[d-kernel] I: kernel-fix-security-altsec

Konstantin A. Lepikhov lakostis на anti-leasure.ru
Вс Мар 12 01:32:37 MSK 2006


Hi!

В kernel cvs залит интересный патч, в котором я постарался перенести в
ядро 2.6 то, чего мне не хватало, т.е. -fix-security-owl. Конечно, я не
стал портировать весь патч целиком (думаю, solar@ когда-нибудь сделает это
лучше меня), лишь перенес наиболее простые и удобные вещи + добавил часть
идей из grsecurity патчей. Итак, чего там есть:
- защищенный /proc (пользователи не входящие в группу, к которой
  принадлежит каталог /proc, видят только свои процессы). Также для
  обычного пользователя скрыты такие элементы как
  /proc/{net,cmdline,io*,slabinfo,kallsym*,config*}
- механизм удаления неиспользуемых shm сегментов из памяти. Реализация
  механизма предложена vsu@ на основе идей из owl патча. В TODO - более
  гибкая система контроля shm ресурсов. Этот механизм можно отключить
  через sysctl shm_destroy_unused (по-умолчанию он включен).
Остальная часть owl патча (т.е. non-exec stack) реализуется через
-fix-security-pax (pax.grsecurity.net), которая более полная по своей
реализации защиты от атак связанных с запуском кода в памяти,
предназначенной только для чтения.

Общая связка -fix-security-pax + -fix-security-altsec была проверена на
std26 и vs26 ядрах на архитектурах i386 и x86-64, критических ошибок в
реализации пока не замечено (но это не значит, что их там нет :) Так что
прошу посмотреть этот патч и проверить его как можно с большим кол-вом
приложений (особенно интересуют те, кто активно работает с shm). В
дальнейшем планируется добавить этот патч в ядра std26 и vs26 (возможно и
в rad26, но это по-желанию их мантейнера).

Кому лень самостоятельно собирать vserver с pax+altsec, я выложил
обновленный -feat-core-vserver (altsec брать оттуда же):
http://lakostis.elektrostal.ru/RPMS/testing/

PS С PaX некоторые программы перестанут работать (например,
openvpn/httpd/rpm). Для их запуска придется отключить mmap/mprotect
утилитой paxctl (брать с pax.grsecurity.net). Она позволяет отключить
pax защиту на уровне отдельного файла. В будущем я думать создать
отдельный control для сервера/vps/ws, но для его реализции нужен список
"плохих" программ.

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis на jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis на pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR
----------- следущая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 191 байтов
Описание: Digital signature
Url     : http://lists.altlinux.org/pipermail/devel-kernel/attachments/20060312/58adc4a7/attachment.bin


Подробная информация о списке рассылки devel-kernel