The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

29.12.2014 18:46  Проект HardenedBSD представил первый выпуск инструментария secadm

Проект HardenedBSD, занимающийся улучшением механизмов защиты FreeBSD, представил первый публичный выпуск инструментария secadm, предназначенного для организации применения к приложениям тех или иных дополнительных техник защиты. В состав secadm входит модуль ядра, взаимодействующий с фреймворком мандатного контроля доступа (MAC), библиотека libsecadm и утилита для управления из командной строки.

Утилита secadm позволяет на уровне отдельных исполняемых файлов включать и выключать определённые дополнительные методы защиты. Новая система призвана заменить ранее предлагаемый инструмент ugidfw, изначально позиционированный как временное решение, не предназначенное для повсеместного использования. В настоящее время в secadm предоставлены средства для настройки использования ASLR (Address Space Layout Randomization), SEGVGUARD, mprotect и PAGEEXEC. Конфигурация применения дополнительных техник защиты определяется в формате JSON. Настройки можно переопределять на уровне отдельных jail (параметры одного jail-окружения не пересекаются с другими).

ASLR представляет собой технику рандомизации раскладки сегментов данных и стека в адресном пространстве, усложняющую вычисление точек возврата функций, через которые можно передать управление своему коду в случае эксплуатации уязвимостей. MPROTECT и PAGEEXEC позволяют запретить исполнение кода в страницах памяти, не предназначенных для исполняемых инструкций. SEGVGUARD осуществляет отслеживание обращений к невыделенным страницам памяти (page-fault) и пытается определить попытки эксплуатации уязвимостей, например, на стадии перебора адресов для вычисления точки возврата.

  1. Главная ссылка к новости (http://hardenedbsd.org/article...)
  2. OpenNews: Отчёт о состоянии развития FreeBSD за третий квартал 2014 года
  3. OpenNews: Сравнение защищённости FreeBSD и OpenBSD
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: hardenedbsd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноном, 18:56, 29/12/2014 [ответить] [смотреть все]
  • +4 +/
    Sony будет довольна.
     
     
  • 2.9, тигар, 20:42, 29/12/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +3 +/
    не только она мне вот тоже радостно, что у кого-то по поводу сабжевой новости п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, Аноним, 21:56, 29/12/2014 [^] [ответить] [смотреть все]  
  • –4 +/
    Боль тут только у некоторых безопасТников от BSD Потому что в более приличных о... весь текст скрыт [показать]
     
     
  • 4.12, Аноним, 22:14, 29/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    если вы намекаете на selinux - то MAC в freebsd 200 лет как есть ... весь текст скрыт [показать]
     
     
  • 5.14, Led, 22:21, 29/12/2014 [^] [ответить] [смотреть все]  
  • +/
    > MAC в freebsd 200 лет как есть.

    Не 200, а 198.

     
     
  • 6.15, pavlinux, 22:24, 29/12/2014 [^] [ответить] [смотреть все]  
  • +/
    >> MAC в freebsd 200 лет как есть.
    > Не 200, а 198.

    0x815b00b6, я проверял!

     
  • 4.23, Xaionaro, 08:56, 30/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Хм, ну и как давно в ванильном ядре есть поддержка контейнеризации Для сравнени... весь текст скрыт [показать]
     
     
  • 5.25, Pahanivo, 10:14, 30/12/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    товарисЧь хотел как лучше - holy war, а получилось как обычно holy shit ... весь текст скрыт [показать]
     
  • 5.27, Аноним, 11:23, 30/12/2014 [^] [ответить] [смотреть все]  
  • +/
    s/holi/holy/
     
     
  • 6.38, Xaionaro, 17:14, 30/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Извиняюсь, мозг глюканул Я раньше много лет писал 171 holyday 187 вместо ... весь текст скрыт [показать]
     
  • 5.30, Аноним, 12:10, 30/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Начиная с ядра 2 6 22 примерно стало появляться В каком году это было - сами по... весь текст скрыт [показать]
     
     
  • 6.39, Xaionaro, 17:15, 30/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    И про что же конкретно речь openvz 8212 это не о ванильном ядре И любопытст... весь текст скрыт [показать]
     
     
  • 7.40, iZEN, 18:00, 30/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Вот: http://mydebianblog.blogspot.ru/2007/07/2622.html
    Чтобы далеко не ходить.
     
     
  • 8.41, Xaionaro, 18:05, 30/12/2014 [^] [ответить] [смотреть все]  
  • +/
    И что по данной ссылке нужно читать Не вижу ничего связанного с обсуждаемой тем... весь текст скрыт [показать]
     
     
  • 9.51, Аноним, 07:22, 01/01/2015 [^] [ответить] [смотреть все]  
  • +/
    А ты используй как ключевое слово что-нибудь про namespace-ы Если не в курсе - ... весь текст скрыт [показать]
     
     
  • 10.54, Xaionaro, 15:06, 08/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Это и было одним из опробованных ключевых слов Я в курсе, как работать с namesp... весь текст скрыт [показать]
     
  • 7.46, Аноним, 06:45, 31/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Namespaces разумеется Впервые появилось в 2 6 22, по поводу чего этот ваш линук... весь текст скрыт [показать]
     
     
  • 8.55, Xaionaro, 15:53, 08/01/2015 [^] [ответить] [смотреть все]  
  • +/
    В 2 6 22 не было даже и близко инструментов достаточным чтобы делать что-то врод... весь текст скрыт [показать]
     
  • 3.32, Аноним, 12:42, 30/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Проприераст спалился
     
  • 3.33, Аноном, 13:34, 30/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Это называется злорадство - вся суть копирастии ... весь текст скрыт [показать]
     
  • 1.2, Аноним, 19:00, 29/12/2014 [ответить] [смотреть все]  
  • –4 +/
    YAML лучше чем JSON
     
     
  • 2.3, Demo, 19:36, 29/12/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    > YAML лучше чем JSON

    Адепт Петона?

     
  • 2.4, Аноним, 19:40, 29/12/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Они для разбора и генерации конфигов используют библиотеки libucl и libxo, так ч... весь текст скрыт [показать] [показать ветку]
     
  • 2.5, Аноним, 19:46, 29/12/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Чем лучше?
     
     
  • 3.7, Онаним, 20:27, 29/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Чем json
     
  • 3.18, Аноним, 03:20, 30/12/2014 [^] [ответить] [смотреть все]  
  • +/
    В JSON -- нет комментариев Только идиот может придумать формат конфигов без ком... весь текст скрыт [показать]
     
     
  • 4.21, АнАн, 08:28, 30/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    JSON это такой текстовой формат , что выполнив eval в JavaScript получим годную ... весь текст скрыт [показать]
     
     
  • 5.26, Xasd, 10:23, 30/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    прости что-то не получается твой пример делаю всё как ты сказал code var tx... весь текст скрыт [показать]
     
  • 4.31, Аноним, 12:11, 30/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    > В JSON -- нет комментариев.

    В JSON5 - есть!

     
     
  • 5.52, Xasd, 12:02, 01/01/2015 [^] [ответить] [смотреть все]  
  • +/
    да, в JSON5 есть а в JSON комментариев нет кстати почему кто-то вспомнил пр... весь текст скрыт [показать]
     
  • 1.8, Аноним, 20:42, 29/12/2014 [ответить] [смотреть все]  
  • +/
    Селинкс для фряхи?
     
     
  • 2.11, Аноним, 22:14, 29/12/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    учи матчасть - man MAC - если мы говорим о selinux.
     
  • 2.16, ананим, 23:17, 29/12/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Скорее что-то типа https ru wikipedia org wiki Hardened_Gentoo где selinux ка... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, pavlinux, 22:20, 29/12/2014 [ответить] [смотреть все]  
  • +/
    МАС, ASLR, PAX, ностальгия - это так прекрасно. Читая новости о FreeBSD прям вспоминаю детство. :D
     
     
  • 2.17, Аноним, 01:55, 30/12/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    Дауж, как тут не вспомнить, что настройка всех редхатов начинается с:

    echo 0 > /selinux/enforce

     
     
  • 3.19, anonimouse, 03:24, 30/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну в общем да :)
    Хотя с 7-го обещали всё по чесноку.
     
  • 3.20, Аноним, 07:40, 30/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Я все маны, которые содержат подобное, выкидываю куда подальше У меня все систе... весь текст скрыт [показать]
     
     
  • 4.22, Xaionaro, 08:51, 30/12/2014 [^] [ответить] [смотреть все]  
  • +3 +/
    Ну Мне кажется, что будет намного эффективнее выключать selinux на период перви... весь текст скрыт [показать]
     
  • 4.53, имя., 08:54, 08/01/2015 [^] [ответить] [смотреть все]  
  • +/
    вот и выросло поколение убунтоголовых которые называют манами какие-то стремны... весь текст скрыт [показать]
     
  • 3.24, DmA, 10:09, 30/12/2014 [^] [ответить] [смотреть все]  
  • +/
    идиоты выключают selinux, а нормальные люди давно пользуются Обычно к каждому се... весь текст скрыт [показать]
     
     
  • 4.29, Аноним, 12:08, 30/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Документация от этих жадных товарищей бабла стоит За бесплатно они только syste... весь текст скрыт [показать]
     
     
  • 5.35, DmA, 17:01, 30/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Шутите или вы из Микрософт Документация на redhat последние лет 5 минимум нахо... весь текст скрыт [показать]
     
  • 4.47, Аноним, 09:33, 31/12/2014 [^] [ответить] [смотреть все]  
  • +/
    к таким идиотам относится OpenVZ, у которого sellinux отключается в конфиге ядра... весь текст скрыт [показать]
     
  • 3.28, anonymous, 11:50, 30/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    особенно федорки вот на кой они по умолчанию включают селинукс в системе для ло... весь текст скрыт [показать]
     
     
  • 4.37, DmA, 17:04, 30/12/2014 [^] [ответить] [смотреть все]  
  • +/
    пишешь в etc hosts что у тебя localhost например8 8 8 8 и атакуешь с этого сайт... весь текст скрыт [показать]
     
  • 3.36, fooser, 17:03, 30/12/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Инструкции по установке некоторых (ворованных) игр тоже иногда первым пунктом содержат требование выключить антивирус. Но это ж не показатель.
     
  • 3.50, temujeen, 04:59, 01/01/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    как ни грустно - а фак(т)
     
     
     
     
    Часть нити удалена модератором

  • 6.49, Аноним, 19:06, 31/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    К сожалению, у опеннета есть давняя традиция сортировать новости абсолютно невме... весь текст скрыт [показать]
     
  • 1.45, Нимо Ан, 23:58, 30/12/2014 [ответить] [смотреть все]  
  • –1 +/
    Прочитал сначала SECAMD, подумал вроде 21-й век на дворе, неужели опять аналоговое телевещание кого-то заинтересовало...
     
  • 1.56, Аноним, 15:23, 17/01/2015 [ответить] [смотреть все]  
  • +/
    Может пожалуйста объяснить зачем все эти механизмы нужны В общих чертах пожалуй... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList