Тэо де Раадт (Theo de Raadt) добавил в кодовую базу OpenBSD серию патчей для дополнительной защиты памяти процессов в пространстве пользователя. Разработчикам предложен новый системный вызов и связанная с ним одноимённая библиотечная функция mimmutable, позволяющая зафиксировать права доступа при отражении в память (memory mappings). После фиксации, выставленные для области памяти права, например, запрет на запись и исполнение, невозможно в дальнейшем изменить через последующие вызовы функций mmap(), mprotect() и munmap(), которые при попытке изменения будут выдавать ошибку EPERM...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57890

• В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 09:58 , 09-Окт-22
  • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 10:27 , 09-Окт-22
    • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 12:23 , 09-Окт-22
      • В OpenBSD приняты изменения для дополнительной защиты памяти...,фф, 07:17 , 10-Окт-22
  • В OpenBSD приняты изменения для дополнительной защиты памяти...,n00by, 15:04 , 09-Окт-22
• В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 10:01 , 09-Окт-22
  • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 10:52 , 09-Окт-22
    • В OpenBSD приняты изменения для дополнительной защиты памяти...,Kuromi, 13:20 , 09-Окт-22
      • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 01:00 , 10-Окт-22
        • В OpenBSD приняты изменения для дополнительной защиты памяти...,Kuromi, 02:30 , 10-Окт-22
          • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 08:46 , 10-Окт-22
        • В OpenBSD приняты изменения для дополнительной защиты памяти...,ryoken, 08:05 , 10-Окт-22
        • В OpenBSD приняты изменения для дополнительной защиты памяти...,Янис, 09:12 , 10-Окт-22
        • В OpenBSD приняты изменения для дополнительной защиты памяти...,Stellarwind, 11:19 , 12-Окт-22
      • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 08:47 , 10-Окт-22
    • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 18:58 , 09-Окт-22
      • В OpenBSD приняты изменения для дополнительной защиты памяти...,timewilltell, 08:18 , 10-Окт-22
        • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 08:53 , 10-Окт-22
          • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 22:27 , 10-Окт-22
    • В OpenBSD приняты изменения для дополнительной защиты памяти...,Бывалый смузихлёб, 07:34 , 10-Окт-22
      • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 08:52 , 10-Окт-22
        • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 09:21 , 10-Окт-22
        • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 23:20 , 28-Ноя-22
    • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 10:18 , 12-Окт-22
• В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 10:27 , 09-Окт-22
  • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 21:23 , 09-Окт-22
• В OpenBSD приняты изменения для дополнительной защиты памяти...,Хру, 10:34 , 09-Окт-22
  • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 01:02 , 10-Окт-22
    • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 10:23 , 10-Окт-22
• В OpenBSD приняты изменения для дополнительной защиты памяти...,myhand, 11:13 , 09-Окт-22
  • В OpenBSD приняты изменения для дополнительной защиты памяти...,YetAnotherOnanym, 12:08 , 09-Окт-22
    • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 15:25 , 09-Окт-22
      • В OpenBSD приняты изменения для дополнительной защиты памяти...,Fracta1L, 15:52 , 09-Окт-22
      • В OpenBSD приняты изменения для дополнительной защиты памяти...,YetAnotherOnanym, 15:56 , 09-Окт-22
        • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 20:41 , 09-Окт-22
          • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 18:17 , 10-Окт-22
• В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 11:24 , 09-Окт-22
  • В OpenBSD приняты изменения для дополнительной защиты памяти...,Мимолеопард, 12:48 , 09-Окт-22
    • В OpenBSD приняты изменения для дополнительной защиты памяти...,n00by, 15:08 , 09-Окт-22
      • В OpenBSD приняты изменения для дополнительной защиты памяти...,Igraine, 16:23 , 09-Окт-22
        • В OpenBSD приняты изменения для дополнительной защиты памяти...,n00by, 17:52 , 09-Окт-22
• В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 14:22 , 09-Окт-22
  • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 01:05 , 10-Окт-22
    • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 17:17 , 10-Окт-22
• В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 14:46 , 09-Окт-22
  • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 14:55 , 09-Окт-22
    • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 14:04 , 12-Окт-22
  • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним 80_уровня, 15:16 , 09-Окт-22
  • В OpenBSD приняты изменения для дополнительной защиты памяти...,birdie, 15:25 , 09-Окт-22
  • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 18:21 , 09-Окт-22
  • В OpenBSD приняты изменения для дополнительной защиты памяти...,Ан, 07:51 , 10-Окт-22
  • В OpenBSD приняты изменения для дополнительной защиты памяти...,Killer, 12:35 , 10-Окт-22
    • В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 15:22 , 10-Окт-22
• В OpenBSD приняты изменения для дополнительной защиты памяти...,Аноним, 16:39 , 09-Окт-22
• В OpenBSD приняты изменения для дополнительной защиты памяти...,Krafter, 16:56 , 09-Окт-22
• В OpenBSD приняты изменения для дополнительной защиты памяти...,timewilltell, 08:14 , 10-Окт-22
• В OpenBSD приняты изменения для дополнительной защиты памяти...,Golangdev, 02:50 , 11-Окт-22
  • В OpenBSD приняты изменения для дополнительной защиты памяти...,Stellarwind, 11:55 , 13-Окт-22
• В OpenBSD приняты изменения для дополнительной защиты памяти...,Neon, 22:00 , 16-Окт-22

