[devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE)

[devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE)

[Michael Shigorin]

	Здравствуйте.
Есть маленький вопрос по поводу http://lwn.net/Articles/189546/
-- можно ли прокомментировать в свете текущих альтовских ядров?
Обещаюсь пофиксировать на wiki.

Отчасти вспомнил благодаря тому, что wks26-smp сейчас вроде как
опять должно ездить на dual pentium, что скорее feature IMHO.
Также потому, что в пресловутой FC prelink вроде как вовсю
используется и рабочей станции это заметно помогает...

PS: наверное, имеет смысл и это предложение Якуба:
http://lwn.net/Articles/190495/

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE)

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 863 bytes --]

On Thu, Jul 13, 2006 at 10:14:20AM +0300, Michael Shigorin wrote:
> 	Здравствуйте.
> Есть маленький вопрос по поводу http://lwn.net/Articles/189546/

Предварительно следует ознакомиться с Дреперровской статьёй
(http://people.redhat.com/drepper/nonselsec.pdf "ELF Data Hardening").

> -- можно ли прокомментировать в свете текущих альтовских ядров?

А что, собственно говоря, интересует?

> Обещаюсь пофиксировать на wiki.
> 
> Отчасти вспомнил благодаря тому, что wks26-smp сейчас вроде как
> опять должно ездить на dual pentium, что скорее feature IMHO.
> Также потому, что в пресловутой FC prelink вроде как вовсю
> используется и рабочей станции это заметно помогает...

PIE нельзя prelink? :)

> PS: наверное, имеет смысл и это предложение Якуба:
> http://lwn.net/Articles/190495/

Здесь нет очевидного простого решения.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE)

[Igor Zubkov]

[-- Attachment #1: Type: text/plain, Size: 348 bytes --]

В сообщении от 13 июля 2006 10:14 Michael Shigorin написал(a):
> Также потому, что в пресловутой FC prelink вроде как вовсю
> используется и рабочей станции это заметно помогает...

Помнишь я ругался в январе что у меня dia сегфолтился без причин и на ровном 
месте. Как оказалось из-за prelink. С тех пор не использую.

-- 
Placebo - Second Sight

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE)

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 1279 bytes --]

On Thu, Jul 13, 2006 at 01:01:05PM +0400, Dmitry V. Levin wrote:
> On Thu, Jul 13, 2006 at 10:14:20AM +0300, Michael Shigorin wrote:
> > 	Здравствуйте.
> > Есть маленький вопрос по поводу http://lwn.net/Articles/189546/
> 
> Предварительно следует ознакомиться с Дреперровской статьёй
> (http://people.redhat.com/drepper/nonselsec.pdf "ELF Data Hardening").

Типа круто.  Я только что понял, зачем нужны PIE.

У разделяемых библиотек появляется ещё одно преимущество по сравнению
со статическими библиотеками, по части security: если ядро поддерживает
рандомизацию адресов загрузки разделяемых библиотек, то атаки типа
return-to-libc осуществить гораздо сложнее.

С другой стороны, Дреппер как бы немного лжот вот в каком отношении.
Рандомизация на самом деле происходит не per-process, а per-exec.
Это значит, что в схеме с privilege separation, когда главный процесс
форкается и сбрасывает права, карта адресов у каждого детёныша будет
одна и та же.  Если хакер не угадывает нужного адреса с первого раза,
то детёныш мрёт, но это является ненулевой информацией для последующих
попыток.

То есть если у детёныша нет прослойки из exec'а, тогда
последовательность угадываний имеет смысл.  От рандомизации в основном
выигрывают "суперсерверы" типа inetd.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE)

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1537 bytes --]

On Fri, Jul 14, 2006 at 12:07:20AM +0400, Alexey Tourbin wrote:
> On Thu, Jul 13, 2006 at 01:01:05PM +0400, Dmitry V. Levin wrote:
> > On Thu, Jul 13, 2006 at 10:14:20AM +0300, Michael Shigorin wrote:
> > > 	Здравствуйте.
> > > Есть маленький вопрос по поводу http://lwn.net/Articles/189546/
> > 
> > Предварительно следует ознакомиться с Дреперровской статьёй
> > (http://people.redhat.com/drepper/nonselsec.pdf "ELF Data Hardening").
> 
> Типа круто.  Я только что понял, зачем нужны PIE.
> 
> У разделяемых библиотек появляется ещё одно преимущество по сравнению
> со статическими библиотеками, по части security: если ядро поддерживает
> рандомизацию адресов загрузки разделяемых библиотек, то атаки типа
> return-to-libc осуществить гораздо сложнее.
> 
> С другой стороны, Дреппер как бы немного лжот вот в каком отношении.
> Рандомизация на самом деле происходит не per-process, а per-exec.
> Это значит, что в схеме с privilege separation, когда главный процесс
> форкается и сбрасывает права, карта адресов у каждого детёныша будет
> одна и та же.  Если хакер не угадывает нужного адреса с первого раза,
> то детёныш мрёт, но это является ненулевой информацией для последующих
> попыток.
> 
> То есть если у детёныша нет прослойки из exec'а, тогда
> последовательность угадываний имеет смысл.  От рандомизации в основном
> выигрывают "суперсерверы" типа inetd.

По этой причине, кстати, в новом openssh сделан reexec - детёныш
перезапускает себя (/proc/self/exe) перед началом работы.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE)

[Michael Shigorin]

On Thu, Jul 13, 2006 at 02:50:34PM +0300, Igor Zubkov wrote:
> > Также потому, что в пресловутой FC prelink вроде как вовсю
> > используется и рабочей станции это заметно помогает...
> Помнишь я ругался в январе что у меня dia сегфолтился без
> причин и на ровном месте. Как оказалось из-за prelink.
> С тех пор не использую.

sim из-за него сегфолтился (впрочем, не только -- и сам).
Но многие вещи просто работают.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE)

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 1103 bytes --]

On Fri, Jul 14, 2006 at 12:26:29AM +0400, Dmitry V. Levin wrote:
> > Рандомизация на самом деле происходит не per-process, а per-exec.
> > Это значит, что в схеме с privilege separation, когда главный процесс
> > форкается и сбрасывает права, карта адресов у каждого детёныша будет
> > одна и та же.  Если хакер не угадывает нужного адреса с первого раза,
> > то детёныш мрёт, но это является ненулевой информацией для последующих
> > попыток.
> > 
> > То есть если у детёныша нет прослойки из exec'а, тогда
> > последовательность угадываний имеет смысл.  От рандомизации в основном
> > выигрывают "суперсерверы" типа inetd.
> 
> По этой причине, кстати, в новом openssh сделан reexec - детёныш
> перезапускает себя (/proc/self/exe) перед началом работы.

Зачем тогда reexec?  Можно вынести клиентский код в отдельный бинарь
и сделать exec.  Впрочем, я не знаю, насколько архитектура openssh это
допускает.  Мне нравится как qmail сделан, там всё построено на
"маленьких exec'ах".  Кстати, это наводит на мысль, что подобные вещи
нужно писать на некоем подобии шелла, а не на Си. :)

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]