> Ok, спасибо. Я гляну на досуге, что там и как. С АРМ-ами дел не имею обычно.На это дело можно найти энное количество материала у тех кто интересуется подобными трюками, есть минимум несколко более-менее похожих описаний как хакеры борятся (ну или по крайней мере пытаются) с подобной напастью. Обычно это достаточно замороченные фокусы с попытками сначала дергать какие-то фрагменты кода которые сделают что-то полезное и только потом удастся сделать возврат. Все это тот еще брейнфак и работоспособность такой атаки - очень зависит от внешних факторов, как то найдется ли в атакуемой программе вообще удобный для этого код. Приходит в голову что кроме PIE программам было бы некисло еще и трансформации кода делать, чтобы это дело еще больше усложнить :)
> Культурные дистры -- это какие? В Debian и RHEL я этого не наблюдаю.
На данный момент так делает даже обычная ширпотрeбная убунта и те кто на ней базируются, так что если кто отпускает тормоз медленнее чем они - вообще позор и стыдоба им. Вызовы типа ptrace() считались потенциальным источником проблем и нежелательных действий черт знает сколько времени. В ядре есть механизмы для этого.
> Нет. Попонтоваться -- это не ко мне. Я говорю о том, что кое-что сделано в этом
> плане и в BSD тоже. Диалог должен быть познавательным для обеих сторон.
Ну окей, я признал что наезд на "вообще все BSD" все-таки не очень удачный маневр.
> За писькомером не ко мне. И да, я в курсе и про lxc и про cgroups и про openvz.
И kvm тогда уж. Виртуализация и контейнеры конечно не столько средство безопасности, но они вполне могут минимизировать и урон от хакеров при правильном применении. Лишняя граница раздела сред еще никому не мешала в плане уменьшения последствий от хаков.
> Прекрасно. Культурный диалог состоялся.
Ну во всяком случае лучше чем кидания какашками без аргументов.
> Это твои фантазии ;-) Я лишь указал на документацию.
А в чем пойнт? А указывал какой-то соседний гражданин.
> Я думаю, лучший в отрасли -- grsecurity,
По общей степени параноидальности в ее "классическом" виде - пожалуй. Хотя лично мне видится более перспективной рaспилoвка окружений на виртуалки по принципу "1 загoн на сервис". Ну в общем "жизнь после эры чрута". С точки зрения атакующего - ломать такое достаточно неудобно, опять же. Не то чтобы совсем невозможно, но опять же планка поднимается и ущерб минимизируется. Плюс контейнеры "по 1 на сервис" можно при желании довольно дотошно мониторить и отлавливать аномалии по каким-нибудь простым критериям типа "запустились утилиты, хотя httpd в приницпе не должен использовать ls" или "ой, а чего это у нас тут кто-то дергает ptrace()? У нас дебагера тут вообще нет!". Нечто такое сделали на codepad.org - там сначала фильтр сисколов, потом виртуалка. И да, там можно вполне себе севый код пинать. Лично мне вообще не удалось особо поразвлекаться - большинство интересных сисколов зарубается фильтром.
> откуда собственно многое в NetBSD и пришло. Но grsecurity в мире Линукса -- такая
> же мaргинальщина, как NetBSD для типичного Линукс-админа.
Зато в каждом линуксном ядре идет система контейнеров и виртуализатор в комплекте. Совершенно нахаляву и даже без лишних усилий - обычно в дистрах эти фичи ядра включены при сборке.
> AFAIK его нет нигде кроме одного профиля Gentoo.
Потому что действительно довольно маргинальная штука. Мне при нужде минимизировать урон от хакеров (защищать дырявый или пробэкдоренный сервис от самого себя будем считать делом тухлым) - проще просто на виртуалки или хотя-бы контейнеры распилить. Так чтобы проблемный сервис сидел в своей песочнице. Если уж его поимели - так поимели. А рут в контейнере/виртуалке мало что и кому дает. Там кроме проблемного сервиса который один фиг раздолбали и не должно ничего быть. Это просто если подумать "а как сделать так чтобы хакеры всерьез чертыхались при попытке серьезно долбить всю инфраструктуру".
p.s. я так и не понял - вот чего я тут ругательного сказал, что б-дский вордфильтр возбух?
