- la pile est non exécutable, ce qui limite les risques de buffer overflows ;
- des restrictions sur les liens dans /tmp (cool avec les récents problèmes de csh et bash) et les FIFOs
- limitations sur le /proc
- protection des file descriptors 0, 1, 2 pour les programmes SUID/SGID
...
[Note du modérateur : ce patch est utilisé pour augmenter la sécurité du noyau]
Aller plus loin
- OpenWall Project (4 clics)
- README (2 clics)
- Le patch (1 clic)
# à quand la modération du modérateur
Posté par Anonyme . Évalué à 0.
SE patch... hu hu
[^] # Re: à quand la modération du modérateur
Posté par Anonyme . Évalué à 0.
[^] # Re: à quand la modération du modérateur
Posté par Anonyme . Évalué à 0.
[^] # Re: à quand la modération du modérateur
Posté par Anonyme . Évalué à 0.
T109 - Le temps béni du Sicob...
# l'auteur et le modérateur
Posté par pappy (site web personnel) . Évalué à 1.
l'auteur n'est en rien responsable des fautes d'orthographe du modérateur ... il a déja assez à faire avec les siennes ;-)
# Problèmes ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 1.
[^] # Re: Problèmes ?
Posté par Anonyme . Évalué à 0.
corporer parce qu'il dit que ca protege pas contre
tous les buffer overflow .. je trouve que masquer
les process des autres est normal, on ne vois pas
les fichiers des autres, pourquoi les process ...
[^] # Re: Problèmes ?
Posté par Sébastien Koechlin . Évalué à 1.
L'exemple de la pile exécutable a été discuté plusieurs fois, et oblige simplement les buffer-overrun a changer de mécanisme, les rendant simplement légèrement plus complexe à écrire.
Si cette modification est ajouté au noyau, alors tous les noyaux en profiterons, et toutes les attaques seronts alors systématiquement modifiées pour prendre cela en compte, unique conséquence: le noyau est plus complexe.
[^] # Re: Problèmes ?
Posté par Anonyme . Évalué à 0.
Juste différent. Conclusion rendre la pile non-executable est pas idiot, mais ne protege pas des buffer-overflow du tout.
Linus est pas si con que ca ...
[^] # Re: Problèmes ?
Posté par Anonyme . Évalué à 0.
difficile sur une box openwallee . Il est
impossible de faire des return into libc car celle ci est loadee a une adresse virtuelle contenant
un 0x00 .
Il est autrement possible de bypasser ce patch en local en retournant dans la procedure linkage table . EN remote, ca me parait extremement difficile . En remote il est possible de retourner dans un chunk malloque mais l'adresse des buffer alloues dynamiquement change considerablement selon les machines, contrairement aux adresses des buffers locaux qui sont tout le temps les memes a quelques centaines d'octets pret selon la taille de l'environnement .
Personnelement, je trouve que openwall rends l'exploitation a distance extrement difficile, mais je loupe peutt etre quelquechose ... ?
Reponses directement a :
vanegu_j@epita.fr
[^] # Re: Problèmes ?
Posté par pappy (site web personnel) . Évalué à 1.
> plusieurs fois, et oblige simplement les
> buffer-overrun a changer de mécanisme, les
> rendant simplement légèrement plus complexe à
> écrire.
Dans le fond, je suis plutôt d'accord ... mais est-ce qu'augmenter la difficulté des attaques ne diminue le nombre de personnes susceptibles de les employer/utiliser/inventer ? Je crois que oui.
Selon moi, mon propre avis, mon opinion qui n'engage que moi, plus tu as de lignes de défenses, moins de personnes pourront (au sens de "seront capables") de s'en prendre à toi.
Le débat est ouvert ...
[^] # Re: Problèmes ?
Posté par Anonyme . Évalué à 0.
[^] # Re: Problèmes ?
Posté par Anonyme . Évalué à 0.
Quelqu'un a t'il des infos plus récentes sur ce projet?
[^] # Re: Problèmes ?
Posté par pappy (site web personnel) . Évalué à 1.
CONFIG_SECURE_STACK=y
CONFIG_SECURE_STACK_SMART=y
CONFIG_SECURE_LINK=y
CONFIG_SECURE_FIFO=y
# CONFIG_SECURE_PROC is not set
CONFIG_SECURE_FD_0_1_2=y
# CONFIG_SECURE_RLIMIT_NPROC is not set
# CONFIG_SECURE_SHM is not set
Et je n'ai jamais rencontré de problème ... sauf quand je veux faire des tests avec des bo ou des liens foireux dans /tmp ;-) Du coup, je les fait sur une autre machine.
# Aucun rapport mais
Posté par Benoît Sibaud (site web personnel) . Évalué à 1.
"malgré que" ? Je ne me rappelle jamais si cela se dit ou non.
D'autre part, "100mbits" (lire 100 milli-bits) devrait être "100Mbit/s" (lire 100 Mega-bits par second).
Voilà c'était un commentaire inintéressant à scorer -1.
[^] # Re: Aucun rapport mais
Posté par Anonyme . Évalué à 0.
[^] # Re: Aucun rapport mais
Posté par Anonyme . Évalué à 0.
On peut dire « Malgré le fait que »...
# LIDS + Openwall
Posté par Amaury . Évalué à 1.
http://root-it.be/community/lids/(...)
Attention, LIDS est beaucoup plus chiant a configurer que Openwall, lisez *bien* la doc avant de rebooter avec le noyau patche.
Rappelons egalement qu'appliquer un patch au kernel peut donner une fausse impression de securite et qu'il y a bien d'autres choses a faire en priorite, avant d'en venir a patcher le noyau (fermer les ports, virer les SUID root etc)...
[^] # Re: LIDS + Openwall
Posté par pappy (site web personnel) . Évalué à 1.
entièrement d'accord avec ta dernière phrase :)
</commentaire utile>
Et le prire, c'est que je n'ai rien d'autre à ajouter ...
[^] # Re: LIDS + Openwall
Posté par bmc . Évalué à 1.
# process
Posté par Anonyme . Évalué à 0.
mais plutot privacité est de masquer les process
des autres, ca me parais une bonne chose
[^] # Re: process
Posté par bmc . Évalué à 1.
Sur le fond, ça dépend. En effet, parfois on ne veut voir que ses process (mais c'est déjà possible), parfois on tient à savoir pourquoi cette sal***rie de machine rame de cette façon, sans pour autant aller emmerder l'admin système. Par exemple, si X a pris de l'embonpoint, tu le sais tout de suite et tu contactes l'admin. Ca peut être pratique (sauf pour l'admin qui surfes sur Linuxfr ;)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.