1 |
On 03/07/2011 06:48 PM, Alex Efros wrote: |
2 |
|
3 |
К примеру, если использовать Hardened Gentoo's pre-defined security levels: |
4 |
Security options ---> |
5 |
Grsecurity ---> |
6 |
Security Level ---> |
7 |
(Х) Hardened Gentoo [server] |
8 |
|
9 |
то PAX_PAGEEXEC и PAX_SEGMEXEC оказываются включены. Хотя по логике, |
10 |
достаточно одного из них. |
11 |
|
12 |
http://daevy.uzps.mh.ru/?p=33 |
13 |
|
14 |
CONFIG_PAX_PAGEEXEC:Paging based non-executable page – Неисполняемые |
15 |
страницы основанные на подкачке. |
16 |
Эта реализация основана на возможности подкачки страниц процессором. На |
17 |
i386 системах без аппаратной поддержки установки бита “no executable” |
18 |
может привести к небольшому снижению производительности, однако на |
19 |
процессорах Intel P4 снижение может быть значительным поэтому не следует |
20 |
использовать эту функцию в ядрах которые будут работать с такими |
21 |
процессорами. На архитектурах alpha, avr32, ia64, parisc, sparc, |
22 |
sparc64, x86_64 и i386 с аппаратной поддержкой установки бита “no |
23 |
executable” снижение производительности не наблюдается, на ppc |
24 |
незначительное снижение. Следует отметить что несколько архитектур |
25 |
требуют различные эмуляции для неправильно спректированного |
26 |
пользовательского ABI, что также может повлечь снижение |
27 |
производительности, но вероятно будет исправлено в скором времени |
28 |
(например ppc-пользователи могут использовать secure-plt функцию |
29 |
доступную в binutils). |
30 |
|
31 |
CONFIG_PAX_SEGMEXEC:Segmentation based non-executable pages – |
32 |
Неисполняемые страницы основанные на сегментации. |
33 |
Эта реализация основана на возможности сегментации страниц процессором и |
34 |
имеет небольшой прирост производительности. Тем не менее приложения |
35 |
будут ограничены в 1,5 Гб адресного пространства, вместо нормальных 3 Гб. |
36 |
|
37 |
|
38 |
> Hi! |
39 |
> |
40 |
> On Mon, Mar 07, 2011 at 06:31:17PM +0300, Vladimir Solomatin wrote: |
41 |
>> Очень знакома описанная Вами ситуация! В багзилу запостил соответвующий |
42 |
>> тикет. |
43 |
>> Отключение CONFIG_PAX_SEGMEXEC избавляет от данной проблемы. |
44 |
>> Смею предположить, у Вас так же используется reiserfs? |
45 |
> Не совсем понимаю, каким боком тут PaX затесался. И у меня Ext3. |
46 |
> Отключение CONFIG_PAX_SEGMEXEC, насколько я понимаю, уменьшает пользу от |
47 |
> hardened практически вдвое - так что для меня это не решение. Но проверить |
48 |
> это действительно стоит, сейчас займусь… |
49 |
> |
50 |
|
51 |
|
52 |
-- |
53 |
Vladimir Solomatin (slash@×××××.ru) |
54 |
Phone: + 7 (4732) 711711 |
55 |
Relex Inc, Voronezh. |