The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Инициатива по увеличению защищённости openSUSE"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Инициатива по увеличению защищённости openSUSE"  +/
Сообщение от opennews (??) on 15-Сен-14, 14:14 
Дэвид Штерба (David Sterba), разработчик ядра Linux, трудоустроенный в компании SUSE, рассказал (https://lizards.opensuse.org/2014/09/15/next-opensuse-hardening/) о создании проекта openSUSE-gardening (https://github.com/kdave/openSUSE-gardened), в рамках которого развивается набор пакетов, включающих дополнительные механизмы обеспечения безопасности. Дэвид считает, что штатных
средств (https://en.opensuse.org/openSUSE:Security_Features) обеспечения безопасности, таких как SELinux и AppArmor, не достаточно для формирования защищённого рабочего стола. Поэтому, предлагает дополнительно использовать в дистрибутиве наработки проекта Gresecurity (http://grsecurity.net/) для ядра Linux и средства повышения защиты на уровне сборочного инструментария GCC.


Формально проект пока находится на стадии бета-тестирования, но  вариант openSUSE-gardening для дектоп-систем на основе openSUSE 13.1 и графических чипов Intel уже оценивается как пригодный для ежедневного использования. Для систем с видеокартами NVIDIA и AMD, а также для не входящих в состав openSUSE 13.1 окружений рабочего стола, пока могут наблюдаться нерешённые проблемы. Для openSUSE 13.1 (http://download.opensuse.org/repositories/home:/dsterba:/grs...) и openSUSE Factory (http://download.opensuse.org/repositories/home:/dsterba:/grs...) подготовлены сценарии упрощённой установки openSUSE-gardening компонентов, которые можно использовать в YaST для настройки установки и набора пакетов в один клик. В будущем, наработки  openSUSE-gardening планируется по возможности интегрировать в основной состав openSUSE.


В openSUSE-gardening пользователю предлагается  вариант штатного ядра openSUSE, собранный с использованием плагинов и дополнений к GCC и от проекта grsecurity. Хранение PaX-флагов (http://ru.wikipedia.org/wiki/PaX) осуществляется только в обрасти расширенных атрибутов файлов на уровне файловой системы (xattr  user.pax.*) без внесения изменений в ELF-заголовки исполняемых файлов. Для автоматического обновления PaX-флагов для свежеустанавливаемых исполняемых файлов подготовлен применяемый на стадии установки пакетов плагин  к zypper   (zypp-plugin-pax-flags).


URL: https://lizards.opensuse.org/2014/09/15/next-opensuse-hardening/
Новость: http://www.opennet.dev/opennews/art.shtml?num=40586

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "Инициатива по увеличению защищённости openSUSE"  +1 +/
Сообщение от grec on 15-Сен-14, 14:52 
ИМХО особая мощь в grsec acl, но сопровождать сие сложно. Без этого тоже не плохо, но всё же хочется по максимуму из коробки.

> Хранение PaX-флагов осуществляется только в обрасти расширенных атрибутов файлов на уровне файловой системы

Это весьма новая фича, еще руки не дошли распробовать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Инициатива по увеличению защищённости openSUSE"  +/
Сообщение от Журналовращатель on 15-Сен-14, 15:19 
Давид Стерва? Возможно всё-таки hardening? Ладно, сочтём это полезным.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Инициатива по увеличению защищённости openSUSE"  +3 +/
Сообщение от Аноним (??) on 15-Сен-14, 15:51 
Все правильно! Они решили сделать свой защищенный садик, с манной кашей и компотом.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Инициатива по увеличению защищённости openSUSE"  +1 +/
Сообщение от Аноним (??) on 15-Сен-14, 20:08 
> Возможно всё-таки hardening?

Не, там именно gardened:

"Why -gardened? According to Wikipedia, gardening is "a practice of growing and cultivating, an activity that brings relaxation", pun intended."

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Инициатива по увеличению защищённости openSUSE"  +1 +/
Сообщение от Какаянахренразница (ok) on 16-Сен-14, 06:42 
Таки gardening. Огородничество. О(т)гораживание, то есть.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "Инициатива по увеличению защищённости openSUSE"  +/
Сообщение от Журналовращатель on 16-Сен-14, 13:04 
Да, об огораживании таки не подумал.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

8. "Инициатива по увеличению защищённости openSUSE"  –5 +/
Сообщение от Аноним (??) on 15-Сен-14, 18:44 
разве суся еще жива?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Инициатива по увеличению защищённости openSUSE"  +/
Сообщение от Анжелика on 15-Сен-14, 21:58 
Да! Надо накрутить побольше секьюрных фич.
SELinux, вдобавок к нему AppArmor и плюс этот gardened.
Чтобы вобще дистрибутив превратился в паралитика, а у юзера волосы на башке начинали шевелиться ещё на этапе скачивания исошника.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Инициатива по увеличению защищённости openSUSE"  +1 +/
Сообщение от Аноним (??) on 15-Сен-14, 23:59 
Антивирус, антивирус нужен, это же так очевидно.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Инициатива по увеличению защищённости openSUSE"  +/
Сообщение от Fox Mulder on 16-Сен-14, 16:43 
Тормозить будет. Надо антиюзер!
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

11. "Инициатива по увеличению защищённости openSUSE"  –2 +/
Сообщение от Аноним (??) on 15-Сен-14, 22:05 
"Обеспечивается поддержка механизмов для защиты от записи исполняемых областей памяти, рандомизации адресного пространства, эмуляции NX-бита на не поддерживающих данную технологию CPU."

1. SELinux запрещает писать в исполняемую часть даже unconfined_u.Из официального руководства: By default, subjects running in an unconfined domain cannot allocate writeable memory and
execute it. T his reduces vulnerability to buffer overflow attacks.
2. Уже есть реализация рандомизации адресного пространства. Из вики: С 2005 года (ядро 2.6.12) Линукс имеет простой вариант ASLR. Различные патчи безопасности (PaX, ExecShield, и др) реализуют более сложные и полные варианты ASLR. В дистрибутивах, содержащих в названии «Hardened», а также в современных версиях Ubuntu, сильные варианты включены по умолчанию.
3. эмуляция NX-бита - ну наверно на их машинах это актуально..
Актуально поработал сусе. Как всегда

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру