LINUX.ORG.RU

Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2


0

0

Brad Spengler, автор проекта grsecurity, анонсировал новую версию 2.1.10 одноимённого ПО для ядер ОС Linux 2.4.34 и 2.6.19.2.

Изменения этого выпуска:

  1. Исправления в поддержке флага PaX в системе RBAC
  2. Обновление PaX для не-x86 архитектур в заплате для ядра 2.4.34
  3. Исправлены проблемы с setpgid в chroot
  4. В этой версии убрана поддержка возможности случайных PID-ов, так как эта возможность уже не обеспечивает дополнительную безопасность и просто расходует память
  5. Исправлено использование /proc в chroot в заплате для ядра 2.6
  6. Добавление роли admin в политике, генерируемого в режиме полного обучения

Также на сайте вывешено официальное сообщение относительно предполагаемых уязвимостей в grsecurity/PaX.

>>> Подробности

★★★★★

Проверено: Obidos ()

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

Замечательно. Жаль, http://linux-vserver.org слегка отстаёт.

Lumi ★★★★★ ()

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

Может кто-нибудь вкратце объяснить, зачем нужен grsecurity?

Spinal ()

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

Читал о нём,но вблизи незнаком. Какие живые аналоги есть и остались ли вообще? Сильно ли падает производительность?

shahid ★★★★★ ()
Ответ на: Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2 от x97Rang

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

>уже есть уязвимость http://secunia.com/advisories/23713/>;

>x97Rang ** (*) (13.01.2007 12:55:08)

>Бугага... только выпустили новую версию и уже уязвимость, Линупс как всегда впереди планеты всей по всём и дырам в том числе...:-D:-D:-D:-D

>anonymous (*) (13.01.2007 13:18:17)

Также на сайте вывешено официальное сообщение относительно предполагаемых уязвимостей в grsecurity/PaX: http://grsecurity.net/news.php#digitalfud

dotcoder ★★★★★ ()

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

Использую openwall патч на всех серверах.
Быстро и пока надёжно! 8-)

LifeWins ()

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

Автору большая просьба. В следующий раз писать краткую аннотацию к программе. Уважайте читателей.

Спасибо.

anonymous ()
Ответ на: Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2 от anonymous

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

Ну да, может ещё краткую аннотацию к ядру каждый раз писать? Есть вещи которые либо надо знать, либо дальше пользоваться МС говноОС и не вякать.

anonymous ()
Ответ на: Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2 от dotcoder

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

> >Может кто-нибудь вкратце объяснить, зачем нужен grsecurity?

> http://grsecurity.net/features.php

И какая от этого может быть _РЕАЛЬНАЯ_ (!!!) польза? Хотя бы один примерчик приведите, если сможете.

Spinal ()

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

К счастью, эта защита (достаточно сложная в реализации, кстати) по большей части нужна только в тех случаях, когда сисадмины забивают на свою работу: т.е. не обновляют вовремя сервера, используют слишком простые пароли, оставляют пароли (o+r) в открытом виде в текстовых файлах, открывают лишние сервисы наружу и т.д.

Хотя как вариант поставить кому-то что-то и забить (или забыть) - тоже катит.

birdie ★★★★★ ()
Ответ на: Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2 от Spinal

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

> какая от этого может быть _РЕАЛЬНАЯ_ польза?

Какая реальная польза от охраны на входе здания, систем безопасности и разграничения доступа ? Топик собрал всех (censored) и каждому надо лекции читать ?

anonymous ()

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

Использую на рутеро-сервере hardened ядро (gentoo) (PaX/grsecurity) - мало ли что ;)

Очень нравится. Вроде как очень неплохо убезопасивают систему...

Alien- ()
Ответ на: Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2 от Alien-

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

>И какая от этого может быть _РЕАЛЬНАЯ_ (!!!) польза? Хотя бы один примерчик приведите, если сможете.

И ниасилилО документацию по MLS... РЕАЛЬНАЯ польза в том. что если тебя проломают и получат рута, максимум смогут положить контекст демона и не смогут сделать rm -rf ./*

anonymous ()
Ответ на: Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2 от anonymous

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

>Ну да, может ещё краткую аннотацию к ядру каждый раз писать? Есть вещи которые либо надо знать,

Иногда краткая аннотация может состоять всего из одного предложения. В большинстве случаев этого достаточно...

>либо дальше пользоваться МС говноОС и не вякать.

Закрой рот, а то вонь как из помойки...

anonymous ()
Ответ на: Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2 от anonymous

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

>>И какая от этого может быть _РЕАЛЬНАЯ_ (!!!) польза? Хотя бы один примерчик приведите, если сможете.

> И ниасилилО документацию по MLS... РЕАЛЬНАЯ польза в том. что если тебя проломают и получат рута, максимум смогут положить контекст демона и не смогут сделать rm -rf ./*

Дейтвительно, ниасилил. Где копать подробности об этом (не смогут сделать rm -rf ./*)?

Spinal ()

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

Хорошая штука, жаль некоторых вещей только не хватает. Selinux это хорошо но пока его прикрутишь(если дистр не держит его нативно как, скажем, fedora core) опупеешь, а эта приблуда ставится только в путь. фрибсдщникам тоже не помешала, но там некоторые вещи уже реализованы(типа security.bsd.see_other_uids)

anonymous ()
Ответ на: Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2 от birdie

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

> К счастью, эта защита (достаточно сложная в реализации, кстати) по большей части нужна только в тех случаях, когда сисадмины забивают на свою работу: т.е. не обновляют вовремя сервера, используют слишком простые пароли, оставляют пароли (o+r) в открытом виде в текстовых файлах, открывают лишние сервисы наружу и т.д.

Мда... На ЛОР продолжают отжигать. Обновление серверов вместе со сложными паролями уже заменяют роли... Или они магически появляются от выключения лишних сервисов?

И сисадмины не забивающие на свою работу проводят аудит всего кода. Отжигай еще.

MrKooll ★★★ ()

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

Очень, очень хорошо..

MiracleMan ★★★★★ ()
Ответ на: Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2 от Spinal

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

> И какая от этого может быть _РЕАЛЬНАЯ_ (!!!) польза? Хотя бы один примерчик приведите, если сможете.

Активное противодействие эксплоитам, в том числе и эксплоитам 0day на неизвестные уязвимости.

sysenter ()
Ответ на: Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2 от MrKooll

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

> Мда... На ЛОР продолжают отжигать

Поддерживаю. Birdie, ты не мог бы предоставить нам рута на каком-нить из своих серваков? В качестве демона пусть выступит ssh :)

Чиста проверить, какой "контекст демона" я смогу положить, имея такие привилегии на сервере с "релезным" grsecurity.

Spinal ()
Ответ на: Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2 от vasily_pupkin

Re: Выпуск grsecurity 2.1.10 для Linux 2.4.34/2.6.19.2

хы "эксплоитам 0day на неизвестные уязвимости" - бугага кста, можно попросить grsec чтобы при получении процессом uid=0 с сервером случился хардрезет)

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.