The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  +/
Сообщение от opennews on 29-Янв-16, 14:34 
Проект HardenedBSD (http://hardenedbsd.org/), занимающийся улучшением механизмов защиты FreeBSD, представил (http://hardenedbsd.org/article/op/2016-01-28/new-stable-vers...)  стабильный выпуск 40.1, сформированный на базе ответвления веток FreeBSD 10-STABLE и 11-CURRENT. Установочные iso-образы и сборки для виртуальных машин подготовлены (http://installer.hardenedbsd.org/releases/) для архитектуры AMD64 (10-STABLE (http://installer.hardenedbsd.org/releases/hardened_10_stable.../) и 11-CURRENT (http://installer.hardenedbsd.org/releases/hardened_current_m.../)). По мере готовности развиваемые проектом HardenedBSD возможности переносятся в основные ветки FreeBSD.


Из входящих в HardenedBSD улучшений, можно отметить реализации ASLR (Address Space Layout Randomization), SEGVGUARD, PAGEEXEC, secfw, SMAP (Supervisor Mode Access Prevention), chacha20, arc4random, более защищённые варианты mprotect, PTrace, mmap(MAP_32BIT), getentropy и procfs/linprocfs, удаление устаревших форматов (a.out, COFF, SVR4, IBCS2), усиление защиты на стадии загрузки, рекурсивный вариант setfacl, рандомизация порядка загрузки совместно используемых объектов и т.п. Для применения к приложениям дополнительных техник защиты предлагается утилита secadm (https://www.opennet.ru/opennews/art.shtml?num=41361).


Например, ASLR представляет собой технику рандомизации раскладки сегментов данных и стека в адресном пространстве, усложняющую вычисление точек возврата функций, через которые можно передать управление своему коду в случае эксплуатации уязвимостей. MPROTECT и PAGEEXEC позволяют запретить исполнение кода в страницах памяти, не предназначенных для исполняемых инструкций. SMAP позволяет использовать одноимённые инструкции процессоров Intel для  блокирования доступа к данным в пространстве пользователя из привилегированного кода, выполняемого в пространстве ядра. SEGVGUARD осуществляет отслеживание обращений к невыделенным страницам памяти (page-fault) и пытается определить попытки эксплуатации уязвимостей, например, на стадии перебора адресов для вычисления точки возврата.


URL: http://hardenedbsd.org/article/op/2016-01-28/new-stable-vers...
Новость: https://www.opennet.ru/opennews/art.shtml?num=43784

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


4. "Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  +/
Сообщение от grec on 29-Янв-16, 15:17 
Кстати, а кто юзает MAC во Free? Поделитесь историей успеха.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  +1 +/
Сообщение от мимопроходил on 29-Янв-16, 15:35 
Второй день пытаюсь найти ему применение. Сейчас пробую ugidfw, хочу запереть хомяка без chroot и jail.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  –7 +/
Сообщение от Нимано on 29-Янв-16, 18:39 
> можно отметить реализации ASLR (Address Space Layout Randomization), SEGVGUARD, PAGEEXEC,

я просто оставлю это здесь:

https://pax.grsecurity.net/docs/
https://pax.grsecurity.net/docs/noexec.txt
> Implementation
> RANDKSTACK randomizes every t... The i386 specific system call entry point

   is in arch/i386/kernel/entry.S
> 2003.05.01 14:15 GMT

https://pax.grsecurity.net/docs/aslr.txt
>The Linux implementation of NOEXEC is split into two main feature sets: the
> actual non-executable page implementations
> 2003.03.15 21:05 GMT

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  +6 +/
Сообщение от Аноним (??) on 29-Янв-16, 18:55 
Ты так говоришь, будто в этом что-т понимаешь. Остынь, дай людям спокойно заниматься любимым делом, а ты просто продолжай юзать написанные кем-то продукты.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  +2 +/
Сообщение от Аноним (??) on 30-Янв-16, 01:03 
>[оверквотинг удален]
> https://pax.grsecurity.net/docs/
> https://pax.grsecurity.net/docs/noexec.txt
>> Implementation
>> RANDKSTACK randomizes every t... The i386 specific system call entry point
>    is in arch/i386/kernel/entry.S
>> 2003.05.01 14:15 GMT
> https://pax.grsecurity.net/docs/aslr.txt
>>The Linux implementation of NOEXEC is split into two main feature sets: the
>> actual non-executable page implementations
>> 2003.03.15 21:05 GMT

Не кривляйся. Всё это было реализованно в OpenBSD раньше и уже давно в mainline. А где это твоё добро говоришь? Правильно - НИГДЕ. Ибо Линус Т. чхать хотел на всё это и не собирается брать его в ядро.

И ещё, с недавних пор, стабильные ветки пакса, стали доступны лишь по платной подписке. Так что не позорься, иди дальше куда шёл.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

21. "Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  +3 +/
Сообщение от Нимано on 30-Янв-16, 02:37 
>  Всё это было реализованно в OpenBSD раньше

Казалось бы, причем тут опененок, в новости о " Проект HardenedBSD (http://hardenedbsd.org/), занимающийся улучшением механизмов защиты FreeBSD"

> А где это твоё добро говоришь?

А где этот ваш Опененок? Гусары, молчать!

> И ещё, с недавних пор, стабильные ветки пакса, стали доступны лишь по
> платной подписке. Так что не позорься, иди дальше куда шёл.

Ну оно хоть такое есть, а вот во фре ...

Ладно, я прокапитаню:
В мылолистах, да и на бзд-форумах народ уже давно насчет этих фич осведомлялся.
Причем, еще в 2005 были подвижки в эту сторону:
http://people.freebsd.org/~ssouhlal/testing/mmap_random-2005...
Время шло, 2011:
https://lists.freebsd.org/pipermail/freebsd-current/2011-Nov... (Oliver Pinter)
http://lists.freebsd.org/pipermail/freebsd-current/attachmen...
2013: https://github.com/opntr/freebsd-patches-2013-tavasz/blob/ma...

и только в 2014 началось некоторое шевеление:
http://www.bsdcan.org/2014/schedule/events/452.en.html
> FreeBSD will soon be getting a port of PaX
> https://lists.freebsd.org/pipermail/freebsd-announce/2015-Ma...

ЧСХ: "sponsored by soldierX"
А теперь, чтобы было понятно, в чей огород камень:

https://www.freebsdfoundation.org/press/2008Dec-newsletter
> Here is a list of projects, developers, and conferences we have sponsored for 2008.
> FreeBSD Advocacy in Ticino 2008
> FreeBSD Java Project - Java Server Benchmark software
> Porting FreeBSD to Efika ARM platform

Или из последнего:
https://www.freebsdfoundation.org/press/2014dec-newsletter.html/
> We increased our FreeBSD advocacy efforts by hiring a full-time marketing director

Это конечно же, важнее!
> Так что не позорься, иди дальше куда шёл.

Ну, вам виднее ...

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  –1 +/
Сообщение от Аноним (??) on 30-Янв-16, 03:06 
шикарная сборка.
я не фэн фрхи, но что все ЭТО - наконец-то к ним пришло - просто Офигенно :)
хорошая новость.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  –6 +/
Сообщение от iZEN (ok) on 30-Янв-16, 13:49 
Сишники лечат свой ДНК различными технологиями запутывания кода, чтобы не дай Б-г, вирус не пробрался в святая-святых - 0-ring и не захватил власть над системой. Теперь вирус не прорвётся, а повесит систему с большой вероятностью. Кому от этого легче? Может пора учить Go и переводить систему с сишечки на современный защищённый (на уровне ДНК) язык?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  +/
Сообщение от grec on 30-Янв-16, 14:00 
А то, что TXT только недавно в появился кремнии, это тоже сишники виноваты? Или сишники виноваты, что intel только начиная с Haswell добавляют SMAP? Так что, не неси бред.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  –5 +/
Сообщение от iZEN (ok) on 30-Янв-16, 14:05 
> А то, что TXT только недавно в появился кремнии, это тоже сишники
> виноваты? Или сишники виноваты, что intel только начиная с Haswell добавляют
> SMAP? Так что, не неси бред.

Одно - следствие другого. Устаревшее ПО нуждается в аппаратных подпорках, а сишники всё пишут и пишут на своём любимом язычке, доказывая востребованность этих подпорок, пока не появится новая угроза обхода - и тогда инженеры Intel создадут ещё один вариант "защиты" кода (который не должен по идее выполнятся, но почему-то выполняется при некоторых условиях) от выполнения. :))


Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  +2 +/
Сообщение от doom (ok) on 31-Янв-16, 04:53 
Не, ну как ты только перепишешь *BSD или Linux на Go, так дай знать, ок?


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  +/
Сообщение от Аноним (??) on 31-Янв-16, 12:53 
Почему не на джаву?
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

29. "Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  +/
Сообщение от iZEN (ok) on 01-Фев-16, 22:22 
> Почему не на джаву?

Ископаемое земноводное? Пусть Androidoфилы его используют!


Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

28. "Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  +/
Сообщение от new_name_on_the_block on 01-Фев-16, 15:23 
И-зен, ты же Javista был. как же так, как же ты в Go֊шника превратился, а?
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  +/
Сообщение от iZEN (ok) on 01-Фев-16, 22:25 
> И-зен, ты же Javista был. как же так, как же ты в
> Go֊шника превратился, а?

Давайте жить сегодняшним днём, а не вчерашними ностальгическими воспоминаниями. На сегодня качественными инструментами идустрии создания программного обеспечения признаны высокоуровневые языки программирования — Go и Clojure. Всё! Остальное - костылябр и засохшее овно мамонтов и динозавров.


Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

31. "Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1"  +/
Сообщение от zurapa on 03-Апр-18, 01:56 
Скоро Go'осеки будут парады проводить и требовать уроков "языкового просвещения" в младших классах.
Новый миллениум!
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру