Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#251  2015-02-18 21:03:38

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Rozmowy o BSD

[b]End of the m0n0wall project[/b]

m0n0wall is a project aimed at creating a complete, embedded firewall software package that, when used together with an embedded PC, provides all the important features of commercial firewall boxes (including ease of use) at a fraction of the price (free software).[/quote]

Dear m0n0wall enthusiasts,

on this day 12 years ago, I have released the first version of m0n0wall to the public. In theory, one could still run that version - pb1 it was called - on a suitably old PC and use it to control the Internet access of a small LAN (not that it would be recommended security-wise). However, the world keeps turning, and while m0n0wall has made an effort to keep up, there are now better solutions available and under active development.

Therefore, today I announce that the m0n0wall project has officially ended. No development will be done anymore, and there will be no further releases.

The forums and the mailing list will be frozen at the end of this month. All the contents of the website, repository, downloads, mailing list and forum will be archived in a permanent location on the web so that they remain accessible indefinitely to anyone who might be interested in them.

m0n0wall has served as the seed for several other well known open source projects, like pfSense, FreeNAS and AskoziaPBX. The newest offspring, OPNsense (https://opnsense.org), aims to continue the open source spirit of m0n0wall while updating the technology to be ready for the future. In my view, it is the perfect way to bring the m0n0wall idea into 2015, and I encourage all current m0n0wall users to check out OPNsense and contribute if they can.

Finally, I would like to take this opportunity to thank everyone who has been involved in the m0n0wall project and helped in some way or another - by contributing code, documentation, answering questions on the mailing list or the forum, donating or just spreading the word. It has been a great journey for me, and I'm convinced that even now that it has come to an end, the m0n0wall spirit will live on in the various projects it has spawned.

Manuel Kasper
15 February 2015[/quote]

Offline

 

#252  2015-03-02 17:24:18

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

1696

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:12:33)

Offline

 

#253  2015-03-05 13:39:07

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Rozmowy o BSD

Nastepna piekna rzecz, ktora bedzie we FreeBSD 11 - HARDENEDBSD.

Opis i funkcje
https://www.soldierx.com/news/HardenedBSDs-Integriforce

Porownanie, odpowiednik NETBSD:
https://netbsd.org/docs/guide/en/chap-veriexec.html

Screen z zastosowania:
http://i.imgur.com/wHp2eAN.png

FreeBSD 11 bedzie miazdzylo po calosci !


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#254  2015-03-06 18:25:32

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

1716

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:13:01)

Offline

 

#255  2015-03-06 20:50:15

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Rozmowy o BSD

Przeciez openbsd na desktopie to prawie nikt nie uzywa

Offline

 

#256  2015-03-06 20:51:28

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

1719

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:13:05)

Offline

 

#257  2015-03-06 21:15:20

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Rozmowy o BSD

[quote=uzytkownikubunt][quote=Yampress]Przeciez openbsd na desktopie prawie nikt nie uzywa[/quote]
Selekcja. Przecież pisałem ;)
W razie czego jednak jest KDE (3 i 4), Gnome, Xfce, Fluxbox, Openbox w portach :D[/quote]
Nie selekcja. Po protu wybór...   Uważasz ze openbsd jest tak ciężkie aby go się nauczyć? i To tworzy selekcje?
Jest na desktop ciężkie w użytkowaniu, bo wielu rzeczy  nie uruchomisz na nim tak jak na linuxie . I nawet nie chodzi tutaj o prędkość działania tylko o multimedialność. 
Dla mnie systemy BSD są prostsze od linuxa. Tylko netbsd daje jakiś poziom skomplikowania. FreeBSD to aktualnie jest banalne.

Offline

 

#258  2015-03-06 21:22:36

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

1720

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:13:06)

Offline

 

#259  2015-03-07 12:03:58

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Rozmowy o BSD

[quote=uzytkownikubunt][quote=bryn1u]Nastepna piekna rzecz, ktora bedzie we FreeBSD 11 - HARDENEDBSD.

Opis i funkcje
https://www.soldierx.com/news/HardenedBSDs-Integriforce

Porownanie, odpowiednik NETBSD:
https://netbsd.org/docs/guide/en/chap-veriexec.html

Screen z zastosowania:
http://i.imgur.com/wHp2eAN.png

FreeBSD 11 bedzie miazdzylo po calosci ![/quote]
Co z tego, że będą takie zabezpieczenia skoro na pakietach binarnych ich nie będziesz mógł włączyć, bo nie będą skompilowane z odpowiednimi opcjami? Ja wiem, że w społeczności FreeBSD i Linuksa są eksperci i/lub jednostki lubiące bezpieczeństwo i stabilność, ale na każdą taką osobę przypada odpowiednio ze 100 i 500 osób, które się na tym nie znają lub wolą zamiast tego, by system się trochę szybciej uruchamiał. Tylko wśród OpenBSD jest społeczność ludzi, którzy są w stanie w imię wartości - bezpieczeństwa, poświęcić odrobinę innych cech. Tak sobie nawet myślę, że to nawet dobrze, że w OpenBSD nie ma wielu sterowników i nie działa na wielu laptopach tak enerooszczędnie jak Linux. Dzięki temu następuje selekcja w czasie której część ludzi odpada :)[/quote]
Musze cie rozczarowac w zwiazku z pakietami binarnymi :(

Kod:

HardenedBSD: {
  url: "http://pkg.hardenedbsd.org/current/${ABI}"
  mirror_type: "http",
  signature_type: "pubkey",
  pubkey: "/usr/share/keys/pkg/trusted/hardenedbsd.crt.2014-09-04",
  enabled: yes
}

E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#260  2015-03-07 12:28:19

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

1722

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:13:09)

Offline

 

#261  2015-03-07 16:09:31

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Rozmowy o BSD

http://pkg.hardenedbsd.org/current/amd64/All/


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#262  2015-03-07 17:00:54

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

1723

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:13:10)

Offline

 

#263  2015-03-07 20:45:26

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Rozmowy o BSD

Pozyjemy zobaczymy. Chyba nie jest problemem przekompilowac wszystkie porty z dodatkowymi opcjami i zrobic paczki. Do tego wystarczy skrypt. Gdzies sie natchnalem, ze beda dwa repa. Jedno normalne a drugie hardened. Zreszta do FreeBSD - 11 jest jeszcze troche czasu. Nie ukrywam, ze bedzie to ogromny skok zarowno na warstwie emulacji linux_compat, writualizacji min. bhyve oraz bardzo rozbudowanej warstwie zabezpieczen. Badzmy optymistami.


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#264  2015-03-19 14:04:00

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Rozmowy o BSD

[quote=uzytkownikubunt][quote=uzytkownikubunt]Nawet w Debianie już powłączali na sporej ilości pakietów PIE oraz SSP.
Dzisiaj zainstalowany Debian testing, skoro zaszło mrożenie to bardzo podobny będzie oficjalny Debian 8 Jessie: http://wklej.dug.net.pl/4928[/quote]
Dla ciekawostki wynik z OpenBSD:
http://wklej.dug.net.pl/4929[/quote]
Tutaj masz wynik z FreeBSD-11 na dzien dzisiejszy, prowonaj z OpenBSD. Co sie zmienilo od ostatniego mojego postu:

[url]https://proton.edu.pl/~bryn1u/Security/Paxtest/[/url]

Opcje w jajku:

Kod:

# HardenedBSD hardening options
options         PAX
options         PAX_ASLR                # Address Space Layout Randomization
options         PAX_HARDENING           # Various hardening options
options         PAX_SYSCTLS             # sysctls for run-time options
options         PAX_SEGVGUARD           # prevent brute-force attacks
options         PAX_PTRACE_HARDENING
options         PAX_PTRACE_HARDENING_GRP=50000
options         KTR
options         UFS_EXTATTR

Jak na Current nie wyglada chyba az tak zle.

Ostatnio edytowany przez bryn1u (2015-03-19 14:18:36)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#265  2015-03-19 14:39:25

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

1775

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:14:16)

Offline

 

#266  2015-03-19 14:50:22

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Rozmowy o BSD

[quote=bryn1u][quote=uzytkownikubunt][quote=uzytkownikubunt]Nawet w Debianie już powłączali na sporej ilości pakietów PIE oraz SSP.
Dzisiaj zainstalowany Debian testing, skoro zaszło mrożenie to bardzo podobny będzie oficjalny Debian 8 Jessie: .....[/quote]
[/quote]
[/quote]
Tymczasem Gentuś:

Kod:

paxtest blackhat
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Writing output to paxtest.log
It may take a while for the tests to complete
Test results:
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Mode: blackhat
Linux localhost 3.19.2-gr1 #1 SMP PREEMPT Thu Mar 19 11:30:55 CET 2015 x86_64 Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz GenuineIntel GNU/Linux

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed
Executable anonymous mapping (mprotect)  : Killed
Executable bss (mprotect)                : Killed
Executable data (mprotect)               : Killed
Executable heap (mprotect)               : Killed
Executable stack (mprotect)              : Killed
Executable shared library bss (mprotect) : Killed
Executable shared library data (mprotect): Killed
Writable text segments                   : Killed
Anonymous mapping randomisation test     : 29 bits (guessed)
Heap randomisation test (ET_EXEC)        : 23 bits (guessed)
Heap randomisation test (PIE)            : 35 bits (guessed)
Main executable randomisation (ET_EXEC)  : 29 bits (guessed)
Main executable randomisation (PIE)      : 29 bits (guessed)
Shared library randomisation test        : 29 bits (guessed)
Stack randomisation test (SEGMEXEC)      : 35 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 35 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Killed
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy, PIE)         : Killed

Zarówno w Jessie (standard) jak i w OpenBSD (troszkę dziwne) najpoważniejszą podatnością jest:

Kod:

Writable text segments                   : Vulnerable

Także jeszcze troszkę roboty przed Developerami *BSD i Debiana. ;)

SOA#1
xD

Ostatnio edytowany przez Jacekalex (2015-03-19 15:00:16)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#267  2015-03-26 08:43:27

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Rozmowy o BSD

No i stalo sie. Panowie do jajka doszla nowa opcja:

Kod:

PAX_NOEXEC              # Remove WX pages from user-space and enforce W^X

E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#268  2015-03-26 18:52:45

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Rozmowy o BSD

1792

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:14:37)

Offline

 

#269  2015-03-26 19:07:23

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Rozmowy o BSD

@uzytkownik

Ostatnie zdania sa dla ciebie :P Jest tam tez fraza na ktora czekasz tzw: firefox :D

Over the past few months, Oliver has been busy writing a new exploit mitigation feature for HardenedBSD: NoExec. The first part of this project was merged into master tree, and there are still ongoing issues to solve. Our implementation is inspired by PaX's. NoExec prevents pages that are marked as writable from being marked executable as well. It also prevents using mprotect(2) to change a non-executable page to an executable one. This, of course, can cause issues with applications that expect to be able to mark existing pages as executable. Firefox is a good example. You will need to either jail the application in a jail with NoExec turned off or use secadm to turn off NoExec for that application.

This feature bumps the HardenedBSD version number up to 17. We're doing a new package build as well. You'll also get some applications built as Position-Independent Executables (PIEs) with this package build.[/quote]
Sysctl hardening

Kod:

[root@Indyferentny ~/paxtest-0.9.11]# sysctl hardening
hardening.pax.aslr.status: 2
hardening.pax.aslr.mmap_len: 30
hardening.pax.aslr.stack_len: 20
hardening.pax.aslr.exec_len: 21
hardening.pax.aslr.compat.status: 2
hardening.pax.aslr.compat.mmap_len: 8
hardening.pax.aslr.compat.stack_len: 8
hardening.pax.aslr.compat.exec_len: 8
hardening.pax.pageexec.status: 2
hardening.pax.mprotect.status: 2
hardening.pax.segvguard.status: 1
hardening.pax.segvguard.debug: 0
hardening.pax.segvguard.expiry_timeout: 120
hardening.pax.segvguard.suspend_timeout: 600
hardening.pax.segvguard.max_crashes: 5
hardening.version: 17
hardening.log.log: 1
hardening.log.ulog: 0
hardening.allow_map32bit: 0
hardening.procfs_harden: 1
hardening.ptrace_hardening.status: 1
hardening.ptrace_hardening.gid: 50000
[root@Indyferentny ~/paxtest-0.9.11]#

https://www.freebsd.org/cgi/man.cgi?query=mprotect&apropos=0&sektion=0&manpath=FreeBSD+10.1-RELEASE&arch=default&format=html

Ostatnio edytowany przez bryn1u (2015-03-26 19:07:56)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#270  2015-03-26 19:36:55

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Rozmowy o BSD

@up

To jest ten nowy HardenedBSD, OpenBSD czy FBSD w końcu?

Ostatnio edytowany przez Jacekalex (2015-03-26 19:37:22)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#271  2015-03-26 19:45:04

  darius - Użytkownik

darius
Użytkownik
Skąd: Paryz/Wilanow
Zarejestrowany: 2014-03-21

Re: Rozmowy o BSD

Z tego co sie doczytalem to FreeBSD (inne odnogi nie wchodza w rachube) jak sie myle to poprawcie.


Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u3 (2017-08-06) x86_64 GNU/Linux

Offline

 

#272  2015-03-26 20:23:47

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Rozmowy o BSD

[quote=Jacekalex]@up

To jest ten nowy HardenedBSD, OpenBSD czy FBSD w końcu?[/quote]
@Jacek

Tak to jest ten nowy hardenedbsd bazujacy na FreeBSD 11 - current. Powiedzmy ze jest to takie przejscie jak przejscie z gentoo na gentoo-hardened, ale zdecydowanie inna droga. W koncowym efekcie bedzie to normalnie FreeBSD 11 - Release wlasnie z tymi wszystkim opcjami, ktore jeszcze dojda i caly czas dochodza jak widac. Praca idzie pelna para.

Tu masz taki paxctl zwany secadm:

Kod:

{
"applications": [
{
"path": "/usr/local/lib/firefox/firefox-bin",
"features": {
"pageexec" : false,
"mprotect": false,
"aslr": false,
}
}
{
"path": "/usr/local/lib/firefox/firefox",
"features": {
"pageexec" : false,
"mprotect": false,
"aslr": false,
}
}
{
"path": "/usr/local/bin/firefox",
"features": {
"pageexec" : false,
"mprotect": false,
"aslr": false,
}
}
{
"path": "/usr/local/openjdk7/bin/java",
"features": {
"pageexec": false,
"mprotect": false,
}
}
]
}

Tu ladniej widac: https://github.com/HardenedBSD/secadm/blob/master/etc/secadm-desktop.rules.example

Ostatnio edytowany przez bryn1u (2015-03-26 20:24:42)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#273  2015-03-26 21:07:42

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Rozmowy o BSD

Ten konfig, to  jakiś horror.

W Gentoo flagi Paxa się teraz nakłada przy pomocy XATTR, i to jest najwygodniejsza opcja.

Kod:

# file: usr/bin/mplayer
user.pax.flags="PemRS"

ale root może je modyfikować.

Jak chcesz bezpieczniej np na serwerze, to od tego są [url=https://grsecurity.net/gracldoc.htm#PaX_flags_and_caveats]literki[/url] w [b]/etc/grsec/policy[/b]

A tutaj dokumentacja:
http://www.gentoo.org/proj/pl/hardened/grsecurity2.xml#doc_chap3
http://www.grsecurity.net/~spender/newDoc.pdf
https://grsecurity.net/gracldoc.htm

Jest jeszcze demon Paxa, do automatycznego ustawiania flag, [url=http://gpo.zugaina.org/sys-apps/paxctld]paxctld[/url], ale na razie w wersji dosyć dziecięcej. ;)

Ostatnio edytowany przez Jacekalex (2015-03-26 21:25:09)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#274  2015-03-26 21:26:58

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Rozmowy o BSD

Jaki horror. Podajesz sciezke dostepu w configu do binarki i sobie wlaczasz albo wylaczasz. Jaki tu widzisz horror ? Horror to jest w linuxie od nasranych flag paxct'low, chpaxow, i teraz jeszcze xattr.  Czytalem te dokumentacje i stwierdzam, ze pod freebsd jest to zdecydowanie latwiej rozwiazane.

Co tu jest skomplikowanego ?

"path": "/usr/local/lib/firefox/firefox-bin",
"features":
"pageexec" : false,
"mprotect": false,
"aslr": false,[/quote]
Wpisujesz albo false albo true do opcji i tyle. Czyli tak albo nie.  Z gory zalozyles, ze to horror no bo to FreeBSD.

P.S
A tak poza tematem. Co jest pod debianem jesli chodzi o flagi ? Bo tam ten paxctl jest tak kiepski, ze sam sobie zmienia flagi nawet chattr +i nic nie daje.

Ostatnio edytowany przez bryn1u (2015-03-26 21:27:22)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#275  2015-03-27 00:43:36

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Rozmowy o BSD

Chattr dodaje flagi na pliku, a nie na atrybutach XATTR, które są częścią systemu plików.
Flagi do pliku dodaje opcja CONFIG_PAX_PT_PAX_FLAGS z kernela.

Z resztą chciałbyś klepać taki konfig do np 150 albo 300  binarek? Bo ja nie bardzo. :D

W kompie mam już zrobiony konfig (do demona paxctld) i ten liczy sobie tylko 807 pozycji, a to jeszcze nie koniec.
Oczywiście na serwerach jest tego dużo mniej, tam się nie pakuje Mate, KDE i LXQT, ale tam lepiej to w polityce grsec opisać, jest prostsza, niż ten Twój konfig, a przy okazji masz w niej dużo więcej możliwości, np CAPABILITIES, dodatkowy FW (na razie dla IPv4), i możliwość dokładnego zdefiniowane, co dany program może otworzyć, a także np ile pamięci i czasu procesora może użyć (limity zgodne z ulimit, ale lichsze, niż przez cgroup), to wszystko dostępne z poziomu tylko powyżej roota, bo nawet root nie może choćby zajrzeć do polityki grsec, jeśli nie zaloguje się do roli admina w gradm.

Przykład polityki domyślnej dla wszystkiego i wyjątku dla sshd masz w tym dokumencie:
http://grsecurity.net/researchpaper.pdf

Krótko pisząc, filozofia konfiguracji inna ale skuteczność bardzo wysoka, ciekawe tylko, dlaczego nagle zaczęli ładować Paxa do FBSD, w czasie migracji na Clanga.

W każdym razie, Linux z Grseciem & Paxem daje radę, a FBSD się dopiero uczy, czy raczej zaczyna bawić takimi klockami. ;)

Jedyna ważna zaleta we FBSD będzie taka, ze to się znajdzie w defaultowym systemie, podczas, gdy w Linuxie żadna duża dystrybucja (może z wyjątkiem Archa) nie dostarcza gotowego jajka z Grsec, trzeba przeważnie kompilować jajo samodzielnie, czego 95% tzw "adminów" nie potrafi. ;)


Przy okazji: Czy w w tym HardenedBSD lub FBSD planują coś w typie Trusted_Patch_Execution, Harden_Ipc, czy np Deny-New_USB (przełączane przez sysctl/proc) - tego  można łatwo zapiąć np do wygaszacza ekranu.
Pytam, bo Pax jest tylko ważnym, ale nie najważniejszym załącznikiem do Grseca.
Tu masz porównanie z SElinuxem i Apparmorem:
https://grsecurity.net/compare.php


Co prawda nie zagłębialem się w szczegóły, ale przy włączonym harden_ipc, uprawnienia semaforów i połączeń IPC mają wartości 600 lub 700

Kod:

 ipcs -a 

------ Kolejki komunikatów ---
klucz      id_msq     właściciel uprawn.    bajtów      komunikatów

------ Segmenty pamięci dzielonej ----
klucz      id_shm     właściciel uprawn.    bajtów    podłączeń stan        
0x00000000 0          pacjent       600        393216     2          dest         
0x00000000 98305      pacjent       600        393216     2          dest         
0x00000000 131074     pacjent       600        393216     2          dest         
0x00000000 294915     pacjent       600        67108864   2          dest         
0x00000000 589828     pacjent       600        524288     2          dest         
0x00000000 688133     pacjent       600        393216     2          dest         
0x00000000 851974     pacjent       600        393216     2          dest         
0x00000000 884743     pacjent       600        393216     2          dest         
0x00000000 917512     pacjent       600        393216     2          dest         
0x00000000 950281     pacjent       600        393216     2          dest         
0x00000000 1048586    pacjent       600        393216     2          dest         
0x00000000 1146891    pacjent       600        393216     2          dest         
0x00000000 1310732    pacjent       600        393216     2          dest         
0x00000000 1409037    pacjent       600        393216     2          dest         
0x00000000 1638414    pacjent       600        393216     2          dest         
0x00000000 3375119    pacjent       600        524288     2          dest         
0x00000000 1835024    pacjent       600        393216     2          dest         
0x00000000 17203217   pacjent       600        393216     2          dest         
0x00000000 2457618    pacjent       600        393216     2          dest         
0x00000000 2129939    pacjent       600        393216     2          dest         
0x00000000 40271892   pacjent       600        524288     2          dest         
0x00000000 2293781    pacjent       600        524288     2          dest         
0x00000000 2490390    pacjent       700        4828160    2          dest         
0x00000000 17367063   pacjent       600        393216     2          dest         
0x00000000 2883608    pacjent       600        393216     2          dest         
0x00000000 2981913    pacjent       600        393216     2          dest         
0x00000000 3014682    pacjent       600        524288     2          dest         
0x00000000 44040219   pacjent       600        524288     2          dest         
0x00000000 40304668   pacjent       600        4194304    2          dest         
0x00000000 42827805   pacjent       600        393216     2          dest         

------ Tablice semaforów -------
klucz      id_sem     właściciel uprawn.    lsem      
0x00000000 3538944    nginx      600        1         
0x00000000 3571713    nginx      600        1         
0x00000000 3080194    apache     600        1         
0x00000000 3112963    apache     600        1         
0x00000000 3145732    apache     600        1         
0x00000000 3178501    apache     600        1         
0x00000000 3211270    nginx      600        1         
0x00000000 3244039    nginx      600        1         
0x00000000 3342344    nginx      600        1         
0x00000000 3375113    nginx      600        1         
0x00000000 3473418    nginx      600        1         
0x00000000 3506187    nginx      600        1

Wcześniej miały przeważnie z umask, a czasami jakieś wariactwa, np 666 lub 777.

Pokaż, jak uzbrojone są połączenia IPC w tym HardBSD, bo co to znaczy wbić się do IPC jakiegoś  ważnego programu, to oznacza praktycznie kontrolę nad tym programem.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2015-03-27 01:14:24)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)

[ Generated in 0.043 seconds, 13 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00132 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.148.117.255' WHERE u.id=1
0.00090 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.148.117.255', 1733982765)
0.00038 SELECT * FROM punbb_online WHERE logged<1733982465
0.00083 DELETE FROM punbb_online WHERE ident='185.191.171.19'
0.00058 DELETE FROM punbb_online WHERE ident='66.249.66.8'
0.00069 SELECT topic_id FROM punbb_posts WHERE id=285099
0.00015 SELECT id FROM punbb_posts WHERE topic_id=20635 ORDER BY posted
0.00080 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=20635 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.03179 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=20635 ORDER BY p.id LIMIT 250,25
0.00122 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=20635
Total query time: 0.03888 s