Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Szukalem potrzebnych mi informacji i natknalem sie na cos co mnie bardzo zakoczylo.
Na stronie wiki.debian jest informacja, ze :
For foreseeable future Debian Kernel team [b]will not include grsecurity kernel into official Debian[/b]. The reasons is primarily size of the patch.[/quote]
Ale ...But there exist easy to use alternatives.
You can use [b]Mempo kernel[/b]
There is a Debian Repository with ready to use grsecurity kernels being maintained by Mempo project.
The work is in progress, but it is fully usable as of 2014.06 just follow the install instructions carefully;
This implements SameKernel (also a script created by Mempo) - your kernel is compiled to identical .deb when you build from sources, so you can cross verify with friends to confirm there is no backdoor added at compilation.[/quote]
Zaczalem czytac na ten temat i okazuje sie, ze sa repozytoria dla debiana.To use Mempo, currently:
Install a Debian Stable amd64 as a base
Add our key to apt-get by issuing commands (as root):
gpg --keyserver pgp.mit.edu --recv-key 45953F23 # this will download from open internet (instead you can obtain this pubkey e.g. here) or anywhere
gpg --fingerprint 45953F23 # doublecheck if this is the correct key with various sources
gpg --export 45953F23 | apt-key add - # now your apt-get will trust our key and install our software
echo "deb http://deb.mempo.org/debian/ wheezy main" >> /etc/apt/sources.list # (i2p)
apt-get update
Now you have access to our packages.
aptitude search mempo - will show you various kernels, install the latest one from the list (image and optionaly the headers) like:
aptitude install linux-image-3.2.59-grsec-mempo.desk.0.1.46[/quote]
Normalnie jestem w szoku, nie wiedzialem o takim projekcie, nikt nawet nie wspomnil, ze takie cos istnieje.
Patrzac na porownanie i sugerujac sie obrazkiem pozniej to nawet gentoo-hardened jest w tyle.
http://postimg.org/image/fjrqagipp/Ostatnio edytowany przez bryn1u (2014-08-13 10:31:09)
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]Offline
Raczej kiepściutkie porównanie, każdy element tego porównania w Gentoo możesz sam sobie skonfigurować i uruchomić, a w tym Mempo się chwalą, że to już podobno ma OTB.
(ciekawe, czy klucze do szyfrowania też mają domyślne. :D)
Uwierzę, kiedy zobaczę, jeśli miałbym wskazać system, który jest bardzo bezpieczny bezpośrednio po instalacji, to zdecydowanie OpenBSD, a ile z nim potem jest roboty, to sam wiesz nieźle.
Ile razy widziałem systemy "gotowe" OTB, to zawsze coś w nich było poniżej krytyki, i tak trzeba było w nich grzebać, co jest często trudniejsze, niż postawienie części lub całości systemu od zera.
Dlatego wolę Gentusia, bo po prostu "wiem, co w nim jest", to tak, jak z bigosem domowym albo ze stołówki. :D
Ja już chcesz szukać Linuxa bezpieczniejszego niż Gentuś hardened, w wersji OTB, to raczej zobacz [url=https://qubes-os.org/]Qubes OS[/url].
Pozdro
;-)
Offline
[quote=Jacekalex]Raczej kiepściutkie porównanie, każdy element tego porównania w Gentoo możesz sam sobie skonfigurować i uruchomić, a w tym Mempo się chwalą, że to już podobno ma OTB.
(ciekawe, czy klucze do szyfrowania też mają domyślne. :D)
Uwierzę, kiedy zobaczę, jeśli miałbym wskazać system, który jest bardzo bezpieczny bezpośrednio po instalacji, to zdecydowanie OpenBSD, a ile z nim potem jest roboty, to sam wiesz nieźle.
Ile razy widziałem systemy "gotowe" OTB, to zawsze coś w nich było poniżej krytyki, i tak trzeba było w nich grzebać, co jest często trudniejsze, niż postawienie części lub całości systemu od zera.
Dlatego wolę Gentusia, bo po prostu "wiem, co w nim jest", to tak, jak z bigosem domowym albo ze stołówki. :D
Ja już chcesz szukać Linuxa bezpieczniejszego niż Gentuś hardened, w wersji OTB, to raczej zobacz [url=https://qubes-os.org/]Qubes OS[/url].
Pozdro
;-)[/quote]
Dlatego napisalem, ze sugerujac sie obrazkiem :D. Ale nie mniej jednak moze cos wreszcie ruszy w debianie :D Bo nawet debian zostal w tyle przy ubuntu hardened:D.
P.S
A ciekawy jest jeszcze Alpine Linux.
Ostatnio edytowany przez bryn1u (2014-08-13 11:26:47)
Offline
Jeżeli ten projekt bazuje na repozytoriach Debiana Stable, to Debian stable pod względem hardeningu na poziomie kompilatora bardzo dzielnie ściga Ubuntu. :D
Z Gentusiem pod tym względem w ogóle nie ma porównania.
Jeśli natomiast masz już gotowe programy w binarkach, to cały wyścig na linii Gentoo - Debian to jest wyścig na to, którego ktoś lepiej skonfiguruje, od kluczy ssh, poprzez chrooty do maszyn wirtualnych, systemy ACL, to wszystko jest konfiguracja.
Jak się odpala Xena czy LXC pod solidnie skonfigurowanym Grseciem, to nawet w tym wątku niektórzy wiedzą. :D
Alpine Linux nie sprawdzałem, sprawdzałem wszystkie główne dystrybucje,
z wyjątkiem Archa, na wszystkie Linuxy życie jest stanowczo za krótkie. ;)
Ostatnio edytowany przez Jacekalex (2014-08-13 11:33:29)
Offline
[quote=Jacekalex]Jeżeli ten projekt bazuje na repozytoriach Debiana Stable, to Debian stable pod względem hardeningu na poziomie kompilatora bardzo dzielnie ściga Ubuntu. :D
Z Gentusiem pod tym względem w ogóle nie ma porównania.
Jeśli natomiast masz już gotowe programy w binarkach, to cały wyścig na linii Gentoo - Debian to jest wyścig na to, którego ktoś lepiej skonfiguruje, od kluczy ssh, poprzez chrooty do maszyn wirtualnych, systemy ACL, to wszystko jest konfiguracja.
Jak się odpala Xena czy LXC pod solidnie skonfigurowanym Grseciem, to nawet w tym wątku niektórzy wiedzą. :D
Alpine Linux nie sprawdzałem, sprawdzałem wszystkie główne dystrybucje,
z wyjątkiem Archa, na wszystkie Linuxy życie jest stanowczo za krótkie. ;)[/quote]
Arch podjal decyzje i skonfigurowali wszystkie paczki z -fstack-protector-strong :D. Troche odskakujac od tematu. Co do kompilatora gcc-4.9 Torvalds napisal:
Linus Torvalds has called GCC 4.9.0 compiler ‘pure and utter sh*t’ and ‘terminally broken’ after a random panic was discovered in a load balance function in Linux 3.16-rc6.
“Ok, so I’m looking at the code generation and your compiler is pure and utter *shit*”, in one of the mails on Linux kernel mailing list. “…gcc-4.9.0 seems to be terminally broken”, he added further.[/quote]
link: http://www.techienews.co.uk/9715681/linus-torvalds-gcc-4-9-0-seems-terminally-broken/
GCC im wyzsza wersja tym jest bardziej spier.... dlatego domniemam dlaczego gentoo-hardened stoi na gcc 4.7 - co jest rozsadnym i madrym rozwiazaniem.Ostatnio edytowany przez bryn1u (2014-08-13 11:56:12)
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]
Offline
Jesienią status stabilny dostanie gcc-4.8, jak większość systemu się na nim będzie kompilować poprawnie.
W Gentoo nowy kompilator jest dużo później, niż w Debianie, bo czeka,
aż developerzy sprawdzą na swoich systemach ten kompilator w różnych warunkach, na różnych procesorach i z rożnymi flagami.
Ten etap w Gentusiu jest znacznie bardziej zaawansowany, niż w paczkowatych dystrybucjach, np Debian może sobie mieć gcc-4.9 i 75% systemu kompilowane gcc starszym niż 4.8, i wszystko działa.
W Gentoo, jak masz w działającym systemie kompilator GCC oznaczony jako stabilny, to jest duże prawdopodobieństwo, że cały system był nim kompilowany.
Dlatego kompilator w Gentoo staje się stabilny, jak można go bezpiecznie wsadzić do stage instalacyjnego, bez ryzyka jesieni średniowiecza na bugzilli. :DDD
W Gentoo jakość kompilatora GCC widać na "żywym organizmie". ;)
Ostatnio edytowany przez Jacekalex (2014-08-13 12:31:03)
Offline
[quote=Jacekalex]Jesienią status stabilny dostanie gcc-4.8, jak większość systemu się na nim będzie kompilować poprawnie.
W Gentoo nowy kompilator jest dużo później, niż w Debianie, bo czeka,
aż developerzy sprawdzą na swoich systemach ten kompilator w różnych warunkach, na różnych procesorach i z rożnymi flagami.
Ten etap w Gentusiu jest znacznie bardziej zaawansowany, niż w paczkowatych dystrybucjach, np Debian może sobie mieć gcc-4.9 i 75% systemu kompilowane gcc starszym niż 4.8, i wszystko działa.
W Gentoo, jak masz w działającym systemie kompilator GCC oznaczony jako stabilny, to jest duże prawdopodobieństwo, że cały system był nim kompilowany.
Dlatego kompilator w Gentoo staje się stabilny, jak można go bezpiecznie wsadzić do stage instalacyjnego, bez ryzyka jesieni średniowiecza na bugzilli. :DDD
W Gentoo jakość kompilatora GCC widać na "żywym organizmie". ;)[/quote]
Nie orientujesz sie kiedy wprowadza fstack-protector-strong w gentoo-hardened ? W Archu wszystkie paczki juz skompilowali.
Offline
Nie wprowadza się w ogóle, w Gentoo masz takie flagi, jakie sobie sam w make.conf ustawisz.
Developerzy się nie zajmują tym, jak sobie zmienne w make.conf ustawisz.
Jedyny wyjątek, to kompilator hardened. gdzie Developerzy dodali fstack-protector, PIE, bindnow i fortify-source (nie trzeba dodawać ręcznie) jako domyślne, fstack-protector-strong pewnie też dodadzą, jeśli nie będzie z nim jakichś koszmarnych problemów.
W każdym razie team hardened ustala domyślne zachowanie kompilatora, każdy może je sobie modyfikować przy pomocy CFLAGS samodzielnie.
Jak koniecznie potrzebujesz info w tej sprawie, to zapytaj na liście mailingowej projekt hardened.
Wykaz list mailngowych masz tutaj:
http://www.gentoo.org/main/pl/lists.xml
W Gentoo paczek nie skompilowali, bo ich nie kompilują, pacjenci sobie paczki robią we własnym zakresie, Developerzy dają tylko narzędzia do budowy.
Ostatnio edytowany przez Jacekalex (2014-08-13 15:09:26)
Offline
@Jacek
Wracajac do tematu, akurat przypadkowo znalazlem ktos opublikowal 10 very secured distributions :D
http://efytimes.com/e1/fullnews.asp?edid=137598
Offline
Mylisz dwa pojęcia.
Very Secure Linux - to określenie gotowych stabilnych dystrybucji, w których sporo uwagi poświęcono bezpieczeństwu.
Gentoo samo w sobie nie jest bezpiecznym systemem, bo nie pobierasz w przypadku Gentoo gotowego systemu, tylko worek klocków i narzędzi, z których sam budujesz system.
Ten system może być bezpieczniejszy, niż OpenBSD, albo bardziej dziurawy, niż Windows 95, w zależności od tego, kto go stawia i konfiguruje, i jak to robi.
Ot i cała tajemnica Gentusia, i wyjaśnienie, dlaczego w takich porównaniach i grafikach umieszczanie Gentoo nie ma sensu.
Gentoo tym się różni od innych dystrybucji, że jak go używasz, to przy okazji cholernie dobrze poznajesz każdy kawałek Linuxa, w tej dziedzinie lepszy jest tylko LFS.
Bezpieczeństwo Gentoo w dużym stopniu bierze się z tego, że nie ma dwóch idealnie jednakowych systemów Gentoo na świecie, każdy jest w jakimś stopniu unikalny, w rezultacie trudniej przygotować na niego exploity, niż na system, w którym wszystkie egzemplarze na świecie mają paczki o tej samej sumie sha1, potem jak w Debianie czy CentOSie pojawi się dziurawa paczka, to automatycznie ląduje na co najmniej 20 milionach serwerów.
To bynajmniej nie oznacza, że w Gentoo nie ma błędów, oznacza natomiast, że część błędów jest unikalna dla pojedynczego systemu, i świat się o nich zbyt łatwo nie dowie, nie mówiąc o ich skutecznym wykorzystaniu. xD
Dlatego na ten system dużo trudniej przygotować wektor skutecznego ataku, niż na Debiana, bo w przypadku Gentusia atakujący nie ma pewności, co w nim dokładnie jest.
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2014-08-13 18:57:52)
Offline
[quote=Jacekalex]Mylisz dwa pojęcia.
Very Secure Linux - to określenie gotowych stabilnych dystrybucji, w których sporo uwagi poświęcono bezpieczeństwu.
Gentoo samo w sobie nie jest bezpiecznym systemem, bo nie pobierasz w przypadku Gentoo gotowego systemu, tylko worek klocków i narzędzi, z których sam budujesz system.
Ten system może być bezpieczniejszy, niż OpenBSD, albo bardziej dziurawy, niż Windows 95, w zależności od tego, kto go stawia i konfiguruje, i jak to robi.
Ot i cała tajemnica Gentusia, i wyjaśnienie, dlaczego w takich porównaniach i grafikach umieszczanie Gentoo nie ma sensu.
Gentoo tym się różni od innych dystrybucji, że jak go używasz, to przy okazji cholernie dobrze poznajesz każdy kawałek Linuxa, w tej dziedzinie lepszy jest tylko LFS.
Bezpieczeństwo Gentoo w dużym stopniu bierze się z tego, że nie ma dwóch idealnie jednakowych systemów Gentoo na świecie, każdy jest w jakimś stopniu unikalny, w rezultacie trudniej przygotować na niego exploity, niż na system, w którym wszystkie egzemplarze na świecie mają paczki o tej samej sumie sha1, potem jak w Debianie czy CentOSie pojawi się dziurawa paczka, to automatycznie ląduje na co najmniej 20 milionach serwerów.
To bynajmniej nie oznacza, że w Gentoo nie ma błędów, oznacza natomiast, że część błędów jest unikalna dla pojedynczego systemu, i świat się o nich zbyt łatwo nie dowie, nie mówiąc o ich skutecznym wykorzystaniu. xD
Dlatego na ten system dużo trudniej przygotować wektor skutecznego ataku, niż na Debiana, bo w przypadku Gentusia atakujący nie ma pewności, co w nim dokładnie jest.
Pozdro
;-)[/quote]
Mowilem raczej o gentoo-hardened niz o gentoo. Po drugie moim zdaniem powinien byc wymieniony tym bardziej, ze jest polecany na stronie grsecurity.net (gdzies na glownej). Po trzecie czytalem, ze kazda dystrybucja to linux+userland a gentoo-hardened a dokladnie userland zostal stworzony "na kernelu hardened"
Offline
Gentoo hardened, Gentoo-RBAC, Gentoo-freebsd, Gentoo-embeded - to są tylko profile systemu Gentoo, czyli praktycznie zestaw innych flag USE i czasami łatek, względnie w przypadku BSD inne jajo.
Gentoo ma wiele twarzy.
W dalszym ciągu stage instalacyjny, ebuildy i dokumentacja, to jest bardziej skrzynka narzędzi i worek klocków, niż system operacyjny.
Offline
[quote=Jacekalex]Gentoo hardened, Gentoo-RBAC, Gentoo-freebsd, Gentoo-embeded - to są tylko profile systemu Gentoo, czyli praktycznie zestaw innych flag USE i czasami łatek, względnie w przypadku BSD inne jajo.
Gentoo ma wiele twarzy.
W dalszym ciągu stage instalacyjny, ebuildy i dokumentacja, to jest bardziej skrzynka narzędzi i worek klocków, niż system operacyjny.[/quote]
Profile, nie profile, gentoo-hardened przekompilowywuje ci wszystkie paczki z PIE+SSP. Do tego podczas sciagania zrodel kernela widac ile jest nakladanych lat, ile jest zmian i kernel sam w sobie jest przygotowany do pracy. Na stronie gentoo jest napisane "przebylismy dluga droge, aby uzytkownikowi dostarczyc bezpiecznego systemu", przeciez caly toolchain musial wspolgrac ze soba, caly userland . Podczas configuracji gentoo-hardened po sciagnieciu zrodel zauwazylem przed aktualizacja jajka dodatkowa opcje w dziale grsecurity (menuconfig), ktora mniej wiecej byla zwiazana z dodatkowa opcja "userland". W podstawowym grsecurity tego nie ma ! Zobacz, ze wersje jajka i patcha grsec roznia sie niz te na stronie grsecurity, wiec dev'y sami wszystko przygotowywuja. Moim zdaniem nie jest profilem a produktem. Z tego wynika, ze na wszystko mozna mowic profil.
Offline
Faktycznie coś tam zmieniają w hardened-sources, ale główna cześć, czyli konfig i kompilacja, to robota dla pacjenta.
Nawet nowe opcje konfigu, to dalej są tylko łatki, choć rzeczywiście wyglądają niezwykle poważnie.
Offline
Projekt wydaje się genialny i napawa entuzjazmem:)
Gdzie tam można do nich napisać? Bo nie widzę żadnych list ani adresów?
Czy jest coś takiego jak tam zostało poruszony - open source hardware?? Bo osobiście nie słyszałem o laptopie ani pcecie open source (jedynie o raspberry pi).
Czy to grsecurity nie będzie przeszkadzało w aktualizacjach, doinstalowywaniu softu?
Uważam że powinni oni wziąc po 1-2 apek użytkowych z każdej możliwej grupy, uważanacyh za the best w swojej klasie i wrzucenie jako by default.
Offline
Czy to grsecurity nie będzie przeszkadzało w aktualizacjach, doinstalowywaniu softu?[/quote]
Sam Grsec nie powinien powodować problemów, ale jeśli tam jest włączony PAX_MPROTECT, to całkiem sporo paczek ze standardowego repo Debiana będzie łapało różne segfaulty i podobne historie, zwłaszcza w okolicach środowiska graficznego.
Pax jest integralną częścią każdej łatki Grsec, chociaż jest rozwijany jako osobny projekt.
Jeśli natomiast wyłączyli MPROTECT, to tym samym wyrwali najmocniejszy pazur PAXa do ochrony przed exploitami operującymi w pamięci RAM.
Paczki działające w środowisku Paxa się troszkę inaczej kompiluje, co w Debianie ciągle nie jest jeszcze standardem, więc ten Mempo-linux musiałby mieć własne repozytorium, a w tym repo byłoby znacznie więcej roboty, niż w przypadku repo Ubuntu.
Jak w Archu wprowadzili kernel-grsec, to do zarządzania flagami Paxa napisali osobnego demona systemowego [url=https://www.archlinux.org/packages/community/i686/paxd/]Paxd[/url] . :DOstatnio edytowany przez Jacekalex (2014-09-17 21:31:05)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
A da się tam gdzieś popisać z nimi?
Ważne że taki projekt wógóle powstał i jest rozwijany - to własnie to czego brakowało. Miejmy nadzieje że nawet jesli problemy jakieś będą to zostaną z czasem rozwiązane, nawet jesli powstanie osobny distro.
Offline
[b]alfa444[/b] popisać to raczej możesz z dziewczynami na czacie na interii. Poważni developerzy głupotmi się nie zajmują i nie chcą aby im ktoś pierdołami zawracał D. Masz taki sam poziom wiedzy o programowaniu i bezpieczeństwie co oni? Więc o czym chcesz z nimi pisać? O pogodzie?
=8D
Offline
1021
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:57:47)
Offline
Nie znam się na temat programowania i nie zamierzam ich pouczać jak mają co robić. Natomiast mam pewną wiedzę i wizję co warto byłoby zrobić.
Brak linuxowi chocby plausible deniability w luks. Brak możliwości nasladowania innych OS aka (defeating OS fingerprinting), który ma tails (nawet jesli dziala tylko do pewnego stopnia). Kazdy soft który jakoś narażalby jego użytkownika powinien być w takim systemie przez tora domyslnie skonfigurowany.
Zabezpieczenie przed dns cache posioning - to przeciez opendns i cloudns oferuje DNSSEC, który własnie przed tym chroni. Warto byłoby im to podpowiedzieć, bo jesli ich projekt się powiedzie to będzie przebój ewolucyjno-cywilizacyjny! :D
Offline
[quote="uzytkownikubunt"]...że jednak mam wątpliwości, czy nie jest to zbyt ambitny projekt. Qubes OS dla przykładu rzadko jest wydawany z nowymi paczkami, a oni chcą tam jeszcze Paksa zintegrować.[/quote]
QubesOS bazuje na standardowych paczkach Fedory, tam bezpieczeństwo opiera się na separacji poszczególnych zadań poprzez kilka wirtualek Xena.
Na poszczególnych wirtualkach może być nawet Windows XP.
To zupełnie inna filozofia, niż utwardzanie systemu od fundamentu po sufit, zaczynając od kompilatora, to raczej konstrukcja stawiająca na separację zadań, a nie właściwy hardening systemu w sensie znanym z OpenBSD czy Gentoo-hardened.
[quote="alfa444"]Brak linuxowi chocby plausible deniability w luks. Brak możliwości nasladowania innych OS aka (defeating OS fingerprinting), który ma tails (nawet jesli dziala tylko do pewnego stopnia). Każdy soft który jakoś narażalby jego użytkownika powinien być w takim systemie przez tora domyslnie skonfigurowany.[/quote]
To już jest zabawa, która z bezpieczeństwem ma niewiele wspólnego, ale jest wykonalna w Linuxie, w jakimś tam stopniu.
Zainteresuj się projektem honeyd.
[quote="alfa444"]Zabezpieczenie przed dns cache posioning - to przeciez opendns i cloudns oferuje DNSSEC, który własnie przed tym chroni. Warto byłoby im to podpowiedzieć, bo jesli ich projekt się powiedzie to będzie przebój ewolucyjno-cywilizacyjny! :D[/quote]
Zainteresuj się dnscrypt.
Dnssec w Linuxie jest już w użyciu, problem polega na tym, że diabelnie mało serwerów DNS na razie używa podpisu DNSSEC, a póki taki mały odsetek domen jest podpisanych, trudno egzekwować weryfikację podpisu w DNS.
Żeby zweryfikować domenę, to ona musi być podpisana, a w tym przypadku ciągle podpis DNSSEC to rzadkość, a nie standard.
W dodatku DNSSEC nie jest niezbędny na stronach używających SSL, gdzie masz kryptograficzną weryfikację certyfikatu, jak np na DUGu w tej chwili ;).
Weryfikację certyfikatu SSL obsługuje wszystko, co mam w systemie,
z wgetem włącznie.
Dlatego DNSSEC polegnie na polu chwały w miarę upowszechniania się szyfrowania SSL.
Tu masz conieco o DNSSEC:
https://wiki.archlinux.org/index.php/DNSSEC
https://www.dnssec-tools.org/wiki/index.php/DNSSEC_Applications
Ostatnio edytowany przez Jacekalex (2014-09-18 10:55:33)
Offline
Osobiście, byłbym za tym żeby przede wszystkim zajęli się uodpornieniem kernela na wykonywanie exploitów, bo ze wszystkim innym można sobie we własnym zakresie poradzić, ale z grsec/[ax już bardzo ciężko;/
Offline
1047
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:58:20)
Offline
Ależ mogą sobie chcieć, jednak żeby wykorzystać cały potencjał Grsecurity i Paxa, to trzeba specjalnych paczek, gdzie literalnie wszystko jest kompilowane z PIE, bindnow, relro, a nie co 5 czy 51 paczka, jak w obecnym repo Debiana.
Dopiero jak całe repo będzie kompilowane z takimi pancernymi flagami, i przy okazji wtyczkami do Paxa (takie też są), to będzie jakieś porównanie z tym systemem, który mam właśnie przed nosem.
Z wirtualizacją nie chce mi się bawić, poza tym i tak brałbym KVM a nie Xena, w każdym razie mam teraz szybki, stabilny i ultra-bezpieczny system, problemów z nim mniej niż z Debianem testing, większych problemów brak.
Natomiast na zrobienie całego repo Debiana z pancernymi flagami to nie tylko Mempo nie stać, ale nawet Cannonical, które na tym polu zrobiło wbrew pozorom całkiem sporo.
Poza tym widziałem już kilka projektów takich pancernych Linuxów, i zawsze to były niszowe projekty, które potem obumierały śmiercią naturalną.
Ostatnio dopiero najpierw w 2010 zaczęli zbroić Ubuntu, ale się zatrzymali, teraz Arch ostro zaszalał z bezpieczeństwem, także Gentuś hardened może wreszcie straci monopol na pancer-linux.
Ale przyszłości Mempo nie wróżę, wystarczy spojrzeć na OpenBSD, żeby wiedzieć, jaki udział w "rynku" może mieć taki system.
Poza tym pancerny system, który jest "gotowy" ma tą wadę, ze i tak nie wiem, co w nim dokładnie jest, jakie skrypty i triki z konfiguracją, a jak stawiam Gentusia, to znam w nim każdy plik i każdy szczegół konfiguracji, bo ten system nic nie robi bez mojej wiedzy i zgody.
A np Debian przy instalacji automatycznie restartuje demona, co przy solidnych modyfikacjach bezpieczeństwa powoduje tony błędów.
Prosty przykład, na binarce Ngixna ustawiłem [b]cap_net_bind_service+ep[/b] ale zabrałem mu bit SUID i SGID.
Kiedy bez tego uprawnienia net_bind_service się go spróbuje odpalić po instalacji, to przechodzi w tryb zombie i blikuje wszystkie semafory IPC.
Powodem jest aktywny profil apparmora dla Nginxa, w którym jest ściśle napisane, co nginx może robić w systemie..
Wystarczy mu jednak dodać odpowiednie uprawnienie capabilities przez polecenie [b]setcap[/b], żeby normalnie wisiał na porcie.
Aktualizacja Nginxa na serwerze Debiana w takich warunkach oznaczałoby każdorazowo katastrofę, z wywaleniem np Postgresql z braku dostępnych semaforów IPC.
Ale w Debianie Nginx i Apache wiszą na porcie zawsze jako root, choć nie ma ku temu żadnych racjonalnych podstaw ani powodów.
Dlatego średnio wieżę w taki projekt jak Mempo, który zrobi niewiarygodne cudo bazując na repozytorium Debiana, które to repo znam nie najgorzej.
Pozdro
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00172 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.255.116' WHERE u.id=1 |
0.00097 | UPDATE punbb_online SET logged=1732555270 WHERE ident='3.144.255.116' |
0.00040 | SELECT * FROM punbb_online WHERE logged<1732554970 |
0.00045 | SELECT topic_id FROM punbb_posts WHERE id=273269 |
0.00009 | SELECT id FROM punbb_posts WHERE topic_id=26254 ORDER BY posted |
0.00072 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=26254 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00284 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=26254 ORDER BY p.id LIMIT 0,25 |
0.00069 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=26254 |
Total query time: 0.00808 s |