forum.opennet.ru

Составление сообщения

Исходное сообщение

"Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."
Отправлено PereresusNeVlezaetBuggy, 27-Сен-11 03:24

>> Насколько помню, в OpenBSD W^X есть и в ядре, если не забуду
>> - уточню позже. Может, действительно нужен список защитных механизмов?.. :)
> Уточните, пожалуйста.
Посмотрел. Ничего похожего, на самозащиту ядра в виде W^X не нашёл (по крайней мере в MI- и i386-коде). Правда, чем больше искал, тем больше понимал, что не уверен в том, что ищу то же самое, о чём говорите вы. :) Вы имели в виду, что если ядро в какую-то страницу памяти что-то пишет, то потом оно же эту страницу памяти не будет выполнять? Если говорить о страницах, которые мапятся в юзерленд, то эта проблема уже решена. Если говорить о страницах, где выполняться может само ядро, то такая ситуация в принципе невозможна (при условии корректной работы подсистемы выделения памяти, разумеется, но если в этой подсистеме есть ошибки, то говорить о какой-либо защите бессмысленно изначально). Ну или я не вижу за деревом леса...
>> Насколько помню, там не всё так просто, "честный" способ заметно снизит производительность.
> Возможно. В детали реализации я не углублялся, но в других системах таких
> проблем нет. Например, в Grsecurity RBAC.
Надо будет ещё раз поглядеть в код опёнковского systrace. Вдруг чего и получится починить... GrSecurity хорош, не спорю, но в данном случае, как вы понимаете, немного мимо. :)
> http://www.systrace.org - пример несломанного. ;)
Гм. Это ж только userland-часть. Так-то systrace(1) и в Опёнке не "сломанный". А проблема-то связана с копированием аргументов в ядро и далее...

Исходное сообщение
"Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." Отправлено PereresusNeVlezaetBuggy, 27-Сен-11 03:24
>> Насколько помню, в OpenBSD W^X есть и в ядре, если не забуду >> - уточню позже. Может, действительно нужен список защитных механизмов?.. :) > Уточните, пожалуйста. Посмотрел. Ничего похожего, на самозащиту ядра в виде W^X не нашёл (по крайней мере в MI- и i386-коде). Правда, чем больше искал, тем больше понимал, что не уверен в том, что ищу то же самое, о чём говорите вы. :) Вы имели в виду, что если ядро в какую-то страницу памяти что-то пишет, то потом оно же эту страницу памяти не будет выполнять? Если говорить о страницах, которые мапятся в юзерленд, то эта проблема уже решена. Если говорить о страницах, где выполняться может само ядро, то такая ситуация в принципе невозможна (при условии корректной работы подсистемы выделения памяти, разумеется, но если в этой подсистеме есть ошибки, то говорить о какой-либо защите бессмысленно изначально). Ну или я не вижу за деревом леса... >> Насколько помню, там не всё так просто, "честный" способ заметно снизит производительность. > Возможно. В детали реализации я не углублялся, но в других системах таких > проблем нет. Например, в Grsecurity RBAC. Надо будет ещё раз поглядеть в код опёнковского systrace. Вдруг чего и получится починить... GrSecurity хорош, не спорю, но в данном случае, как вы понимаете, немного мимо. :) > http://www.systrace.org - пример несломанного. ;) Гм. Это ж только userland-часть. Так-то systrace(1) и в Опёнке не "сломанный". А проблема-то связана с копированием аргументов в ядро и далее...

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>> Насколько помню, в OpenBSD W^X есть и в ядре, если не забуду >>> - уточню позже. Может, действительно нужен список защитных механизмов?.. :) >> Уточните, пожалуйста. > Посмотрел. Ничего похожего, на самозащиту ядра в виде W^X не нашёл (по > крайней мере в MI- и i386-коде). Правда, чем больше искал, тем > больше понимал, что не уверен в том, что ищу то же > самое, о чём говорите вы. :) Вы имели в виду, что > если ядро в какую-то страницу памяти что-то пишет, то потом оно > же эту страницу памяти не будет выполнять? Если говорить о страницах, > которые мапятся в юзерленд, то эта проблема уже решена. Если говорить > о страницах, где выполняться может само ядро, то такая ситуация в > принципе невозможна (при условии корректной работы подсистемы выделения памяти, разумеется, > но если в этой подсистеме есть ошибки, то говорить о какой-либо > защите бессмысленно изначально). Ну или я не вижу за деревом леса... >>> Насколько помню, там не всё так просто, "честный" способ заметно снизит производительность. >> Возможно. В детали реализации я не углублялся, но в других системах таких >> проблем нет. Например, в Grsecurity RBAC. > Надо будет ещё раз поглядеть в код опёнковского systrace. Вдруг чего и > получится починить... GrSecurity хорош, не спорю, но в данном случае, как > вы понимаете, немного мимо. :) >> http://www.systrace.org - пример несломанного. ;) > Гм. Это ж только userland-часть. Так-то systrace(1) и в Опёнке не "сломанный". > А проблема-то связана с копированием аргументов в ядро и далее...
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру