Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Повышение безопасности Linux-ядра через использование доступ..., opennews (ok), 09-Ноя-10, (0) [смотреть все] а почему нельзя весь код сделать запрещённым для записи после инициализации заг, JL2001 (ok), 21:32 , 09-Ноя-10, (1) // видимо потому, что бывает надо что-нибудь позаписыватьбывает иногда, GG (?), 22:30 , 09-Ноя-10, (6) +5 // а что надо то позаписывать и почему позаписываемое требуется исполнять это, JL2001 (ok), 13:15 , 10-Ноя-10, (34) // Это наследие костылей x86, Daemontux (ok), 16:35 , 10-Ноя-10, (38) если я ничего не забылиз за языков высокого уровня компиляторы которых часто пер, demimurych (ok), 22:34 , 09-Ноя-10, (9) // О чём вы говорите Linux написан на сях и ассемблере , segoon (ok), 22:58 , 09-Ноя-10, (11) если ты пытался указать на трамплины, то они только в стеке Остальные компилятор, Аноним (-), 23:27 , 09-Ноя-10, (14) // И я не помню чтобы путали Си всегда рассовывал код и данные с разными типам, dq0s4y71 (??), 12:47 , 10-Ноя-10, (32) Мешает отсутствие поддержки такого запрета на уровне процессора для многих архит, Frank (ok), 08:27 , 10-Ноя-10, (29) –1 // NX-бит это новость конешно The ARM architecture refers to the feature as XN, JL2001 (ok), 13:14 , 10-Ноя-10, (33) // Кабы не соврать, но NX бит, случаем, не с четвертых пней Prescott пошел Ес, dalco (ok), 13:59 , 10-Ноя-10, (36) я скопипастил описание не NX-бита а механизм защиты памяти защищённого режима 38, JL2001 (ok), 14:41 , 10-Ноя-10, (37) в документации к pax и grsecurity все разжеванно, Daemontux (ok), 16:39 , 10-Ноя-10, (39) можно ссылку боюсь я не смогу самостоятельно найти, JL2001 (ok), 22:55 , 10-Ноя-10, (43) http en wikipedia org wiki PaXhttp pax grsecurity net docs , Daemontux (ok), 07:25 , 11-Ноя-10, (44) документацию я бы нашёл и сам, а вот где в ней про сложности с этим , JL2001 (ok), 13:44 , 11-Ноя-10, (45) Ограничение на запись на основе сегментов неудобно и неэффективно с точки зрения, анонимХ (?), 14:42 , 11-Ноя-10, (46) зачем выделять для сегмента кода и сегмента данных всю память почему нельзя вы, JL2001 (ok), 19:03 , 11-Ноя-10, (47) А сколько требуется Почитайте про используемую по у молчанию в linux модель п, анонимХ (?), 21:47 , 11-Ноя-10, (49) В PaX используется на процессорах без поддержки NX Есть много задач, где сегмен, paxuser (ok), 20:43 , 11-Ноя-10, (48) Вот ещё статья по схожей тематике http lwn net Articles 413213 , segoon (ok), 21:37 , 09-Ноя-10, (2) Мило Только почему-то не упоминается, в результате всего этого счастья в некото, non anon (?), 21:39 , 09-Ноя-10, (3) +3 // врядли изза этогопросто пока пилили одно - отпилили что-то другоетак бывает, GG (?), 22:31 , 09-Ноя-10, (7) // там речь о конкретном патче, Аноним (-), 23:04 , 09-Ноя-10, (12) // But there is no fundamental reason why it shouldnt be upstream We can push it , Аноним (-), 01:23 , 10-Ноя-10, (17) +2 Ну а фигли - пытаются ставить NX bit на стек, а gcc туда сует трамплины вот и , Аноним (-), 23:28 , 09-Ноя-10, (15) // Тогда было бы логично, если бы бяка случалась чуть чаще, чем on one of testboxe, Ананимуз (?), 23:59 , 09-Ноя-10, (16) +1 Ещё пять лет назад были патчи на glibc, gcc и остальных, заменящие такой код , Дима (??), 03:29 , 10-Ноя-10, (19) // существуют - только тогда прийдется отказываться от nested functionshttp gcc g, Аноним (-), 06:20 , 10-Ноя-10, (25) Во-первых, трамплины можно эмулировать http pax grsecurity net docs emutramp , paxuser (ok), 07:03 , 10-Ноя-10, (26) или я не понимаю что такое трамплины или вот им замена в x86http stfw ru page , JL2001 (ok), 13:26 , 10-Ноя-10, (35) Вообще PaX печально знаменит тем, что падает по поводу и без Похоже, сотрудники , non anon (?), 21:41 , 09-Ноя-10, (4)   // Унылый вброс По делу разработчики PaX и Grsecurity выпускают стабильные патчи , paxuser (ok), 03:30 , 10-Ноя-10, (20)   // То-то hardened-sources вечно замаскированы , анон (?), 04:40 , 10-Ноя-10, (23)   // В не-hardened профилях - конечно , paxuser (ok), 05:06 , 10-Ноя-10, (24) +1   pax то как раз не падает Падают проги в которых активно используются грязные х, Daemontux (ok), 16:45 , 10-Ноя-10, (40)   сисадмин kernel org и лидер Ubuntu Security Team Ничего себе Убунтоиды делаю, Zenitur (?), 22:54 , 09-Ноя-10, (10) –5 // I am a kernel org admin, where I work on maintaining the mirror network for the , Anixx (?), 03:28 , 10-Ноя-10, (18) // Cуровый убунтоид, однако Под шапкой таки спокойнее, чем без нее Зима, вон, впе, Viliar (ok), 03:36 , 10-Ноя-10, (21) kernel org пока еще на федоре, так что всё хорошо А linux foundation нехай падае, анон (?), 04:36 , 10-Ноя-10, (22) А разве уже так не делается 0 675209 lo Disabled Privacy Extensions , rm_ (ok), 07:40 , 10-Ноя-10, (27) // А читаем текст новостей по диагонали _расширить_ области использования в ядре, Frank (ok), 08:33 , 10-Ноя-10, (30) +2 лучше бы перенесли не различные улучшения PaX и grsecurity, а все , i (??), 08:23 , 10-Ноя-10, (28) vm86 используется в линуксе , ostin (ok), 12:20 , 10-Ноя-10, (31) Имя поправили, спасибо , paxuser (ok), 18:44 , 10-Ноя-10, (41) Я все-равно не понимаю, почему нельзя было изначально в ядре запретить писать в, Аноним (-), 20:51 , 10-Ноя-10, (42) +2 // Припоминается одна ОС, у которой одной из основных задач при разработке ставилос, Xaionaro (ok), 10:35 , 13-Ноя-10, (50) 1,2,3,4,10,27,28,31,41,42

Сообщения

[Сортировка по времени | RSS]

4. "Повышение безопасности Linux-ядра через использование доступ..."	+/–
Сообщение от non anon (?), 09-Ноя-10, 21:41
Вообще PaX печально знаменит тем, что падает по поводу и без. Похоже, сотрудники Canonical решили защитить ядро по самой простой схеме: паникующее ядро нельзя взломать.
Ответить | Правка | Наверх | Cообщить модератору

	20. "Повышение безопасности Linux-ядра через использование доступ..."	+/–
	Сообщение от paxuser (ok), 10-Ноя-10, 03:30
	Унылый вброс. По делу: разработчики PaX и Grsecurity выпускают стабильные патчи на 2.6.32.х, а hardened-sources-2.6.32-rX в Hardened Gentoo проходят дополнительные этапы стабилизации (и могут использоваться в других дистрибутивах). Не скажу, что всё всегда гладко, но "падает по поводу и без" - явное преувеличение. Сам встречал панику только пару раз и только на этапе загрузки ядра. Если тестировать ядра перед запуском в продакшен, проблем практически нет.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Повышение безопасности Linux-ядра через использование доступ..."	+/–
	Сообщение от анон (?), 10-Ноя-10, 04:40
	>По делу: разработчики PaX и Grsecurity выпускают стабильные патчи на 2.6.32.х, а hardened-sources-2.6.32-rX в Hardened Gentoo проходят дополнительные этапы стабилизации (и могут использоваться в других дистрибутивах). То-то hardened-sources вечно замаскированы =)
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Повышение безопасности Linux-ядра через использование доступ..."	+1 +/–
	Сообщение от paxuser (ok), 10-Ноя-10, 05:06
	> То-то hardened-sources вечно замаскированы =) В не-hardened профилях - конечно.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Повышение безопасности Linux-ядра через использование доступ..."	+/–
	Сообщение от Daemontux (ok), 10-Ноя-10, 16:45
	> Вообще PaX печально знаменит тем, что падает по поводу и без. > Похоже, сотрудники Canonical решили защитить ядро по самой простой схеме: паникующее ядро > нельзя взломать. pax то как раз не падает. Падают проги в которых активно используются "грязные хаки"
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема