Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Kiedyś czytałem, m.in w [url=http://forum.dug.net.pl/viewtopic.php?pid=167984#p167984]poście[/url] azhaga, że Debian planuje stosowanie mocniejszych flag kompilatora, aby troche utwardzić system na wypadek rozmaitych, jeszcze nieznanych exploitów.
Sznurek: http://wiki.debian.org/Hardening
Pięknie opisane....
W Squeeze test takich zabezpieczeń wypadł mizernie, ale myślę - okay, w końcu to stabilny system, nie chą go zepsuć.
Tylko, że ja Squeeze aktualizowałem właśnie do testinga, pobrał sobie zaledwie 528MB aktualizacji, czyli troszkę.
I przy okazji rzuciłem okiem, żeby zobaczyć, co się zmieniło z tymi pancer flagami gcc.
I taka obserwacja:
Ubuntu, które pracuje nad takimi zabezpieczeniami nie mam pod ręką, porównałem z Gentusiem, stawianym ze stage hardened, i standardownym obecnie kernelem gentoo-sources, bez grsecurity czy paxa.
Debian:
[url=http://ompldr.org/vOTJqcg][img]http://ompldr.org/tOTJqcg[/img][/url]
Sznurek: http://jacekalex.sh.dug.net.pl/check-debian
Gentoo - hardened:
[url=http://ompldr.org/vOTJqbw][img]http://ompldr.org/tOTJqbw[/img][/url]
Sznurek: http://jacekalex.sh.dug.net.pl/check-gentoo
Nie wiem, ile czasu mija od planowania, do roboty, w Debianie.
Ale porównaie jest pocieszne, wykonane tym samym skryptem w obu przypadkach.
Skrypt, którym testowałem, kopia: http://jacekalex.sh.dug.net.pl/checksec2
Polecenie
./checksec2 --proc-all
Życzę Debianowi jak najlepiej, i mam nadzieję, że oprócz liderowania popularnością, i przewidywalnością, polideruje troszkę w dziedzinie bezpieczeństwa.
Na razie widzę, ze stopniowo się pojawiają, może w 5 czy 10 programach miesięcznie, ale do 1/5 z z 23000 programów w ten sposób droga jest bardzo daleka.
Proponuję zobaczyć powyższym [url=http://jacekalex.sh.dug.net.pl/checksec2]skryptem[/url] także Debiana Sida, jak ktoś posiada, i Ubuntu, którego ja w tej chiwili już nie posiadam, i wolnej partycji dla niego nie mam.
Ja generalnie w dziedzinie programowania jestem lama totalna, ale zauważyłem, że włączenie całej artylerii pancernych flag kompilatora ma negatywny wpływ na jakieś 3 do 5% programów.
Np obecnie, na stabilnym kompilatorze gcc-4.4.5 nie udalo mi się skompilować żadnej wersji webkit-gtk, xen-tools i virtualboxa.
Ale reszta śmiga, bez żadnych kłopotów, stabilnie, i prawidłowo.
Używam takich ustawień kompilatora:
CHOST="i686-pc-linux-gnu" CFLAGS="-march=native -O2 -pipe -fstack-protector-all" CXXFLAGS="${CFLAGS}" LDFLAGS="-Wl,-O1 -Wl,--as-needed"
gcc version 4.4.5 (Gentoo Hardened 4.4.5 p1.2, pie-0.4.5) qlist -IvU sys-devel/gcc sys-devel/gcc-4.4.5 (fortran gtk hardened mudflap nls nptl openmp)
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2011-11-28 04:01:34)
Offline
[quote=Jacekalex]Kiedyś czytałem, m.in w [url=http://forum.dug.net.pl/viewtopic.php?pid=167984#p167984]poście[/url] Azhaga, że Debian planuje stosowanie mocniejszych flag kompilatora, aby troche utwardzić system na wypadek rozmaitych, jeszcze nieznanych exploitów.
Sznurek: http://wiki.debian.org/Hardening
Pięknie opisane....
W Squeeze test takich zabezpieczeń wypadł mizernie, ale myślę - okay, w końcu to stabilny system, nie chą go zepsuć.
Tylko, że ja Squeeze aktualizowałem właśnie do testinga, pobrał sobie zaledwie 528MB aktualizacji, czyli troszkę.
I przy okazji rzuciłem okiem, żeby zobaczyć, co się zmieniło z tymi pancer flagami gcc.
(...)
Nie wiem, ile czasu mija od planowania, do roboty, w Debianie.[/quote]
Po DebConfie: http://dug.net.pl/news/219/
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00103 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.142.210.173' WHERE u.id=1 |
0.00243 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.142.210.173', 1732823360) |
0.00171 | SELECT * FROM punbb_online WHERE logged<1732823060 |
0.00071 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=19174 AND t.moved_to IS NULL |
0.00060 | SELECT search_for, replace_with FROM punbb_censoring |
0.00145 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=19174 ORDER BY p.id LIMIT 0,25 |
0.00097 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=19174 |
Total query time: 0.00905 s |