Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2014-08-13 10:17:02

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Szukalem potrzebnych mi informacji i natknalem sie na cos co mnie bardzo zakoczylo.

Na stronie wiki.debian jest informacja, ze :

For foreseeable future Debian Kernel team will not include grsecurity kernel into official Debian. The reasons is primarily size of the patch.

Ale ...

But there exist easy to use alternatives.

You can use Mempo kernel
There is a Debian Repository with ready to use grsecurity kernels being maintained by Mempo project.
The work is in progress, but it is fully usable as of 2014.06 just follow the install instructions carefully;
This implements SameKernel (also a script created by Mempo) - your kernel is compiled to identical .deb when you build from sources, so you can cross verify with friends to confirm there is no backdoor added at compilation.

Zaczalem czytac na ten temat i okazuje sie, ze sa repozytoria dla debiana.

To use Mempo, currently:
Install a Debian Stable amd64 as a base
Add our key to apt-get by issuing commands (as root):
gpg --keyserver pgp.mit.edu --recv-key 45953F23 # this will download from open internet (instead you can obtain this pubkey e.g. here) or anywhere
gpg --fingerprint 45953F23 # doublecheck if this is the correct key with various sources
gpg --export 45953F23 | apt-key add - # now your apt-get will trust our key and install our software

echo "deb http://deb.mempo.org/debian/ wheezy main" >> /etc/apt/sources.list  # (i2p)

apt-get update
   
Now you have access to our packages.
aptitude search mempo - will show you various kernels, install the latest one from the list (image and optionaly the headers) like:
aptitude install linux-image-3.2.59-grsec-mempo.desk.0.1.46

Normalnie jestem w szoku, nie wiedzialem o takim projekcie, nikt nawet nie wspomnil, ze takie cos istnieje.
Patrzac na porownanie i sugerujac sie obrazkiem pozniej to nawet gentoo-hardened jest w tyle.

http://postimg.org/image/fjrqagipp/

Ostatnio edytowany przez bryn1u (2014-08-13 10:31:09)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

#2  2014-08-13 11:17:48

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Raczej kiepściutkie porównanie, każdy element tego porównania w Gentoo możesz sam sobie skonfigurować i uruchomić, a w tym Mempo się chwalą, że to już podobno ma OTB.
(ciekawe, czy klucze do szyfrowania też mają domyślne. :D)

Uwierzę, kiedy zobaczę, jeśli miałbym wskazać system, który jest bardzo bezpieczny bezpośrednio po instalacji, to zdecydowanie OpenBSD, a ile z nim potem jest roboty, to sam wiesz nieźle.

Ile razy widziałem systemy "gotowe" OTB, to zawsze coś w nich było poniżej krytyki,  i  tak trzeba było w nich grzebać, co jest często trudniejsze, niż postawienie części lub całości systemu od zera.
Dlatego wolę Gentusia, bo po prostu "wiem, co w nim jest", to tak, jak z bigosem domowym albo ze stołówki. :D

Ja już chcesz szukać Linuxa bezpieczniejszego niż Gentuś hardened, w wersji OTB, to raczej zobacz Qubes OS.

Pozdro
;-)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2014-08-13 11:24:01

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Jacekalex napisał(-a):

Raczej kiepściutkie porównanie, każdy element tego porównania w Gentoo możesz sam sobie skonfigurować i uruchomić, a w tym Mempo się chwalą, że to już podobno ma OTB.
(ciekawe, czy klucze do szyfrowania też mają domyślne. :D)

Uwierzę, kiedy zobaczę, jeśli miałbym wskazać system, który jest bardzo bezpieczny bezpośrednio po instalacji, to zdecydowanie OpenBSD, a ile z nim potem jest roboty, to sam wiesz nieźle.

Ile razy widziałem systemy "gotowe" OTB, to zawsze coś w nich było poniżej krytyki,  i  tak trzeba było w nich grzebać, co jest często trudniejsze, niż postawienie części lub całości systemu od zera.
Dlatego wolę Gentusia, bo po prostu "wiem, co w nim jest", to tak, jak z bigosem domowym albo ze stołówki. :D

Ja już chcesz szukać Linuxa bezpieczniejszego niż Gentuś hardened, w wersji OTB, to raczej zobacz Qubes OS.

