https://www.opennet.me/openforum/vsluhforumID3/39963.html Moritz Muehlenhoff опубликовал (http://permalink.gmane.org/gmane.linux.debian.devel.announce/1164) информацию о запланированных улучшениях Debian Lenny (http://wiki.debian.org/Hardening), связанных с повышением безопасности. Краткое обобщение:<br><br><br><br>- Stack protector (http://en.wikipedia.org/wiki/Stack-smashing_protection) - сборка пакетов с включенной в GCC опцией "-fstack-protector" для защиты от атак, направленных на переполнение буфера и стека.<br>- Fortify Source - активация средства glibc ("-D_FORTIFY_SOURCE=2" ) для дополнительной внутренней проверки выхода за пределы буфера функций, таких как strcpy.<br>- Format warnings (http://en.wikipedia.org/wiki/Format_string_attack) - защита от атак через параметры форматирования строки (format-string), обеспечивается сборкой с параметрами "-Wformat" и "-Wformat-security".<br>- Address Space Layout Randomization - случайный выбор позиции для размещения стека и области выделяемой через mmap памяти;<br>- relro - переключение определенных областей памяти, после загру https://www.opennet.me/openforum/vsluhforumID3/39963.html#12 Thu, 31 Jan 2008 21:44:13 GMT Это насколько надо иссушить моск безпрерывной компиляцией чтобы не заметить что новость про Debian, а не про генту?!<br> https://www.opennet.me/openforum/vsluhforumID3/39963.html#11 Thu, 31 Jan 2008 17:46:43 GMT &gt;Ещё бы SELinux из каробки вставал - я бы на него с <br>&gt;убунты перешёл... <br><br>У Гены коробки нету,а [...] есть: может она не для бубунтологов ?<br> https://www.opennet.me/openforum/vsluhforumID3/39963.html#10 Thu, 31 Jan 2008 17:41:17 GMT -3-5% в минус на больших нагрузках 2-3% RAM в плюц расхода (Gentoo hardened glibc-2.7+ grsecurity) <br>" интересно только Apache, mysql и т.д." -&gt; Сильно (+-2%) зaвисит от характера кода и архитектуры приложения (частота подгрузки библиотек,кол-во буферов,стиль кода .. etc)<br> https://www.opennet.me/openforum/vsluhforumID3/39963.html#9 Thu, 31 Jan 2008 13:00:42 GMT &gt;А как в Gentoo включить этот "-fstack-protector" кто-нить знает? <br><br>в hardened-stage идет hardened-gcc и там уже включены эта и другие укрепляющие опции и в нагрузку идут технологии PIE и SSP<br> https://www.opennet.me/openforum/vsluhforumID3/39963.html#8 Wed, 30 Jan 2008 19:55:17 GMT Возникает вопрос по скорости ПО после применения таких флагов, ls не интересно, интересно только Apache, mysql и т.д.<br> https://www.opennet.me/openforum/vsluhforumID3/39963.html#7 Wed, 30 Jan 2008 18:04:30 GMT &gt;Ещё бы SELinux из каробки вставал - я бы на него с <br>&gt;убунты перешёл... <br><br>Сам понял че сказал?<br><br> https://www.opennet.me/openforum/vsluhforumID3/39963.html#6 Wed, 30 Jan 2008 16:22:29 GMT &gt;а SELinux помоему если нужен то стоит того, чтоб вручную настоить... <br><br>а если не нужен, то не стоит того, чтоб вручную настроить?..<br>полет мысли...<br> https://www.opennet.me/openforum/vsluhforumID3/39963.html#5 Wed, 30 Jan 2008 14:55:10 GMT &gt;А как в Gentoo включить этот "-fstack-protector" кто-нить знает? <br><br>в /etc/make.conf в переменной CFLAGS внутри ковычек добавить -fstack-protector <br><br>а SELinux помоему если нужен то стоит того, чтоб вручную настоить...<br> https://www.opennet.me/openforum/vsluhforumID3/39963.html#4 Wed, 30 Jan 2008 14:54:47 GMT &gt;А как в Gentoo включить этот "-fstack-protector" кто-нить знает? <br><br>в /etc/make.conf в переменной CFLAGS внутри ковычек добавить -fstack-protector <br><br>а SELinux помоему если нужен то стоит того, чтоб вручную настоить...<br>