, но при этом мы уже почти не занимались дальнейшим hardening'ом от memory corruption атак. Появившиеся за эти годы другие hardened-дистрибутивы достигли успехов в той области. Теперь вопрос - стоит ли нам потратить еще время и объединить лучшие наработки? И в рамках какого проекта (или каких проектов)?
По paxtest результаты должны быть аналогичны RHEL 5.11 на соответствующих архитектурах - т.е. до PaX'а далеко, но и не совсем ужасно. Кому не нужна поддержка OpenVZ, могут использовать наш userland с ядром grsecurity и получить соответствующие ему результаты этого теста. По checksec, типичный бинарник из нашей сборки сейчас покажет Full RELRO и NX enabled, но пока что No canary found и No PIE - это собираемся поправить.

Исходное сообщение
*"Анонсирован Openwall GNU//Linux 3.1-stable"** Отправлено solardiz, 10-Янв-15 19:07
>> ........В дистрибутиве по умолчанию применяются передовые методы обеспечения защиты........ ... но далеко не все. По ряду показателей Owl сейчас отстает от других hardened дистрибутивов Linux, но и те, в свою очередь отстают от Owl по другим показателям. Я недавно упомянул это здесь - http://www.openwall.com/lists/owl-users/2014/12/30/1 "Finally, as to the future of Owl itself, we need to know why we'd be continuing to put effort into Owl. Do we have more new approaches to demo to others in this way, or would we be playing catch-up? I think it might be mostly the latter. There are things other hardened distros did and we didn't do yet, so we can merge those in and create a distro that is in some ways better overall. (In fact, this was the plan a couple of years ago, but we didn't proceed to execute on it much yet.) However, we would not demo much new in this way, except for the combination of what we already had and what others already had, and along with newer upstream software versions. Is demo'ing this combination worth the effort? Would it inspire others to do anything better? Is it worth the effort merely for actual use of it during the period that we'd be maintaining it and keeping it up-to-date?" > Интересует также результат прохождение передовых тестов: > paxtest http://pax.grsecurity.net/ > checksec http://tk-blog.blogspot.ru/search/label/checksec.sh > hardening-check https://wiki.debian.org/Hardening > scanelf http://hardened.gentoo.org/pax-utils.xml Эти тесты направлены на hardening от memory corruption атак. Это область которой в том числе и я занимался до начала проекта Owl. В Owl же мы изначально сделали упор на переделку userland'а, в частности для privilege separation, в чем и достигли успехов, но при этом мы уже почти не занимались дальнейшим hardening'ом от memory corruption атак. Появившиеся за эти годы другие hardened-дистрибутивы достигли успехов в той области. Теперь вопрос - стоит ли нам потратить еще время и объединить лучшие наработки? И в рамках какого проекта (или каких проектов)? По paxtest результаты должны быть аналогичны RHEL 5.11 на соответствующих архитектурах - т.е. до PaX'а далеко, но и не совсем ужасно. Кому не нужна поддержка OpenVZ, могут использовать наш userland с ядром grsecurity и получить соответствующие ему результаты этого теста. По checksec, типичный бинарник из нашей сборки сейчас покажет Full RELRO и NX enabled, но пока что No canary found и No PIE - это собираемся поправить.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру