Улучшения связанные с безопасностью, ожидаемые в будущем релизе Debian

30.01.2008 15:00

Moritz Muehlenhoff опубликовал информацию о запланированных улучшениях Debian Lenny, связанных с повышением безопасности. Краткое обобщение:

Stack protector - сборка пакетов с включенной в GCC опцией "-fstack-protector" для защиты от атак, направленных на переполнение буфера и стека.
Fortify Source - активация средства glibc ("-D_FORTIFY_SOURCE=2" ) для дополнительной внутренней проверки выхода за пределы буфера функций, таких как strcpy.
Format warnings - защита от атак через параметры форматирования строки (format-string), обеспечивается сборкой с параметрами "-Wformat" и "-Wformat-security".
Address Space Layout Randomization - случайный выбор позиции для размещения стека и области выделяемой через mmap памяти;
relro - переключение определенных областей памяти, после загрузки исполняемого приложения, в режим только для чтения. Включается через сборку с "-Wl,zrelro";

Для проверки сборки программ с новыми опциями компилятора, создан экспериментальный враппер, сейчас сборка около 700 пакетов завершается ошибкой.

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/13936-security

Ключевые слова: security, debian, linux

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (11)

1.1, Аноним (-), 17:07, 30/01/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А как в Gentoo включить этот "-fstack-protector" кто-нить знает?

2.4, Аноним (-), 17:54, 30/01/2008 [^] [^^] [^^^] [ответить]

>А как в Gentoo включить этот "-fstack-protector" кто-нить знает?

в /etc/make.conf в переменной CFLAGS внутри ковычек добавить -fstack-protector

а SELinux помоему если нужен то стоит того, чтоб вручную настоить...

3.6, Султан (?), 19:22, 30/01/2008 [^] [^^] [^^^] [ответить]	+/–
>а SELinux помоему если нужен то стоит того, чтоб вручную настоить... а если не нужен, то не стоит того, чтоб вручную настроить?.. полет мысли...

2.9, daevy (?), 16:00, 31/01/2008 [^] [^^] [^^^] [ответить]	+/–
>А как в Gentoo включить этот "-fstack-protector" кто-нить знает? в hardened-stage идет hardened-gcc и там уже включены эта и другие укрепляющие опции и в нагрузку идут технологии PIE и SSP

1.2, гость (?), 17:37, 30/01/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ещё бы SELinux из каробки вставал - я бы на него с убунты перешёл...

2.7, SnoWLight (?), 21:04, 30/01/2008 [^] [^^] [^^^] [ответить]

>Ещё бы SELinux из каробки вставал - я бы на него с
>убунты перешёл...

Сам понял че сказал?

2.11, Аноним (11), 20:46, 31/01/2008 [^] [^^] [^^^] [ответить]	+/–
>Ещё бы SELinux из каробки вставал - я бы на него с >убунты перешёл... У Гены коробки нету,а [...] есть: может она не для бубунтологов ?

3.12, guest (??), 00:44, 01/02/2008 [^] [^^] [^^^] [ответить]	+/–
Это насколько надо иссушить моск безпрерывной компиляцией чтобы не заметить что новость про Debian, а не про генту?!

>А как в Gentoo включить этот "-fstack-protector" кто-нить знает?

в /etc/make.conf в переменной CFLAGS внутри ковычек добавить -fstack-protector

а SELinux помоему если нужен то стоит того, чтоб вручную настоить...

1.8, Аноним (5), 22:55, 30/01/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Возникает вопрос по скорости ПО после применения таких флагов, ls не интересно, интересно только Apache, mysql и т.д.

2.10, Аноним (11), 20:41, 31/01/2008 [^] [^^] [^^^] [ответить]	+/–
-3-5% в минус на больших нагрузках 2-3% RAM в плюц расхода (Gentoo hardened glibc-2.7+ grsecurity) " интересно только Apache, mysql и т.д." -> Сильно (+-2%) зaвисит от характера кода и архитектуры приложения (частота подгрузки библиотек,кол-во буферов,стиль кода .. etc)

Добавить комментарий

Текст: