The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

29.12.2014 18:46  Проект HardenedBSD представил первый выпуск инструментария secadm

Проект HardenedBSD, занимающийся улучшением механизмов защиты FreeBSD, представил первый публичный выпуск инструментария secadm, предназначенного для организации применения к приложениям тех или иных дополнительных техник защиты. В состав secadm входит модуль ядра, взаимодействующий с фреймворком мандатного контроля доступа (MAC), библиотека libsecadm и утилита для управления из командной строки.

Утилита secadm позволяет на уровне отдельных исполняемых файлов включать и выключать определённые дополнительные методы защиты. Новая система призвана заменить ранее предлагаемый инструмент ugidfw, изначально позиционированный как временное решение, не предназначенное для повсеместного использования. В настоящее время в secadm предоставлены средства для настройки использования ASLR (Address Space Layout Randomization), SEGVGUARD, mprotect и PAGEEXEC. Конфигурация применения дополнительных техник защиты определяется в формате JSON. Настройки можно переопределять на уровне отдельных jail (параметры одного jail-окружения не пересекаются с другими).

ASLR представляет собой технику рандомизации раскладки сегментов данных и стека в адресном пространстве, усложняющую вычисление точек возврата функций, через которые можно передать управление своему коду в случае эксплуатации уязвимостей. MPROTECT и PAGEEXEC позволяют запретить исполнение кода в страницах памяти, не предназначенных для исполняемых инструкций. SEGVGUARD осуществляет отслеживание обращений к невыделенным страницам памяти (page-fault) и пытается определить попытки эксплуатации уязвимостей, например, на стадии перебора адресов для вычисления точки возврата.

  1. Главная ссылка к новости (http://hardenedbsd.org/article...)
  2. OpenNews: Отчёт о состоянии развития FreeBSD за третий квартал 2014 года
  3. OpenNews: Сравнение защищённости FreeBSD и OpenBSD
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: hardenedbsd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноном (?), 18:56, 29/12/2014 [ответить] [показать ветку] [···]    [к модератору]
  • +4 +/
    Sony будет довольна.
     
     
  • 2.9, тигар (ok), 20:42, 29/12/2014 [^] [ответить]    [к модератору]
  • +3 +/
    > Sony будет довольна.

    не только она. мне вот тоже радостно, что у кого-то по поводу сабжевой новости попная боль зачем-то есть;)

     
     
  • 3.10, Аноним (-), 21:56, 29/12/2014 [^] [ответить]    [к модератору]
  • –4 +/
    Боль тут только у некоторых безопасТников от BSD. Потому что в более приличных операционках все это уже много лет как есть.
     
     
  • 4.12, Аноним (-), 22:14, 29/12/2014 [^] [ответить]     [к модератору]
  • +1 +/
    если вы намекаете на selinux - то MAC в freebsd 200 лет как есть ... весь текст скрыт [показать]
     
     
  • 5.14, Led (ok), 22:21, 29/12/2014 [^] [ответить]    [к модератору]  
  • +/
    > MAC в freebsd 200 лет как есть.

    Не 200, а 198.

     
     
  • 6.15, pavlinux (ok), 22:24, 29/12/2014 [^] [ответить]    [к модератору]  
  • +/
    >> MAC в freebsd 200 лет как есть.
    > Не 200, а 198.

    0x815b00b6, я проверял!

     
  • 4.23, Xaionaro (ok), 08:56, 30/12/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Хм, ну и как давно в ванильном ядре есть поддержка контейнеризации Для сравнени... весь текст скрыт [показать]
     
     
  • 5.25, Pahanivo (ok), 10:14, 30/12/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    > Может уже перестанете писать эти тупые провокационные комментарии (с целью разжечь holiwar
    > на пустом месте)?

    товарисЧь хотел как лучше - holy war, а получилось как обычно holy shit ))

     
  • 5.27, Аноним (-), 11:23, 30/12/2014 [^] [ответить]    [к модератору]  
  • +/
    s/holi/holy/
     
     
  • 6.38, Xaionaro (ok), 17:14, 30/12/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Извиняюсь, мозг глюканул Я раньше много лет писал 171 holyday 187 вместо ... весь текст скрыт [показать]
     
  • 5.30, Аноним (-), 12:10, 30/12/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Начиная с ядра 2 6 22 примерно стало появляться В каком году это было - сами по... весь текст скрыт [показать]
     
     
  • 6.39, Xaionaro (ok), 17:15, 30/12/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    И про что же конкретно речь openvz 8212 это не о ванильном ядре И любопытст... весь текст скрыт [показать]
     
     
  • 7.40, iZEN (ok), 18:00, 30/12/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Вот: http://mydebianblog.blogspot.ru/2007/07/2622.html
    Чтобы далеко не ходить.
     
     
  • 8.41, Xaionaro (ok), 18:05, 30/12/2014 [^] [ответить]     [к модератору]  
  • +/
    И что по данной ссылке нужно читать Не вижу ничего связанного с обсуждаемой тем... весь текст скрыт [показать]
     
     
  • 9.51, Аноним (-), 07:22, 01/01/2015 [^] [ответить]     [к модератору]  
  • +/
    А ты используй как ключевое слово что-нибудь про namespace-ы Если не в курсе - ... весь текст скрыт [показать]
     
     
  • 10.54, Xaionaro (ok), 15:06, 08/01/2015 [^] [ответить]     [к модератору]  
  • +/
    Это и было одним из опробованных ключевых слов Я в курсе, как работать с namesp... весь текст скрыт [показать]
     
  • 7.46, Аноним (-), 06:45, 31/12/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Namespaces разумеется Впервые появилось в 2 6 22, по поводу чего этот ваш линук... весь текст скрыт [показать]
     
     
  • 8.55, Xaionaro (ok), 15:53, 08/01/2015 [^] [ответить]     [к модератору]  
  • +/
    В 2 6 22 не было даже и близко инструментов достаточным чтобы делать что-то врод... весь текст скрыт [показать]
     
  • 3.32, Аноним (-), 12:42, 30/12/2014 [^] [ответить]    [к модератору]  
  • +/
    Проприераст спалился
     
  • 3.33, Аноном (?), 13:34, 30/12/2014 [^] [ответить]    [к модератору]  
  • +/
    >мне вот тоже радостно, что у кого-то по поводу сабжевой новости попная боль

    Это называется злорадство - вся суть копирастии.

     
  • 1.2, Аноним (-), 19:00, 29/12/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    YAML лучше чем JSON
     
     
  • 2.3, Demo (??), 19:36, 29/12/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    > YAML лучше чем JSON

    Адепт Петона?

     
  • 2.4, Аноним (-), 19:40, 29/12/2014 [^] [ответить]     [к модератору]  
  • +/
    Они для разбора и генерации конфигов используют библиотеки libucl и libxo, так ч... весь текст скрыт [показать]
     
  • 2.5, Аноним (-), 19:46, 29/12/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Чем лучше?
     
     
  • 3.7, Онаним (?), 20:27, 29/12/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Чем json
     
  • 3.18, Аноним (-), 03:20, 30/12/2014 [^] [ответить]    [к модератору]  
  • +/
    В JSON -- нет комментариев.

    Только идиот может придумать формат конфигов без комментариев.

     
     
  • 4.21, АнАн (?), 08:28, 30/12/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    JSON это такой текстовой формат , что выполнив eval в JavaScript получим годную ... весь текст скрыт [показать]
     
     
  • 5.26, Xasd (ok), 10:23, 30/12/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    прости что-то не получается твой пример делаю всё как ты сказал code var tx... весь текст скрыт [показать]
     
  • 4.31, Аноним (-), 12:11, 30/12/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > В JSON -- нет комментариев.

    В JSON5 - есть!

     
     
  • 5.52, Xasd (ok), 12:02, 01/01/2015 [^] [ответить]     [к модератору]  
  • +/
    да, в JSON5 есть а в JSON комментариев нет кстати почему кто-то вспомнил пр... весь текст скрыт [показать]
     
  • 1.8, Аноним (-), 20:42, 29/12/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Селинкс для фряхи?
     
     
  • 2.11, Аноним (-), 22:14, 29/12/2014 [^] [ответить]    [к модератору]  
  • +/
    учи матчасть - man MAC - если мы говорим о selinux.
     
  • 2.16, ананим (?), 23:17, 29/12/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Скорее что-то типа https://ru.wikipedia.org/wiki/Hardened_Gentoo (где selinux как часть)
     
  • 1.13, pavlinux (ok), 22:20, 29/12/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    МАС, ASLR, PAX, ностальгия - это так прекрасно. Читая новости о FreeBSD прям вспоминаю детство. :D
     
     
  • 2.17, Аноним (-), 01:55, 30/12/2014 [^] [ответить]    [к модератору]  
  • +6 +/
    Дауж, как тут не вспомнить, что настройка всех редхатов начинается с:

    echo 0 > /selinux/enforce

     
     
  • 3.19, anonimouse (?), 03:24, 30/12/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Ну в общем да :)
    Хотя с 7-го обещали всё по чесноку.
     
