Дэвид Штерба (David Sterba), разработчик ядра Linux, трудоустроенный в компании SUSE, рассказал (https://lizards.opensuse.org/2014/09/15/next-opensuse-hardening/) о создании проекта openSUSE-gardening (https://github.com/kdave/openSUSE-gardened), в рамках которого развивается набор пакетов, включающих дополнительные механизмы обеспечения безопасности. Дэвид считает, что штатных
средств (https://en.opensuse.org/openSUSE:Security_Features) обеспечения безопасности, таких как SELinux и AppArmor, не достаточно для формирования защищённого рабочего стола. Поэтому, предлагает дополнительно использовать в дистрибутиве наработки проекта Gresecurity (http://grsecurity.net/) для ядра Linux и средства повышения защиты на уровне сборочного инструментария GCC.
Формально проект пока находится на стадии бета-тестирования, но вариант openSUSE-gardening для дектоп-систем на основе openSUSE 13.1 и графических чипов Intel уже оценивается как пригодный для ежедневного использования. Для систем с видеокартами NVIDIA и AMD, а также для не входящих в состав openSUSE 13.1 окружений рабочего стола, пока могут наблюдаться нерешённые проблемы. Для openSUSE 13.1 (http://download.opensuse.org/repositories/home:/dsterba:/grs...) и openSUSE Factory (http://download.opensuse.org/repositories/home:/dsterba:/grs...) подготовлены сценарии упрощённой установки openSUSE-gardening компонентов, которые можно использовать в YaST для настройки установки и набора пакетов в один клик. В будущем, наработки openSUSE-gardening планируется по возможности интегрировать в основной состав openSUSE.
В openSUSE-gardening пользователю предлагается вариант штатного ядра openSUSE, собранный с использованием плагинов и дополнений к GCC и от проекта grsecurity. Хранение PaX-флагов (http://ru.wikipedia.org/wiki/PaX) осуществляется только в обрасти расширенных атрибутов файлов на уровне файловой системы (xattr user.pax.*) без внесения изменений в ELF-заголовки исполняемых файлов. Для автоматического обновления PaX-флагов для свежеустанавливаемых исполняемых файлов подготовлен применяемый на стадии установки пакетов плагин к zypper (zypp-plugin-pax-flags).
URL: https://lizards.opensuse.org/2014/09/15/next-opensuse-hardening/
Новость: http://www.opennet.dev/opennews/art.shtml?num=40586