forum.opennet.ru

"Анонсирован Openwall GNU/*/Linux 3.1-stable"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. *"Анонсирован Openwall GNU//Linux 3.1-stable"**	+/–
Сообщение от Аноним (-), 12-Янв-15, 16:58
PAX & Grsecurity занимаются почти исключительно ядром Linux и компилятором GCC. Пока утверждают и доказывают, что этого хватает для закрытия всех возможных уязвимостей, или препятствию развития атаки! Когда другие спешно обновляются, чтобы закрыть одну дыру, или пишут антивирусник защищающий дыру, то https://grsecurity.net/ внедряют в ядро Linux технологию которая закрывает сразу от всего подобного класса атак и делает невозможным эксплуатацию всех подобных (ещё публично неизвестных) дыр. > ....В Owl же мы изначально сделали упор на переделку userland'а, в частности для privilege separation, в чем и достигли успехов.... Сравнительная таблица grsecurity, selinux, apparmor: https://grsecurity.net/compare.php интересно было увидеть также Owl.. для разграничения привилегий в пользовательском окружении используются разные техники: 1. приямые и явные политики на основе списков доступа до косвенных 2. неявные - рандомизация памяти (PAX), адресов линковки (PIE), списка процессов (скрытие proc), ... и предоставление процессу только необходимой и достаточной информации. Если процесс не угадал с адресом или ещё чем, то его ядро убивает. > Теперь вопрос - стоит ли нам потратить еще время и объединить лучшие наработки? И в рамках какого проекта (или каких проектов)? Не готов дать совет:( В мире линукс выбор между Hardened Gentoo https://wiki.gentoo.org/wiki/Project:Hardened Hardened Debian https://wiki.debian.org/Hardening последний мертвый, может в https://devuan.org/ пойдут дела быстрее... Если у вас переделан сильно юзерленд, то лучше наверно общатся с разрабами конкретных прог... слать им падчи и обяснять им необходимость усиления privilege separation. Но по моему печальному опыту проще уболтать разрабов процов добавить ещё инструкцию для ускорение обработки каких-то систем безопасности чем закомитить патчи в апстрим.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Анонсирован Openwall GNU/*/Linux 3.1-stable, opennews, 05-Янв-15, 11:25 [смотреть все]

При сборке пакетов по умолчанию включены опции -Wl,-z,relro и -Wl,-z эпическ, Аноним, 05-Янв-15, 11:25 (1) //
- Тут все расписано https wiki debian org Hardening, Аноним, 05-Янв-15, 13:54 (11)
- А ты попробуй hardening-check your executable - узнаешь для себя много нового , Аноним, 05-Янв-15, 18:32 (31)
- facepalm , Аноним, 05-Янв-15, 20:10 (35)
штабильность , Аноним, 05-Янв-15, 11:42 (2) //
- С предыдущего, которое тоже 2 6 18 и тоже разве что по надписи на борту Вы в, Michael Shigorin, 06-Янв-15, 01:33 (41)
это уже не просто консерватизм, а диагноз , Baz, 05-Янв-15, 12:03 (3) //
- Конечно Твой рогрессивизм же не межет быть диагнозом Конечно, нет-нет I I , Andrey Mitrofanov, 05-Янв-15, 12:13 (4)
- Ну так давно известно что самая безопасная система - та которой никто не пользуе, Аноним, 05-Янв-15, 18:04 (27)
Как это сочетатьориентированного на обеспечение высокой безопасности и Вместо b, Сергей, 05-Янв-15, 12:20 (5) //
- всё просто фраза Owl может использоваться как для создания высокозащищённых се, Аноним, 05-Янв-15, 13:17 (9)
- Я сначала даже не понял откуда это взялось, но потом нашел у нас в CHANGES-3 1 з, solardiz, 05-Янв-15, 15:21 (15) //
  - gt оверквотинг удален То есть переход на что-то полегче в bin sh и bash как l, EHLO, 05-Янв-15, 16:18 (21) //
    - Четких планов на этот счет нет Нам бы по более важным вопросам определиться с , solardiz, 05-Янв-15, 17:40 (24)
      - А это потому что все это скриптовое болото писаное левой пяткой никто не пробова, Аноним, 05-Янв-15, 18:14 (28)
        
        Да нет, в скриптах уязвимости то и дело находят И в bash, так скажем, особеннос, solardiz, 05-Янв-15, 18:50 (32)
        
        И почему я не удивлен А шеллшок выделяется тем что показал что1 Нефиг пихать, Аноним, 06-Янв-15, 12:58 (47)
Ностальжи , commiethebeastie, 05-Янв-15, 12:49 (6)
Десктоп параноика, pipip, 05-Янв-15, 12:56 (7) //
- Десктоп параноика, батенька, это, например, Qubes OS Ну или более просто, как у, Аноним, 05-Янв-15, 15:38 (16) //
  - Батенька в винде любит посидеть , MIRV, 05-Янв-15, 16:33 (22) //
    - Только поиграть , Аноним, 05-Янв-15, 19:49 (34)
- Десктоп с ядром 2 6 18 Ну если запускать это на той же машине что жидитоба р, Аноним, 05-Янв-15, 18:16 (29)
старовато ядрышко, безопасность видимо на самом первом плане , dmnord, 05-Янв-15, 13:02 (8) //
- Новые эксплойты делаются под современный софт и новые ядра Очень оригинальный за, Аноним, 05-Янв-15, 13:18 (10) //
  - Понабежали школьники, не знающие про RHEL , Аноним, 05-Янв-15, 15:39 (17) //
    - Так нынче рхел 7 уж вышел А это из пятого еще , Аноним, 05-Янв-15, 18:16 (30)
  - Очень оригинальный защитный ход Security by obscurity , Аноним, 06-Янв-15, 11:00 (46)
- Старовато, да Особенно учитывая предстоящий в феврале EOL этой ветки в проекте , solardiz, 05-Янв-15, 16:02 (19)
От платных эксплойтов вас и старое ядро не спасет , Аноним, 05-Янв-15, 13:56 (12)
На самом деле мы разработчики не считаем выход Owl 3 1-stable важной новостью , solardiz, 05-Янв-15, 15:01 (14) //
- Это действительно хорошая новость Также, как и JTR jumbo Последнего заждались,, Аноним, 05-Янв-15, 15:41 (18)
- solardiz, новости о jtr из первых рук были бы интересны Для людей не подписанны, анон, 05-Янв-15, 16:07 (20) //
  - Не тяжело, но я всё же не стану каждое обновление jumbo анонсировать здесь Это , solardiz, 05-Янв-15, 17:52 (26)
- Конечно Ключевое слово systemd - отсутствует же , myhand, 05-Янв-15, 19:08 (33)
- Да уж поважней многого или даже следует - Интересно As to contributing to m, Michael Shigorin, 06-Янв-15, 01:54 (42) //
  - Здесь есть какие-то правила о не публикации старых новостей Пока что я ви, solardiz, 06-Янв-15, 09:08 (44) //
    - А какие приводятся технические аргументы На localhost systemd нет в силу харак, Michael Shigorin, 07-Янв-15, 18:15 (52)
      - Все, приведенные именно в контексте разработки Owl, есть в том треде в owl-users, solardiz, 08-Янв-15, 14:05 (54)
        
        В этом -- http www openwall com lists owl-users 2014 12 21 2Размышлял над эти, Michael Shigorin, 08-Янв-15, 16:29 (55)
        
        Да, в этом треде в сообщениях от galaxy , solardiz, 09-Янв-15, 11:26 (59)
- Было бы неимоверно круто если бы вы это делали Я иногда посматриваю на него, но, Аноним, 07-Янв-15, 18:31 (53)
Какие данные передаются через пипец, например , Аноним, 05-Янв-15, 17:40 (23) //
- Например, удобно с длинным dd 1 заместо размахивания сигналами и прикидки в уме, Michael Shigorin, 06-Янв-15, 01:57 (43)
А systemd будет , Амоним, 05-Янв-15, 20:27 (36) //
- Всенепременно C ядром 2 6 18, да , Аноним, 05-Янв-15, 20:57 (37)
- ненужно, Аноним, 13-Янв-15, 12:26 (70)
не понял, а зачем этот древний vconfig разве ip link add link eth0 name eth0 12, Amnesiac, 05-Янв-15, 22:11 (38) //
- vconfig add eth0 123, Аноним, 06-Янв-15, 01:12 (40) //
  - И что Типа, короче Тю cat my_vconfig bin shusage echo usage basenam, Amnesiac, 06-Янв-15, 17:35 (48)
- Legacy По сути уже не нужен Если проектом снова заняться всерьез, надо бы пере, solardiz, 06-Янв-15, 09:18 (45) //
  - Я смотрел ранее openwall, и как это ни странно меня больше всего заинтересовало , Павел Самсонов, 07-Янв-15, 11:48 (49) //
    - nitpick JFYI, Openwall - это наша команда У нас несколько своих проектов, а та, solardiz, 07-Янв-15, 12:24 (50)
      - gt оверквотинг удален Чесно говоря я так исчитал что это логичный следующий ша, Павел Самсонов, 08-Янв-15, 18:18 (56)
        
        Ах да, chfn и chsh у нас сейчас поставляются ограниченными только для root а Ра, solardiz, 09-Янв-15, 11:23 (58)
      - gt оверквотинг удален Да я забыл, вы правы, newgrp может только root, это setc, Павел Самсонов, 08-Янв-15, 18:38 (57)
  - Это уже сделано в etcnet, если что , Michael Shigorin, 07-Янв-15, 18:12 (51)
Интересует также результат прохождение передовых тестов paxtest http pax grsec, Аноним, 10-Янв-15, 17:55 (60) //
- но далеко не все По ряду показателей Owl сейчас отстает от других hardened , solardiz, 10-Янв-15, 19:07 (61) //
  - PAX Grsecurity занимаются почти исключительно ядром Linux и компилятором GCC , Аноним, 12-Янв-15, 16:58 (63) //
    - Я в курсе Довольно странно мне рассказывать про проект, который исходно появилс, solardiz, 12-Янв-15, 19:01 (65)
      - Респект gradm умеет автоматом создавать политики в сравнении с selinux где поли, Аноним, 13-Янв-15, 10:51 (67)
  - Свяжись с gentoo-hardened на lists gentoo org или gentoo-hardened на irc freeno, Аноним, 12-Янв-15, 17:18 (64) //
    - Мы немного общаемся с конкретными ребятами из Gentoo , но активно туда что-то п, solardiz, 12-Янв-15, 19:12 (66)
      - При других обстоятельствах может бы взялся за поддержку ваших патчей в Гентоо, н, Аноним, 13-Янв-15, 11:02 (68)
        
        Для очевидных фиксов так и делаем С требующими обсуждения убеждения вещами - сл, solardiz, 13-Янв-15, 11:20 (69)
        
        Хотел задать ещё вопрос о ситуации с продвижением патчей grsecurity PaX и Openwa, Аноним, 13-Янв-15, 13:05 (71)
        
        Я когда-то частично это прокомментировал здесь http www opennet ru openforum , solardiz, 13-Янв-15, 17:35 (72)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру