LINUX.ORG.RU

Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2


0

0

Brad Spengler, автор проекта grsecurity, анонсировал новую версию 2.1.10 одноимённого ПО для ядер ОС Linux 2.4.34 и 2.6.19.2.

Изменения этого выпуска:

  1. Исправления в поддержке флага PaX в системе RBAC
  2. Обновление PaX для не-x86 архитектур в заплате для ядра 2.4.34
  3. Исправлены проблемы с setpgid в chroot
  4. В этой версии убрана поддержка возможности случайных PID-ов, так как эта возможность уже не обеспечивает дополнительную безопасность и просто расходует память
  5. Исправлено использование /proc в chroot в заплате для ядра 2.6
  6. Добавление роли admin в политике, генерируемого в режиме полного обучения

Также на сайте вывешено официальное сообщение относительно предполагаемых уязвимостей в grsecurity/PaX.

>>> Подробности

★★★★★

Проверено: Obidos ()

Читал о нём,но вблизи незнаком. Какие живые аналоги есть и остались ли вообще? Сильно ли падает производительность?

shahid ★★★★★
()
Ответ на: комментарий от x97Rang

>уже есть уязвимость http://secunia.com/advisories/23713/>;

>x97Rang ** (*) (13.01.2007 12:55:08)

>Бугага... только выпустили новую версию и уже уязвимость, Линупс как всегда впереди планеты всей по всём и дырам в том числе...:-D:-D:-D:-D

>anonymous (*) (13.01.2007 13:18:17)

Также на сайте вывешено официальное сообщение относительно предполагаемых уязвимостей в grsecurity/PaX: http://grsecurity.net/news.php#digitalfud

dotcoder ★★★★★
() автор топика

Использую openwall патч на всех серверах.
Быстро и пока надёжно! 8-)

LifeWins
()

Автору большая просьба. В следующий раз писать краткую аннотацию к программе. Уважайте читателей.

Спасибо.

anonymous
()
Ответ на: комментарий от anonymous

Ну да, может ещё краткую аннотацию к ядру каждый раз писать? Есть вещи которые либо надо знать, либо дальше пользоваться МС говноОС и не вякать.

anonymous
()

К счастью, эта защита (достаточно сложная в реализации, кстати) по большей части нужна только в тех случаях, когда сисадмины забивают на свою работу: т.е. не обновляют вовремя сервера, используют слишком простые пароли, оставляют пароли (o+r) в открытом виде в текстовых файлах, открывают лишние сервисы наружу и т.д.

Хотя как вариант поставить кому-то что-то и забить (или забыть) - тоже катит.

birdie ★★★★★
()
Ответ на: комментарий от Spinal

> какая от этого может быть _РЕАЛЬНАЯ_ польза?

Какая реальная польза от охраны на входе здания, систем безопасности и разграничения доступа ? Топик собрал всех (censored) и каждому надо лекции читать ?

anonymous
()

Использую на рутеро-сервере hardened ядро (gentoo) (PaX/grsecurity) - мало ли что ;)

Очень нравится. Вроде как очень неплохо убезопасивают систему...

Alien-
()
Ответ на: комментарий от Alien-

>И какая от этого может быть _РЕАЛЬНАЯ_ (!!!) польза? Хотя бы один примерчик приведите, если сможете.

И ниасилилО документацию по MLS... РЕАЛЬНАЯ польза в том. что если тебя проломают и получат рута, максимум смогут положить контекст демона и не смогут сделать rm -rf ./*

anonymous
()
Ответ на: комментарий от anonymous

>Ну да, может ещё краткую аннотацию к ядру каждый раз писать? Есть вещи которые либо надо знать,

Иногда краткая аннотация может состоять всего из одного предложения. В большинстве случаев этого достаточно...

>либо дальше пользоваться МС говноОС и не вякать.

Закрой рот, а то вонь как из помойки...

anonymous
()
Ответ на: комментарий от anonymous

>>И какая от этого может быть _РЕАЛЬНАЯ_ (!!!) польза? Хотя бы один примерчик приведите, если сможете.

> И ниасилилО документацию по MLS... РЕАЛЬНАЯ польза в том. что если тебя проломают и получат рута, максимум смогут положить контекст демона и не смогут сделать rm -rf ./*

Дейтвительно, ниасилил. Где копать подробности об этом (не смогут сделать rm -rf ./*)?

Spinal
()

Хорошая штука, жаль некоторых вещей только не хватает. Selinux это хорошо но пока его прикрутишь(если дистр не держит его нативно как, скажем, fedora core) опупеешь, а эта приблуда ставится только в путь. фрибсдщникам тоже не помешала, но там некоторые вещи уже реализованы(типа security.bsd.see_other_uids)

anonymous
()
Ответ на: комментарий от Spinal

Там pdf-ка где-то есть, довольно большая. Все написано чистым английским языком.

jackill ★★★★★
()
Ответ на: комментарий от birdie

> К счастью, эта защита (достаточно сложная в реализации, кстати) по большей части нужна только в тех случаях, когда сисадмины забивают на свою работу: т.е. не обновляют вовремя сервера, используют слишком простые пароли, оставляют пароли (o+r) в открытом виде в текстовых файлах, открывают лишние сервисы наружу и т.д.

Мда... На ЛОР продолжают отжигать. Обновление серверов вместе со сложными паролями уже заменяют роли... Или они магически появляются от выключения лишних сервисов?

И сисадмины не забивающие на свою работу проводят аудит всего кода. Отжигай еще.

MrKooll ★★★
()
Ответ на: комментарий от Spinal

> И какая от этого может быть _РЕАЛЬНАЯ_ (!!!) польза? Хотя бы один примерчик приведите, если сможете.

Активное противодействие эксплоитам, в том числе и эксплоитам 0day на неизвестные уязвимости.

sysenter
()
Ответ на: комментарий от MrKooll

> Мда... На ЛОР продолжают отжигать

Поддерживаю. Birdie, ты не мог бы предоставить нам рута на каком-нить из своих серваков? В качестве демона пусть выступит ssh :)

Чиста проверить, какой "контекст демона" я смогу положить, имея такие привилегии на сервере с "релезным" grsecurity.

Spinal
()
Ответ на: комментарий от vasily_pupkin

хы "эксплоитам 0day на неизвестные уязвимости" - бугага кста, можно попросить grsec чтобы при получении процессом uid=0 с сервером случился хардрезет)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.