1 |
Darvin nb пишет: |
2 |
> Подскажите, стоит ли ставить hardened gentoo с PaX и GrSecurity (без |
3 |
|
4 |
Судите сами. Многие разработчики ядра, включая Торвальдса, |
5 |
придерживаются политики нераскрытия уязвимостей. К сожалению, на деле |
6 |
всё кардинально не так, как описано в Documentation/SecurityBugs. |
7 |
|
8 |
1. Некоторую часть заплаток на дыры в ядре выпускают "втихую", без |
9 |
уведомления пользователей и других разработчиков об опасности. Бэкпорты |
10 |
таких заплаток могут не сразу попасть (или вовсе не попасть) в |
11 |
стабильные версии ядер в составе дистрибутивов. |
12 |
|
13 |
2. Иногда занижается степень опасности опубликованных уязвимостей: в |
14 |
качестве возможных последствий ядерщики заявляют, например, только DoS и |
15 |
более глубоким анализом не утруждаются. А там может быть всё - от |
16 |
раскрытия информации до выполнения произвольного кода в контексте ядра. |
17 |
|
18 |
3. Качество кода в ядре нередко оставляет желать лучшего. Его аудитом |
19 |
никто всерьёз не занимается, стандарты качества установлены невысокие, и |
20 |
экспертов по безопасности среди ключевых разработчиков ядра нет. |
21 |
|
22 |
Для защиты хлипкого ядра PaX и Grsecurity могут прийтись весьма кстати |
23 |
(особенно на x86, поскольку KERNEXEC и RANDKSTACK не реализованы для |
24 |
других архитектур). Во многих случаях они позволят смягчить последствия |
25 |
атак на ядро (например, делая невозможным выполнение произвольного кода |
26 |
или раскрытие информации), а также снизить вероятность успеха их |
27 |
проведения (скажем, со 100% до 0.4%). |
28 |
|
29 |
Можете погуглить архивы перепалок Brad Spengler и PaX Team против |
30 |
Торвальдса и ко. - лучше поймёте аргументы обеих сторон и картину по |
31 |
вопросам безопасности ядра в целом. |
32 |
|
33 |
Механизмы защиты юзерленда и сетевого стека так же в наличии. Гугль в |
34 |
помощь. |
35 |
|
36 |
> Насколько сильно понизится производительность? |
37 |
|
38 |
Зависит от решаемых задач. Разница может быть и вовсе незаметна. Если |
39 |
сервер не загружен на пределе, о производительности беспокоиться рано. |
40 |
Читайте доки, ставьте и пробуйте. |