зачем это? если у вас все опенсорс - максимум что вам может понадобится это chroot для консоли или для гуи (типо flatpak) зачем усложнять методы работы с памятью?

А как будто в опенсорсном Firefox перестали находить баги? Или в хромиуме? Или в ffmpeg? Или в либрофисе?
Все что работает с внешними данными может неправильно их обработать.

Опенсорс? Внеси изменение в код, давай.

а вас во всех редакторах забанили?

Это затрудняет иньекцию непрошеного кода в процессы. Не все же руткиты с LD_PRELOAD, возможны и более сложные.

Надо попробовать поставить

Файфая не будет, дуалбут будет сделать муторнее чем на фрибзде(начинай с опенбзди, а аж потом ставь линукс),со звуком - вроде интеловская встройка должна завестись.

"дуалбут будет сделать муторнее"

Правильные чуваки просто ставят на отдельный диск и заморачиваются с дуалбутом.

Попробуй сделать это на ноутбуке.

> Попробуй сделать это на ноутбуке.

Можно грузиться с подключенного по USB диска.

Хорошая идея, но...
Опенбздя и так - самая тормозная бздя, ибо во сляву секирити! И вот именно ее надо грузить с USB-накопителя. Плавали, знаем, работает! Но хочется таки с жесткого диска, где с соседями она почти не дружит.

У многих ноутов есть слот для NVME\m.SATA + порт SATA под винт\SSD.

Ставил себе OpenBSD на ноутбук рядом с Линуксом. Подкорректировал GRUB, и никаких проблем с дуал-бут. Нет проблем им уживаться на одной машине. Только проблема в том, что уже очень OpenBSD медленно работает, хотя для моих нужд все программы на нем есть.

И в чем проблема, у меня в probook и m2 и sata и соответственно два диска.

> Правильные чуваки просто ставят на отдельный диск и заморачиваются с дуалбутом.

Я неправильный чувак.

Вай-вай в опен много лучше других бздей.

не только лишь бздей

В отличии от бздей, в "не только лишь системах" вай-вай работает. И это с учетом того, что бздешные дрова скопипасчены из "не только лишь систем".

> В отличии от бздей, в "не только лишь системах" вай-вай работает.

Пишу тебе ответ из бзди, с ноута, через вай-вай ...

> И это с учетом того, что бздешные дрова скопипасчены из "не только лишь систем".

Правда, без учета того, что писали эти дрова совсем не носители маечек с логотипом "не только лишь систем" - интересно, почему подоконники в свое время не задирали гузочку (или что там у них) из-за используемых в "не только лишь системах" дровишек под ndis-wrapper.

> дуалбут будет сделать муторнее чем на фрибзде

На ней его сделать как-то особенно сложно и муторно ?

Да. Ставить надо сначала опенбзду, создать в ней отдельный раздел для линукса, поставить линукс и граб, грузить грабом в чейнлоад опенбзды. У меня со второго раза получалось.

Касательно же фрибзды - свободный дисковый раздел отдаешь под бзд-слайс, ставишься в него, а из граба грузишь /boot/loader как kfreebsd. Работает всегда без проблем.

чё за бред. вообще нет проблем, делаешь тот же слайс и грузишь, как хочешь. в случае bios - либо chainloader +1, но можно и kopenbsd /boot/bsd. в случае uefi - просто грузишь bootx64.efi. никаких проблем нет, ставишь linux, потом отрезаешь нужный раздел, делаешь его A6 и всё, никаких проблем

ерунда все это. имею ноутбук с windows/linux/openbsd на борту, все это на одном диске, опенка ставил в последнюю очередь. загрузкой управляет gummiboot(который systemd-boot). с помощью fdisk выделил раздел, указал файловую систему openbsd data, там же, далее стандартная установка openbsd, после оттуда же смотрировал efi раздел, положил загрузчик (BOOTX64.EFI) и приписал его в конфиг gummiboot(две строчки), все, работает.

> Файфая не будет,

Ну так и станет безопаснее как раз, что тебе не нравится? Еще проводную сеть не подключай и вообще хорошо.

>mimmutable, позволяющая зафиксировать права доступа при отражении в память (memory mappings). После фиксации, выставленные для области памяти права, например, запрет на запись и исполнение, невозможно в дальнейшем изменить через последующие вызовы функций mmap(), mprotect() и munmap(), которые при попытке изменения будут выдавать ошибку EPERM.

Затем последует mmoreimmutable, которая будет работать так:

при вызове mimmutable будет выдаваться ошибка EPERM

Не понял шутку, пояснишь?

Вообще довольно логичный шаг, отрубающий на корню половину хаков, использующих перехват системных вызовов. Конечно ROP и его друзья никуда не денутся, но одно дело писать эксплойты под целевую версию софта, а другое дело делать постоянные модули типа читов :)

А теперь попробуй написать патч, реализующий предложенные преимущества разграничения например в firefox или chomium-е.

Пункт первый — объявляем JS главным источником глобального потепления…

Просто спрашивать разрешения Тэо.  Всегда.

`cat Анекдот_о_том_как_Сталин_руководил_сортировкой_картошки.txt`

Не гуглится, расскажи

Потому что это анекдот про Лукашенко

Приходит к Сталину посетитель на приём, а тот по телефону разговаривает:
- Хорошая... Плохая... Хорошая... Плохая...
И так несколько часов. Наконец, кладёт трубку и восклицает:
- Что за люди, картошку без меня перебрать не могут!

Так не смешно же.

Потому что главным героем в оригинале был Лукашенко.

а цифры по просадке производительности есть ?
или хотя бы как это можно будет отключить если вдруг окажется что падение местами не на жалкие проценты а на порядки ?

o_O
точнее O_O
Вы адекватно понимаете прочитанное?
Один вызов подпрограммы, если она сама захотела это. Несколько наносекунд у загрузчика на запуск процесса с дополнительным сегментом.
Откуда проценты и порядки? Или вы создаёте процессы сотнями тысяч в секунду?

Это здесь «нормально», в соседней теме у экспертов защищённый режим реально тормозит по сравнению с реальным, а прерывания надо отключать для ускорения сетевых операций.

Можно же просто скрыть комментарии и не читать толстый троллинг и глупости.

В том случае, скорее, человек сообщил актуальную информацию, но актуальной она была во времена i80386, с тех пор он что-то подзабыл и перепутал. Потом подобные комментарии читают, учатся, и получаются вот такие интересные гипотезы. Да и как его скрыть, если я его ник вижу впервые? А Анонимы подчас пишут дельное, потому профессиональные мракобесы за ними и прячутся.

А когда появится софт, использующий эту фичу? Та же джава (tomcat например)?

В ближайшее никогда. OpenBSD - это испражнения Тео и компании на тему гипотетической безопасности. Пацаны с каждым новым релизом всё дальше отрываются от ральности и уходят в свой выдуманный "безопасный" мир.

Насколько я знаю: на нём часто делают VPN (IPSec tunnel VPN).

Но это не отвечает на вопрос : когда появится софт.

Немного не по теме. Почему в Linux системах для распаковки архива задействуется только одно ядро процессора при наличии нескольких? Так и не смогли распараллелить задачу?

Не всегда это эффективно. Мы на работе пытались в много потоков сделать одну задачу например: получилось медленнее...

Это всегда эффективно. Раз не вышло, значит делали неправильно.

pbzip2 -dc myfile.tar.bz2 | tar x

Это ограничение формата сжатия, а не [ядра] Линукса.

Под Windows/MacOS вы увидите то же самое.

> для распаковки архива

потому что запись идёт медленнее распаковки.

Причем здесь линукс, это же про прикладное ПО. Мне кстати не нравятся когда приложение занимает все ядра, оно в этом случае другие приложения становятся неотзывчивыми, хотя бы одно физическое ядро надо не трогать.

Потому что те кто пишет на си не умеют потоки. Норм работа с потоками начинается на уровне c++ futures, async, task.

Ты хоть смо рел эту норм легализацию, дерево? Там под капотом pthreads

Проверьте кому не лень, чтобы этот писака дважды free не вызвал, как OpenSSH.

для того чтобы потому менять секцию Mutable BSS, нужно еще пару секций для защиты придумать

отлично!

Зачем это ?
Есть же Docker / Podman

Зачем вообще в машине багажник? Есть же прицеп.

И кто это чудо реально практически использует ? А не поиграться с экзотикой