| 1 |
Darvin nb пишет: |
| 2 |
> Подскажите, стоит ли ставить hardened gentoo с PaX и GrSecurity (без |
| 3 |
|
| 4 |
Судите сами. Многие разработчики ядра, включая Торвальдса, |
| 5 |
придерживаются политики нераскрытия уязвимостей. К сожалению, на деле |
| 6 |
всё кардинально не так, как описано в Documentation/SecurityBugs. |
| 7 |
|
| 8 |
1. Некоторую часть заплаток на дыры в ядре выпускают "втихую", без |
| 9 |
уведомления пользователей и других разработчиков об опасности. Бэкпорты |
| 10 |
таких заплаток могут не сразу попасть (или вовсе не попасть) в |
| 11 |
стабильные версии ядер в составе дистрибутивов. |
| 12 |
|
| 13 |
2. Иногда занижается степень опасности опубликованных уязвимостей: в |
| 14 |
качестве возможных последствий ядерщики заявляют, например, только DoS и |
| 15 |
более глубоким анализом не утруждаются. А там может быть всё - от |
| 16 |
раскрытия информации до выполнения произвольного кода в контексте ядра. |
| 17 |
|
| 18 |
3. Качество кода в ядре нередко оставляет желать лучшего. Его аудитом |
| 19 |
никто всерьёз не занимается, стандарты качества установлены невысокие, и |
| 20 |
экспертов по безопасности среди ключевых разработчиков ядра нет. |
| 21 |
|
| 22 |
Для защиты хлипкого ядра PaX и Grsecurity могут прийтись весьма кстати |
| 23 |
(особенно на x86, поскольку KERNEXEC и RANDKSTACK не реализованы для |
| 24 |
других архитектур). Во многих случаях они позволят смягчить последствия |
| 25 |
атак на ядро (например, делая невозможным выполнение произвольного кода |
| 26 |
или раскрытие информации), а также снизить вероятность успеха их |
| 27 |
проведения (скажем, со 100% до 0.4%). |
| 28 |
|
| 29 |
Можете погуглить архивы перепалок Brad Spengler и PaX Team против |
| 30 |
Торвальдса и ко. - лучше поймёте аргументы обеих сторон и картину по |
| 31 |
вопросам безопасности ядра в целом. |
| 32 |
|
| 33 |
Механизмы защиты юзерленда и сетевого стека так же в наличии. Гугль в |
| 34 |
помощь. |
| 35 |
|
| 36 |
> Насколько сильно понизится производительность? |
| 37 |
|
| 38 |
Зависит от решаемых задач. Разница может быть и вовсе незаметна. Если |
| 39 |
сервер не загружен на пределе, о производительности беспокоиться рано. |
| 40 |
Читайте доки, ставьте и пробуйте. |
Archives