Features/OwKernel: различия между версиями

Материал из ALT Linux Wiki
(Import from freesource.info)
 
(добавление в категорию Kernel)
Строка 1: Строка 1:
[[Категория:Kernel]]
{{MovedFromFreesourceInfo|AltLinux/Features/OwKernel}}
{{MovedFromFreesourceInfo|AltLinux/Features/OwKernel}}


== OpenWall/altsec kernel patch ==
== OpenWall/altsec kernel patch ==


Универсальные дистрибутивы ALT Linux, начиная как минимум с Master 2.0, содержали т.н. [http://openwall.com/linux/ OW] patch (в ядрах <tt>kernel22-{smp,up}-secure</tt>, <tt>kernel-image-{std-smp,std-up,vs-smp}</tt>). Настольные дистрибутивы (Junior, Compact) его типично не содержат; для ядра 2.6 в данное время (ноябрь 2006 г.) такой патч неизвестен, зато существует вариация на его тему по имени [http://sisyphus.ru/srpm/kernel-fix-security-altsec altsec patch].
Универсальные дистрибутивы ALT Linux, начиная как минимум с Master 2.0, содержали т. н. [http://openwall.com/linux/ OW] patch (в ядрах <tt>kernel22-{smp,up}-secure</tt>, <tt>kernel-image-{std-smp,std-up,vs-smp}</tt>). Настольные дистрибутивы (Junior, Compact) его типично не содержат; для ядра 2.6 в данное время (ноябрь 2006 г.) такой патч неизвестен, зато существует вариация на его тему по имени [http://sisyphus.ru/srpm/kernel-fix-security-altsec altsec patch].


Они в ответе в т.ч. за то, что:
Они в ответе в том числе за то, что:


* (<tt>CONFIG_SECURE_PROC</tt>/<tt>CONFIG_HARDEN_PROC</tt>/<tt>CONFIG_ALT_SECURE_PROC</tt>) простые пользователи не видят процессов друг друга и не имеют доступа к полной сетевой статистике (непростые заносятся в группу <tt>proc</tt>)
* (<tt>CONFIG_SECURE_PROC</tt>/<tt>CONFIG_HARDEN_PROC</tt>/<tt>CONFIG_ALT_SECURE_PROC</tt>) простые пользователи не видят процессов друг друга и не имеют доступа к полной сетевой статистике (непростые заносятся в группу <tt>proc</tt>)
* (<tt>CONFIG_SECURE_SHM</tt>/<tt>CONFIG_HARDEN_SHM</tt>/<tt>CONFIG_ALT_SECURE_SHM</tt>) производится автоматическая зачистка неиспользуемых сегментов разделяемой памяти. Некоторые программы могут полагаться на неопределённое поведение по умолчанию -- они сломаются; если не получается их починить, возможно отключить эту проверку:
* (<tt>CONFIG_SECURE_SHM</tt>/<tt>CONFIG_HARDEN_SHM</tt>/<tt>CONFIG_ALT_SECURE_SHM</tt>) производится автоматическая зачистка неиспользуемых сегментов разделяемой памяти. Некоторые программы могут полагаться на неопределённое поведение по умолчанию — они сломаются; если не получается их починить, возможно отключить эту проверку:
:<tt>echo 0 >/proc/sys/kernel/shm_destroy_unused</tt>
: <tt>echo 0 >/proc/sys/kernel/shm_destroy_unused</tt>
* (<tt>CONFIG_SECURE_LINK</tt>/<tt>CONFIG_HARDEN_LINK</tt>) ограничивается следование процессов по "чужим" символическим ссылкам; это может быть источником весьма неочевидных проблем до похода в <tt>/var/log/messages</tt> и наблюдения записи о том, что такому-то UID не позволили пройти по ссылке такого-то UID
* (<tt>CONFIG_SECURE_LINK</tt>/<tt>CONFIG_HARDEN_LINK</tt>) ограничивается следование процессов по «чужим» символическим ссылкам; это может быть источником весьма неочевидных проблем до похода в <tt>/var/log/messages</tt> и наблюдения записи о том, что такому-то UID не позволили пройти по ссылке такого-то UID


Полный список см. в документации патчей.
Полный список см. в документации патчей.

Версия от 19:47, 6 октября 2008

Freesource-logo.png Blue Glass Arrow.svg MediaWiki logo.png
Эта страница была перемещена с freesource.info.
Эта страница наверняка требует чистки и улучшения — смело правьте разметку и ссылки.
Просьба по окончанию убрать этот шаблон со страницы.


OpenWall/altsec kernel patch

Универсальные дистрибутивы ALT Linux, начиная как минимум с Master 2.0, содержали т. н. OW patch (в ядрах kernel22-{smp,up}-secure, kernel-image-{std-smp,std-up,vs-smp}). Настольные дистрибутивы (Junior, Compact) его типично не содержат; для ядра 2.6 в данное время (ноябрь 2006 г.) такой патч неизвестен, зато существует вариация на его тему по имени altsec patch.

Они в ответе в том числе за то, что:

  • (CONFIG_SECURE_PROC/CONFIG_HARDEN_PROC/CONFIG_ALT_SECURE_PROC) простые пользователи не видят процессов друг друга и не имеют доступа к полной сетевой статистике (непростые заносятся в группу proc)
  • (CONFIG_SECURE_SHM/CONFIG_HARDEN_SHM/CONFIG_ALT_SECURE_SHM) производится автоматическая зачистка неиспользуемых сегментов разделяемой памяти. Некоторые программы могут полагаться на неопределённое поведение по умолчанию — они сломаются; если не получается их починить, возможно отключить эту проверку:
echo 0 >/proc/sys/kernel/shm_destroy_unused
  • (CONFIG_SECURE_LINK/CONFIG_HARDEN_LINK) ограничивается следование процессов по «чужим» символическим ссылкам; это может быть источником весьма неочевидных проблем до похода в /var/log/messages и наблюдения записи о том, что такому-то UID не позволили пройти по ссылке такого-то UID

Полный список см. в документации патчей.

Сообщения в syslog

LINK:

security_alert("not followed symlink of %d.%d "
               "by UID %d, EUID %d, process %s:%d",
               "symlinks not followed",
               inode->i_uid, inode->i_gid,
               current->uid, current->euid, current->comm, current->pid);
security_alert("denied hard link to %d.%d "
                       "for UID %d, EUID %d, process %s:%d",
                       "hard links denied",
                       inode->i_uid, inode->i_gid,
                       current->uid, current->euid,
                       current->comm, current->pid);

STACK:

security_alert("return onto stack "
                               "from 0x%08lx to 0x%08lx running as "
                               "UID %d, EUID %d, process %s:%d",
                               "returns onto stack",
                               regs->eip, addr,
                               current->uid, current->euid,
                               current->comm, current->pid);

FIFO:

security_alert("denied writing FIFO of %d.%d "
                       "by UID %d, EUID %d, process %s:%d",
                       "writes into a FIFO denied",
                       inode->i_uid, inode->i_gid,
                       current->uid, current->euid,
                       current->comm, current->pid);