Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Повышение безопасности Linux-ядра через использование доступ..., opennews (ok), 09-Ноя-10, (0) [смотреть все] а почему нельзя весь код сделать запрещённым для записи после инициализации заг, JL2001 (ok), 21:32 , 09-Ноя-10, (1) // видимо потому, что бывает надо что-нибудь позаписыватьбывает иногда, GG (?), 22:30 , 09-Ноя-10, (6) +5 // а что надо то позаписывать и почему позаписываемое требуется исполнять это, JL2001 (ok), 13:15 , 10-Ноя-10, (34) // Это наследие костылей x86, Daemontux (ok), 16:35 , 10-Ноя-10, (38) если я ничего не забылиз за языков высокого уровня компиляторы которых часто пер, demimurych (ok), 22:34 , 09-Ноя-10, (9) // О чём вы говорите Linux написан на сях и ассемблере , segoon (ok), 22:58 , 09-Ноя-10, (11) если ты пытался указать на трамплины, то они только в стеке Остальные компилятор, Аноним (-), 23:27 , 09-Ноя-10, (14) // И я не помню чтобы путали Си всегда рассовывал код и данные с разными типам, dq0s4y71 (??), 12:47 , 10-Ноя-10, (32) Мешает отсутствие поддержки такого запрета на уровне процессора для многих архит, Frank (ok), 08:27 , 10-Ноя-10, (29) –1   // NX-бит это новость конешно The ARM architecture refers to the feature as XN, JL2001 (ok), 13:14 , 10-Ноя-10, (33)   // Кабы не соврать, но NX бит, случаем, не с четвертых пней Prescott пошел Ес, dalco (ok), 13:59 , 10-Ноя-10, (36)   я скопипастил описание не NX-бита а механизм защиты памяти защищённого режима 38, JL2001 (ok), 14:41 , 10-Ноя-10, (37)   в документации к pax и grsecurity все разжеванно, Daemontux (ok), 16:39 , 10-Ноя-10, (39)   можно ссылку боюсь я не смогу самостоятельно найти, JL2001 (ok), 22:55 , 10-Ноя-10, (43)   http en wikipedia org wiki PaXhttp pax grsecurity net docs , Daemontux (ok), 07:25 , 11-Ноя-10, (44)   документацию я бы нашёл и сам, а вот где в ней про сложности с этим , JL2001 (ok), 13:44 , 11-Ноя-10, (45)   Ограничение на запись на основе сегментов неудобно и неэффективно с точки зрения, анонимХ (?), 14:42 , 11-Ноя-10, (46)   зачем выделять для сегмента кода и сегмента данных всю память почему нельзя вы, JL2001 (ok), 19:03 , 11-Ноя-10, (47)   А сколько требуется Почитайте про используемую по у молчанию в linux модель п, анонимХ (?), 21:47 , 11-Ноя-10, (49)   В PaX используется на процессорах без поддержки NX Есть много задач, где сегмен, paxuser (ok), 20:43 , 11-Ноя-10, (48)   Вот ещё статья по схожей тематике http lwn net Articles 413213 , segoon (ok), 21:37 , 09-Ноя-10, (2) Мило Только почему-то не упоминается, в результате всего этого счастья в некото, non anon (?), 21:39 , 09-Ноя-10, (3) +3 // врядли изза этогопросто пока пилили одно - отпилили что-то другоетак бывает, GG (?), 22:31 , 09-Ноя-10, (7) // там речь о конкретном патче, Аноним (-), 23:04 , 09-Ноя-10, (12) // But there is no fundamental reason why it shouldnt be upstream We can push it , Аноним (-), 01:23 , 10-Ноя-10, (17) +2 Ну а фигли - пытаются ставить NX bit на стек, а gcc туда сует трамплины вот и , Аноним (-), 23:28 , 09-Ноя-10, (15) // Тогда было бы логично, если бы бяка случалась чуть чаще, чем on one of testboxe, Ананимуз (?), 23:59 , 09-Ноя-10, (16) +1 Ещё пять лет назад были патчи на glibc, gcc и остальных, заменящие такой код , Дима (??), 03:29 , 10-Ноя-10, (19) // существуют - только тогда прийдется отказываться от nested functionshttp gcc g, Аноним (-), 06:20 , 10-Ноя-10, (25) Во-первых, трамплины можно эмулировать http pax grsecurity net docs emutramp , paxuser (ok), 07:03 , 10-Ноя-10, (26) или я не понимаю что такое трамплины или вот им замена в x86http stfw ru page , JL2001 (ok), 13:26 , 10-Ноя-10, (35) Вообще PaX печально знаменит тем, что падает по поводу и без Похоже, сотрудники , non anon (?), 21:41 , 09-Ноя-10, (4) // Унылый вброс По делу разработчики PaX и Grsecurity выпускают стабильные патчи , paxuser (ok), 03:30 , 10-Ноя-10, (20) // То-то hardened-sources вечно замаскированы , анон (?), 04:40 , 10-Ноя-10, (23) // В не-hardened профилях - конечно , paxuser (ok), 05:06 , 10-Ноя-10, (24) +1 pax то как раз не падает Падают проги в которых активно используются грязные х, Daemontux (ok), 16:45 , 10-Ноя-10, (40) сисадмин kernel org и лидер Ubuntu Security Team Ничего себе Убунтоиды делаю, Zenitur (?), 22:54 , 09-Ноя-10, (10) –5 // I am a kernel org admin, where I work on maintaining the mirror network for the , Anixx (?), 03:28 , 10-Ноя-10, (18) // Cуровый убунтоид, однако Под шапкой таки спокойнее, чем без нее Зима, вон, впе, Viliar (ok), 03:36 , 10-Ноя-10, (21) kernel org пока еще на федоре, так что всё хорошо А linux foundation нехай падае, анон (?), 04:36 , 10-Ноя-10, (22) А разве уже так не делается 0 675209 lo Disabled Privacy Extensions , rm_ (ok), 07:40 , 10-Ноя-10, (27) // А читаем текст новостей по диагонали _расширить_ области использования в ядре, Frank (ok), 08:33 , 10-Ноя-10, (30) +2 лучше бы перенесли не различные улучшения PaX и grsecurity, а все , i (??), 08:23 , 10-Ноя-10, (28) vm86 используется в линуксе , ostin (ok), 12:20 , 10-Ноя-10, (31) Имя поправили, спасибо , paxuser (ok), 18:44 , 10-Ноя-10, (41) Я все-равно не понимаю, почему нельзя было изначально в ядре запретить писать в, Аноним (-), 20:51 , 10-Ноя-10, (42) +2 // Припоминается одна ОС, у которой одной из основных задач при разработке ставилос, Xaionaro (ok), 10:35 , 13-Ноя-10, (50) 1,2,3,4,10,27,28,31,41,42

Сообщения

[Сортировка по времени | RSS]

	29. "Повышение безопасности Linux-ядра через использование доступ..."	–1 +/–
	Сообщение от Frank (ok), 10-Ноя-10, 08:27
	Мешает отсутствие поддержки такого запрета на уровне процессора для многих архитектур (линукс не ограничивается работой только с современными CPU с поддержкой NX-бита, да).
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	33. "Повышение безопасности Linux-ядра через использование доступ..."	+/–
	Сообщение от JL2001 (ok), 10-Ноя-10, 13:14
	NX-бит это "новость" конешно.. "The ARM architecture refers to the feature as XN for eXecute Never; it was introduced in ARM v6" но со времён пентиумов (или даж 386, не помню) есть же это на x86 ??? http://fat-crocodile.narod.ru/protected/02_segments.html Таблица 1. Формат дескриптора сегмента кода/данных. 3-й бит пятого байта     Code/Data     Если флаг установлен, дескриптор описывает сегмента кода, если сброшен – сегмент данных. Свойства сегмента определяют его тип и правила использования (попытка использовать сегмент не по правилам обычно приводит к исключению #GP). Не вдаваясь в детали, можно выделить следующие типы сегментов:     * Сегмент кода (code segment). Допустимо исполнение, может быть разрешено чтение.     * Сегмент данных (data segment). Допустимо чтение, может быть разрешена запись. используется в Глобальная таблица дескрипторов и заполняется при переходе в защищённый режим процессора, является одной из основ защищённого режима можно же было для x86 почесаться, это же не один процессор и даже не несколько процессоров одной фирмы !
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Повышение безопасности Linux-ядра через использование доступ..."	+/–
	Сообщение от dalco (ok), 10-Ноя-10, 13:59
	Кабы не соврать, но NX бит, случаем, не с четвертых пней (Prescott(?)) пошел? Если так, то раритетных компов еще слишком много. P.S. Мне так вспоминается, что поддержкой NX оффтопик во времена XP SP2 хвастаться начал. А это не так уж давно было.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Повышение безопасности Linux-ядра через использование доступ..."	+/–
	Сообщение от JL2001 (ok), 10-Ноя-10, 14:41
	> Кабы не соврать, но NX бит, случаем, не с четвертых пней (Prescott(?)) > пошел? Если так, то раритетных компов еще слишком много. > P.S. Мне так вспоминается, что поддержкой NX оффтопик во времена XP SP2 > хвастаться начал. А это не так уж давно было. я скопипастил описание не NX-бита а механизм защиты памяти защищённого режима 386 процессоров (ну мб 486 или пентиумов), и работал я на 486 с 95 виндой... почему сей механизм не используется на x86 компах ?
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Повышение безопасности Linux-ядра через использование доступ..."	+/–
	Сообщение от Daemontux (ok), 10-Ноя-10, 16:39
	>> Кабы не соврать, но NX бит, случаем, не с четвертых пней (Prescott(?)) >> пошел? Если так, то раритетных компов еще слишком много. >> P.S. Мне так вспоминается, что поддержкой NX оффтопик во времена XP SP2 >> хвастаться начал. А это не так уж давно было. > я скопипастил описание не NX-бита а механизм защиты памяти защищённого режима 386 > процессоров (ну мб 486 или пентиумов), и работал я на 486 > с 95 виндой... > почему сей механизм не используется на x86 компах ? в документации к pax и grsecurity все разжеванно
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Повышение безопасности Linux-ядра через использование доступ..."	+/–
	Сообщение от JL2001 (ok), 10-Ноя-10, 22:55
	>>> Кабы не соврать, но NX бит, случаем, не с четвертых пней (Prescott(?)) >>> пошел? Если так, то раритетных компов еще слишком много. >>> P.S. Мне так вспоминается, что поддержкой NX оффтопик во времена XP SP2 >>> хвастаться начал. А это не так уж давно было. >> я скопипастил описание не NX-бита а механизм защиты памяти защищённого режима 386 >> процессоров (ну мб 486 или пентиумов), и работал я на 486 >> с 95 виндой... >> почему сей механизм не используется на x86 компах ? > в документации к pax и grsecurity все разжеванно можно ссылку ? боюсь я не смогу самостоятельно найти
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Повышение безопасности Linux-ядра через использование доступ..."	+/–
	Сообщение от Daemontux (ok), 11-Ноя-10, 07:25
	http://en.wikipedia.org/wiki/PaX http://pax.grsecurity.net/docs/
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Повышение безопасности Linux-ядра через использование доступ..."	+/–
	Сообщение от JL2001 (ok), 11-Ноя-10, 13:44
	> http://en.wikipedia.org/wiki/PaX > http://pax.grsecurity.net/docs/ документацию я бы нашёл и сам, а вот где в ней про сложности с этим ? > я скопипастил описание не NX-бита а механизм защиты памяти защищённого режима 386 процессоров (ну мб 486 или пентиумов) > почему сей механизм не используется на x86 компах ?
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Повышение безопасности Linux-ядра через использование доступ..."	+/–
	Сообщение от анонимХ (?), 11-Ноя-10, 14:42
	Ограничение на запись на основе сегментов неудобно и неэффективно с точки зрения использования памяти, и AFAIK нигде не используется (для каждого типа сегментов в дескрипторах выделяется все адресное пространство, соответственно они пересекаются, и модифицировать код спокойно можно через дескриптор данных). Поэтому и придумали NX бит.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Повышение безопасности Linux-ядра через использование доступ..."	+/–
	Сообщение от JL2001 (ok), 11-Ноя-10, 19:03
	> Ограничение на запись на основе сегментов неудобно и неэффективно с точки зрения > использования памяти, и AFAIK нигде не используется (для каждого типа сегментов > в дескрипторах выделяется все адресное пространство, соответственно они пересекаются, > и модифицировать код спокойно можно через дескриптор данных). Поэтому и придумали > NX бит. зачем выделять для сегмента кода и сегмента данных всю память ? почему нельзя выделять именно столько сколько требуется ? контекстами щёлкают всё равно - при переключении задач вобще сейчас принято использовать 1 общий сегмент для ядра и 1 общий сегмент для всего юзерспейса ?
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Повышение безопасности Linux-ядра через использование доступ..."	+/–
	Сообщение от анонимХ (?), 11-Ноя-10, 21:47
	>зачем выделять для сегмента кода и сегмента данных всю память ? почему нельзя выделять именно столько сколько требуется ? А сколько требуется?:) Почитайте про используемую по у молчанию в linux модель памяти. Внизу заметили что PaX может использовать SEGMEXEC путем деления виртуальной памяти пополам, но в стандартное ядро он не принят. >вобще сейчас принято использовать 1 общий сегмент для ядра и 1 общий сегмент для всего юзерспейса ? Почему один? Что значит общий? Перекрывающиеся сегменты для каждого процесса со своим адресным пространством. На самом деле документации в сети по этому поводу навалом, поищите.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Повышение безопасности Linux-ядра через использование доступ..."	+/–
	Сообщение от paxuser (ok), 11-Ноя-10, 20:43
	> Ограничение на запись на основе сегментов неудобно и неэффективно с точки зрения > использования памяти, и AFAIK нигде не используется (для каждого типа сегментов В PaX используется на процессорах без поддержки NX. Есть много задач, где сегментов по 1.5 ГБ более чем достаточно.
	Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема