Forum Debian Users Gang

Prosze nastepny projekcik:

Hey All,

I'm working on applying Capsicum to Tor. I've got a PoC design for how
I'm going to do it posted here:

https://github.com/lattera/PoCs/tree/master/capsicum_fdpassing

Note that the above code might have ugly spots. It's mostly just a brain
dump.

Essentially, the child process creates the socket and passes the
socket's file descriptor back to the parent. The socket file descriptor
has the capabilities sets already applied to it before it goes back to
the parent. The socket creation and file descriptor passing seems to
work well.

However, what isn't working is calling connect(2) on the socket file
descriptor in the parent. errno gets set to ECAPMODE. This is puzzling
to me since CAP_CONNECT is set on the descriptor.

Any help would be appreciated.

Thanks,

Ostatnio edytowany przez bryn1u (2017-09-26 23:58:34)

To jest za pomoca wlasnie hbsd. Nie sprawdzalem czy dziala. Mysle, ze powinno. Zainstaluj sobie virtualke z FreeBSD i sprawdz.

Ostatnio edytowany przez bryn1u (2017-09-28 18:17:06)

Entropy Gathering Enhancements

http://hardenedbsd.org/article/shawn-webb/2017-10-0 … -enhancements

Yampress napisał(-a):

tez mam fbsd na vb w wolnym czasie sobie sprawdze jak się przeniesie..



Wygląda na to że chodzi po migracji ok

root@freebsd:~ # uname -a
FreeBSD freebsd 11.1-STABLE-HBSD FreeBSD 11.1-STABLE-HBSD #0 : Fri Sep 22 16:19:13 UTC 2017     root@updater-01:/usr/obj/usr/src/sys/HARDENEDBSD  amd64
root@freebsd:~ #
root@freebsd:~ # sysctl -a |grep hardening.pax
hardening.pax.segvguard.max_crashes: 5
hardening.pax.segvguard.suspend_timeout: 600
hardening.pax.segvguard.expiry_timeout: 120
hardening.pax.segvguard.status: 1
hardening.pax.mprotect.status: 2
hardening.pax.pageexec.status: 2
hardening.pax.disallow_map32bit.status: 2
hardening.pax.aslr.status: 2
root@freebsd:~ #

No i bardzo ladnie. A jak migrowales ? Ze zrodel czy za pomoca hbsd-update ?

Jacekalex napisał(-a):

Nie jest kwestią, ile jest błędów przed chwilą, ważne jest tempo latania odkrytych błędów, a tutaj Linux daje radę nawet troszkę szybciej od BSD, bo ma znacznie większą "masę krytyczną" hakerów
i developerów.

Inną sprawą jest  to, jak dobrze są debugowane systemy z rodziny BSD...

Linux jak napisałeś ma największą ilość użytkowników, zatem twierdzenie a priori że Linux ma więcej błędów od BSD nie trzyma się proporcji związanej z tą właśnie skalą.

Większość zaś tzw. włamów wynika nawet nie z CVSów, a ze zwyczajnego niechlujstwa administratorów i pracowników firm.

Ostatnio edytowany przez mfm (2017-10-13 10:20:34)

brynlu  nie bawłem się w hardening.  Na razie hbsd zainstalowałem i zostawiłem. Będe się przyglądał w wolnej chwili. Nie mam czasu teraz ostatnio za dużo.

Kernel ASLR on amd64

October 12, 2017 posted by Maxime Villard

Recently, I completed a Kernel ASLR implementation for NetBSD-amd64, making NetBSD the first BSD system to support such a feature. Simply said, KASLR is a feature that randomizes the location of the kernel in memory, making it harder to exploit several classes of vulnerabilities, both locally (privilege escalations) and remotely (remote code executions).

http://blog.netbsd.org/tnf/entry/kernel_aslr_on_amd64

to teraz czas na FBSD...

Yampress napisał(-a):

I widzisz  brynl1u.
to sa tego typu niedociągnięcia w hardened.

root@hardenedbsd:/usr/ports # up
Shared object "libssl.so.43" not found, required by "git-remote-https"
root@hardenedbsd:/usr/ports #

up=alias aktualizacji poprzez git ... aby nie było że korzystam z nie wiadomo jakiś narzędzi ]:>

we freebsd sie nigdy takie problemy nie zdarzały. a twórcy HBSD mocno  nie zalecali  i zrezygnowali  z narzędzia portsnap/FreeBSD
A to narzedzie chodzi tamdoskonale. A sami co stworzyli?

root@hardenedbsd:/usr/ports/devel/git # make showconfig
===> The following configuration options are available for git-2.15.1:
     CONTRIB=on: Install contributed scripts
     CURL=on: Data transfer support via cURL
     CVS=on: Enable CVS support
     GITWEB=on: Install gitweb
     GUI=off: GUI (Graphical User Interface) support
     HTMLDOCS=off: Install additional documentation
     ICONV=on: Encoding conversion support via iconv
     NLS=on: Native Language Support
     P4=on: Enable Perforce support
     PCRE=on: Use Perl Compatible Regular Expressions
     PERL=on: Perl scripting language support
     SEND_EMAIL=on: Enable the git-send-email(1) script
     SUBTREE=on: Install git-subtree
     SVN=off: Subversion support
====> Options available for the group HARDENING
     PIE=on: Build as Position Independent Executable
     RELRO=on: Build with Relocation Read-Only + BIND_NOW
     SAFESTACK=on: Build with SafeStack
===> Use 'make config' to modify these settings
root@hardenedbsd:/usr/ports/devel/git #

i drugi kwiatek

root@hardenedbsd:/usr/ports # mc
Shared object "libssl.so.43" not found, required by "libssh2.so.1"
root@hardenedbsd:/usr/ports #

jakis czas temu coś też było z hbsd-update.... Nie chodziło poprawnie i się "wykasztaniało"...
A te powyższe  błędy po wczorajszej aktualizacji binarnej base systemu za pomocą hbsd-update... Takie rzeczy w stabilnym produkcyjnym systemie nie mogą mieć miejsca.

Trochę jeszcze ten system potrzebuje czasu na dopracowanie i pewien poziom stabilności musi osiągnąć.
Aby podstawowe narzędzia ZAWSZE poprawnie chodziły.
A teraz tutaj w tym systemie niewielkie wsparcie, bo niewiele ludzi u żywa. W sumie parę narzędzi tylko innych więc jakoś da się przeboleć.

@Yampress
To nie sa niedociagniecia tylko wystarczy doczytac.
pkg-static install pkg

W FreeBSD tez sa rozne kwiatki jak np z portsnapem.  W kazdym systemie sa kwiatki, wtedy sie zglasza bugi.

******************
* IMPORTANT NOTE *
******************

This update installs LibreSSL 2.6.3 in base. Installed applications
that rely on libcrypto, libssl, or libtls need to be reinstalled.

Since pkg(8) depends on libcrypto, pkg-static(8) should be used to
update packages.

Ostatnio edytowany przez bryn1u (2018-01-02 20:51:51)

Na glownej stronie hardenedbsd masz ogolnie. Zobacz sobie roadmap czyli cel na 2018. A zmiany, poprawki sugestie masz normalnie na git'cie hbsd. :D

No i tu masz jeszcze podstawy:

https://hardenedbsd.org/content/hardenedbsd-handbook

Ostatnio edytowany przez bryn1u (2018-01-14 20:06:06)

W tej dziesięciolatce to chyba nie zacznie sensownie działać.
W porównaniu z Linuksem (gdzie ciągle jeszcze trwają intensywne prace), BSD ma wieloletnie zapóźnienia w systemie grafiki.

@Yampress

Nowa aktualizacja:

hbsdnx {
          hardening.pax.segvguard.status = 3;
          hardening.pax.mprotect.status = 3;
          hardening.pax.pageexec.status = 3;
          hardening.pax.aslr.status = 3;
          persist;
  }

Dodana opcja hardening per child jail. :D Czas na update.

Yampress napisał(-a):

tymczasowo zniechęciłem się do tego systemu... sprawdzę za rok jak system nabierze dojrzałości.
nadal jestem przekonnmy, że nie posiada takiej  niezawodności, spójności  i dojrzałości jak FreeBSD.

Bo go nie znasz :)
Ludzie, ktorzy siedza na Linuxe i nigdy nawet nie zainstalowali FreeBSD tez mowia, ze FreeBSD jest chujowy. :)

Wszystkie porty sa portami z FreeBSD przekompilowanymi z opcjami hardened. Jest ich sporo i o to chodzi. W 12 dojdzie jeszcze cos.
Po drugie HardenedBSD jest oparte o FreeBSD, wiec nie wiem co masz na mysli mowiac niezawodnosc, spojnosc i dojrzalosc ???
Po trzecie to, ze nie ma freebsd-update tylko jest hbsd-update wynika z tego, ze w przeicwienstiwe do FreeBSD, HardenedBSD jest skompilowany z LibreSSL i w kernelu sa opcje bezpieczenstwa jak flaga podczas budowania swiata -DHARDENED, PaX, PIE, -fstack-protector-stron oraz inne i nie moze byc niektorych rozwiazan z FreeBSD co jest oczywiste bo FreeBSD nie posiada takich zabezpieczen. U mnie projekt dziala tak jak FreeBSD i nie mam z nim zadnych problemow. HardenedBSD trzeba sie nauczyc obslugiwac. Bezpieczenstwo to proces nie produkt. Dlatego bedzie dochodzilo coraz wiecej rozwiazan co jest piekne.
Vermaden tez go uzywa :D

Ostatnio edytowany przez bryn1u (2018-03-08 15:48:00)

jakiś nowy BSD Live się pojawił

NomadBSD is a live desktop, 64-bit operating system designed to be run from USB thumb drives. It is based on FreeBSD.
http://nomadbsd.org/index.html



I tak w ogóle powoli trzeba się przygotowywać na wydanie 11.2-release
https://www.freebsd.org/releases/11.2R/schedule.html

RELEASE announcement    27 June 2018