https://www.opennet.me/openforum/vsluhforumID3/98718.html Дэвид Штерба (David Sterba), разработчик ядра Linux, трудоустроенный в компании SUSE, рассказал (https://lizards.opensuse.org/2014/09/15/next-opensuse-hardening/) о создании проекта openSUSE-gardening (https://github.com/kdave/openSUSE-gardened), в рамках которого развивается набор пакетов, включающих дополнительные механизмы обеспечения безопасности. Дэвид считает, что штатных <br>средств (https://en.opensuse.org/openSUSE:Security_Features) обеспечения безопасности, таких как SELinux и AppArmor, не достаточно для формирования защищённого рабочего стола. Поэтому, предлагает дополнительно использовать в дистрибутиве наработки проекта Gresecurity (http://grsecurity.net/) для ядра Linux и средства повышения защиты на уровне сборочного инструментария GCC. <br><br><br>Формально проект пока находится на стадии бета-тестирования, но вариант openSUSE-gardening для дектоп-систем на основе openSUSE 13.1 и графических чипов Intel уже оценивается как пригодный для ежедневного использования. Для систем с видеокартами NVIDIA и AMD https://www.opennet.me/openforum/vsluhforumID3/98718.html#15 Tue, 16 Sep 2014 12:43:28 GMT Тормозить будет. Надо антиюзер!<br> https://www.opennet.me/openforum/vsluhforumID3/98718.html#14 Tue, 16 Sep 2014 09:04:42 GMT Да, об огораживании таки не подумал.<br> https://www.opennet.me/openforum/vsluhforumID3/98718.html#13 Tue, 16 Sep 2014 02:42:48 GMT Таки gardening. Огородничество. О(т)гораживание, то есть.<br> https://www.opennet.me/openforum/vsluhforumID3/98718.html#12 Mon, 15 Sep 2014 19:59:13 GMT Антивирус, антивирус нужен, это же так очевидно.<br> https://www.opennet.me/openforum/vsluhforumID3/98718.html#11 Mon, 15 Sep 2014 18:05:01 GMT "Обеспечивается поддержка механизмов для защиты от записи исполняемых областей памяти, рандомизации адресного пространства, эмуляции NX-бита на не поддерживающих данную технологию CPU."<br><br>1. SELinux запрещает писать в исполняемую часть даже unconfined_u.Из официального руководства: By default, subjects running in an unconfined domain cannot allocate writeable memory and<br>execute it. T his reduces vulnerability to buffer overflow attacks. <br>2. Уже есть реализация рандомизации адресного пространства. Из вики: С 2005 года (ядро 2.6.12) Линукс имеет простой вариант ASLR. Различные патчи безопасности (PaX, ExecShield, и др) реализуют более сложные и полные варианты ASLR. В дистрибутивах, содержащих в названии &#171;Hardened&#187;, а также в современных версиях Ubuntu, сильные варианты включены по умолчанию.<br>3. эмуляция NX-бита - ну наверно на их машинах это актуально.. <br>Актуально поработал сусе. Как всегда<br> https://www.opennet.me/openforum/vsluhforumID3/98718.html#10 Mon, 15 Sep 2014 17:58:02 GMT Да! Надо накрутить побольше секьюрных фич.<br>SELinux, вдобавок к нему AppArmor и плюс этот gardened.<br>Чтобы вобще дистрибутив превратился в паралитика, а у юзера волосы на башке начинали шевелиться ещё на этапе скачивания исошника.<br> https://www.opennet.me/openforum/vsluhforumID3/98718.html#9 Mon, 15 Sep 2014 16:08:09 GMT &gt; Возможно всё-таки hardening? <br><br>Не, там именно gardened:<br><br>"Why -gardened? According to Wikipedia, gardening is "a practice of growing and cultivating, an activity that brings relaxation", pun intended."<br> https://www.opennet.me/openforum/vsluhforumID3/98718.html#8 Mon, 15 Sep 2014 14:44:26 GMT разве суся еще жива?<br> https://www.opennet.me/openforum/vsluhforumID3/98718.html#6 Mon, 15 Sep 2014 11:51:13 GMT Все правильно! Они решили сделать свой защищенный садик, с манной кашей и компотом.<br>