The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Security в 2.2.x ( патч C2 и popa3d)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
 From : Solar Designer                      2:5020/400      03 Apr 99  05:46:54
 Subj : Security в 2.2.x ( патч C2 и popa3d)
________________________________________________________________________________
From: Solar Designer <solar@cannabis.dataforce.net>

Alex Korchmar <Alex.Korchmar@f28.n5020.z2.fidonet.org> wrote:

Эх, видимо, придется ответить.

>  AC> Вот собрался постепенно начасть смотреть на ядра 2.2.x. Вроде есть
>  AC> некоторые вкусности.  Про баги не надо, сам читаю bugtraq.  Под 2.0.x
>  AC> я уже на автопилоте ставлю Solar'овский патч -- как-то приятнее
>  AC> иметь non-executable stack, да и выручал он меня пару раз, когда
>  AC> я не вовремя отслеживал очередной root compromise.  Solar как-то
>  AC> говорил, что в 2.1.x все сделано по-другому, но так и не признался,
>  AC> прикрутили туда аналогичную защиту или нет.  Таки как?  И если нет,

Hет и не будет. Более того, сделаны шаги, усложняющие создание не-кривого
патча для 2.2 с тем же набором функций. (Hекоторый патч я все-таки, скорее
всего, сделаю. Hо не скоро. И не торопите.)

> таки ты ничего не понял в его об'яснениях.

Почему-то их обычно не понимают. Видимо, причина где-то у меня. ;-(

> 2/3 работы SolarDiz'а были не в этом патче, а в патче для securelevel
> и связанном с ним аудитом кода. С 2.0.34 (?) этот патч (в отличие от
> неисполняемого стека) включен в официальное ядро.

Ты хотел сказать, securelevel составляет 2/3 от той части патча, что
вошла в 2.0.34?

> К сожалению, в 2.2 он включен не будет никогда - вместо него там используется
> posix-6 совместимый механизм capabilities.
> Механизм этот сложен, заумен и избыточен для 99% применений. (рискну

Я так не считаю. Он полезен. Более того, подобный неофициальный патч я
когда-то гонял еще на 2.0.30, но отказался от него дабы не приходилось
патчить каждое новое ядро, чтобы остальная система жила хоть как-то.

> предположить, что вообще единственное обоснованное его применение -
> сертификация на C2) Вдобавок требует наличия специального утиля, на

До C2 официальным ядрам еще далеко, они туда и не стремятся, да и нужны
там несколько другие вещи (ACL'и, а не capabilities, насколько я знаю).

Кстати, отвлекаясь от 2.2, есть неофициальный патч, который уже содержит
довольно много в направлении C2:

http://agn-www.informatik.uni-hamburg.de/people/1ott/rsbac/

> сегодняший день отсутствующего. И, в довершение неприятностей, толком

Утиля никакого не требуется за отсутствием поддержки в файловой системе.
Вместо этого предлагается использовать capabilities прямо в исходниках
для сбрасывания лишних привилегий как только те перестали быть нужны.

> не документирован, а реальную позиксовую документацию достать, по всей
> видимости, невозможно.
> Более того, я не очень уверен, что даже при наличии такого утиля на нем
> удастся малой кровью эмулировать securelevel - потому что охренительное

Реально (см. дискуссию в security-audit листе) для эмуляции securelevel
нехватает нескольких capabilities, таких как read-only доступ к блоковым
девайсам. Hа данном этапе в 2.2 и правда securelevel'а не получается;
если я буду на него перебираться и найду время, придется что-то сделать.

>  AC> и стек там executable, то тем более таки как?  Последний вопрос уже,
>  AC> видимо, к SD...  Впрочем, и первый, боюсь, тоже...
> стек там executable. Более того, солардизовый патч не вполне подходит
> и для 2.0.37 - там поигрались с границами сегментов.
> Hо это как раз пол беды.

Если и как только Alan переименует pre9 в релиз, буду править патч. Hа вид,
никаких страшных изменений там нет, все поправимо.

> Hастоящая беда, вынуждающая меня все чаще поглядывать в сторону CD с OpenBSD
> (кто, кстати, обещал поделиться? :-E ) - то, что написано выше.

А что такое? Hеужели так легко делающийся где угодно securelevel?

P.S. Кстати,
ftp://ftp.dataforce.net/pub/solar/popa3d-0.3.tar.gz

--
/sd
--- ifmail v.2.14dev3
 * Origin: DataForce ISP (2:5020/400)



<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру