Инициатива по увеличению защищённости openSUSE
15 сентября 2014 года
Дэвид Штерба (David Sterba), разработчик ядра Linux, трудоустроенный в компании SUSE, рассказал(недоступная ссылка) о создании проекта openSUSE-gardened, в рамках которого развивается набор пакетов, включающих дополнительные механизмы обеспечения безопасности. Дэвид считает, что штатных средств обеспечения безопасности, таких как SELinux и AppArmor, недостаточно для формирования защищённого рабочего стола. Поэтому он предлагает дополнительно использовать в дистрибутиве наработки проекта Grsecurity для ядра Linux и средства повышения защиты на уровне сборочного инструментария GCC.
Формально проект пока находится на стадии бета-тестирования, но вариант openSUSE-gardened для деcктоп-систем на основе openSUSE 13.1 и графических чипов Intel уже оценивается как пригодный для ежедневного использования. Для систем с видеокартами NVIDIA и AMD, а также для не входящих в состав openSUSE 13.1 окружений рабочего стола, пока могут наблюдаться нерешённые проблемы. Для openSUSE 13.1 (Архивная копия от 22 апреля 2017 на Wayback Machine) и openSUSE Factory(недоступная ссылка) подготовлены сценарии упрощённой установки компонентов openSUSE-gardened, которые можно использовать в YaST для настройки репозитория и установки набора пакетов в один клик. В будущем наработки openSUSE-gardened планируется по возможности интегрировать в основной состав openSUSE.
В openSUSE-gardened пользователю предлагается вариант штатного ядра openSUSE, собранный с использованием плагинов и дополнений к GCC и от проекта grsecurity. Обеспечивается поддержка механизмов для защиты от записи исполняемых областей памяти, рандомизации адресного пространства, эмуляции NX-бита на не поддерживающих данную технологию CPU. Хранение PaX-флагов(недоступная ссылка) осуществляется только в обрасти расширенных атрибутов файлов на уровне файловой системы (xattr user.pax.*) без внесения изменений в ELF-заголовки исполняемых файлов. Для автоматического обновления PaX-флагов для свежеустанавливаемых исполняемых файлов подготовлен применяемый на стадии установки пакетов плагин к zypper (zypp-plugin-pax-flags).
Источники
править- Главная ссылка к новости (https://lizards.opensuse.org/2...)(недоступная ссылка)
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.