Features/OwKernel: различия между версиями

Версия от 19:47, 6 октября 2008

Эта страница была перемещена с freesource.info.
Эта страница наверняка требует чистки и улучшения — смело правьте разметку и ссылки.
Просьба по окончанию убрать этот шаблон со страницы.

OpenWall/altsec kernel patch

Универсальные дистрибутивы ALT Linux, начиная как минимум с Master 2.0, содержали т. н. OW patch (в ядрах kernel22-{smp,up}-secure, kernel-image-{std-smp,std-up,vs-smp}). Настольные дистрибутивы (Junior, Compact) его типично не содержат; для ядра 2.6 в данное время (ноябрь 2006 г.) такой патч неизвестен, зато существует вариация на его тему по имени altsec patch.

Они в ответе в том числе за то, что:

(CONFIG_SECURE_PROC/CONFIG_HARDEN_PROC/CONFIG_ALT_SECURE_PROC) простые пользователи не видят процессов друг друга и не имеют доступа к полной сетевой статистике (непростые заносятся в группу proc)
(CONFIG_SECURE_SHM/CONFIG_HARDEN_SHM/CONFIG_ALT_SECURE_SHM) производится автоматическая зачистка неиспользуемых сегментов разделяемой памяти. Некоторые программы могут полагаться на неопределённое поведение по умолчанию — они сломаются; если не получается их починить, возможно отключить эту проверку:

echo 0 >/proc/sys/kernel/shm_destroy_unused

(CONFIG_SECURE_LINK/CONFIG_HARDEN_LINK) ограничивается следование процессов по «чужим» символическим ссылкам; это может быть источником весьма неочевидных проблем до похода в /var/log/messages и наблюдения записи о том, что такому-то UID не позволили пройти по ссылке такого-то UID

Полный список см. в документации патчей.

Сообщения в syslog

LINK:

security_alert("not followed symlink of %d.%d "
               "by UID %d, EUID %d, process %s:%d",
               "symlinks not followed",
               inode->i_uid, inode->i_gid,
               current->uid, current->euid, current->comm, current->pid);

security_alert("denied hard link to %d.%d "
                       "for UID %d, EUID %d, process %s:%d",
                       "hard links denied",
                       inode->i_uid, inode->i_gid,
                       current->uid, current->euid,
                       current->comm, current->pid);

STACK:

security_alert("return onto stack "
                               "from 0x%08lx to 0x%08lx running as "
                               "UID %d, EUID %d, process %s:%d",
                               "returns onto stack",
                               regs->eip, addr,
                               current->uid, current->euid,
                               current->comm, current->pid);

FIFO:

security_alert("denied writing FIFO of %d.%d "
                       "by UID %d, EUID %d, process %s:%d",
                       "writes into a FIFO denied",
                       inode->i_uid, inode->i_gid,
                       current->uid, current->euid,
                       current->comm, current->pid);

@@ Строка 1: / Строка 1: @@
+[[Категория:Kernel]]
 {{MovedFromFreesourceInfo|AltLinux/Features/OwKernel}}
 == OpenWall/altsec kernel patch ==
-Универсальные дистрибутивы ALT Linux, начиная как минимум с Master 2.0, содержали т.н. [http://openwall.com/linux/ OW] patch (в ядрах <tt>kernel22-{smp,up}-secure</tt>, <tt>kernel-image-{std-smp,std-up,vs-smp}</tt>).  Настольные дистрибутивы (Junior, Compact) его типично не содержат; для ядра 2.6 в данное время (ноябрь 2006 г.) такой патч неизвестен, зато существует вариация на его тему по имени [http://sisyphus.ru/srpm/kernel-fix-security-altsec altsec patch].
+Универсальные дистрибутивы ALT Linux, начиная как минимум с Master 2.0, содержали т. н. [http://openwall.com/linux/ OW] patch (в ядрах <tt>kernel22-{smp,up}-secure</tt>, <tt>kernel-image-{std-smp,std-up,vs-smp}</tt>). Настольные дистрибутивы (Junior, Compact) его типично не содержат; для ядра 2.6 в данное время (ноябрь 2006 г.) такой патч неизвестен, зато существует вариация на его тему по имени [http://sisyphus.ru/srpm/kernel-fix-security-altsec altsec patch].
-Они в ответе в т.ч. за то, что:
+Они в ответе в том числе за то, что:
 * (<tt>CONFIG_SECURE_PROC</tt>/<tt>CONFIG_HARDEN_PROC</tt>/<tt>CONFIG_ALT_SECURE_PROC</tt>) простые пользователи не видят процессов друг друга и не имеют доступа к полной сетевой статистике (непростые заносятся в группу <tt>proc</tt>)
-* (<tt>CONFIG_SECURE_SHM</tt>/<tt>CONFIG_HARDEN_SHM</tt>/<tt>CONFIG_ALT_SECURE_SHM</tt>) производится автоматическая зачистка неиспользуемых сегментов разделяемой памяти.  Некоторые программы могут полагаться на неопределённое поведение по умолчанию -- они сломаются; если не получается их починить, возможно отключить эту проверку:
+* (<tt>CONFIG_SECURE_SHM</tt>/<tt>CONFIG_HARDEN_SHM</tt>/<tt>CONFIG_ALT_SECURE_SHM</tt>) производится автоматическая зачистка неиспользуемых сегментов разделяемой памяти. Некоторые программы могут полагаться на неопределённое поведение по умолчанию — они сломаются; если не получается их починить, возможно отключить эту проверку:
-:<tt>echo 0 >/proc/sys/kernel/shm_destroy_unused</tt>
+: <tt>echo 0 >/proc/sys/kernel/shm_destroy_unused</tt>
-* (<tt>CONFIG_SECURE_LINK</tt>/<tt>CONFIG_HARDEN_LINK</tt>) ограничивается следование процессов по "чужим" символическим ссылкам; это может быть источником весьма неочевидных проблем до похода в <tt>/var/log/messages</tt> и наблюдения записи о том, что такому-то UID не позволили пройти по ссылке такого-то UID
+* (<tt>CONFIG_SECURE_LINK</tt>/<tt>CONFIG_HARDEN_LINK</tt>) ограничивается следование процессов по «чужим» символическим ссылкам; это может быть источником весьма неочевидных проблем до похода в <tt>/var/log/messages</tt> и наблюдения записи о том, что такому-то UID не позволили пройти по ссылке такого-то UID
 Полный список см. в документации патчей.