|
| |
| 2.3, Аноним (-), 11:18, 28/05/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
Защищённый вариант mprotect уже лет 15 как PaX-ом запилен, но в ядро добавлять его никто не спешит и тем более переходить на его обязательное использование.
| | |
| |
| 3.21, Аноним (-), 20:10, 29/05/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Защищённый вариант mprotect уже лет 15 как PaX-ом запилен, но в ядро
> добавлять его никто не спешит и тем более переходить на его
> обязательное использование.
Вы, часом, не путаете ядро и всю ОС, вместе со всем базовым софтом?
| | |
|
| 2.4, angra (ok), 11:22, 28/05/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Добавить в линукс связь флагов страниц памяти с флагами монтирования файловой системы? Спасибо, не надо. Такое нужно лишь тем, кто хочет поддерживать миф о "только две remote дырки за все время", а значит вынужден отделять "надежные" пакеты базовой ОС от всего остального, что обычно ставят для нормальной работы.
| | |
| |
| 3.5, Ананимас (ok), 14:09, 28/05/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >вынужден отделять "надежные" пакеты базовой ОС от всего остального, что обычно ставят для нормальной работы.
как traceroute в linux?
| | |
| 3.29, Аноним (-), 16:06, 30/05/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Добавить в линукс связь флагов страниц памяти с флагами монтирования файловой системы? Спасибо, не надо.
В Линуксе выставляют опции защиты памяти для каждого отдельного файла. Причём можно это сделать двумя способами:
1. Метить ELF заглавия файлов CONFIG_PAX_PT_PAX_FLAGS = y
2. Создавать дополнительные атрибуты в файловой системе CONFIG_PAX_XATTR_PAX_FLAGS = y (удобно для кривых проприетарных прог с подписаными бинарями)
Метят файлы утилитой paxctl-ng
| | |
|
| 2.6, Аноним (-), 14:50, 28/05/2016 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Вот бы для Линукса такое запилили
Больщинство дистров давно уже это используют.
| | |
| |
| 3.14, Аноним (-), 02:39, 29/05/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
В большинстве дистров это возможно. Но почти никто не использует by-default.
| | |
|
|
| |
| 2.22, Аноним (-), 23:16, 29/05/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Можно загрузить другую ОС с флешки и дампнуть память.
А в огороде бузина …
Или к чему это?
| | |
|
| 1.12, НяшМяш (ok), 20:07, 28/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 > JDK, GCC, Mono и Chromium
Большинство понятно, что говнище, но вот от GCC не ожидал. Интересно, у Clanga те же проблемы?
| | |
| |
| 2.13, Аноним (-), 21:56, 28/05/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
jdk, mono, chromium это из за jit. Туда придется добавлять уменьшающие производительность костыли чтоб это работало.
| | |
| |
| 3.18, Аноним (-), 14:39, 29/05/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
CONFIG_PAX_NOEXEC=y
CONFIG_PAX_PAGEEXEC=y
CONFIG_PAX_MPROTECT=y
# USE="-jit -orc -schroedinger pic pie" emerge -uDN world
| | |
|
|
| 1.15, AnotherReality (ok), 03:26, 29/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 Не знаю аудиторию OpenBsd. Но технология выглядит интересной, в частности для выявления такой не правильной практики как в "JDK, GCC, Mono и Chromium"
Да и не плохо бы в ядрышко линукса добавить похожую фичу, но подключаемую
| | |
| 1.16, lib ru (?), 06:37, 29/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
одобряю, если линукс растащат на куски то валить во фряху, а после фряхи опэнбст следующий норм кандидат (параноидальная защита, но оно начинает мне нравится)
| | |
| |
| |
| |
| 4.31, _ (??), 16:43, 30/05/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Он имел в виду - зачем собитать грабли с кайдой бсд-эшки, если можно собрать все грабли сразу на стрекозе :)
| | |
|
|
| 2.24, Нанобот (ok), 09:37, 30/05/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
 тут ещё вендекапец не наступил, а ты уже к линуксокапцу готовишься
| | |
| 2.25, Клыкастый (ok), 10:17, 30/05/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
 FreeBSD/DragonflyBSD вполне
но линукс "не растащат". в том смысле, что будет какой-то островок стабильности, может несколько, со схожей идеологией. да, пилить его будет не 100 корпораций, но и при переходе на DFBSD вы же не питаете иллюзий - её пилят относительно немного народу. И Диллон конечно монстр и всё такое, но нужна толковая смена, нужно стабильное, ещё лучше растущее, комьюнити.
//trolling=ON
//offtop=ON
вот заря будущего, вот вендекапец и всё такое:
http://www.techrepublic.com/article/os2-resurrected-blue-lion-becomes-arcaos-
| | |
| |
| |
| 4.33, Клыкастый (ok), 17:02, 30/05/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Да брось Клыкастый, не взлетит оно.
ну блин ещё и шутки юмора объяснять...
| | |
|
|
|
| 1.23, бедный буратино (ok), 03:15, 30/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 у меня /usr/local не отдельным разделом.
теперь, что - у меня в следующем обновлении сломается gcc (кстати, только пакетный? штатный gcc 4.2 работать будет?) и другие пакеты?
| | |
| 1.27, Аноним (-), 11:50, 30/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Почему бы интелу с амд не поднапрячься и не сделать аппаратную защиту стека (а то и второй бы запилить, только для данных, неплохо было бы)? Вызываем функцию, говорим на каком адресе начинается адрес возврата. В процессоре - небольшая память этих адресов-точек (выходим из функцию - убираем ее точку), при записи в которые, в пределах размерности указателя - говорим "кирдык".
| | |
| |
| 2.30, Аноним (-), 16:32, 30/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
Нет, nx не помогает против перезаписи адреса возврата указателем на нужную функцию (понятно что подобрать сложно, может даже невозможно, но теоретическая возможность есть). Просто сравнивать адреса при записи в сегмент стека с адресами где точно хранятся адреса возврата (небольшой массив на 8-32 адреса вполне хватит для почти 100% защиты).
| | |
|
|
