Улучшения связанные с безопасностью, ожидаемые в будущем релизе Debian

0

0

Moritz Muehlenhoff опубликовал информацию о запланированных улучшениях Debian Lenny, связанных с повышением безопасности. Краткое обобщение:

Stack protector - сборка пакетов с включенной в GCC опцией "-fstack-protector" для защиты от атак, направленных на переполнение буфера и стека.
Fortify Source - активация средства glibc ("-D_FORTIFY_SOURCE=2" ) для дополнительной внутренней проверки выхода за пределы буфера функций, таких как strcpy.

http://www.opennet.ru/opennews/art.sh...

>>> Подробности

Ссылка

←	Intel выпустила руководства по обращению с их чипсетами для программистов

Всероссийская конференция по открытым информационным системам

→

← 1 2 →

Хорошо это. Во многих дистрах правда это уже есть.

~~timur_dav~~ ☆☆☆☆☆
(01.02.08 12:59:22 MSK)

Ответ на: комментарий от timur_dav 01.02.08 12:59:22 MSK

Плохо это. В OpenBSD правда это уже есть очень давно.

anonymous
(01.02.08 13:00:53 MSK)

Ждём гентушников, которые разъяснят уже дебианщикам преимущества компилирования руками. ;)

Alan_Steel ★★
(01.02.08 13:13:18 MSK)

Все улучшения приветствуются. Дебиан - зе бест.

anonymous
(01.02.08 13:22:18 MSK)

Ответ на: комментарий от Alan_Steel 01.02.08 13:13:18 MSK

> Ждём гентушников, которые разъяснят уже дебианщикам преимущества компилирования руками. ;)

а что тут объяснять то? генту это труЪ

bioreactor ★★★★★
(01.02.08 13:22:36 MSK)

Ссылка

Ответ на: комментарий от anonymous 01.02.08 13:00:53 MSK

ггг. И что, всё равно не помогает? %)

anonymous
(01.02.08 13:34:58 MSK)

Ссылка

Интересно, весь дистр будет перекомпилирован? этож сколько обновляться надо будет.

daaaad
(01.02.08 13:39:39 MSK)

Ответ на: комментарий от daaaad 01.02.08 13:39:39 MSK

Не так уж много надо будет обновлять — далеко не все пакеты в дистрибутиве включают программы на C/C++.

balu ★
(01.02.08 13:47:55 MSK)

Ссылка

опять опеннетовские бояны..

Somewho ★★
(01.02.08 13:52:30 MSK)

Ссылка

И этот дистрибутив еще претендует на серверы? То, что в редхате уже сделано почти три года как (http://www.redhatmagazine.com/2007/04/18/risk-report-two-years-of-red-hat-ent...), а еще раньше в федоре, дополнительно к selinux и прочему, только приходит в другие дистрибутивы..

anonymous
(01.02.08 14:09:32 MSK)

Очень хорошо. Ждём релиза lenny :) З.Ы. А в sid'е тоже такое будет? что-то ни по ссылке, ни по подробностям я ничего про это не нашёл.

JackYF ★★★★
(01.02.08 14:15:19 MSK)

Ответ на: комментарий от anonymous 01.02.08 14:09:32 MSK

Дока с детальным объяснением работы этих и других защит: http://people.redhat.com/drepper/nonselsec.pdf

Обзор различных технологий защиты для различных версий fedora core, fedora и rhel: http://www.awe.com/mark/blog/200801070918.html

PS вообще блог этого марка просто must read для всех, кто интересуется технологиями защиты, статистикой по их обходу, по уязвимостям в различных компонентах системы и т.д.

anonymous
(01.02.08 14:15:55 MSK)

Ссылка

Не прошло и двух (или трёх?) лет как в Debian появились фишки из Fedora. :-)

birdie ★★★★★
(01.02.08 14:24:03 MSK)

Плохая новость для тех, кто использует Дебиан на десктопе :(

anonymous
(01.02.08 14:24:19 MSK)

Ответ на: комментарий от anonymous 01.02.08 13:22:18 MSK

s/бест/тормоз

~~Lumi~~ ★★★★★
(01.02.08 14:41:44 MSK)

Ответ на: комментарий от anonymous 01.02.08 14:24:19 MSK

> Плохая новость для тех, кто использует Дебиан на десктопе :(

И в чём же заключается это самое плохое?

~~Lumi~~ ★★★★★
(01.02.08 14:42:39 MSK)

Ответ на: комментарий от Lumi 01.02.08 14:42:39 MSK

> И в чём же заключается это самое плохое?

Тем, что это прибавит тормозов в и без того тормозной дистрибутив...

anonymous
(01.02.08 14:55:37 MSK)

Ответ на: комментарий от anonymous 01.02.08 14:55:37 MSK

> Тем, что это прибавит тормозов в и без того тормозной дистрибутив...

Не понял. Тормозной - это же про суси, При чём тут дебиан?

LeniVetc ★
(01.02.08 15:03:04 MSK)

Ссылка

Ответ на: комментарий от JackYF 01.02.08 14:15:19 MSK

сначала это будет в sid

aim1159 ★★★★★
(01.02.08 15:04:46 MSK)

Ответ на: комментарий от birdie 01.02.08 14:24:03 MSK

причём тут федора? debian hardened древнее чем fedora, просто сейчас решили эти наработки ввести в основной релиз

aim1159 ★★★★★
(01.02.08 15:05:23 MSK)

Ответ на: комментарий от birdie 01.02.08 14:24:03 MSK

> Не прошло и двух (или трёх?) лет как в Debian появились фишки из Fedora. :-)

debian: i386, AMD64, PowerPC, SPARC, DEC Alpha, ARM, MIPS, HPPA, S390, IA-64 fedora: x86, x86-64, PowerPC

Наверное, стоит задуматься, почему эти фишки появились через 2 (или 3?) года после Федоры?

asandros ★★
(01.02.08 15:10:38 MSK)

Ответ на: комментарий от anonymous 01.02.08 14:55:37 MSK

>Тем, что это прибавит тормозов в и без того тормозной дистрибутив...

Странно, а мне он наоборот показался одним из самых быстрых %) Субъективно, конечно.

Demon37 ★★★★
(01.02.08 15:11:16 MSK)

Ссылка

Ответ на: комментарий от aim1159 01.02.08 15:04:46 MSK

>сначала это будет в sid

отлично. Где про это почитать (в частности, что именно будет и когда?)

JackYF ★★★★
(01.02.08 15:16:16 MSK)

Ссылка

Ответ на: комментарий от anonymous 01.02.08 14:55:37 MSK

>Тем, что это прибавит тормозов в и без того тормозной дистрибутив.

Вы тролль. В дебиане типа исходники всех программ патчатся, чтоб тормозили, да? :)

JackYF ★★★★
(01.02.08 15:17:50 MSK)

Ссылка

Ответ на: комментарий от asandros 01.02.08 15:10:38 MSK

> Наверное, стоит задуматься, почему эти фишки появились через 2 (или 3?) года после Федоры?

между прочим, федора есть и для ppc64, и для arm (пусть неофициальная). С некоторым отставанием - для sparc и даже для alpha. А RHEL бывает для S390 и IA-64. Про релиз для mips не слышал (а нынче еще бывают серверы на mips? в электронику его всякую пихают по-моему только сейчас).. Что такое hppa, без заглядывания в гугл или википедию даже не в курсе, честно говоря..

anonymous
(01.02.08 15:20:07 MSK)

Debian - один из немногих "серьезных" дистрибутивов, который не страшно поставить на сервер:)

anonymous
(01.02.08 15:20:30 MSK)

Ссылка

Ответ на: комментарий от anonymous 01.02.08 15:20:07 MSK

> hppa

PA-RISC?

annoynimous ★★★★★
(01.02.08 15:29:26 MSK)

Ссылка

Ответ на: комментарий от Lumi 01.02.08 14:41:44 MSK

>s/бест/тормоз
Да, из говна переводчика не слепишь.

~~sdio~~ ★★★★★
(01.02.08 15:45:41 MSK)

Ссылка

Ответ на: комментарий от anonymous 01.02.08 14:55:37 MSK

> Тем, что это прибавит тормозов в и без того тормозной дистрибутив...

Дебиян не тормозной дистрибутив, как система, он тормоз в плане всасывания прогрессивных наработок наработок -- -fstack-protector уже существует сто лет в обед, а его из харда, про который никто не слышал, и никто не пользуется, переносят только сейчас.

~~Lumi~~ ★★★★★
(01.02.08 15:54:49 MSK)

Ссылка

Ответ на: комментарий от Lumi 01.02.08 14:42:39 MSK

>> Плохая новость для тех, кто использует Дебиан на десктопе :(

> И в чём же заключается это самое плохое?

В том, что защита от переполнения стека на десктопе не особо нужна, зачем тратить на неё процессорное время.

anonymous
(01.02.08 15:56:16 MSK)

Ответ на: комментарий от anonymous 01.02.08 15:56:16 MSK

>В том, что защита от переполнения стека на десктопе не особо нужна, зачем тратить на неё процессорное время.

+1. Выходит gentoo - true way.

gena2x ★★★
(01.02.08 15:59:28 MSK)

Ответ на: комментарий от anonymous 01.02.08 15:56:16 MSK

> В том, что защита от переполнения стека на десктопе не особо нужна, зачем тратить на неё процессорное время.

Может и разграничение прав не нужно? Всё-равно только один пользователь работает. Зачем на это тратить процессорное время?

И насколько велик оверхед, чтобы так убиваться из-за потраченного процессорного времени? Лично мне, например, незаметен.

~~Lumi~~ ★★★★★
(01.02.08 16:01:57 MSK)

Ответ на: комментарий от gena2x 01.02.08 15:59:28 MSK

> +1. Выходит gentoo - true way.

Как вытекает, позвольте узнать, из того, что сказал товарищ выше то, что "gentoo - true way"?

~~Lumi~~ ★★★★★
(01.02.08 16:07:01 MSK)

Ответ на: комментарий от Lumi 01.02.08 16:07:01 MSK

А известно какой версии будет гном в след стабильной версии?

Dieter ★★★
(01.02.08 16:20:00 MSK)

Ссылка

Ответ на: комментарий от daaaad 01.02.08 13:39:39 MSK

между релизами в любом случае пересобираются все пакеты с более новыми версиями библиотек.

зы генту рулит.

INFOMAN ★★★★★
(01.02.08 16:42:35 MSK)

Ответ на: комментарий от INFOMAN 01.02.08 16:42:35 MSK

> между релизами в любом случае пересобираются все пакеты с более новыми версиями библиотек.

Это делается только по зависимостям, когда какие-то зависимые библиотеки от данного пакета увеличили soname. Это происходит далеко не всегда. Если версия самой проги не увеличилась и библиотеки, с которыми она компилится в новых версиях abi-совместимы с предыдущими, она не пересобирается - зачем?

Это хорошо видно по тому факту, что при dist-upgrade перекачиваются большинство, но не все приложения.

Еще если заглянуть в репозиторий той же федоры, к примеру, где версия добавляется к имени при сборке, в репозитории fc8 можно увидеть до фига пакетов для fc7 и даже пачку сохранившихся со времен fc6. Ниже fc6 не бывает, потому что во времена fc6 присходил массовый ребилд всего - именно в следствии изменений опций компиляции в соответствии с последними security-фичами, после этого все пакеты принудительно пересобирались, так как везде потенциально могли быть собранные бинарники - а просто глядя на пакет снаружи не определить, копилировался ли C'шный код при их сборке.

anonymous
(01.02.08 17:07:10 MSK)

Ссылка

Ответ на: комментарий от Lumi 01.02.08 16:01:57 MSK

>>Может и разграничение прав не нужно?

то какое сейчас - не нужно, имхо

alex_custov ★★★★★
(01.02.08 17:45:30 MSK)

Ответ на: комментарий от alex_custov 01.02.08 17:45:30 MSK

предлагаешь сидеть в иксах под рутом?

нафиг, нафиг... я когда-то сделал себе find ... -exec rm {}, задав неправильную маску поиска. Снёс половину /home. Если бы я снёс половину /usr - было бы намного хуже...

JackYF ★★★★
(01.02.08 18:01:31 MSK)

Ответ на: комментарий от JackYF 01.02.08 18:01:31 MSK

> Снёс половину /home. Если бы я снёс половину /usr - было бы намного хуже...

Да ладно. /usr, как и большинство системных мест восстанавливается на раз-два вообще без проблем, а /home невосполним (если бэкапов не делалось).

Я вот как-то себе /var почти весь снес. В т.ч. /var/lib, где пакетная база (rpm) - полностью. Ничего, восстановил все. С тех пор бэкаплюсь ;)

anonymous
(01.02.08 18:06:21 MSK)

Как обычно, деб на высоте.

MuZHiK-2 ★★★★
(01.02.08 18:12:19 MSK)

Ссылка

Ответ на: комментарий от JackYF 01.02.08 18:01:31 MSK

>>предлагаешь сидеть в иксах под рутом?

я не это имел ввиду. загляни в /etc/passwd, /etc/group. Зачем на десктопе такая куча групп и пользоватей ? Зачем на десктопе разграничение прав доступа к устройствам по группам ?

>>Снёс половину /home. Если бы я снёс половину /usr - было бы намного хуже...

тебе /usr дороже /home ? мне - нет.

alex_custov ★★★★★
(01.02.08 18:18:47 MSK)

Ответ на: комментарий от anonymous 01.02.08 18:06:21 MSK

Ну, я теперь тоже бэкаплюсь :)

Проблема в том, что после сноса /usr, /var/lib система запросто может и не загрузиться...

2 alex_custov: >тебе /usr дороже /home ? мне - нет. ну, вообще говоря, нет. Просто см. фразу выше.

JackYF ★★★★
(01.02.08 18:34:17 MSK)

Ссылка

Ответ на: комментарий от alex_custov 01.02.08 18:18:47 MSK

>я не это имел ввиду. загляни в /etc/passwd, /etc/group. Зачем на десктопе такая куча групп и пользоватей ? Зачем на десктопе разграничение прав доступа к устройствам по группам ?

хорошо. Предлагаешь дистрибутиву держать две ветки системного софта - один для серверов, другой для десктопа? Или уходить с одного из рынков?

JackYF ★★★★
(01.02.08 18:35:37 MSK)