forum.opennet.ru

Составление сообщения

Исходное сообщение

"Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."
Отправлено vle, 29-Сен-11 14:59

>> Функции kauth в другом, совсем в другом.
> В другом по сравнению с чем?
kauth - не для зашиты от rootkit-ов, а для реализации
кастомных политик бьезопасности.
> То есть, это вы портировали chroot restrictions в NetBSD?
Не портировал, а реализовал аналог, глядя на описание на сайте.
Но закоммитить мне его не дали.
Отправили на доработку, хотя мне не очень ясно, на какую именно.
Будет время -- займусь, пора другие погремушки отвлекают.
>>> или та же защита для юзерспейса.
>> WTF?
> Полный W^X,
http://www.netbsd.org/docs/kernel/non-exec.html
Оно?
> полный ASLR
ASLR есть, урл на ман я давал. Включаемы/Выключаемый per executable или глобально.
По умолчанию выключен.
> (с поддержкой PIE
PIE есть, надо глянуть, как собираются sshd и другие в базовой системе.
По умолчанию PIE в компиляторе выключен.
Установки на сборку демонов в pkgsrc с PIE в обязательном порядке нет.
> и защитой от брутфорса),
security(7)
/ PaX Segvguard
Не?
> запрет на запись в GOT,
Вроде этого нет, но лучше спросить в рассылках.
> а также возможность запретить PROT_EXEC|PROT_WRITE маппинги и mprotect.
Запретить каким образом? URL?
> На сколько я понял из доков, пока есть только порт
> PaX MPROTECT и, видимо, частичный W^X (иначе зачем MPROTECT), который не
> документирован.
mprotect(2) ?

Исходное сообщение
"Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." Отправлено vle, 29-Сен-11 14:59
>> Функции kauth в другом, совсем в другом. > В другом по сравнению с чем? kauth - не для зашиты от rootkit-ов, а для реализации кастомных политик бьезопасности. > То есть, это вы портировали chroot restrictions в NetBSD? Не портировал, а реализовал аналог, глядя на описание на сайте. Но закоммитить мне его не дали. Отправили на доработку, хотя мне не очень ясно, на какую именно. Будет время -- займусь, пора другие погремушки отвлекают. >>> или та же защита для юзерспейса. >> WTF? > Полный W^X, http://www.netbsd.org/docs/kernel/non-exec.html Оно? > полный ASLR ASLR есть, урл на ман я давал. Включаемы/Выключаемый per executable или глобально. По умолчанию выключен. > (с поддержкой PIE PIE есть, надо глянуть, как собираются sshd и другие в базовой системе. По умолчанию PIE в компиляторе выключен. Установки на сборку демонов в pkgsrc с PIE в обязательном порядке нет. > и защитой от брутфорса), security(7) / PaX Segvguard Не? > запрет на запись в GOT, Вроде этого нет, но лучше спросить в рассылках. > а также возможность запретить PROT_EXEC\|PROT_WRITE маппинги и mprotect. Запретить каким образом? URL? > На сколько я понял из доков, пока есть только порт > PaX MPROTECT и, видимо, частичный W^X (иначе зачем MPROTECT), который не > документирован. mprotect(2) ?

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>> Функции kauth в другом, совсем в другом. >> В другом по сравнению с чем? > kauth - не для зашиты от rootkit-ов, а для реализации > кастомных политик бьезопасности. >> То есть, это вы портировали chroot restrictions в NetBSD? > Не портировал, а реализовал аналог, глядя на описание на сайте. > Но закоммитить мне его не дали. > Отправили на доработку, хотя мне не очень ясно, на какую именно. > Будет время -- займусь, пора другие погремушки отвлекают. >>>> или та же защита для юзерспейса. >>> WTF? >> Полный W^X, > http://www.netbsd.org/docs/kernel/non-exec.html > Оно? >> полный ASLR > ASLR есть, урл на ман я давал. Включаемы/Выключаемый per executable или глобально. > По умолчанию выключен. >> (с поддержкой PIE > PIE есть, надо глянуть, как собираются sshd и другие в базовой системе. > По умолчанию PIE в компиляторе выключен. > Установки на сборку демонов в pkgsrc с PIE в обязательном порядке нет. >> и защитой от брутфорса), > security(7) > / PaX Segvguard > Не? >> запрет на запись в GOT, > Вроде этого нет, но лучше спросить в рассылках. >> а также возможность запретить PROT_EXEC\|PROT_WRITE маппинги и mprotect. > Запретить каким образом? URL? >> На сколько я понял из доков, пока есть только порт >> PaX MPROTECT и, видимо, частичный W^X (иначе зачем MPROTECT), который не >> документирован. > mprotect(2) ?
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру