Hardened BSD, le à-la-grsecurity dans FreeBSD

Posté par . Édité par Benoît Sibaud et Nÿco. Modéré par ZeroHeure. Licence CC by-sa
Tags :
27
7
sept.
2014
FreeBSD

Shawn Webb et Oliver Pinter, tous deux à l'origine du projet HardenedBSD, l'ont rendu officiel fin août. Il s'agit d'un projet au sein de FreeBSD, et pas d'une extension de la famille des BSD (FreeBSD, NetBSD, OpenBSD, DragonFly BSD, et leurs dérivés comme GhostBSD ou PC-BSD).

Le but premier de Hardened BSD est d'apporter le support ASLR, Address Space Layout Randomization ou distribution aléatoire de l'espace d'adressage, qui existe chez tous les autres BSD, DragonFly BSD compris, dans la branche courante et aussi rétroporter le tout pour les versions précédentes.

Aussi, inspiré de PaX (correctif sécurité du noyau Linux, voir aussi W^X chez OpenBSD), il propose le support Segvguard afin de surveiller les segmentation faults et se protéger contre les attaques par ce biais.

Enfin dans une sous-branche, il renforce les contrôles des appels ptrace (ce dont votre serviteur s'occupe ;-)).

  • # DragonFly

    Posté par . Évalué à 10.

    En fait, tout le monde dit que dragonFly a de l'ASLR, mais je n'en suis pas si sûr.

    j'ai découvert hier que la randomization de l'addresse de la pile n'avait que 10bits d'entropie par défaut, et en outre, j'ai l'impression en regardant ça ce soir que les mappings R_X des bibliothèques sont chargés à une addresse fixe (alors que RW_ et mmap sont bien randomisés).
    C'est quand même assez bête parce que c'est surtout ceux qui sont executables qui importent. Je suis en train de me demander si le support dans le linker n'a pas été perdu il y a un an et demi quand quelqu'un a décidé de synchroniser rtld avec celui de freebsd, en perdant peut être des modifications locales. Pour la pile, il suffit d'augmenter la valeur par défaut (on dirait que pour 64bits la valeur de 32 bits a été conservée, j'ai un patch c'est trivial), par contre pour le linker, je vais regarder ça mais j'y connais pas grand chose.

    Du coup, ça sera intéressant de voir ce que vous ferez !

    • [^] # Re: DragonFly

      Posté par . Évalué à 6.

      J'ai rien compris mais c'est tellement joli et tellement technique que je t'ai plussoyé.

    • [^] # Re: DragonFly

      Posté par (page perso) . Évalué à 7.

      En ce qui concerne le linker je doute fort que vous ayez perdu des chose, John a fait ente lors de sa synchronisation avec FreeBSD de remonter les modifications Dragonfly, qui ont été accepté et intégrées.

      • [^] # Re: DragonFly

        Posté par . Évalué à 2.

        tu as raison, en regardant d'un peu plus près avec git, il semble que le linker utilise mmap MAP_FIXED partout depuis toujours. Je ne vais pas toucher à ça, je ne m'y connais pas assez, je pense que je vais attendre de voir les changements introduits dans freebsd pour kes importer.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.