  • 3.20, Аноним (-), 07:40, 30/12/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Я все маны, которые содержат подобное, выкидываю куда подальше. У меня все системы работают с включенным selinux.
     
     
  • 4.22, Xaionaro (ok), 08:51, 30/12/2014 [^] [ответить]    [к модератору]  
  • +3 +/
    Ну. Мне кажется, что будет намного эффективнее выключать selinux на период первичной настройки. _После_ настройки перевести его в режим «permissive», чтобы увидеть все проблемы. Устранить все проблемы, а только потом «enforcing». Если вы всю процедуру настройки системы проводите в режиме «enforcing», то мне кажется, что либо вы нихрена не делаете, либо врёте, либо вы тратите тонну человеко-часов в пустую. Прошу простить, если ошибаюсь.
     
  • 4.53, имя. (?), 08:54, 08/01/2015 [^] [ответить]    [к модератору]  
  • +/
    > Я все маны, которые содержат подобное, выкидываю куда подальше. У меня все
    > системы работают с включенным selinux.

    вот и выросло поколение убунтоголовых которые называют "манами" какие-то стремные хауту выцепленые в гоогле, лол

     
  • 3.24, DmA (??), 10:09, 30/12/2014 [^] [ответить]    [к модератору]  
  • +/
    идиоты выключают selinux, а нормальные люди давно пользуются Обычно к каждому сервису идёт документация от того же редхат как добавить изменить политику selinux чтобы та или иная функция из этой службы заработала. А те кто не читает документацию и не хочет ничему новому научится, те выключают selinux !
     
     
  • 4.29, Аноним (-), 12:08, 30/12/2014 [^] [ответить]     [к модератору]  
  • +/
    Документация от этих жадных товарищей бабла стоит За бесплатно они только syste... весь текст скрыт [показать]
     
     
  • 5.35, DmA (??), 17:01, 30/12/2014 [^] [ответить]    [к модератору]  
  • +/
    >> Обычно к каждому сервису идёт документация от того же редхат как добавить изменить политику selinux
    > Документация от этих жадных товарищей бабла стоит. За бесплатно они только systemГ
    > в массы выпускают. Ну еще федору с 3-м гномом поверх systemГ

    Шутите или вы из Микрософт?
    Документация на redhat последние лет 5 минимум находятся по адресу http://docs.redhat.com
    Например тут написано  для 7 RHEL https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7-Beta/ как  в selinux для ftp сервера  разрешить запись анонимам.
    А тут документация по всему Selinux к той же "семёрке"
    https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/
    Более старые  версии тоже там есть! И тоже есть по Selinux доки к этим старым версиям.
    К Федоре тоже никаких проблем нет с документацией
    Вот есть ссылки по документации от 7 Федоры до последней 21й https://docs.fedoraproject.org/en-US/Fedora/21/html/Installation_Guide/
    Вы вообще на официальных сайтах  дистрибутивов Линукс бываете? или всё по трекерам ищите?


     
  • 4.47, Аноним (-), 09:33, 31/12/2014 [^] [ответить]    [к модератору]  
  • +/
    к таким идиотам относится OpenVZ, у которого sellinux отключается в конфиге ядра.
     
  • 3.28, anonymous (??), 11:50, 30/12/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    особенно федорки!
    вот на кой они по умолчанию включают селинукс в системе для локалхостов, ума не приложу
     
     
  • 4.37, DmA (??), 17:04, 30/12/2014 [^] [ответить]    [к модератору]  
  • +/
    > особенно федорки!
    > вот на кой они по умолчанию включают селинукс в системе для локалхостов,
    > ума не приложу

    пишешь в /etc/hosts что у тебя localhost=например8.8.8.8 и атакуешь с этого сайта.
    Никогда не сталкивались с хитростью врага?

     
  • 3.36, fooser (?), 17:03, 30/12/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    Инструкции по установке некоторых (ворованных) игр тоже иногда первым пунктом содержат требование выключить антивирус. Но это ж не показатель.
     
  • 3.50, temujeen (ok), 04:59, 01/01/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    как ни грустно - а фак(т)
     
     
     
     
    Часть нити удалена модератором

  • 6.49, Аноним (-), 19:06, 31/12/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    К сожалению, у опеннета есть давняя традиция сортировать новости абсолютно невме... весь текст скрыт [показать]
     
  • 1.45, Нимо Ан (?), 23:58, 30/12/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Прочитал сначала SECAMD, подумал вроде 21-й век на дворе, неужели опять аналоговое телевещание кого-то заинтересовало...
     
  • 1.56, Аноним (-), 15:23, 17/01/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Может пожалуйста объяснить зачем все эти механизмы нужны? В общих чертах пожалуйста.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor