| 1 |
On 03/07/2011 06:48 PM, Alex Efros wrote: |
| 2 |
|
| 3 |
К примеру, если использовать Hardened Gentoo's pre-defined security levels: |
| 4 |
Security options ---> |
| 5 |
Grsecurity ---> |
| 6 |
Security Level ---> |
| 7 |
(Х) Hardened Gentoo [server] |
| 8 |
|
| 9 |
то PAX_PAGEEXEC и PAX_SEGMEXEC оказываются включены. Хотя по логике, |
| 10 |
достаточно одного из них. |
| 11 |
|
| 12 |
http://daevy.uzps.mh.ru/?p=33 |
| 13 |
|
| 14 |
CONFIG_PAX_PAGEEXEC:Paging based non-executable page – Неисполняемые |
| 15 |
страницы основанные на подкачке. |
| 16 |
Эта реализация основана на возможности подкачки страниц процессором. На |
| 17 |
i386 системах без аппаратной поддержки установки бита “no executable” |
| 18 |
может привести к небольшому снижению производительности, однако на |
| 19 |
процессорах Intel P4 снижение может быть значительным поэтому не следует |
| 20 |
использовать эту функцию в ядрах которые будут работать с такими |
| 21 |
процессорами. На архитектурах alpha, avr32, ia64, parisc, sparc, |
| 22 |
sparc64, x86_64 и i386 с аппаратной поддержкой установки бита “no |
| 23 |
executable” снижение производительности не наблюдается, на ppc |
| 24 |
незначительное снижение. Следует отметить что несколько архитектур |
| 25 |
требуют различные эмуляции для неправильно спректированного |
| 26 |
пользовательского ABI, что также может повлечь снижение |
| 27 |
производительности, но вероятно будет исправлено в скором времени |
| 28 |
(например ppc-пользователи могут использовать secure-plt функцию |
| 29 |
доступную в binutils). |
| 30 |
|
| 31 |
CONFIG_PAX_SEGMEXEC:Segmentation based non-executable pages – |
| 32 |
Неисполняемые страницы основанные на сегментации. |
| 33 |
Эта реализация основана на возможности сегментации страниц процессором и |
| 34 |
имеет небольшой прирост производительности. Тем не менее приложения |
| 35 |
будут ограничены в 1,5 Гб адресного пространства, вместо нормальных 3 Гб. |
| 36 |
|
| 37 |
|
| 38 |
> Hi! |
| 39 |
> |
| 40 |
> On Mon, Mar 07, 2011 at 06:31:17PM +0300, Vladimir Solomatin wrote: |
| 41 |
>> Очень знакома описанная Вами ситуация! В багзилу запостил соответвующий |
| 42 |
>> тикет. |
| 43 |
>> Отключение CONFIG_PAX_SEGMEXEC избавляет от данной проблемы. |
| 44 |
>> Смею предположить, у Вас так же используется reiserfs? |
| 45 |
> Не совсем понимаю, каким боком тут PaX затесался. И у меня Ext3. |
| 46 |
> Отключение CONFIG_PAX_SEGMEXEC, насколько я понимаю, уменьшает пользу от |
| 47 |
> hardened практически вдвое - так что для меня это не решение. Но проверить |
| 48 |
> это действительно стоит, сейчас займусь… |
| 49 |
> |
| 50 |
|
| 51 |
|
| 52 |
-- |
| 53 |
Vladimir Solomatin (slash@×××××.ru) |
| 54 |
Phone: + 7 (4732) 711711 |
| 55 |
Relex Inc, Voronezh. |
Archives