The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проект OpenPaX развивает аналог механизмов защиты Grsecurity/PaX для ядра Linux

31.10.2024 07:58

Компания Edera, развивающая решения для защиты инфраструктуры Kubernetes и AI-систем, представила проект OpenPaX, представляющий собой набор патчей к ядру Linux с реализацией методов противодействия эксплуатации уязвимостей, вызванных ошибками при работе с памятью. OpenPaX позиционируется как распространяемый без ограничений аналог набора пачтей PaX от проекта Grsecurity, который с 2017 года поставляется только в составе платного продукта. Наработки OpenPaX открыты под лицензией GPLv2.

Разработчики дистрибутива Alpine Linux намерены в следующем выпуске 3.21 предоставить экспериментальную сборку ядра с патчами OpenPaX, а в выпуске 3.22 перевести её в разряд штатных опций. OpenPaX также может быть использован дистрибутивами Gentoo и Arch Linux, которые ранее предлагали варианты ядра Linux с патчами PaX. Разработчики OpenPaX также надеются на перенос некоторых разработанных ими механизмов защиты в основной состав ядра.

Из реализованных в OpenPaX возможностей можно отметить применение при маппинге страниц памяти механизма W^X (write XOR execute), не допускающем создание страниц памяти, одновременно доступных на запись и исполнение, а также блокирующем смену типа маппинга страниц с записи на исполнение. Также в OpenPaX присутствует механизм эмуляции, позволяющий использовать стек и кучу, в которых запрещено исполнение кода, с функциями-трамплинами, например, генерируемыми libffi или GCC (суть трамплинов в том, что код для вызова вложенной или внешней функции динамически создаётся и выполняется в стеке). Эмуляция трамплинов производится через перехват исключений (page fault) при попытке запуска кода в неисполняемой памяти и эмуляции перехода.

Так как реализованные методы защиты могут нарушить нормальную работу JIT-компиляторов, предусмотрена возможность использования xattr и утилиты paxmark для выборочного управления включением возможностей OpenPaX в привязке к исполняемым файлам. Также доступен режим мягкой активации OpenPaX (sysctl kernel.pax.softmode=1), при котором по умолчанию OpenPaX отключён, но может выборочно быть активирован для требующих защиты отдельных приложений.

Дополнительно можно отметить выпуск модуля ядра LKRG 0.9.9, развиваемого проектом Openwall и предназначенного для выявления и блокирования атак, а также предотвращения нарушения целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от эксплоитов уже известных уязвимостей ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Код проекта распространяется под лицензией GPLv2. Об особенностях реализации LKRG можно прочитать в первом анонсе проекта. В новой версии обеспечена совместимость с ядрами Linux 5.10.220+, 6.10.10+, 6.11 и 6.12-rc, а также с пакетами с ядром 5.14.0-470.el9+, поставляемыми в CentOS Stream 9 и RHEL 9. Обеспечена совместимость с ядрами собранными в режиме "CONFIG_JUMP_LABEL" на системах с архитектурой ARM64.

  1. Главная ссылка к новости (https://edera.dev/stories/eder...)
  2. OpenNews: Представлены патчи для рандомизации адресов стека ядра Linux при системных вызовах
  3. OpenNews: Проблемы с безопасностью в патчах, предложенных сотрудником Huawei для защиты ядра Linux
  4. OpenNews: Суд предписал OSS выплатить 300 тысяч долларов Брюсу Перенсу по итогам разбирательства с Grsecurity
  5. OpenNews: Проект по продвижению в ядро Linux новых технологий активной защиты
  6. OpenNews: Grsecurity прекращает бесплатное распространение своих патчей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62143-openpax
Ключевые слова: openpax, pax, grsecurity
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Афроним (?), 09:37, 31/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Параноики напряглись.
     
     
  • 2.3, Аноним (3), 09:54, 31/10/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    а когда это они успели расслабиться, а?
     
     
  • 3.5, Аноним (5), 10:03, 31/10/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Наверное, в прошлой жизни!
     
  • 2.17, n00by (ok), 12:19, 31/10/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Параноики напряглись.

    Участники секты Свидетелей Тысячеглаза догадались, что их обнуляют, и принялись делать покерфейс.

     
     
  • 3.21, Афроним (?), 12:40, 31/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Гики сидят на коре дуба и в ус не дуют, а остальным придется изворачиваться.
     
  • 3.23, Аноним (23), 13:01, 31/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Покерфейс - это интерфейс к Покеру?
     

  • 1.2, Соль земли (?), 09:49, 31/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ну вот, теперь придётся ещё и OpenPaX отключать при каждой установке.
     
  • 1.4, Аноним (5), 10:02, 31/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Похоже что авторы программы огорчились почему их бекдоров нет в ядре и решили сами их внедрить под предлогом борьбы с  другими бекдорами.
     
     
  • 2.9, Жироватт (ok), 10:33, 31/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Пока их патчины не навязывают в глотку всем - любо.
     
     
  • 3.25, Аноним (5), 13:34, 31/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Окно овертона, "тогда и поговорим", "а когда пришли за мной" и прочием мемы про то что сначала вроде прикол, а потом у тебя ютуб не грузится и ты ничего не можешь сделать.
     
     
  • 4.27, Аноним (-), 13:47, 31/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Окно овертона, "тогда и поговорим", "а когда пришли за мной" и прочием мемы про то что сначала вроде прикол,

    Всегда прикол) Не вижу никакой причины не отпустить шутку черного юмора.

    > а потом у тебя ютуб не грузится и ты ничего не можешь сделать.

    Так он и не грузится потому что ты "ничего не делал")
    От такие пироги с котятами.


     

  • 1.7, Аноним (7), 10:09, 31/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А DRM будет?
     
  • 1.12, Аноним (-), 11:37, 31/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > механизм W^X
    > механизм эмуляции с функциями-трамплинами
    > методы защиты могут нарушить нормальную работу JIT-компиляторов

    На что только готовы погромисты, лишь бы дырявый код продолжать писать)))
    А защиту где-то там размажем.

     
     
  • 2.13, Аноним (-), 11:48, 31/10/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 2.15, Жироватт (ok), 12:11, 31/10/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    128ядерный кластер с жидкостным охлаждением / 640 гигабайт рамы в домашнем ПК-балдёжнике точно хватит, чтобы запустить БЕЗОПАСНЫЙ стек от низкоуровнего БЕЗОПАСНОГО ассемблера до БЕЗОПАСНЫХ js-скриптов внутри интерпретатора внутри песочницы браузерного движка внутри контейнера внутри прозрачной виртуалки над интерпретируемым сервисом поверх БЕЗОПАСТНОСТНОГО и ВЕРИФИЦИРОВАННОГО микроядра, крутящегося поверх ещё более безопасного наноядра?
     
     
  • 3.18, n00by (ok), 12:27, 31/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тут даже пожизненная кАмпЕляция в BHC-релизенгах не поможет.
     
  • 3.19, Аноним (-), 12:29, 31/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ого ты выдал! Прямо буллщит бинго.

    Правильно я понимаю, что ты из тех, кто готов голым задом светить?
    Ну типа если комп - проходной двор, то "ничего страшного, дело житейское"?

     
     
  • 4.26, Аноним (5), 13:38, 31/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вин 98 светили в локальную сеть годами. При том что была возможность с ними делать  через локальную сеть скажем так очень многое.
     
  • 3.24, Аноним (23), 13:04, 31/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Про пикоядро забыл упомянуть.
     

  • 1.14, Эффективный менаджер (?), 12:05, 31/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очень хорошо! Это послужит одним из способов введения DRM защиты бедного и беззащитного авторского права для Linux!
     
     
  • 2.16, Аноним (16), 12:18, 31/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну по такому случаю мы сделаем исключение включения возможностей OpenPaX в привязке к коду забивания на DRM ;)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру