* [d-kernel] I: kernel-fix-security-altsec
@ 2006-03-11 22:32 Konstantin A. Lepikhov
2006-03-13 13:20 ` Sergey Vlasov
0 siblings, 1 reply; 2+ messages in thread
From: Konstantin A. Lepikhov @ 2006-03-11 22:32 UTC (permalink / raw)
To: ALT Linux Kernel Devel Mailing List
[-- Attachment #1: Type: text/plain, Size: 2366 bytes --]
Hi!
В kernel cvs залит интересный патч, в котором я постарался перенести в
ядро 2.6 то, чего мне не хватало, т.е. -fix-security-owl. Конечно, я не
стал портировать весь патч целиком (думаю, solar@ когда-нибудь сделает это
лучше меня), лишь перенес наиболее простые и удобные вещи + добавил часть
идей из grsecurity патчей. Итак, чего там есть:
- защищенный /proc (пользователи не входящие в группу, к которой
принадлежит каталог /proc, видят только свои процессы). Также для
обычного пользователя скрыты такие элементы как
/proc/{net,cmdline,io*,slabinfo,kallsym*,config*}
- механизм удаления неиспользуемых shm сегментов из памяти. Реализация
механизма предложена vsu@ на основе идей из owl патча. В TODO - более
гибкая система контроля shm ресурсов. Этот механизм можно отключить
через sysctl shm_destroy_unused (по-умолчанию он включен).
Остальная часть owl патча (т.е. non-exec stack) реализуется через
-fix-security-pax (pax.grsecurity.net), которая более полная по своей
реализации защиты от атак связанных с запуском кода в памяти,
предназначенной только для чтения.
Общая связка -fix-security-pax + -fix-security-altsec была проверена на
std26 и vs26 ядрах на архитектурах i386 и x86-64, критических ошибок в
реализации пока не замечено (но это не значит, что их там нет :) Так что
прошу посмотреть этот патч и проверить его как можно с большим кол-вом
приложений (особенно интересуют те, кто активно работает с shm). В
дальнейшем планируется добавить этот патч в ядра std26 и vs26 (возможно и
в rad26, но это по-желанию их мантейнера).
Кому лень самостоятельно собирать vserver с pax+altsec, я выложил
обновленный -feat-core-vserver (altsec брать оттуда же):
http://lakostis.elektrostal.ru/RPMS/testing/
PS С PaX некоторые программы перестанут работать (например,
openvpn/httpd/rpm). Для их запуска придется отключить mmap/mprotect
утилитой paxctl (брать с pax.grsecurity.net). Она позволяет отключить
pax защиту на уровне отдельного файла. В будущем я думать создать
отдельный control для сервера/vps/ws, но для его реализции нужен список
"плохих" программ.
--
WBR, Konstantin chat with ==>ICQ: 109916175
Lepikhov, speak to ==>JID: lakostis@jabber.org
aka L.A. Kostis write to ==>mailto:lakostis@pisem.net.nospam
...The information is like the bank... (c) EC8OR
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]
^ permalink raw reply [flat|nested] 2+ messages in thread
* Re: [d-kernel] I: kernel-fix-security-altsec
2006-03-11 22:32 [d-kernel] I: kernel-fix-security-altsec Konstantin A. Lepikhov
@ 2006-03-13 13:20 ` Sergey Vlasov
0 siblings, 0 replies; 2+ messages in thread
From: Sergey Vlasov @ 2006-03-13 13:20 UTC (permalink / raw)
To: ALT Linux kernel packages development
[-- Attachment #1: Type: text/plain, Size: 1008 bytes --]
On Sun, Mar 12, 2006 at 01:32:37AM +0300, Konstantin A. Lepikhov wrote:
> В kernel cvs залит интересный патч, в котором я постарался перенести в
> ядро 2.6 то, чего мне не хватало, т.е. -fix-security-owl. Конечно, я не
> стал портировать весь патч целиком (думаю, solar@ когда-нибудь сделает это
> лучше меня), лишь перенес наиболее простые и удобные вещи + добавил часть
> идей из grsecurity патчей. Итак, чего там есть:
> - защищенный /proc (пользователи не входящие в группу, к которой
> принадлежит каталог /proc, видят только свои процессы). Также для
> обычного пользователя скрыты такие элементы как
> /proc/{net,cmdline,io*,slabinfo,kallsym*,config*}
Всё-таки нашёл в этом месте ошибочку:
+#ifdef CONFIG_ALT_SECURE_PROC
+ create_seq_entry("slabinfo",S_IRUSR|S_IRGRP,&proc_slabinfo_operations);
+#else
create_seq_entry("slabinfo",S_IWUSR|S_IRUGO,&proc_slabinfo_operations);
+#endif
Куда-то пропали права записи в /proc/slabinfo для root (там можно что-то
настраивать).
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 2+ messages in thread
end of thread, other threads:[~2006-03-13 13:20 UTC | newest]
Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-03-11 22:32 [d-kernel] I: kernel-fix-security-altsec Konstantin A. Lepikhov
2006-03-13 13:20 ` Sergey Vlasov
ALT Linux kernel packages development
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel-kernel/0 devel-kernel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel-kernel devel-kernel/ http://lore.altlinux.org/devel-kernel \
devel-kernel@altlinux.org devel-kernel@altlinux.ru devel-kernel@altlinux.com
public-inbox-index devel-kernel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel-kernel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git