koniec grsecurity?
Paweł Sikora
pluto w ds14.agh.edu.pl
Śro, 2 Cze 2004, 13:51:25 CEST
On Wednesday 02 of June 2004 13:36, Arkadiusz Miskiewicz wrote:
> On Wednesday 02 of June 2004 13:23, Marcin Król wrote:
> > Witam.
> >
> > Pewnie sporo osob juz wie, ale ja sie dowiedzialem wlasnie teraz. Na
> > stronie grsecurity jest informacja iz wszelkie prace nad patchem (i nie
> > tylko) zostaja wstrzymane, a 7 czerwca (czyli niebawem) zostanie
> > wylaczona strona www, cvs, forum itd... Czy ten fakt bedzie jakis wplyw
> > na dystrybucyjne kernele pld, gdzie patch ow byl uzywany?
>
> Nie wiadomo jak się sprawy potoczą.
>
> > Typu wycofanie
> > sie z uzywania patcha, dalszy rozwoj patcha we wlasnym zakresie,
> > przejscie na openwall itd...
>
> Dopóki się będzie dało używać grsecurity to będzie grsecurity. Przykładowo
> w 2.4.x niemal ten sam patch był przez parę nowych wersji kernela i wiele
> poprawiać w nim nie trzeba było więc raczej bez problemu pociągnie się go
> dalej w 2.4.27 itd.
>
> Problem będzie z 2.6 bo pewnie dość szybko grsecurity się stanie
> nieaktualne ale tu znów alternatywy brak - openwalla dla 2.6 nie ma.
samo grsecurity raczej bedzie nadal aktualne, bo ono glownie ingeruje
w podsystem plikow, sockety, /proc i podobne, ktore od poczatku 2.6
niewiele sie zmienily. natomiast pax-a poki co nie ma na 2.6.7,
bo przepisali w jajku podsystem VM, a ja nie mam czasu na analize 2.6.7
i portowanie pax-a z 2.6.6.
obecny status:
- grsec: jest i dziala
- pax: moze kiedys go ktos przeniesie z 2.6.6 na 2.6.7+
> W ogóle nie podoba mi się nieco brak jakichkolwiek zabezpieczeń przed
> przepełnieniem bufora i brak non-executable pages w naszych jajkach :/
na pierwsze jest rada - kompilacja kernela przy pomocy gcc
wyposazonego w SSP. juz to robilem i kernel dzialal.
natrafilem jednak na naruszenie stosu w podsystemie netfilter
i nie wiem czy to winna blednego kodu w jadrze, czy blad w gcc.
trzebaby sie temu przyjzec jeszcze raz kiedys.
co do drugiego, to pozostaje pax, lub execshield, z czego pierwszy
jest blizszy wcielenia, bo drugi zatrzymal sie iirc gdzies na 2.6.3
(no chyba, ze Ingo go uaktualni).
--
If you think of MS-DOS as mono, and Windows as stereo,
then Linux is Dolby Digital and all the music is free...
Więcej informacji o liście dyskusyjnej pld-users-pl