The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проект OpenBSD перешёл на обязательное использование механиз..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Проект OpenBSD перешёл на обязательное использование механиз..."  +/
Сообщение от opennews (??) on 28-Май-16, 10:57 
Проект OpenBSD перешёл (http://undeadly.org/cgi?action=article&sid=20160527203200) на обязательное применение механизма защиты памяти W^X (https://en.wikipedia.org/wiki/W%5EX) (Write XOR Execute), суть которого в том, что страницы памяти процесса не могут быть одновременно доступны на запись и исполнение. Таким образом, код может быть исполнен только после запрещения записи, а запись в страницу памяти возможна только после запрета исполнения. Механизм W^X помогает защитить приложения в пространстве пользователя от типовых атак, осуществляемых через переполнение буфера, в том числе от переполнений стека (записанный за пределы буфер код не может быть исполнен).

Традиционно в Unix при маппинге памяти допускается модель "W|X", которая позволяет осуществить как запись, так и исполнение, что является порочной практикой с позиции обеспечения безопасности. В OpenBSD отныне такая модель переведена в категорию недопустимых (при попытке использования будет выведена ошибка) и обязательно требуется использование только механизма "W^X".


Обход запрета "W|X" может быть осуществлён только через монтирование ФС (ffs/nfs) со специальным флагом "wxallowed", который рекомендуется использовать для монтирования /usr/local, так как некоторые сторонние программы пока не адаптированы для нормальной поддержки "W^X". Многие порты уже портированы для нормальной работы в режиме "W^X" или поддерживают его из коробки (например, Firefox), но в ряде крупных пакетов пока наблюдаются проблемы, например, это касается JDK, GCC, Mono и Chromium.


URL: http://undeadly.org/cgi?action=article&sid=20160527203200
Новость: https://www.opennet.ru/opennews/art.shtml?num=44506

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проект OpenBSD перешёл на обязательное использование механиз..."  +4 +/
Сообщение от anonymous (??) on 28-Май-16, 10:57 
Молодцы!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проект OpenBSD перешёл на обязательное использование механиз..."  –3 +/
Сообщение от Sunderland93 (ok) on 28-Май-16, 11:03 
Самая безопасная ОС стала ещё безопаснее! Вот бы для Линукса такое запилили
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Проект OpenBSD перешёл на обязательное использование механиз..."  +4 +/
Сообщение от Аноним (??) on 28-Май-16, 11:18 
Защищённый вариант mprotect уже лет 15 как PaX-ом запилен, но в ядро добавлять его никто не спешит и тем более переходить на его обязательное использование.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

21. "Проект OpenBSD перешёл на обязательное использование механиз..."  –2 +/
Сообщение от Аноним (??) on 29-Май-16, 20:10 
> Защищённый вариант mprotect уже лет 15 как PaX-ом запилен, но в ядро
> добавлять его никто не спешит и тем более переходить на его
> обязательное использование.

Вы, часом, не путаете ядро и всю ОС, вместе со всем базовым софтом?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Проект OpenBSD перешёл на обязательное использование механиз..."  –2 +/
Сообщение от angra (ok) on 28-Май-16, 11:22 
Добавить в линукс связь флагов страниц памяти с флагами монтирования файловой системы? Спасибо, не надо. Такое нужно лишь тем, кто хочет поддерживать миф о "только две remote дырки за все время", а значит вынужден отделять "надежные" пакеты базовой ОС от всего остального, что обычно ставят для нормальной работы.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Проект OpenBSD перешёл на обязательное использование механиз..."  –1 +/
Сообщение от Ананимас (ok) on 28-Май-16, 14:09 
>вынужден отделять "надежные" пакеты базовой ОС от всего остального, что обычно ставят для нормальной работы.

как traceroute в linux?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Проект OpenBSD перешёл на обязательное использование механиз..."  –1 +/
Сообщение от grsec (ok) on 28-Май-16, 17:12 
Какие проблемы?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

29. "Проект OpenBSD перешёл на обязательное использование механиз..."  +/
Сообщение от Аноним (??) on 30-Май-16, 16:06 
> Добавить в линукс связь флагов страниц памяти с флагами монтирования файловой системы? Спасибо, не надо.

В Линуксе выставляют опции защиты памяти для каждого отдельного файла. Причём можно это сделать двумя способами:

1. Метить ELF заглавия файлов CONFIG_PAX_PT_PAX_FLAGS = y

2. Создавать дополнительные атрибуты в файловой системе CONFIG_PAX_XATTR_PAX_FLAGS = y (удобно для кривых проприетарных прог с подписаными бинарями)

Метят файлы утилитой paxctl-ng

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Проект OpenBSD перешёл на обязательное использование механиз..."  –2 +/
Сообщение от Аноним (??) on 28-Май-16, 14:50 
>  Вот бы для Линукса такое запилили

Больщинство дистров давно уже это используют.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Проект OpenBSD перешёл на обязательное использование механиз..."  +1 +/
Сообщение от Аноним (??) on 28-Май-16, 15:02 
А поподробнее.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Проект OpenBSD перешёл на обязательное использование механиз..."  –1 +/
Сообщение от Аноним (??) on 28-Май-16, 16:47 
man PaX
Заодно и GRSECURITY.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Проект OpenBSD перешёл на обязательное использование механиз..."  +1 +/
Сообщение от Нанобот (ok) on 28-Май-16, 19:55 
пожалуйста, ознакомьтесь со значение слова "большинство" (http://ru.wiktionary.org/wiki/%D0%B1%D0%...), после чего попробуйте ответить на тот же вопрос ещё раз
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Проект OpenBSD перешёл на обязательное использование механиз..."  +2 +/
Сообщение от Аноним (??) on 29-Май-16, 02:39 
В большинстве дистров это возможно. Но почти никто не использует by-default.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Проект OpenBSD перешёл на обязательное использование механиз..."  –5 +/
Сообщение от Аноним (??) on 28-Май-16, 19:06 
Можно загрузить другую ОС с флешки и дампнуть память.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Проект OpenBSD перешёл на обязательное использование механиз..."  +/
Сообщение от Аноним (??) on 29-Май-16, 23:16 
> Можно загрузить другую ОС с флешки и дампнуть память.

А в огороде бузина …
Или к чему это?


Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Проект OpenBSD перешёл на обязательное использование механиз..."  –2 +/
Сообщение от НяшМяш (ok) on 28-Май-16, 20:07 
> JDK, GCC, Mono и Chromium

Большинство понятно, что говнище, но вот от GCC не ожидал. Интересно, у Clanga те же проблемы?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Проект OpenBSD перешёл на обязательное использование механиз..."  +4 +/
Сообщение от Аноним (??) on 28-Май-16, 21:56 
jdk, mono, chromium это из за jit. Туда придется добавлять уменьшающие производительность костыли чтоб это работало.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Проект Gentoo перешёл:"  –1 +/
Сообщение от Аноним (??) on 29-Май-16, 14:39 
CONFIG_PAX_NOEXEC=y
CONFIG_PAX_PAGEEXEC=y
CONFIG_PAX_MPROTECT=y

# USE="-jit -orc -schroedinger pic pie" emerge -uDN world

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Проект OpenBSD перешёл на обязательное использование механиз..."  –2 +/
Сообщение от AnotherReality (ok) on 29-Май-16, 03:26 
Не знаю аудиторию  OpenBsd. Но технология выглядит интересной, в частности для  выявления  такой  не правильной практики как в "JDK, GCC, Mono и Chromium"
Да и не плохо бы в ядрышко линукса добавить похожую фичу, но подключаемую
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Проект OpenBSD перешёл на обязательное использование механиз..."  +1 +/
Сообщение от Аноним (??) on 29-Май-16, 07:05 
Такая практика называется JIT.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

16. "Проект OpenBSD перешёл на обязательное использование механиз..."  +2 +/
Сообщение от lib ru on 29-Май-16, 06:37 
одобряю, если линукс растащат на куски то валить во фряху, а после фряхи опэнбст следующий норм кандидат (параноидальная защита, но оно начинает мне нравится)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Проект OpenBSD перешёл на обязательное использование механиз..."  +/
Сообщение от Аноним (??) on 29-Май-16, 14:41 
Зачем по всем граблям бегать? Можно сразу на DragonFlyBSD!


Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Проект OpenBSD перешёл на обязательное использование механиз..."  +/
Сообщение от chinarulezzz (ok) on 29-Май-16, 16:36 
только x86_64? :(
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

31. "Проект OpenBSD перешёл на обязательное использование механиз..."  –1 +/
Сообщение от _ (??) on 30-Май-16, 16:43 
Он имел в виду - зачем собитать грабли с кайдой бсд-эшки, если можно собрать все грабли сразу на стрекозе :)
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

35. "Проект OpenBSD перешёл на обязательное использование механиз..."  +/
Сообщение от count0krsk (ok) on 31-Май-16, 17:40 
Тонко, спасибо )))
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

24. "Проект OpenBSD перешёл на обязательное использование механиз..."  –1 +/
Сообщение от Нанобот (ok) on 30-Май-16, 09:37 
тут ещё вендекапец не наступил, а ты уже к линуксокапцу готовишься
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

25. "Проект OpenBSD перешёл на обязательное использование механиз..."  –1 +/
Сообщение от Клыкастый (ok) on 30-Май-16, 10:17 
FreeBSD/DragonflyBSD вполне
но линукс "не растащат". в том смысле, что будет какой-то островок стабильности, может несколько, со схожей идеологией. да, пилить его будет не 100 корпораций, но и при переходе на DFBSD вы же не питаете иллюзий - её пилят относительно немного народу. И Диллон конечно монстр и всё такое, но нужна толковая смена, нужно стабильное, ещё лучше растущее, комьюнити.

//trolling=ON
//offtop=ON

вот заря будущего, вот вендекапец и всё такое:
http://www.techrepublic.com/article/os2-resurrected-blue-lio.../

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

32. "Проект OpenBSD перешёл на обязательное использование механиз..."  –1 +/
Сообщение от _ (??) on 30-Май-16, 16:45 
Да брось Клыкастый, не взлетит оно.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

33. "Проект OpenBSD перешёл на обязательное использование механиз..."  +/
Сообщение от Клыкастый (ok) on 30-Май-16, 17:02 
> Да брось Клыкастый, не взлетит оно.

ну блин ещё и шутки юмора объяснять...

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

23. "Проект OpenBSD перешёл на обязательное использование механиз..."  –1 +/
Сообщение от бедный буратино (ok) on 30-Май-16, 03:15 
у меня /usr/local не отдельным разделом.

теперь, что - у меня в следующем обновлении сломается gcc (кстати, только пакетный? штатный gcc 4.2 работать будет?) и другие пакеты?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Проект OpenBSD перешёл на обязательное использование механиз..."  +/
Сообщение от 1 (??) on 30-Май-16, 11:27 
монтируй корень тогда
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Проект OpenBSD перешёл на обязательное использование механиз..."  –1 +/
Сообщение от Аноним (??) on 30-Май-16, 11:50 
Почему бы интелу с амд не поднапрячься и не сделать аппаратную защиту стека (а то и второй бы запилить, только для данных, неплохо было бы)? Вызываем функцию, говорим на каком адресе начинается адрес возврата. В процессоре - небольшая память этих адресов-точек (выходим из функцию - убираем ее точку), при записи в которые, в пределах размерности указателя - говорим "кирдык".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Проект OpenBSD перешёл на обязательное использование механиз..."  +/
Сообщение от fi (ok) on 31-Май-16, 00:39 
она называется x86_64 :)))
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

28. "Проект OpenBSD перешёл на обязательное использование механиз..."  +1 +/
Сообщение от Аноним (??) on 30-Май-16, 14:28 
>> аппаратную защиту стека

В смысле  NX/XD ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Проект OpenBSD перешёл на обязательное использование механиз..."  +/
Сообщение от Аноним (??) on 30-Май-16, 16:32 
Нет, nx не помогает против перезаписи адреса возврата указателем на нужную функцию (понятно что подобрать сложно, может даже невозможно, но теоретическая возможность есть). Просто сравнивать адреса при записи в сегмент стека с адресами где точно хранятся адреса возврата (небольшой массив на 8-32 адреса вполне хватит для почти 100% защиты).
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру