Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2011-06-15 07:05:45
Jacekalex - 
Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Quo Vadis Debian?
Kiedyś czytałem, m.in w [url=http://forum.dug.net.pl/viewtopic.php?pid=167984#p167984]poście[/url] azhaga, że Debian planuje stosowanie mocniejszych flag kompilatora, aby troche utwardzić system na wypadek rozmaitych, jeszcze nieznanych exploitów.
Sznurek: http://wiki.debian.org/Hardening
Pięknie opisane....
W Squeeze test takich zabezpieczeń wypadł mizernie, ale myślę - okay, w końcu to stabilny system, nie chą go zepsuć.
Tylko, że ja Squeeze aktualizowałem właśnie do testinga, pobrał sobie zaledwie 528MB aktualizacji, czyli troszkę.
I przy okazji rzuciłem okiem, żeby zobaczyć, co się zmieniło z tymi pancer flagami gcc.
I taka obserwacja:
Ubuntu, które pracuje nad takimi zabezpieczeniami nie mam pod ręką, porównałem z Gentusiem, stawianym ze stage hardened, i standardownym obecnie kernelem gentoo-sources, bez grsecurity czy paxa.
Debian:
[url=http://ompldr.org/vOTJqcg][img]http://ompldr.org/tOTJqcg[/img][/url]
Sznurek: http://jacekalex.sh.dug.net.pl/check-debian
Gentoo - hardened:
[url=http://ompldr.org/vOTJqbw][img]http://ompldr.org/tOTJqbw[/img][/url]
Sznurek: http://jacekalex.sh.dug.net.pl/check-gentoo
Nie wiem, ile czasu mija od planowania, do roboty, w Debianie.
Ale porównaie jest pocieszne, wykonane tym samym skryptem w obu przypadkach.
Skrypt, którym testowałem, kopia: http://jacekalex.sh.dug.net.pl/checksec2
Polecenie
Kod:
./checksec2 --proc-all
Życzę Debianowi jak najlepiej, i mam nadzieję, że oprócz liderowania popularnością, i przewidywalnością, polideruje troszkę w dziedzinie bezpieczeństwa.
Na razie widzę, ze stopniowo się pojawiają, może w 5 czy 10 programach miesięcznie, ale do 1/5 z z 23000 programów w ten sposób droga jest bardzo daleka.
Proponuję zobaczyć powyższym [url=http://jacekalex.sh.dug.net.pl/checksec2]skryptem[/url] także Debiana Sida, jak ktoś posiada, i Ubuntu, którego ja w tej chiwili już nie posiadam, i wolnej partycji dla niego nie mam.
Ja generalnie w dziedzinie programowania jestem lama totalna, ale zauważyłem, że włączenie całej artylerii pancernych flag kompilatora ma negatywny wpływ na jakieś 3 do 5% programów.
Np obecnie, na stabilnym kompilatorze gcc-4.4.5 nie udalo mi się skompilować żadnej wersji webkit-gtk, xen-tools i virtualboxa.
Ale reszta śmiga, bez żadnych kłopotów, stabilnie, i prawidłowo.
Używam takich ustawień kompilatora:
Kod:
CHOST="i686-pc-linux-gnu"
CFLAGS="-march=native -O2 -pipe -fstack-protector-all"
CXXFLAGS="${CFLAGS}"
LDFLAGS="-Wl,-O1 -Wl,--as-needed"Kod:
gcc version 4.4.5 (Gentoo Hardened 4.4.5 p1.2, pie-0.4.5) qlist -IvU sys-devel/gcc sys-devel/gcc-4.4.5 (fortran gtk hardened mudflap nls nptl openmp)
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2011-11-28 04:01:34)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#2 2011-06-15 07:34:51
azhag - Admin łajza
- azhag
- Admin łajza
- Skąd: Warszawa
- Zarejestrowany: 2005-11-15
Re: Quo Vadis Debian?
[quote=Jacekalex]Kiedyś czytałem, m.in w [url=http://forum.dug.net.pl/viewtopic.php?pid=167984#p167984]poście[/url] Azhaga, że Debian planuje stosowanie mocniejszych flag kompilatora, aby troche utwardzić system na wypadek rozmaitych, jeszcze nieznanych exploitów.
Sznurek: http://wiki.debian.org/Hardening
Pięknie opisane....
W Squeeze test takich zabezpieczeń wypadł mizernie, ale myślę - okay, w końcu to stabilny system, nie chą go zepsuć.
Tylko, że ja Squeeze aktualizowałem właśnie do testinga, pobrał sobie zaledwie 528MB aktualizacji, czyli troszkę.
I przy okazji rzuciłem okiem, żeby zobaczyć, co się zmieniło z tymi pancer flagami gcc.
(...)
Nie wiem, ile czasu mija od planowania, do roboty, w Debianie.[/quote]
Po DebConfie: http://dug.net.pl/news/219/
Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00008 | SET CHARSET latin2 |
| 0.00003 | SET NAMES latin2 |
| 0.00089 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.93.227' WHERE u.id=1 |
| 0.00059 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.93.227', 1732824218) |
| 0.00043 | SELECT * FROM punbb_online WHERE logged<1732823918 |
| 0.00056 | SELECT topic_id FROM punbb_posts WHERE id=175380 |
| 0.00072 | SELECT id FROM punbb_posts WHERE topic_id=19174 ORDER BY posted |
| 0.00054 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=19174 AND t.moved_to IS NULL |
| 0.00009 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00068 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=19174 ORDER BY p.id LIMIT 0,25 |
| 0.00073 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=19174 |
| Total query time: 0.00534 s | |