|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от opennews (ok) on 09-Ноя-10, 21:32 | ||
Кис Кук (Kees Cook), главный сисадмин kernel.org и лидер Ubuntu Security Team, предложил (http://lkml.org/lkml/2010/11/7/113) в списке рассылки разработчиков Linux-ядра с целью повышения безопасности расширить области использования в ядре страниц памяти, переведенных в режим "только чтение". Данная мера позволит реализовать упреждающую защиту от эксплуатации уязвимостей, связанных с возможностью перезаписи областей памяти ядра, вследствие ошибок. | ||
Высказать мнение | Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от JL2001 (ok) on 09-Ноя-10, 21:32 | ||
а почему нельзя весь код сделать запрещённым для записи после инициализации (загрузил модуль и замок на него) а на все данные - запрет на исполнение ? | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
6. "Повышение безопасности Linux-ядра через использование доступ..." | +5 +/– | |
Сообщение от GG on 09-Ноя-10, 22:30 | ||
видимо потому, что бывает надо что-нибудь позаписывать | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
34. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от JL2001 (ok) on 10-Ноя-10, 13:15 | ||
> видимо потому, что бывает надо что-нибудь позаписывать | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
38. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от Daemontux (ok) on 10-Ноя-10, 16:35 | ||
Это наследие костылей x86 | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
9. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от demimurych (ok) on 09-Ноя-10, 22:34 | ||
если я ничего не забыл | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
11. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от segoon (ok) on 09-Ноя-10, 22:58 | ||
О чём вы говорите? Linux написан на сях и ассемблере. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
14. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от Аноним (??) on 09-Ноя-10, 23:27 | ||
если ты пытался указать на трамплины, то они только в стеке. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
32. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от dq0s4y71 (??) on 10-Ноя-10, 12:47 | ||
И я не помню чтобы путали. Си[++] всегда рассовывал код и данные с разными типами хранения по соответствующим сегментам. Не знаю насчет старых версий Паскаля, но сейчас он, вроде бы, делает так же. Может быть, бейсики какие-нибудь валят код и данные в одну кучу? | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
29. "Повышение безопасности Linux-ядра через использование доступ..." | –1 +/– | |
Сообщение от Frank (ok) on 10-Ноя-10, 08:27 | ||
Мешает отсутствие поддержки такого запрета на уровне процессора для многих архитектур (линукс не ограничивается работой только с современными CPU с поддержкой NX-бита, да). | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
33. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от JL2001 (ok) on 10-Ноя-10, 13:14 | ||
NX-бит это "новость" конешно.. "The ARM architecture refers to the feature as XN for eXecute Never; it was introduced in ARM v6" | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
36. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от dalco (ok) on 10-Ноя-10, 13:59 | ||
Кабы не соврать, но NX бит, случаем, не с четвертых пней (Prescott(?)) пошел? Если так, то раритетных компов еще слишком много. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
37. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от JL2001 (ok) on 10-Ноя-10, 14:41 | ||
> Кабы не соврать, но NX бит, случаем, не с четвертых пней (Prescott(?)) | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
39. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от Daemontux (ok) on 10-Ноя-10, 16:39 | ||
>> Кабы не соврать, но NX бит, случаем, не с четвертых пней (Prescott(?)) | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
43. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от JL2001 (ok) on 10-Ноя-10, 22:55 | ||
>>> Кабы не соврать, но NX бит, случаем, не с четвертых пней (Prescott(?)) | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
44. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от Daemontux (ok) on 11-Ноя-10, 07:25 | ||
http://en.wikipedia.org/wiki/PaX | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
45. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от JL2001 (ok) on 11-Ноя-10, 13:44 | ||
> http://en.wikipedia.org/wiki/PaX | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
46. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от анонимХ on 11-Ноя-10, 14:42 | ||
| ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
47. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от JL2001 (ok) on 11-Ноя-10, 19:03 | ||
> Ограничение на запись на основе сегментов неудобно и неэффективно с точки зрения | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
49. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от анонимХ on 11-Ноя-10, 21:47 | ||
| ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
48. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от paxuser (ok) on 11-Ноя-10, 20:43 | ||
> Ограничение на запись на основе сегментов неудобно и неэффективно с точки зрения | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
2. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от segoon (ok) on 09-Ноя-10, 21:37 | ||
Вот ещё статья по схожей тематике: http://lwn.net/Articles/413213/ | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
3. "Повышение безопасности Linux-ядра через использование доступ..." | +3 +/– | |
Сообщение от non anon on 09-Ноя-10, 21:39 | ||
Мило. Только почему-то не упоминается, в результате всего этого счастья в некоторых случаях ядро будет падать при загрузке. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
7. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от GG on 09-Ноя-10, 22:31 | ||
врядли изза этого | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
12. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от Аноним (??) on 09-Ноя-10, 23:04 | ||
там речь о конкретном патче | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
17. "Повышение безопасности Linux-ядра через использование доступ..." | +2 +/– | |
Сообщение от Аноним (??) on 10-Ноя-10, 01:23 | ||
"But there is no fundamental reason why it shouldnt be upstream. We can push it | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
15. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от Аноним (??) on 09-Ноя-10, 23:28 | ||
> Мило. Только почему-то не упоминается, в результате всего этого счастья в некоторых | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
16. "Повышение безопасности Linux-ядра через использование доступ..." | +1 +/– | |
Сообщение от Ананимуз on 09-Ноя-10, 23:59 | ||
Тогда было бы логично, если бы бяка случалась чуть чаще, чем "on one of testboxes" | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
19. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от Дима (??) on 10-Ноя-10, 03:29 | ||
>Ну а фигли - пытаются ставить NX bit на стек, а gcc туда сует трамплины.. вот и получаем бяку.. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
25. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от Аноним (??) on 10-Ноя-10, 06:20 | ||
существуют - только тогда прийдется отказываться от nested functions | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
26. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от paxuser (ok) on 10-Ноя-10, 07:03 | ||
Во-первых, трамплины можно эмулировать: http://pax.grsecurity.net/docs/emutramp.txt | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
35. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от JL2001 (ok) on 10-Ноя-10, 13:26 | ||
> Во-первых, трамплины можно эмулировать: http://pax.grsecurity.net/docs/emutramp.txt | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
4. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от non anon on 09-Ноя-10, 21:41 | ||
Вообще PaX печально знаменит тем, что падает по поводу и без. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
20. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от paxuser (ok) on 10-Ноя-10, 03:30 | ||
Унылый вброс. По делу: разработчики PaX и Grsecurity выпускают стабильные патчи на 2.6.32.х, а hardened-sources-2.6.32-rX в Hardened Gentoo проходят дополнительные этапы стабилизации (и могут использоваться в других дистрибутивах). Не скажу, что всё всегда гладко, но "падает по поводу и без" - явное преувеличение. Сам встречал панику только пару раз и только на этапе загрузки ядра. Если тестировать ядра перед запуском в продакшен, проблем практически нет. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
23. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от анон on 10-Ноя-10, 04:40 | ||
>По делу: разработчики PaX и Grsecurity выпускают стабильные патчи на 2.6.32.х, а hardened-sources-2.6.32-rX в Hardened Gentoo проходят дополнительные этапы стабилизации (и могут использоваться в других дистрибутивах). | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
24. "Повышение безопасности Linux-ядра через использование доступ..." | +1 +/– | |
Сообщение от paxuser (ok) on 10-Ноя-10, 05:06 | ||
> То-то hardened-sources вечно замаскированы =) | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
40. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от Daemontux (ok) on 10-Ноя-10, 16:45 | ||
> Вообще PaX печально знаменит тем, что падает по поводу и без. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
10. "Повышение безопасности Linux-ядра через использование доступ..." | –5 +/– | |
Сообщение от Zenitur on 09-Ноя-10, 22:54 | ||
сисадмин kernel.org и лидер Ubuntu Security Team? Ничего себе... Убунтоиды делают что-то полезное! | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
18. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от Anixx on 10-Ноя-10, 03:28 | ||
I am a kernel.org admin, where I work on maintaining the mirror network for the Linux Kernel, as well as handling user accounts. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
21. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от Viliar (ok) on 10-Ноя-10, 03:36 | ||
Cуровый убунтоид, однако. Под шапкой таки спокойнее, чем без нее. Зима, вон, впереди :-) | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
22. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от анон on 10-Ноя-10, 04:36 | ||
>Еще он прославился переводом серверов Linux Foundation с Red Hat на Ubuntu. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
27. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от rm_ (ok) on 10-Ноя-10, 07:40 | ||
А разве уже так не делается? | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
30. "Повышение безопасности Linux-ядра через использование доступ..." | +2 +/– | |
Сообщение от Frank (ok) on 10-Ноя-10, 08:33 | ||
> А разве уже так не делается? | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
28. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от i (??) on 10-Ноя-10, 08:23 | ||
лучше бы перенесли не различные улучшения PaX и grsecurity, а все. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
31. "Повышение безопасности Linux-ядра через использование страни..." | +/– | |
Сообщение от ostin (ok) on 10-Ноя-10, 12:20 | ||
vm86 используется в линуксе? | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
41. "Повышение безопасности Linux-ядра через использование доступ..." | +/– | |
Сообщение от paxuser (ok) on 10-Ноя-10, 18:44 | ||
Имя поправили, спасибо. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
42. "Повышение безопасности Linux-ядра через использование страни..." | +2 +/– | |
Сообщение от Аноним (??) on 10-Ноя-10, 20:51 | ||
Я все-равно не понимаю, почему нельзя было изначально в ядре запретить писать в сегмент данных код и запускать код из сегмента данных. Такие ограничения поддерживал еще 80286!! | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
50. "Повышение безопасности Linux-ядра через использование страни..." | +/– | |
Сообщение от Xaionaro (ok) on 13-Ноя-10, 10:35 | ||
Припоминается одна ОС, у которой одной из основных задач при разработке ставилось организовать безопасную работу с ОЗУ. Всё разрабатывалась и разрабатывалась. А когда, наконец, было разработана, её потенциальный рынок давно завоевали другие ОС. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |