The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Вариант ядра Linux для платформы Android с интегрированными наработками GRSecurity

03.03.2012 13:50

Проект AnikOS, в рамках которого на базе Hardened Gentoo развивается дистрибутив повышенной защищенности для рабочих станций и серверов, представил AniDroid Hardened Kernel - вариант ядра Linux 3.1.10 для платформы Android с интегрированными патчами из проекта GRSecurity 2.2.2. Проект пока находится на ранней стадии развития и поддерживает только сборку ядра, работоспособную на телефонах Nexus S. Для формирования сборки Hardened-ядра используется набор компиляторов GCC 4.6.3, дополнительно оптимизированный проектом Linaro для улучшенной поддержки архитектуры ARM.

Реализованные в AniDroid Hardened Kernel функции GRSecurity:

  • Защита от модификации адресного пространства ядра, ограничение доступа на запись и чтение к /dev/kmem, /dev/mem и /dev/port;
  • Функции противодействия эксплойтам;
  • Разграничение доступа на основе ролей (RBAC);
  • Защита файловой системы и дополнительная защита для CHROOT-окружений;
  • Ведение журнала аудита всех событий ядра;
  • Предотвращение атак на приложения через использование PTRACE;
  • Защита от атак TCP/UDP blackhole и LAST_ACK DoS-атак;
  • Управление через интерфейс sysctl.

Кроме того, в ядре использованы следующие дополнительные патчи: Voodoo Sound и Vodoo Colors, BIGMEM, Backlight Notification (BLN), Backlight Dimmer (BLD), Battery Life Extender (BLX), TouchWake (TW), Custom Voltage Interface.

  1. Главная ссылка к новости (http://www.anikos.org/?p=128...)
  2. OpenNews: AnikOS - попытка формирования концепций защищенного дистрибутива Linux
  3. OpenNews: Представлен проект по интеграции SELinux в Android
  4. OpenNews: Релиз ARM-платформы Linaro 12.01 с поддержкой OpenGL ES 2 для Unity 3D и Compiz
Автор новости: novic_dev
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/33254-linux
Ключевые слова: linux, kernel, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 19:04, 03/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    А толку, если пользователи сами дают согласие на доступ к системе? Другое дело что эти патчи могут использоваться за затруднения получения полного доступа к устройству.
     
     
  • 2.2, Аноним (2), 20:00, 03/03/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Во-во. Лучше бы полной шифрование диска добавили. =)
     
     
  • 3.3, Avator (ok), 20:29, 03/03/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Вообще возможность зашифровать полностью все данные в Андройде есть с версии 3.0 и без этого проекта. А возможность зашифровать часть данных (все кроме storage) появилась в версии 2.2.
     
     
  • 4.5, Аноним (2), 21:43, 03/03/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    И как это сделать? Вот купил я телефон Samsung с Андроидом 2.3.6 и в каком направлении смотреть?
     
  • 4.12, Аноним (-), 00:05, 04/03/2012 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Вообще возможность зашифровать полностью все данные в Андройде есть с версии 3.0
    > и без этого проекта.

    Угу, единственная проблема состоит в том что чтобы телефон работал - данные должны прозрачно расшифровываться, а стало быть левой апликухе никто принципиально не помешает их слить в сеть. Учитывая фривольность апликух из каталога в этом вопросе - это как борьба за мир и трах за девственность...

     
  • 3.7, anonymous (??), 22:12, 03/03/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Вот и добавь.
     
  • 2.9, Аноним (-), 00:00, 04/03/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    > А толку, если пользователи сами дают согласие на доступ к системе?

    Ну так ставиишь ты себе плеер с трояном. И или даешь ему доступ в сеть для показа рекламы и слива данных, или работать не будет. Вот и выбирай. При полностью гнилых прикладухах от школья никакое ядро не спасет от проблем.

     

  • 1.4, СуперАноним (?), 20:51, 03/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >Защита от модификации адресного пространства ядра

    Оно что, расчитано на процессоры без MMU ?

     
     
  • 2.10, Аноним (-), 00:01, 04/03/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    > Оно что, расчитано на процессоры без MMU ?

    В телефонах процессоры без MMU были, кхе-кхе, как бы это сказать, весьма давно.

     

  • 1.6, Stax (ok), 21:51, 03/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Гмм.. по-моему андроиду grsecurity как козе баян. Никто не будет заморачиваться с приложением, содержащим низкоуровневый код, использующий эксплоиты такого уровня - какой с этого профит? Вместо этого напишут приложение на стандартных API, получающее доступ к имеющимся sms/календарю/телефонной книге/файловой системе или рассылающее, там, платные sms и запудрят мозги пользователю, что он нажмет "согласен", не вникая, и втихую начнут воровать его приватную информацию или тратить его денежку.. Просто, выгодно, ничего взламывать не нужно, а результат намного эффективнее.
    Телефон, правда, из такого приложения не сломаешь, но и не нужно - это слишком неэффективно, приложение, сразу выдающее себя таким образом. Такие долго не живут.

    Андроид вырастил платформу, где в рамках его виртуальной машины на высоком уровне можно написать вирус почти любой степени разрушительности, и линукс там или не линукс, grsecurity или нет - совершенно по барабану, все пишется на относительно легальных API.

     
     
  • 2.11, Аноним (-), 00:03, 04/03/2012 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > на относительно легальных API.

    Более того - даже юзера спрашивают - "а вот нашему плееру надо в сеть лазить, разреши или оно работать не будет, на выбор". Ну и что выбрать? Понятно что. Такое надо просто вытряхнуть из каталога, но ведь если всю адвароспайварь выбрасывать, школье вознегодуэ :)

     

  • 1.8, исчо_адын_аноним (?), 23:39, 03/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    судя по сайту на русском ;) и опросу возник вопрос:
    сколько народу коммитят туды и что они будут делать, если тому же солару зайдет блаж че нить поменять ? Пока не понятно, зачем и кому щто надо и где сфера применения
     
  • 1.13, Аноним (-), 10:43, 04/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    https://market.android.com/details?id=com.stericson.permissions
    https://market.android.com/details?id=at.plop.PermissionRemoverFree

    в тему

     
     
  • 2.14, Аноним (-), 10:43, 04/03/2012 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Одной проге админ права нужны, вторая правит apk файл
     

  • 1.16, Аноним (-), 16:31, 05/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > Разграничение доступа на основе ролей (RBAC)

    Не надо вестись на провокации разработчиков grsecurity. Role based access control там нет. Вместо этого, общепринятого, обозначения, под данной аббревиатурой подразумевается rule based access control - довольно неудачный и сейчас уже практически не разрабатываемый велосипед на тему SELinux.
    Видимо, специально свою поделку так назвали, чтобы людей за нос водить.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру