[d-kernel] I: kernel-fix-security-altsec

ALT Linux kernel packages development
 help / color / mirror / Atom feed

From: "Konstantin A. Lepikhov" <lakostis@anti-leasure.ru>
To: ALT Linux Kernel Devel Mailing List <devel-kernel@lists.altlinux.org>
Subject: [d-kernel] I: kernel-fix-security-altsec
Date: Sun, 12 Mar 2006 01:32:37 +0300
Message-ID: <20060311223237.GA5913@lks.home> (raw)

[-- Attachment #1: Type: text/plain, Size: 2366 bytes --]

Hi!

В kernel cvs залит интересный патч, в котором я постарался перенести в
ядро 2.6 то, чего мне не хватало, т.е. -fix-security-owl. Конечно, я не
стал портировать весь патч целиком (думаю, solar@ когда-нибудь сделает это
лучше меня), лишь перенес наиболее простые и удобные вещи + добавил часть
идей из grsecurity патчей. Итак, чего там есть:
- защищенный /proc (пользователи не входящие в группу, к которой
  принадлежит каталог /proc, видят только свои процессы). Также для
  обычного пользователя скрыты такие элементы как
  /proc/{net,cmdline,io*,slabinfo,kallsym*,config*}
- механизм удаления неиспользуемых shm сегментов из памяти. Реализация
  механизма предложена vsu@ на основе идей из owl патча. В TODO - более
  гибкая система контроля shm ресурсов. Этот механизм можно отключить
  через sysctl shm_destroy_unused (по-умолчанию он включен).
Остальная часть owl патча (т.е. non-exec stack) реализуется через
-fix-security-pax (pax.grsecurity.net), которая более полная по своей
реализации защиты от атак связанных с запуском кода в памяти,
предназначенной только для чтения.

Общая связка -fix-security-pax + -fix-security-altsec была проверена на
std26 и vs26 ядрах на архитектурах i386 и x86-64, критических ошибок в
реализации пока не замечено (но это не значит, что их там нет :) Так что
прошу посмотреть этот патч и проверить его как можно с большим кол-вом
приложений (особенно интересуют те, кто активно работает с shm). В
дальнейшем планируется добавить этот патч в ядра std26 и vs26 (возможно и
в rad26, но это по-желанию их мантейнера).

Кому лень самостоятельно собирать vserver с pax+altsec, я выложил
обновленный -feat-core-vserver (altsec брать оттуда же):
http://lakostis.elektrostal.ru/RPMS/testing/

PS С PaX некоторые программы перестанут работать (например,
openvpn/httpd/rpm). Для их запуска придется отключить mmap/mprotect
утилитой paxctl (брать с pax.grsecurity.net). Она позволяет отключить
pax защиту на уровне отдельного файла. В будущем я думать создать
отдельный control для сервера/vps/ws, но для его реализции нужен список
"плохих" программ.

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

next             reply	other threads:[~2006-03-11 22:32 UTC|newest]

Thread overview: 2+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2006-03-11 22:32 Konstantin A. Lepikhov [this message]
2006-03-13 13:20 ` Sergey Vlasov

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=20060311223237.GA5913@lks.home \
    --to=lakostis@anti-leasure.ru \
    --cc=devel-kernel@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux kernel packages development

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel-kernel/0 devel-kernel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel-kernel devel-kernel/ http://lore.altlinux.org/devel-kernel \
		devel-kernel@altlinux.org devel-kernel@altlinux.ru devel-kernel@altlinux.com
	public-inbox-index devel-kernel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel-kernel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git