The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проект HardenedBSD представил первый выпуск инструментария secadm

29.12.2014 18:46

Проект HardenedBSD, занимающийся улучшением механизмов защиты FreeBSD, представил первый публичный выпуск инструментария secadm, предназначенного для организации применения к приложениям тех или иных дополнительных техник защиты. В состав secadm входит модуль ядра, взаимодействующий с фреймворком мандатного контроля доступа (MAC), библиотека libsecadm и утилита для управления из командной строки.

Утилита secadm позволяет на уровне отдельных исполняемых файлов включать и выключать определённые дополнительные методы защиты. Новая система призвана заменить ранее предлагаемый инструмент ugidfw, изначально позиционированный как временное решение, не предназначенное для повсеместного использования. В настоящее время в secadm предоставлены средства для настройки использования ASLR (Address Space Layout Randomization), SEGVGUARD, mprotect и PAGEEXEC. Конфигурация применения дополнительных техник защиты определяется в формате JSON. Настройки можно переопределять на уровне отдельных jail (параметры одного jail-окружения не пересекаются с другими).

ASLR представляет собой технику рандомизации раскладки сегментов данных и стека в адресном пространстве, усложняющую вычисление точек возврата функций, через которые можно передать управление своему коду в случае эксплуатации уязвимостей. MPROTECT и PAGEEXEC позволяют запретить исполнение кода в страницах памяти, не предназначенных для исполняемых инструкций. SEGVGUARD осуществляет отслеживание обращений к невыделенным страницам памяти (page-fault) и пытается определить попытки эксплуатации уязвимостей, например, на стадии перебора адресов для вычисления точки возврата.

  1. Главная ссылка к новости (http://hardenedbsd.org/article...)
  2. OpenNews: Отчёт о состоянии развития FreeBSD за третий квартал 2014 года
  3. OpenNews: Сравнение защищённости FreeBSD и OpenBSD
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/41361-hardenedbsd
Ключевые слова: hardenedbsd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (50) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноном (?), 18:56, 29/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Sony будет довольна.
     
     
  • 2.9, тигар (ok), 20:42, 29/12/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Sony будет довольна.

    не только она. мне вот тоже радостно, что у кого-то по поводу сабжевой новости попная боль зачем-то есть;)

     
     
  • 3.10, Аноним (-), 21:56, 29/12/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Боль тут только у некоторых безопасТников от BSD. Потому что в более приличных операционках все это уже много лет как есть.
     
     
  • 4.12, Аноним (-), 22:14, 29/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Боль тут только у некоторых безопасТников от BSD. Потому что в более
    > приличных операционках все это уже много лет как есть.

    если вы намекаете на selinux - то MAC в freebsd 200 лет как есть.

     
     
  • 5.14, Led (ok), 22:21, 29/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > MAC в freebsd 200 лет как есть.

    Не 200, а 198.

     
     
  • 6.15, pavlinux (ok), 22:24, 29/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> MAC в freebsd 200 лет как есть.
    > Не 200, а 198.

    0x815b00b6, я проверял!

     
  • 4.23, Xaionaro (ok), 08:56, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Боль тут только у некоторых безопасТников от BSD. Потому что в более
    > приличных операционках все это уже много лет как есть.

    Хм, ну и как давно в ванильном ядре есть поддержка контейнеризации? Для сравнения, во FreeBSD она есть порядка 15 лет.

    Может уже перестанете писать эти тупые провокационные комментарии (с целью разжечь holiwar на пустом месте)?

     
     
  • 5.25, Pahanivo (ok), 10:14, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Может уже перестанете писать эти тупые провокационные комментарии (с целью разжечь holiwar
    > на пустом месте)?

    товарисЧь хотел как лучше - holy war, а получилось как обычно holy shit ))

     
  • 5.27, Аноним (-), 11:23, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    s/holi/holy/
     
     
  • 6.38, Xaionaro (ok), 17:14, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > s/holi/holy/

    Извиняюсь, мозг глюканул. Я раньше много лет писал «holyday» (вместо «holiday»), но мне сделали соответствующее замечание несколько лет назад. И сейчас почему-то внезапно сработал рефлекс написать «holi» и тут (притом слитно, как и в «holiday»).

     
  • 5.30, Аноним (-), 12:10, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Хм, ну и как давно в ванильном ядре есть поддержка контейнеризации?

    Начиная с ядра 2.6.22 примерно стало появляться. В каком году это было - сами посмотрите.

    > Для сравнения, во FreeBSD она есть порядка 15 лет.

    Поэтому особенно позорно что весь рынок впсок отжал опенвз на пингвине :P.

    > holiwar на пустом месте)?

    Да просто улыбают такие преподнесения новья и крути при том что уже все мхом поросло.


     
     
  • 6.39, Xaionaro (ok), 17:15, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Хм, ну и как давно в ванильном ядре есть поддержка контейнеризации?
    > Начиная с ядра 2.6.22 примерно стало появляться. В каком году это было
    > - сами посмотрите.

    И про что же конкретно речь?

    >> Для сравнения, во FreeBSD она есть порядка 15 лет.
    > Поэтому особенно позорно что весь рынок впсок отжал опенвз на пингвине :P.

    openvz — это не о ванильном ядре.

    И любопытства ради не могли бы вы предоставить конкретные ссылки на статистику? Я лично сталкивался как и с jail-based, так и с openvz-based vds-хостингом.

    > Да просто улыбают такие преподнесения новья и крути при том что уже все мхом поросло.

    Вы про что?

     
     
  • 7.40, iZEN (ok), 18:00, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот: http://mydebianblog.blogspot.ru/2007/07/2622.html
    Чтобы далеко не ходить.
     
     
  • 8.41, Xaionaro (ok), 18:05, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    И что по данной ссылке нужно читать Не вижу ничего связанного с обсуждаемой тем... текст свёрнут, показать
     
     
  • 9.51, Аноним (-), 07:22, 01/01/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А ты используй как ключевое слово что-нибудь про namespace-ы Если не в курсе - ... текст свёрнут, показать
     
     
  • 10.54, Xaionaro (ok), 15:06, 08/01/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Это и было одним из опробованных ключевых слов Я в курсе, как работать с namesp... текст свёрнут, показать
     
  • 7.46, Аноним (-), 06:45, 31/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И про что же конкретно речь?

    Namespaces разумеется. Впервые появилось в 2.6.22, по поводу чего этот ваш линуксятор до сих пор так и изображает нечто типа 2.6.18 ;).

    > openvz — это не о ванильном ядре.

    По минимуму работает уже и с ванилой. Что вдвойне позорно для некоторых - даже ванильное ядро в плане контейнерных фич здорово втыкает этим вашим jails. Да-да, времена когда пингвиноиды обтекали при слове jails - безвозвратно прошли. Теперь все ровно наоборот.

    > И любопытства ради не могли бы вы предоставить конкретные ссылки на статистику?

    Спросить нечто типа google://cheap vps. Там будут в основном openvz и, реже, kvm/xen. А хостинг с контейнерами на бзде я видел только один - firstvds. И это не хостер а кусок геморроя.

     
     
  • 8.55, Xaionaro (ok), 15:53, 08/01/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В 2 6 22 не было даже и близко инструментов достаточным чтобы делать что-то врод... текст свёрнут, показать
     
  • 3.32, Аноним (-), 12:42, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Проприераст спалился
     
  • 3.33, Аноном (?), 13:34, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >мне вот тоже радостно, что у кого-то по поводу сабжевой новости попная боль

    Это называется злорадство - вся суть копирастии.

     

  • 1.2, Аноним (-), 19:00, 29/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    YAML лучше чем JSON
     
     
  • 2.3, Demo (??), 19:36, 29/12/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > YAML лучше чем JSON

    Адепт Петона?

     
  • 2.4, Аноним (-), 19:40, 29/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Они для разбора и генерации конфигов используют библиотеки libucl и libxo, так что могут предусмотреть формат конфигов ini, xml и yaml по идее. Но многие люди в рассылке настаивают на использовании json конфигурации всей системы.
     
  • 2.5, Аноним (-), 19:46, 29/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чем лучше?
     
     
  • 3.7, Онаним (?), 20:27, 29/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чем json
     
  • 3.18, Аноним (-), 03:20, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В JSON -- нет комментариев.

    Только идиот может придумать формат конфигов без комментариев.

     
     
  • 4.21, АнАн (?), 08:28, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    JSON это такой текстовой формат , что выполнив eval в JavaScript получим годную структуру данных

    var txt="{aaa=>'bbb'} //Hello";
    var vvv=eval(txt);
    console.log(vvv);

    Получим в логе
    aaa=>'bbb'

    Так что комментарии есть

     
     
  • 5.26, Xasd (ok), 10:23, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    прости.. что-то не получается твой пример

    делаю всё как ты сказал:

    [code]
    var txt = '{"aaa": "bbb"} //Hello'        // эта строчка валидна для JS,
                                              //        значит должно прокатить и для JSON?
    var vvv = JSON.parse(txt)
    console.log(vvv)
    [/code]

    в результате -- ошибка:

    [code]
    JSON.parse: unexpected non-whitespace character after JSON data at line 1 column 16 of the JSON data
    [/code]

    скажи, дружище! это что -- разве баг функции ''JSON.parse()'' ?

    в документации к JSON-формату[*] -- ни чего не сказанно про комментарии

    ----------

    [*] http://www.json.org/

     
  • 4.31, Аноним (-), 12:11, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В JSON -- нет комментариев.

    В JSON5 - есть!

     
     
  • 5.52, Xasd (ok), 12:02, 01/01/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> В JSON -- нет комментариев.
    > В JSON5 - есть!

    да, в JSON5 есть..

    а в JSON комментариев нет

    (кстати.. почему кто-то вспомнил про JSON5? его же ведь ни где не применяют, и покачто даже не собираются..)

     

  • 1.8, Аноним (-), 20:42, 29/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Селинкс для фряхи?
     
     
  • 2.11, Аноним (-), 22:14, 29/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    учи матчасть - man MAC - если мы говорим о selinux.
     
  • 2.16, ананим (?), 23:17, 29/12/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Скорее что-то типа https://ru.wikipedia.org/wiki/Hardened_Gentoo (где selinux как часть)
     

  • 1.13, pavlinux (ok), 22:20, 29/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    МАС, ASLR, PAX, ностальгия - это так прекрасно. Читая новости о FreeBSD прям вспоминаю детство. :D
     
     
  • 2.17, Аноним (-), 01:55, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Дауж, как тут не вспомнить, что настройка всех редхатов начинается с:

    echo 0 > /selinux/enforce

     
     
  • 3.19, anonimouse (?), 03:24, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну в общем да :)
    Хотя с 7-го обещали всё по чесноку.
     
  • 3.20, Аноним (-), 07:40, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я все маны, которые содержат подобное, выкидываю куда подальше. У меня все системы работают с включенным selinux.
     
     
  • 4.22, Xaionaro (ok), 08:51, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну. Мне кажется, что будет намного эффективнее выключать selinux на период первичной настройки. _После_ настройки перевести его в режим «permissive», чтобы увидеть все проблемы. Устранить все проблемы, а только потом «enforcing». Если вы всю процедуру настройки системы проводите в режиме «enforcing», то мне кажется, что либо вы нихрена не делаете, либо врёте, либо вы тратите тонну человеко-часов в пустую. Прошу простить, если ошибаюсь.
     
  • 4.53, имя. (?), 08:54, 08/01/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Я все маны, которые содержат подобное, выкидываю куда подальше. У меня все
    > системы работают с включенным selinux.

    вот и выросло поколение убунтоголовых которые называют "манами" какие-то стремные хауту выцепленые в гоогле, лол

     
  • 3.24, DmA (??), 10:09, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    идиоты выключают selinux, а нормальные люди давно пользуются Обычно к каждому сервису идёт документация от того же редхат как добавить изменить политику selinux чтобы та или иная функция из этой службы заработала. А те кто не читает документацию и не хочет ничему новому научится, те выключают selinux !
     
     
  • 4.29, Аноним (-), 12:08, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Обычно к каждому сервису идёт документация от того же редхат как добавить изменить политику selinux

    Документация от этих жадных товарищей бабла стоит. За бесплатно они только systemГ в массы выпускают. Ну еще федору с 3-м гномом поверх systemГ

     
     
  • 5.35, DmA (??), 17:01, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Обычно к каждому сервису идёт документация от того же редхат как добавить изменить политику selinux
    > Документация от этих жадных товарищей бабла стоит. За бесплатно они только systemГ
    > в массы выпускают. Ну еще федору с 3-м гномом поверх systemГ

    Шутите или вы из Микрософт?
    Документация на redhat последние лет 5 минимум находятся по адресу http://docs.redhat.com
    Например тут написано  для 7 RHEL https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7-Beta/ как  в selinux для ftp сервера  разрешить запись анонимам.
    А тут документация по всему Selinux к той же "семёрке"
    https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/
    Более старые  версии тоже там есть! И тоже есть по Selinux доки к этим старым версиям.
    К Федоре тоже никаких проблем нет с документацией
    Вот есть ссылки по документации от 7 Федоры до последней 21й https://docs.fedoraproject.org/en-US/Fedora/21/html/Installation_Guide/
    Вы вообще на официальных сайтах  дистрибутивов Линукс бываете? или всё по трекерам ищите?


     
  • 4.47, Аноним (-), 09:33, 31/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    к таким идиотам относится OpenVZ, у которого sellinux отключается в конфиге ядра.
     
  • 3.28, anonymous (??), 11:50, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    особенно федорки!
    вот на кой они по умолчанию включают селинукс в системе для локалхостов, ума не приложу
     
     
  • 4.37, DmA (??), 17:04, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > особенно федорки!
    > вот на кой они по умолчанию включают селинукс в системе для локалхостов,
    > ума не приложу

    пишешь в /etc/hosts что у тебя localhost=например8.8.8.8 и атакуешь с этого сайта.
    Никогда не сталкивались с хитростью врага?

     
  • 3.36, fooser (?), 17:03, 30/12/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Инструкции по установке некоторых (ворованных) игр тоже иногда первым пунктом содержат требование выключить антивирус. Но это ж не показатель.
     
  • 3.50, temujeen (ok), 04:59, 01/01/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    как ни грустно - а фак(т)
     
     
     
     
    Часть нити удалена модератором

  • 6.49, Аноним (-), 19:06, 31/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    К сожалению, у опеннета есть давняя традиция сортировать новости абсолютно невме... большой текст свёрнут, показать
     

  • 1.45, Нимо Ан (?), 23:58, 30/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Прочитал сначала SECAMD, подумал вроде 21-й век на дворе, неужели опять аналоговое телевещание кого-то заинтересовало...
     
  • 1.56, Аноним (-), 15:23, 17/01/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может пожалуйста объяснить зачем все эти механизмы нужны? В общих чертах пожалуйста.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру