* [devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE) @ 2006-07-13 7:14 Michael Shigorin 2006-07-13 9:01 ` Dmitry V. Levin 2006-07-13 11:50 ` Igor Zubkov 0 siblings, 2 replies; 7+ messages in thread From: Michael Shigorin @ 2006-07-13 7:14 UTC (permalink / raw) To: devel Здравствуйте. Есть маленький вопрос по поводу http://lwn.net/Articles/189546/ -- можно ли прокомментировать в свете текущих альтовских ядров? Обещаюсь пофиксировать на wiki. Отчасти вспомнил благодаря тому, что wks26-smp сейчас вроде как опять должно ездить на dual pentium, что скорее feature IMHO. Также потому, что в пресловутой FC prelink вроде как вовсю используется и рабочей станции это заметно помогает... PS: наверное, имеет смысл и это предложение Якуба: http://lwn.net/Articles/190495/ -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE) 2006-07-13 7:14 [devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE) Michael Shigorin @ 2006-07-13 9:01 ` Dmitry V. Levin 2006-07-13 20:07 ` Alexey Tourbin 2006-07-13 11:50 ` Igor Zubkov 1 sibling, 1 reply; 7+ messages in thread From: Dmitry V. Levin @ 2006-07-13 9:01 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 863 bytes --] On Thu, Jul 13, 2006 at 10:14:20AM +0300, Michael Shigorin wrote: > Здравствуйте. > Есть маленький вопрос по поводу http://lwn.net/Articles/189546/ Предварительно следует ознакомиться с Дреперровской статьёй (http://people.redhat.com/drepper/nonselsec.pdf "ELF Data Hardening"). > -- можно ли прокомментировать в свете текущих альтовских ядров? А что, собственно говоря, интересует? > Обещаюсь пофиксировать на wiki. > > Отчасти вспомнил благодаря тому, что wks26-smp сейчас вроде как > опять должно ездить на dual pentium, что скорее feature IMHO. > Также потому, что в пресловутой FC prelink вроде как вовсю > используется и рабочей станции это заметно помогает... PIE нельзя prelink? :) > PS: наверное, имеет смысл и это предложение Якуба: > http://lwn.net/Articles/190495/ Здесь нет очевидного простого решения. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE) 2006-07-13 9:01 ` Dmitry V. Levin @ 2006-07-13 20:07 ` Alexey Tourbin 2006-07-13 20:26 ` Dmitry V. Levin 0 siblings, 1 reply; 7+ messages in thread From: Alexey Tourbin @ 2006-07-13 20:07 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 1279 bytes --] On Thu, Jul 13, 2006 at 01:01:05PM +0400, Dmitry V. Levin wrote: > On Thu, Jul 13, 2006 at 10:14:20AM +0300, Michael Shigorin wrote: > > Здравствуйте. > > Есть маленький вопрос по поводу http://lwn.net/Articles/189546/ > > Предварительно следует ознакомиться с Дреперровской статьёй > (http://people.redhat.com/drepper/nonselsec.pdf "ELF Data Hardening"). Типа круто. Я только что понял, зачем нужны PIE. У разделяемых библиотек появляется ещё одно преимущество по сравнению со статическими библиотеками, по части security: если ядро поддерживает рандомизацию адресов загрузки разделяемых библиотек, то атаки типа return-to-libc осуществить гораздо сложнее. С другой стороны, Дреппер как бы немного лжот вот в каком отношении. Рандомизация на самом деле происходит не per-process, а per-exec. Это значит, что в схеме с privilege separation, когда главный процесс форкается и сбрасывает права, карта адресов у каждого детёныша будет одна и та же. Если хакер не угадывает нужного адреса с первого раза, то детёныш мрёт, но это является ненулевой информацией для последующих попыток. То есть если у детёныша нет прослойки из exec'а, тогда последовательность угадываний имеет смысл. От рандомизации в основном выигрывают "суперсерверы" типа inetd. [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE) 2006-07-13 20:07 ` Alexey Tourbin @ 2006-07-13 20:26 ` Dmitry V. Levin 2006-07-13 21:26 ` Alexey Tourbin 0 siblings, 1 reply; 7+ messages in thread From: Dmitry V. Levin @ 2006-07-13 20:26 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 1537 bytes --] On Fri, Jul 14, 2006 at 12:07:20AM +0400, Alexey Tourbin wrote: > On Thu, Jul 13, 2006 at 01:01:05PM +0400, Dmitry V. Levin wrote: > > On Thu, Jul 13, 2006 at 10:14:20AM +0300, Michael Shigorin wrote: > > > Здравствуйте. > > > Есть маленький вопрос по поводу http://lwn.net/Articles/189546/ > > > > Предварительно следует ознакомиться с Дреперровской статьёй > > (http://people.redhat.com/drepper/nonselsec.pdf "ELF Data Hardening"). > > Типа круто. Я только что понял, зачем нужны PIE. > > У разделяемых библиотек появляется ещё одно преимущество по сравнению > со статическими библиотеками, по части security: если ядро поддерживает > рандомизацию адресов загрузки разделяемых библиотек, то атаки типа > return-to-libc осуществить гораздо сложнее. > > С другой стороны, Дреппер как бы немного лжот вот в каком отношении. > Рандомизация на самом деле происходит не per-process, а per-exec. > Это значит, что в схеме с privilege separation, когда главный процесс > форкается и сбрасывает права, карта адресов у каждого детёныша будет > одна и та же. Если хакер не угадывает нужного адреса с первого раза, > то детёныш мрёт, но это является ненулевой информацией для последующих > попыток. > > То есть если у детёныша нет прослойки из exec'а, тогда > последовательность угадываний имеет смысл. От рандомизации в основном > выигрывают "суперсерверы" типа inetd. По этой причине, кстати, в новом openssh сделан reexec - детёныш перезапускает себя (/proc/self/exe) перед началом работы. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE) 2006-07-13 20:26 ` Dmitry V. Levin @ 2006-07-13 21:26 ` Alexey Tourbin 0 siblings, 0 replies; 7+ messages in thread From: Alexey Tourbin @ 2006-07-13 21:26 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 1103 bytes --] On Fri, Jul 14, 2006 at 12:26:29AM +0400, Dmitry V. Levin wrote: > > Рандомизация на самом деле происходит не per-process, а per-exec. > > Это значит, что в схеме с privilege separation, когда главный процесс > > форкается и сбрасывает права, карта адресов у каждого детёныша будет > > одна и та же. Если хакер не угадывает нужного адреса с первого раза, > > то детёныш мрёт, но это является ненулевой информацией для последующих > > попыток. > > > > То есть если у детёныша нет прослойки из exec'а, тогда > > последовательность угадываний имеет смысл. От рандомизации в основном > > выигрывают "суперсерверы" типа inetd. > > По этой причине, кстати, в новом openssh сделан reexec - детёныш > перезапускает себя (/proc/self/exe) перед началом работы. Зачем тогда reexec? Можно вынести клиентский код в отдельный бинарь и сделать exec. Впрочем, я не знаю, насколько архитектура openssh это допускает. Мне нравится как qmail сделан, там всё построено на "маленьких exec'ах". Кстати, это наводит на мысль, что подобные вещи нужно писать на некоем подобии шелла, а не на Си. :) [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE) 2006-07-13 7:14 [devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE) Michael Shigorin 2006-07-13 9:01 ` Dmitry V. Levin @ 2006-07-13 11:50 ` Igor Zubkov 2006-07-13 20:40 ` Michael Shigorin 1 sibling, 1 reply; 7+ messages in thread From: Igor Zubkov @ 2006-07-13 11:50 UTC (permalink / raw) To: devel [-- Attachment #1: Type: text/plain, Size: 348 bytes --] В сообщении от 13 июля 2006 10:14 Michael Shigorin написал(a): > Также потому, что в пресловутой FC prelink вроде как вовсю > используется и рабочей станции это заметно помогает... Помнишь я ругался в январе что у меня dia сегфолтился без причин и на ровном месте. Как оказалось из-за prelink. С тех пор не использую. -- Placebo - Second Sight [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE) 2006-07-13 11:50 ` Igor Zubkov @ 2006-07-13 20:40 ` Michael Shigorin 0 siblings, 0 replies; 7+ messages in thread From: Michael Shigorin @ 2006-07-13 20:40 UTC (permalink / raw) To: devel On Thu, Jul 13, 2006 at 02:50:34PM +0300, Igor Zubkov wrote: > > Также потому, что в пресловутой FC prelink вроде как вовсю > > используется и рабочей станции это заметно помогает... > Помнишь я ругался в январе что у меня dia сегфолтился без > причин и на ровном месте. Как оказалось из-за prelink. > С тех пор не использую. sim из-за него сегфолтился (впрочем, не только -- и сам). Но многие вещи просто работают. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2006-07-13 21:26 UTC | newest] Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2006-07-13 7:14 [devel] Q: AltLinux/Kernels, prelink and address space randomization (and PIE) Michael Shigorin 2006-07-13 9:01 ` Dmitry V. Levin 2006-07-13 20:07 ` Alexey Tourbin 2006-07-13 20:26 ` Dmitry V. Levin 2006-07-13 21:26 ` Alexey Tourbin 2006-07-13 11:50 ` Igor Zubkov 2006-07-13 20:40 ` Michael Shigorin
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git