* [devel] New packages
@ 2003-05-19 18:42 Сергей Глодин
2003-05-19 19:26 ` Dmitry V. Levin
0 siblings, 1 reply; 6+ messages in thread
From: Сергей Глодин @ 2003-05-19 18:42 UTC (permalink / raw)
To: devel
В Daedalus залиты новые пакеты:
libsafe-2.0.16
libsafe-prelude-2.0.16 -- libsafe с поддержкой libprelude
libprelude-0.8.5
Рекомендую новые пакеты проверять на совместимость с libsafe. Особенно
это касается серверных пакетов.
Для подключения libsafe его необходимо вручную прописать в файл
/etc/ld.so.preload под именем /lib/libsafe.so.2 или через установку
переменной окружения LD_PRELOAD:
export LD_PRELOAD=/lib/libsafe.so.2
Подробности -- в документации на libsafe.
В скором времени ожидаются:
Prelude Hybrid IDS -- пакеты, которые составляют комплекс для построения
защищённой сети на основе компонентов Prelude.
Snort -- вторая сборка Snort с поддержкой Prelude Hybrid
IDS.
--
С уважением,
Сергей Глодин
^ permalink raw reply [flat|nested] 6+ messages in thread* Re: [devel] New packages 2003-05-19 18:42 [devel] New packages Сергей Глодин @ 2003-05-19 19:26 ` Dmitry V. Levin 2003-05-20 6:01 ` óÅÒÇÅÊ çÌÏÄÉÎ 0 siblings, 1 reply; 6+ messages in thread From: Dmitry V. Levin @ 2003-05-19 19:26 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 578 bytes --] On Mon, May 19, 2003 at 09:42:29PM +0300, Сергей Глодин wrote: > В Daedalus залиты новые пакеты: > > libsafe-2.0.16 > libsafe-prelude-2.0.16 -- libsafe с поддержкой libprelude > libprelude-0.8.5 > > Рекомендую новые пакеты проверять на совместимость с libsafe. Особенно > это касается серверных пакетов. Не думаю, что это имеет смысл. Когда-то в Сизифе был libsafe1, но был удален ввиду малой полезности и повышенной опасности - некоторые программы безо всякой видимой причины начинают вести себя не так, как обычно. Не верю, что libsafe2 окажется более безопасным. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [devel] New packages 2003-05-19 19:26 ` Dmitry V. Levin @ 2003-05-20 6:01 ` óÅÒÇÅÊ çÌÏÄÉÎ 2003-05-20 9:11 ` [devel] libsafe Dmitry V. Levin 0 siblings, 1 reply; 6+ messages in thread From: óÅÒÇÅÊ çÌÏÄÉÎ @ 2003-05-20 6:01 UTC (permalink / raw) To: devel >>>>> "DVL" == Dmitry V Levin writes: >> Рекомендую новые пакеты проверять на совместимость с >> libsafe. Особенно это касается серверных пакетов. DVL> Не думаю, что это имеет смысл. Он только перехватывает выполнение опасных, с его точки зрения, функций заменяя их выполнение безопасными вариантами. Полный список -- man libsafe. DVL> Когда-то в Сизифе был libsafe1, но был удален ввиду малой DVL> полезности и повышенной опасности - некоторые программы безо DVL> всякой видимой причины начинают вести себя не так, как обычно. Не DVL> верю, что libsafe2 окажется более безопасным. Было бы неплохо протестировать его. Принудительно в ld.so.preload я его не вписываю. Это необходимо сделать вручную. Поэтому после его установки стандартное поведение программ не изменится. -- С уважением, Сергей Глодин ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [devel] libsafe 2003-05-20 6:01 ` óÅÒÇÅÊ çÌÏÄÉÎ @ 2003-05-20 9:11 ` Dmitry V. Levin 2003-05-21 17:00 ` Victor Forsyuk 0 siblings, 1 reply; 6+ messages in thread From: Dmitry V. Levin @ 2003-05-20 9:11 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 991 bytes --] On Tue, May 20, 2003 at 09:01:23AM +0300, Сергей Глодин wrote: > >> Рекомендую новые пакеты проверять на совместимость с > >> libsafe. Особенно это касается серверных пакетов. > > DVL> Не думаю, что это имеет смысл. > > Он только перехватывает выполнение опасных, с его точки зрения, функций > заменяя их выполнение безопасными вариантами. Это иллюзия. Функуии типа strcpy/sprintf вредны не из-за опасной реализации, а сами по себе, из-за своей семантики. > Полный список -- man libsafe. > > DVL> Когда-то в Сизифе был libsafe1, но был удален ввиду малой > DVL> полезности и повышенной опасности - некоторые программы безо > DVL> всякой видимой причины начинают вести себя не так, как обычно. Не > DVL> верю, что libsafe2 окажется более безопасным. > > Было бы неплохо протестировать его. Принудительно в ld.so.preload я его > не вписываю. Это необходимо сделать вручную. Поэтому после его > установки стандартное поведение программ не изменится. Это радует :/ -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [devel] libsafe 2003-05-20 9:11 ` [devel] libsafe Dmitry V. Levin @ 2003-05-21 17:00 ` Victor Forsyuk 2003-05-21 20:07 ` Сергей Глодин 0 siblings, 1 reply; 6+ messages in thread From: Victor Forsyuk @ 2003-05-21 17:00 UTC (permalink / raw) To: devel On Tue, May 20, 2003 at 01:11:48PM +0400, Dmitry V. Levin wrote: > On Tue, May 20, 2003 at 09:01:23AM +0300, Сергей Глодин wrote: > > >> Рекомендую новые пакеты проверять на совместимость с > > >> libsafe. Особенно это касается серверных пакетов. > > > > DVL> Не думаю, что это имеет смысл. > > > > Он только перехватывает выполнение опасных, с его точки зрения, функций > > заменяя их выполнение безопасными вариантами. > > Это иллюзия. > Функуии типа strcpy/sprintf вредны не из-за опасной реализации, а сами по > себе, из-за своей семантики. Несомненно. На самом деле, по сути, libsafe заменяет эти функции на их безопасные (те, которые с известным размером буфера) аналоги. Но делает это динамически, во время выполнения функции оценивая, а какой же размер является еще безопасным. Выдержка из libsafe(8): The key idea is the ability to estimate a safe upper limit on the size of buffers automatically. This estimation cannot be performed at compile time because the size of the buffer may not be known at that time. Thus, the calculation of the buffer size must be made after the start of the function in which the buffer is accessed. Our method is able to determine the maximum buffer size by realizing that such local buffers cannot extend beyond the end of the current stack frame. This realization allows the substitute version of the function to limit buffer writes within the estimated buffer size. Thus, the return address from that function, which is located on the stack, cannot be overwritten and control of the process cannot be commandeered. > > DVL> Когда-то в Сизифе был libsafe1, но был удален ввиду малой > > DVL> полезности и повышенной опасности - некоторые программы безо > > DVL> всякой видимой причины начинают вести себя не так, как обычно. Не > > DVL> верю, что libsafe2 окажется более безопасным. > > > > Было бы неплохо протестировать его. Принудительно в ld.so.preload я его > > не вписываю. Это необходимо сделать вручную. Поэтому после его > > установки стандартное поведение программ не изменится. > > Это радует :/ Как опциональный инструмент повышения безопасности libsafe всё же заслуживает своего места в дистрибутиве. ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [devel] libsafe 2003-05-21 17:00 ` Victor Forsyuk @ 2003-05-21 20:07 ` Сергей Глодин 0 siblings, 0 replies; 6+ messages in thread From: Сергей Глодин @ 2003-05-21 20:07 UTC (permalink / raw) To: devel >>>>> "VF" == Victor Forsyuk writes: VF> Как опциональный инструмент повышения безопасности libsafe всё же VF> заслуживает своего места в дистрибутиве. Тем более, что для его подключения необходимо _вручную_ прописать его в ld.so.preload. Обратите внимание на %post и %preun скрипты. Они выполняются _только_ при наличии файла /etc/ld.so.preload. Я их выдрал из мандрейковской сборки libsafe. -- С уважением, Сергей Глодин ^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2003-05-21 20:07 UTC | newest] Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2003-05-19 18:42 [devel] New packages Сергей Глодин 2003-05-19 19:26 ` Dmitry V. Levin 2003-05-20 6:01 ` óÅÒÇÅÊ çÌÏÄÉÎ 2003-05-20 9:11 ` [devel] libsafe Dmitry V. Levin 2003-05-21 17:00 ` Victor Forsyuk 2003-05-21 20:07 ` Сергей Глодин
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git