Pozdro
;-)

Dlatego napisalem, ze sugerujac sie obrazkiem :D. Ale nie mniej jednak moze cos wreszcie ruszy w debianie :D Bo nawet debian zostal w tyle przy ubuntu hardened:D.

P.S
A ciekawy jest jeszcze Alpine Linux.

Ostatnio edytowany przez bryn1u (2014-08-13 11:26:47)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

#4  2014-08-13 11:31:52

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Jeżeli ten projekt bazuje na repozytoriach Debiana Stable, to Debian stable pod względem hardeningu na poziomie kompilatora bardzo dzielnie ściga Ubuntu. :D
Z Gentusiem pod tym względem w ogóle nie ma porównania.

Jeśli natomiast masz już gotowe programy w binarkach, to cały wyścig na linii Gentoo - Debian to jest wyścig na to, którego ktoś lepiej skonfiguruje, od kluczy ssh, poprzez chrooty do maszyn wirtualnych, systemy ACL, to wszystko jest konfiguracja.
Jak się odpala Xena czy LXC pod solidnie skonfigurowanym Grseciem, to nawet w tym wątku niektórzy wiedzą. :D

Alpine Linux nie sprawdzałem, sprawdzałem wszystkie główne dystrybucje,
z wyjątkiem Archa, na wszystkie Linuxy życie jest stanowczo za krótkie. ;)

Ostatnio edytowany przez Jacekalex (2014-08-13 11:33:29)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2014-08-13 11:55:56

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Jacekalex napisał(-a):

Jeżeli ten projekt bazuje na repozytoriach Debiana Stable, to Debian stable pod względem hardeningu na poziomie kompilatora bardzo dzielnie ściga Ubuntu. :D
Z Gentusiem pod tym względem w ogóle nie ma porównania.

Jeśli natomiast masz już gotowe programy w binarkach, to cały wyścig na linii Gentoo - Debian to jest wyścig na to, którego ktoś lepiej skonfiguruje, od kluczy ssh, poprzez chrooty do maszyn wirtualnych, systemy ACL, to wszystko jest konfiguracja.
Jak się odpala Xena czy LXC pod solidnie skonfigurowanym Grseciem, to nawet w tym wątku niektórzy wiedzą. :D

Alpine Linux nie sprawdzałem, sprawdzałem wszystkie główne dystrybucje,
z wyjątkiem Archa, na wszystkie Linuxy życie jest stanowczo za krótkie. ;)

Arch podjal decyzje i skonfigurowali wszystkie paczki z -fstack-protector-strong :D. Troche odskakujac od tematu. Co do kompilatora gcc-4.9 Torvalds napisal:

Linus Torvalds has called GCC 4.9.0 compiler ‘pure and utter sh*t’ and ‘terminally broken’ after a random panic was discovered in a load balance function in Linux 3.16-rc6.
“Ok, so I’m looking at the code generation and your compiler is pure and utter *shit*”, in one of the mails on Linux kernel mailing list. “…gcc-4.9.0 seems to be terminally broken”, he added further.

link: http://www.techienews.co.uk/9715681/linus-torvalds- … nally-broken/

GCC im wyzsza wersja tym jest bardziej spier.... dlatego domniemam dlaczego gentoo-hardened stoi na gcc 4.7 - co jest rozsadnym i madrym rozwiazaniem.

Ostatnio edytowany przez bryn1u (2014-08-13 11:56:12)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

#6  2014-08-13 12:27:33

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Jesienią status stabilny dostanie gcc-4.8, jak większość systemu się na nim będzie kompilować poprawnie.
W Gentoo nowy kompilator jest dużo później, niż w Debianie, bo czeka,
aż developerzy sprawdzą na swoich systemach ten kompilator w różnych warunkach, na różnych procesorach i z rożnymi flagami.
Ten etap w Gentusiu jest znacznie bardziej zaawansowany, niż w paczkowatych dystrybucjach, np Debian może sobie mieć gcc-4.9 i 75% systemu kompilowane gcc starszym niż 4.8, i wszystko działa.
W Gentoo, jak masz w działającym  systemie kompilator GCC oznaczony jako stabilny, to jest duże prawdopodobieństwo, że cały system był nim kompilowany.

Dlatego kompilator w Gentoo  staje się stabilny, jak można go bezpiecznie wsadzić do stage instalacyjnego, bez ryzyka jesieni średniowiecza na bugzilli. :DDD

W Gentoo jakość kompilatora GCC widać na "żywym organizmie". ;)

Ostatnio edytowany przez Jacekalex (2014-08-13 12:31:03)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2014-08-13 12:53:40

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Jacekalex napisał(-a):

Jesienią status stabilny dostanie gcc-4.8, jak większość systemu się na nim będzie kompilować poprawnie.
W Gentoo nowy kompilator jest dużo później, niż w Debianie, bo czeka,
aż developerzy sprawdzą na swoich systemach ten kompilator w różnych warunkach, na różnych procesorach i z rożnymi flagami.
Ten etap w Gentusiu jest znacznie bardziej zaawansowany, niż w paczkowatych dystrybucjach, np Debian może sobie mieć gcc-4.9 i 75% systemu kompilowane gcc starszym niż 4.8, i wszystko działa.
W Gentoo, jak masz w działającym  systemie kompilator GCC oznaczony jako stabilny, to jest duże prawdopodobieństwo, że cały system był nim kompilowany.

Dlatego kompilator w Gentoo  staje się stabilny, jak można go bezpiecznie wsadzić do stage instalacyjnego, bez ryzyka jesieni średniowiecza na bugzilli. :DDD

W Gentoo jakość kompilatora GCC widać na "żywym organizmie". ;)

Nie orientujesz sie kiedy wprowadza fstack-protector-strong w gentoo-hardened ? W Archu wszystkie paczki juz skompilowali.


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

#8  2014-08-13 14:02:15

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Nie wprowadza się w ogóle, w Gentoo masz takie flagi, jakie sobie sam w make.conf ustawisz.
Developerzy się nie zajmują tym, jak sobie zmienne w make.conf ustawisz.

Jedyny wyjątek, to kompilator hardened. gdzie Developerzy dodali fstack-protector, PIE, bindnow i fortify-source  (nie trzeba  dodawać ręcznie) jako domyślne,  fstack-protector-strong pewnie też dodadzą, jeśli nie będzie z nim jakichś koszmarnych problemów.
W każdym razie team hardened ustala domyślne zachowanie kompilatora, każdy może je sobie modyfikować przy pomocy CFLAGS samodzielnie.

Jak koniecznie potrzebujesz info w tej sprawie, to zapytaj na liście mailingowej projekt hardened.
Wykaz list mailngowych masz tutaj:
http://www.gentoo.org/main/pl/lists.xml

W Gentoo paczek nie skompilowali, bo ich nie kompilują, pacjenci sobie paczki robią we własnym zakresie, Developerzy dają tylko narzędzia do budowy.

Ostatnio edytowany przez Jacekalex (2014-08-13 15:09:26)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9  2014-08-13 18:21:44

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

@Jacek

Wracajac do tematu, akurat przypadkowo znalazlem ktos opublikowal 10 very secured distributions :D

http://efytimes.com/e1/fullnews.asp?edid=137598


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

#10  2014-08-13 18:54:57

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Mylisz dwa pojęcia.
Very Secure Linux - to określenie gotowych stabilnych dystrybucji, w których sporo uwagi poświęcono bezpieczeństwu.

Gentoo samo w sobie nie jest bezpiecznym systemem, bo nie pobierasz w przypadku Gentoo gotowego systemu, tylko worek klocków i narzędzi, z których sam budujesz system.
Ten system może być bezpieczniejszy, niż OpenBSD, albo bardziej dziurawy, niż Windows 95, w zależności od tego, kto go stawia i konfiguruje, i jak to robi.

Ot i cała tajemnica Gentusia, i wyjaśnienie, dlaczego w takich porównaniach i grafikach umieszczanie Gentoo nie ma sensu.

Gentoo tym się różni od innych dystrybucji, że jak go używasz, to przy okazji cholernie dobrze poznajesz każdy kawałek Linuxa, w tej dziedzinie lepszy jest tylko LFS.

Bezpieczeństwo Gentoo w dużym stopniu bierze się z tego, że nie ma dwóch idealnie jednakowych systemów Gentoo na świecie, każdy jest w jakimś stopniu unikalny, w rezultacie trudniej przygotować na niego exploity, niż na system, w którym wszystkie egzemplarze  na świecie mają paczki o tej samej sumie sha1, potem jak w Debianie czy CentOSie pojawi się dziurawa paczka, to automatycznie ląduje na co najmniej 20 milionach serwerów.
To bynajmniej nie oznacza, że w Gentoo nie ma błędów, oznacza natomiast, że część błędów jest unikalna dla pojedynczego systemu, i świat się o nich zbyt łatwo nie dowie, nie mówiąc o ich skutecznym wykorzystaniu. xD

Dlatego na ten system dużo trudniej przygotować wektor skutecznego ataku, niż na Debiana, bo w przypadku Gentusia atakujący nie ma pewności, co w nim dokładnie jest.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2014-08-13 18:57:52)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#11  2014-08-13 19:46:11

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Jacekalex napisał(-a):

Mylisz dwa pojęcia.
Very Secure Linux - to określenie gotowych stabilnych dystrybucji, w których sporo uwagi poświęcono bezpieczeństwu.

Gentoo samo w sobie nie jest bezpiecznym systemem, bo nie pobierasz w przypadku Gentoo gotowego systemu, tylko worek klocków i narzędzi, z których sam budujesz system.
Ten system może być bezpieczniejszy, niż OpenBSD, albo bardziej dziurawy, niż Windows 95, w zależności od tego, kto go stawia i konfiguruje, i jak to robi.

Ot i cała tajemnica Gentusia, i wyjaśnienie, dlaczego w takich porównaniach i grafikach umieszczanie Gentoo nie ma sensu.

Gentoo tym się różni od innych dystrybucji, że jak go używasz, to przy okazji cholernie dobrze poznajesz każdy kawałek Linuxa, w tej dziedzinie lepszy jest tylko LFS.

Bezpieczeństwo Gentoo w dużym stopniu bierze się z tego, że nie ma dwóch idealnie jednakowych systemów Gentoo na świecie, każdy jest w jakimś stopniu unikalny, w rezultacie trudniej przygotować na niego exploity, niż na system, w którym wszystkie egzemplarze  na świecie mają paczki o tej samej sumie sha1, potem jak w Debianie czy CentOSie pojawi się dziurawa paczka, to automatycznie ląduje na co najmniej 20 milionach serwerów.
To bynajmniej nie oznacza, że w Gentoo nie ma błędów, oznacza natomiast, że część błędów jest unikalna dla pojedynczego systemu, i świat się o nich zbyt łatwo nie dowie, nie mówiąc o ich skutecznym wykorzystaniu. xD

Dlatego na ten system dużo trudniej przygotować wektor skutecznego ataku, niż na Debiana, bo w przypadku Gentusia atakujący nie ma pewności, co w nim dokładnie jest.

Pozdro
;-)

Mowilem raczej o gentoo-hardened niz o gentoo. Po drugie moim zdaniem powinien byc wymieniony tym bardziej, ze jest polecany na stronie grsecurity.net (gdzies na glownej). Po trzecie czytalem, ze kazda dystrybucja to linux+userland a gentoo-hardened a dokladnie userland zostal stworzony "na kernelu hardened"


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

#12  2014-08-13 20:03:35

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Gentoo hardened, Gentoo-RBAC, Gentoo-freebsd, Gentoo-embeded - to są tylko profile systemu Gentoo, czyli praktycznie zestaw innych flag USE i czasami łatek, względnie w przypadku BSD inne jajo.
Gentoo ma wiele twarzy.

W dalszym ciągu stage instalacyjny, ebuildy i dokumentacja, to jest bardziej skrzynka narzędzi i worek klocków, niż system operacyjny.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#13  2014-08-14 08:16:46

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Jacekalex napisał(-a):

Gentoo hardened, Gentoo-RBAC, Gentoo-freebsd, Gentoo-embeded - to są tylko profile systemu Gentoo, czyli praktycznie zestaw innych flag USE i czasami łatek, względnie w przypadku BSD inne jajo.
Gentoo ma wiele twarzy.

W dalszym ciągu stage instalacyjny, ebuildy i dokumentacja, to jest bardziej skrzynka narzędzi i worek klocków, niż system operacyjny.

Profile, nie profile, gentoo-hardened przekompilowywuje ci wszystkie paczki z PIE+SSP. Do tego podczas sciagania zrodel kernela widac ile jest nakladanych lat, ile jest zmian i kernel sam w sobie jest przygotowany do pracy. Na stronie gentoo jest napisane "przebylismy dluga droge, aby uzytkownikowi dostarczyc bezpiecznego systemu", przeciez caly toolchain musial wspolgrac ze soba, caly userland . Podczas configuracji gentoo-hardened po sciagnieciu zrodel zauwazylem przed aktualizacja jajka dodatkowa opcje w dziale grsecurity (menuconfig), ktora mniej wiecej byla zwiazana z dodatkowa opcja "userland". W podstawowym grsecurity tego nie ma ! Zobacz, ze wersje jajka i patcha grsec roznia sie niz te na stronie grsecurity, wiec dev'y sami wszystko przygotowywuja. Moim zdaniem nie jest profilem a produktem. Z tego wynika, ze na wszystko mozna mowic profil.


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

#14  2014-08-14 09:30:39

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Faktycznie coś tam zmieniają w hardened-sources, ale główna cześć, czyli konfig i kompilacja, to robota dla pacjenta.
Nawet nowe opcje konfigu, to dalej są tylko łatki, choć rzeczywiście wyglądają niezwykle poważnie.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#15  2014-09-17 20:33:12

  alfa444 - Użytkownik

alfa444
Użytkownik
Zarejestrowany: 2014-03-25

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Projekt wydaje się genialny i napawa entuzjazmem:)
Gdzie tam można do nich napisać? Bo nie widzę żadnych list ani adresów?

Czy jest coś takiego jak tam zostało poruszony - open source hardware?? Bo osobiście nie słyszałem o laptopie ani pcecie open source (jedynie o raspberry pi).

Czy to grsecurity nie będzie przeszkadzało w aktualizacjach, doinstalowywaniu softu?

Uważam że powinni oni wziąc po 1-2 apek użytkowych z każdej możliwej grupy, uważanacyh za the best w swojej klasie i wrzucenie jako by default.

Offline

 

#16  2014-09-17 21:28:09

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Czy to grsecurity nie będzie przeszkadzało w aktualizacjach, doinstalowywaniu softu?

Sam Grsec nie powinien powodować problemów, ale jeśli tam jest włączony PAX_MPROTECT, to całkiem sporo paczek ze standardowego repo Debiana będzie łapało różne segfaulty i podobne historie, zwłaszcza w okolicach środowiska graficznego.

Pax jest integralną częścią każdej łatki Grsec, chociaż jest rozwijany jako osobny projekt.

Jeśli natomiast wyłączyli MPROTECT, to tym samym wyrwali najmocniejszy pazur PAXa do ochrony przed exploitami operującymi w pamięci RAM.

Paczki działające w środowisku Paxa się troszkę inaczej kompiluje, co w Debianie ciągle nie jest jeszcze standardem, więc ten Mempo-linux musiałby mieć własne repozytorium, a w tym repo byłoby znacznie więcej roboty, niż w przypadku repo Ubuntu.

Jak w Archu wprowadzili kernel-grsec, to do zarządzania flagami Paxa napisali osobnego demona systemowego Paxd . :D

Ostatnio edytowany przez Jacekalex (2014-09-17 21:31:05)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#17  2014-09-17 22:07:08

  alfa444 - Użytkownik

alfa444
Użytkownik
Zarejestrowany: 2014-03-25

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

A da się tam gdzieś popisać z nimi?
Ważne że taki projekt wógóle powstał i jest rozwijany - to własnie to czego brakowało. Miejmy nadzieje że nawet jesli problemy jakieś będą to zostaną z czasem rozwiązane, nawet jesli powstanie osobny distro.

Offline

 

#18  2014-09-17 22:20:13

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

alfa444 popisać to raczej możesz z dziewczynami na czacie na interii.  Poważni developerzy głupotmi się nie zajmują i nie  chcą aby im ktoś pierdołami zawracał D.  Masz taki sam poziom wiedzy o programowaniu i bezpieczeństwie co oni? Więc o czym chcesz z nimi pisać? O pogodzie?

=8D

Offline

 

#19  2014-09-17 22:36:56

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

1021

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:57:47)

Offline

 

#20  2014-09-17 23:41:56

  alfa444 - Użytkownik

alfa444
Użytkownik
Zarejestrowany: 2014-03-25

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Nie znam się na temat programowania i nie zamierzam ich pouczać jak mają co robić. Natomiast mam pewną wiedzę i wizję co warto byłoby zrobić.
Brak linuxowi chocby plausible deniability w luks. Brak możliwości nasladowania innych OS aka (defeating OS fingerprinting), który ma tails (nawet jesli dziala tylko do pewnego stopnia). Kazdy soft który jakoś narażalby jego użytkownika powinien być w takim systemie przez tora domyslnie skonfigurowany.
Zabezpieczenie przed dns cache posioning - to przeciez opendns i cloudns oferuje DNSSEC, który własnie przed tym chroni. Warto byłoby im to podpowiedzieć, bo jesli ich projekt się powiedzie to będzie przebój ewolucyjno-cywilizacyjny! :D

Offline

 

#21  2014-09-18 10:24:54

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

uzytkownikubunt napisał(-a):

...że jednak mam wątpliwości, czy nie jest to zbyt ambitny projekt. Qubes OS dla przykładu rzadko jest wydawany z nowymi paczkami, a oni chcą tam jeszcze Paksa zintegrować.

QubesOS bazuje na standardowych paczkach Fedory, tam bezpieczeństwo opiera się na separacji poszczególnych zadań poprzez kilka wirtualek Xena.
Na poszczególnych wirtualkach może być nawet Windows XP.

To zupełnie inna filozofia, niż utwardzanie systemu od fundamentu po sufit, zaczynając od kompilatora, to raczej konstrukcja stawiająca na separację zadań, a nie właściwy hardening systemu w sensie znanym z OpenBSD czy Gentoo-hardened.

alfa444 napisał(-a):

Brak linuxowi chocby plausible deniability w luks. Brak możliwości nasladowania innych OS aka (defeating OS fingerprinting), który ma tails (nawet jesli dziala tylko do pewnego stopnia). Każdy soft który jakoś narażalby jego użytkownika powinien być w takim systemie przez tora domyslnie skonfigurowany.

To już jest zabawa, która z bezpieczeństwem ma niewiele wspólnego, ale jest wykonalna w Linuxie, w jakimś tam stopniu.
Zainteresuj się projektem honeyd.

alfa444 napisał(-a):

Zabezpieczenie przed dns cache posioning - to przeciez opendns i cloudns oferuje DNSSEC, który własnie przed tym chroni. Warto byłoby im to podpowiedzieć, bo jesli ich projekt się powiedzie to będzie przebój ewolucyjno-cywilizacyjny! :D

Zainteresuj się dnscrypt.
Dnssec w Linuxie jest już w użyciu, problem polega na tym, że diabelnie mało serwerów DNS na razie używa podpisu DNSSEC, a póki taki mały odsetek domen jest podpisanych, trudno egzekwować weryfikację podpisu w DNS.
Żeby zweryfikować domenę, to ona musi być podpisana, a w tym przypadku ciągle podpis DNSSEC to rzadkość, a nie standard.
W dodatku DNSSEC nie jest niezbędny na stronach używających SSL, gdzie masz kryptograficzną weryfikację certyfikatu, jak np na DUGu w tej chwili ;).
Weryfikację certyfikatu SSL obsługuje wszystko, co mam w systemie,
z wgetem włącznie.
Dlatego DNSSEC polegnie na polu chwały w miarę upowszechniania się szyfrowania SSL.

Tu masz conieco o DNSSEC:
https://wiki.archlinux.org/index.php/DNSSEC
https://www.dnssec-tools.org/wiki/index.php/DNSSEC_Applications

Ostatnio edytowany przez Jacekalex (2014-09-18 10:55:33)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#22  2014-09-24 23:19:26

  alfa444 - Użytkownik

alfa444
Użytkownik
Zarejestrowany: 2014-03-25

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Osobiście,  byłbym za tym żeby przede wszystkim zajęli się uodpornieniem kernela na wykonywanie exploitów, bo ze wszystkim innym można sobie we własnym zakresie poradzić, ale z grsec/[ax już bardzo ciężko;/

Offline

 

#23  2014-09-24 23:53:16

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

1047

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:58:20)

Offline

 

#24  2014-09-25 01:24:02

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

Ależ mogą sobie chcieć, jednak żeby wykorzystać cały potencjał Grsecurity i Paxa, to trzeba specjalnych paczek, gdzie literalnie wszystko jest kompilowane z PIE, bindnow, relro, a nie co 5 czy  51 paczka, jak w obecnym repo Debiana.

Dopiero jak całe repo będzie kompilowane z takimi pancernymi flagami, i przy okazji wtyczkami do Paxa (takie też są), to będzie jakieś porównanie z tym systemem, który mam właśnie przed nosem.

Z wirtualizacją nie chce mi się bawić, poza tym i tak brałbym KVM a nie Xena, w każdym razie mam teraz szybki, stabilny i ultra-bezpieczny system, problemów z nim mniej niż z Debianem testing, większych problemów brak.
Natomiast na zrobienie całego repo Debiana z pancernymi flagami to nie tylko Mempo nie stać, ale nawet Cannonical, które na tym polu zrobiło wbrew pozorom całkiem sporo.

Poza tym widziałem już kilka projektów takich pancernych Linuxów, i zawsze to były niszowe projekty, które potem obumierały śmiercią naturalną.
Ostatnio dopiero najpierw w 2010 zaczęli zbroić Ubuntu, ale się zatrzymali, teraz Arch ostro zaszalał z bezpieczeństwem, także Gentuś hardened może wreszcie straci monopol na pancer-linux.

Ale przyszłości Mempo nie wróżę, wystarczy spojrzeć na OpenBSD, żeby wiedzieć, jaki udział w "rynku" może mieć taki system.

Poza tym pancerny system, który jest "gotowy" ma tą wadę, ze i tak nie wiem, co  w nim dokładnie jest, jakie skrypty i triki z konfiguracją, a jak stawiam Gentusia, to znam w nim każdy plik i każdy szczegół konfiguracji, bo ten system nic nie robi bez mojej wiedzy i zgody.
A np Debian przy instalacji automatycznie restartuje demona, co przy solidnych modyfikacjach bezpieczeństwa powoduje tony błędów.

Prosty przykład, na binarce Ngixna ustawiłem cap_net_bind_service+ep ale zabrałem mu bit SUID i SGID.
Kiedy bez tego uprawnienia net_bind_service się go spróbuje odpalić po instalacji, to przechodzi w tryb zombie i blikuje wszystkie semafory IPC.
Powodem jest aktywny profil apparmora dla Nginxa, w którym jest ściśle napisane, co nginx może robić w systemie..
Wystarczy mu jednak dodać odpowiednie uprawnienie capabilities przez polecenie setcap, żeby normalnie wisiał na porcie.

Aktualizacja Nginxa na serwerze Debiana w takich warunkach oznaczałoby każdorazowo katastrofę, z wywaleniem np Postgresql z braku dostępnych semaforów IPC.

Ale w Debianie Nginx i Apache wiszą na porcie zawsze jako root, choć nie ma ku temu żadnych racjonalnych podstaw ani powodów.

Dlatego średnio wieżę w taki projekt jak Mempo, który zrobi niewiarygodne cudo bazując na repozytorium Debiana, które to repo znam nie najgorzej.

Pozdro


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#25  2014-09-25 08:55:22

  mati75 - Psuj

mati75
Psuj
Skąd: masz ten towar?
Zarejestrowany: 2010-03-14

Re: Debian-mempo-hardened bezpieczniejszy niz Gentoo Hardened.

nginx i apache w debianie sa uruchamiane jako www-data


https://l0calh0st.pl/obrazki/userbar.png

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)