The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1

29.01.2016 14:08

Проект HardenedBSD, занимающийся улучшением механизмов защиты FreeBSD, представил стабильный выпуск 40.1, сформированный на базе ответвления веток FreeBSD 10-STABLE и 11-CURRENT. Установочные iso-образы и сборки для виртуальных машин подготовлены для архитектуры AMD64 (10-STABLE и 11-CURRENT). По мере готовности развиваемые проектом HardenedBSD возможности переносятся в основные ветки FreeBSD.

Из входящих в HardenedBSD улучшений, можно отметить реализации ASLR (Address Space Layout Randomization), SEGVGUARD, PAGEEXEC, SMAP (Supervisor Mode Access Prevention), chacha20, arc4random, более защищённые варианты mprotect, PTrace, mmap(MAP_32BIT), getentropy и procfs/linprocfs, удаление устаревших форматов (a.out, COFF, SVR4, IBCS2), усиление защиты на стадии загрузки, рекурсивный вариант setfacl, рандомизация порядка загрузки совместно используемых объектов и т.п. Для применения к приложениям дополнительных техник защиты предлагается утилита secadm.

Например, ASLR представляет собой технику рандомизации раскладки сегментов данных и стека в адресном пространстве, усложняющую вычисление точек возврата функций, через которые можно передать управление своему коду в случае эксплуатации уязвимостей. MPROTECT и PAGEEXEC позволяют запретить исполнение кода в страницах памяти, не предназначенных для исполняемых инструкций. SMAP позволяет использовать одноимённые инструкции процессоров Intel для блокирования доступа к данным в пространстве пользователя из привилегированного кода, выполняемого в пространстве ядра. SEGVGUARD осуществляет отслеживание обращений к невыделенным страницам памяти (page-fault) и пытается определить попытки эксплуатации уязвимостей, например, на стадии перебора адресов для вычисления точки возврата.

  1. Главная ссылка к новости (http://hardenedbsd.org/article...)
  2. OpenNews: Проект HardenedBSD представил первый выпуск инструментария secadm
  3. OpenNews: Сравнение защищённости FreeBSD и OpenBSD
  4. OpenNews: Отчёт о состоянии развития FreeBSD за третий квартал 2014 года
  5. OpenNews: Отчёт о состоянии развития FreeBSD за первый квартал 2015 года
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/43784-hardenedbsd
Ключевые слова: hardenedbsd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (16) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, grec (?), 15:17, 29/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, а кто юзает MAC во Free? Поделитесь историей успеха.
     
     
  • 2.5, мимопроходил (?), 15:35, 29/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Второй день пытаюсь найти ему применение. Сейчас пробую ugidfw, хочу запереть хомяка без chroot и jail.
     

  • 1.12, Нимано (?), 18:39, 29/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    > можно отметить реализации ASLR (Address Space Layout Randomization), SEGVGUARD, PAGEEXEC,

    я просто оставлю это здесь:

    https://pax.grsecurity.net/docs/
    https://pax.grsecurity.net/docs/noexec.txt
    > Implementation
    > RANDKSTACK randomizes every t... The i386 specific system call entry point

       is in arch/i386/kernel/entry.S
    > 2003.05.01 14:15 GMT

    https://pax.grsecurity.net/docs/aslr.txt
    >The Linux implementation of NOEXEC is split into two main feature sets: the
    > actual non-executable page implementations
    > 2003.03.15 21:05 GMT

     
     
  • 2.13, Аноним (-), 18:55, 29/01/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ты так говоришь, будто в этом что-т понимаешь. Остынь, дай людям спокойно заниматься любимым делом, а ты просто продолжай юзать написанные кем-то продукты.
     
  • 2.20, Аноним (-), 01:03, 30/01/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >[оверквотинг удален]
    > https://pax.grsecurity.net/docs/
    > https://pax.grsecurity.net/docs/noexec.txt
    >> Implementation
    >> RANDKSTACK randomizes every t... The i386 specific system call entry point
    >    is in arch/i386/kernel/entry.S
    >> 2003.05.01 14:15 GMT
    > https://pax.grsecurity.net/docs/aslr.txt
    >>The Linux implementation of NOEXEC is split into two main feature sets: the
    >> actual non-executable page implementations
    >> 2003.03.15 21:05 GMT

    Не кривляйся. Всё это было реализованно в OpenBSD раньше и уже давно в mainline. А где это твоё добро говоришь? Правильно - НИГДЕ. Ибо Линус Т. чхать хотел на всё это и не собирается брать его в ядро.

    И ещё, с недавних пор, стабильные ветки пакса, стали доступны лишь по платной подписке. Так что не позорься, иди дальше куда шёл.

     
     
  • 3.21, Нимано (?), 02:37, 30/01/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >  Всё это было реализованно в OpenBSD раньше

    Казалось бы, причем тут опененок, в новости о " Проект HardenedBSD (http://hardenedbsd.org/), занимающийся улучшением механизмов защиты FreeBSD"

    > А где это твоё добро говоришь?

    А где этот ваш Опененок? Гусары, молчать!

    > И ещё, с недавних пор, стабильные ветки пакса, стали доступны лишь по
    > платной подписке. Так что не позорься, иди дальше куда шёл.

    Ну оно хоть такое есть, а вот во фре ...

    Ладно, я прокапитаню:
    В мылолистах, да и на бзд-форумах народ уже давно насчет этих фич осведомлялся.
    Причем, еще в 2005 были подвижки в эту сторону:
    http://people.freebsd.org/~ssouhlal/testing/mmap_random-20050528.diff
    Время шло, 2011:
    https://lists.freebsd.org/pipermail/freebsd-current/2011-November/029295.html (Oliver Pinter)
    http://lists.freebsd.org/pipermail/freebsd-current/attachments/20111116/b67a9
    2013: https://github.com/opntr/freebsd-patches-2013-tavasz/blob/master/r249952+ASLR/

    и только в 2014 началось некоторое шевеление:
    http://www.bsdcan.org/2014/schedule/events/452.en.html
    > FreeBSD will soon be getting a port of PaX
    > https://lists.freebsd.org/pipermail/freebsd-announce/2015-May/001637.html

    ЧСХ: "sponsored by soldierX"
    А теперь, чтобы было понятно, в чей огород камень:

    https://www.freebsdfoundation.org/press/2008Dec-newsletter
    > Here is a list of projects, developers, and conferences we have sponsored for 2008.
    > FreeBSD Advocacy in Ticino 2008
    > FreeBSD Java Project - Java Server Benchmark software
    > Porting FreeBSD to Efika ARM platform

    Или из последнего:
    https://www.freebsdfoundation.org/press/2014dec-newsletter.html/
    > We increased our FreeBSD advocacy efforts by hiring a full-time marketing director

    Это конечно же, важнее!
    > Так что не позорься, иди дальше куда шёл.

    Ну, вам виднее ...

     

  • 1.22, Аноним (-), 03:06, 30/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    шикарная сборка.
    я не фэн фрхи, но что все ЭТО - наконец-то к ним пришло - просто Офигенно :)
    хорошая новость.
     
  • 1.23, iZEN (ok), 13:49, 30/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Сишники лечат свой ДНК различными технологиями запутывания кода, чтобы не дай Б-г, вирус не пробрался в святая-святых - 0-ring и не захватил власть над системой. Теперь вирус не прорвётся, а повесит систему с большой вероятностью. Кому от этого легче? Может пора учить Go и переводить систему с сишечки на современный защищённый (на уровне ДНК) язык?
     
     
  • 2.24, grec (?), 14:00, 30/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А то, что TXT только недавно в появился кремнии, это тоже сишники виноваты? Или сишники виноваты, что intel только начиная с Haswell добавляют SMAP? Так что, не неси бред.
     
     
  • 3.25, iZEN (ok), 14:05, 30/01/2016 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > А то, что TXT только недавно в появился кремнии, это тоже сишники
    > виноваты? Или сишники виноваты, что intel только начиная с Haswell добавляют
    > SMAP? Так что, не неси бред.

    Одно - следствие другого. Устаревшее ПО нуждается в аппаратных подпорках, а сишники всё пишут и пишут на своём любимом язычке, доказывая востребованность этих подпорок, пока не появится новая угроза обхода - и тогда инженеры Intel создадут ещё один вариант "защиты" кода (который не должен по идее выполнятся, но почему-то выполняется при некоторых условиях) от выполнения. :))


     
     
  • 4.26, doom (ok), 04:53, 31/01/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не, ну как ты только перепишешь *BSD или Linux на Go, так дай знать, ок?


     
  • 2.27, Аноним (-), 12:53, 31/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Почему не на джаву?
     
     
  • 3.29, iZEN (ok), 22:22, 01/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему не на джаву?

    Ископаемое земноводное? Пусть Androidoфилы его используют!


     
  • 2.28, new_name_on_the_block (?), 15:23, 01/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    И-зен, ты же Javista был. как же так, как же ты в Go֊шника превратился, а?
     
     
  • 3.30, iZEN (ok), 22:25, 01/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > И-зен, ты же Javista был. как же так, как же ты в
    > Go֊шника превратился, а?

    Давайте жить сегодняшним днём, а не вчерашними ностальгическими воспоминаниями. На сегодня качественными инструментами идустрии создания программного обеспечения признаны высокоуровневые языки программирования — Go и Clojure. Всё! Остальное - костылябр и засохшее овно мамонтов и динозавров.


     
     
  • 4.31, zurapa (?), 01:56, 03/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Скоро Go'осеки будут парады проводить и требовать уроков "языкового просвещения" в младших классах.
    Новый миллениум!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру