Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2011-06-15 07:05:45

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Quo Vadis Debian?

Kiedyś czytałem, m.in w [url=http://forum.dug.net.pl/viewtopic.php?pid=167984#p167984]poście[/url] azhaga, że Debian planuje stosowanie mocniejszych flag kompilatora, aby troche utwardzić system na wypadek rozmaitych, jeszcze nieznanych exploitów.
Sznurek: http://wiki.debian.org/Hardening
Pięknie opisane....
W Squeeze test takich zabezpieczeń wypadł mizernie, ale myślę - okay, w końcu to stabilny system, nie chą go zepsuć.
Tylko, że ja Squeeze aktualizowałem właśnie do testinga, pobrał sobie zaledwie 528MB aktualizacji, czyli troszkę.
I przy okazji rzuciłem okiem, żeby zobaczyć, co się zmieniło z tymi pancer flagami gcc.

I taka obserwacja:
Ubuntu, które pracuje nad takimi zabezpieczeniami nie mam pod ręką, porównałem z Gentusiem, stawianym ze stage hardened, i standardownym obecnie kernelem gentoo-sources, bez grsecurity czy paxa.
Debian:
[url=http://ompldr.org/vOTJqcg][img]http://ompldr.org/tOTJqcg[/img][/url]
Sznurek: http://jacekalex.sh.dug.net.pl/check-debian

Gentoo - hardened:
[url=http://ompldr.org/vOTJqbw][img]http://ompldr.org/tOTJqbw[/img][/url]
Sznurek: http://jacekalex.sh.dug.net.pl/check-gentoo

Nie wiem, ile czasu mija od planowania, do roboty, w Debianie.
Ale porównaie jest pocieszne, wykonane tym samym skryptem w obu przypadkach.
Skrypt, którym testowałem, kopia: http://jacekalex.sh.dug.net.pl/checksec2
Polecenie

Kod:

./checksec2 --proc-all

Życzę Debianowi jak najlepiej, i mam nadzieję, że oprócz liderowania popularnością, i przewidywalnością, polideruje troszkę w dziedzinie bezpieczeństwa.
Na razie widzę, ze stopniowo się pojawiają, może w 5 czy 10 programach miesięcznie, ale do 1/5 z  z 23000 programów w ten sposób droga jest bardzo daleka.

Proponuję zobaczyć powyższym [url=http://jacekalex.sh.dug.net.pl/checksec2]skryptem[/url] także Debiana Sida, jak ktoś posiada, i Ubuntu, którego ja w tej chiwili już nie posiadam, i wolnej partycji dla niego nie mam.

Ja generalnie w dziedzinie programowania jestem lama totalna, ale zauważyłem, że włączenie całej artylerii pancernych flag kompilatora ma negatywny wpływ na jakieś 3 do 5% programów.
Np obecnie, na stabilnym kompilatorze gcc-4.4.5 nie udalo mi się skompilować żadnej wersji webkit-gtk, xen-tools i virtualboxa.
Ale reszta śmiga, bez żadnych kłopotów, stabilnie, i prawidłowo.
Używam takich ustawień kompilatora:

Kod:

CHOST="i686-pc-linux-gnu"
CFLAGS="-march=native -O2 -pipe -fstack-protector-all"
CXXFLAGS="${CFLAGS}"
LDFLAGS="-Wl,-O1 -Wl,--as-needed"

Kod:

gcc version 4.4.5 (Gentoo Hardened 4.4.5 p1.2, pie-0.4.5) 
qlist -IvU sys-devel/gcc
sys-devel/gcc-4.4.5 (fortran gtk hardened mudflap nls nptl openmp)

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2011-11-28 04:01:34)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#2  2011-06-15 07:34:51

  azhag - Admin łajza

azhag
Admin łajza
Skąd: Warszawa
Zarejestrowany: 2005-11-15

Re: Quo Vadis Debian?

[quote=Jacekalex]Kiedyś czytałem, m.in w [url=http://forum.dug.net.pl/viewtopic.php?pid=167984#p167984]poście[/url] Azhaga, że Debian planuje stosowanie mocniejszych flag kompilatora, aby troche utwardzić system na wypadek rozmaitych, jeszcze nieznanych exploitów.
Sznurek: http://wiki.debian.org/Hardening
Pięknie opisane....
W Squeeze test takich zabezpieczeń wypadł mizernie, ale myślę - okay, w końcu to stabilny system, nie chą go zepsuć.
Tylko, że ja Squeeze aktualizowałem właśnie do testinga, pobrał sobie zaledwie 528MB aktualizacji, czyli troszkę.
I przy okazji rzuciłem okiem, żeby zobaczyć, co się zmieniło z tymi pancer flagami gcc.

(...)

Nie wiem, ile czasu mija od planowania, do roboty, w Debianie.[/quote]
Po DebConfie: http://dug.net.pl/news/219/


Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)

[ Generated in 0.010 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00014 SET CHARSET latin2
0.00008 SET NAMES latin2
0.00151 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.15.7.212' WHERE u.id=1
0.00103 UPDATE punbb_online SET logged=1732830162 WHERE ident='3.15.7.212'
0.00065 SELECT * FROM punbb_online WHERE logged<1732829862
0.00083 SELECT topic_id FROM punbb_posts WHERE id=175377
0.00084 SELECT id FROM punbb_posts WHERE topic_id=19174 ORDER BY posted
0.00079 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=19174 AND t.moved_to IS NULL
0.00013 SELECT search_for, replace_with FROM punbb_censoring
0.00098 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=19174 ORDER BY p.id LIMIT 0,25
0.00094 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=19174
Total query time: 0.00792 s