Инициатива по увеличению защищённости openSUSE

15 сентября 2014 года

Дэвид Штерба (David Sterba), разработчик ядра Linux, трудоустроенный в компании SUSE, рассказал(недоступная ссылка) о создании проекта openSUSE-gardened, в рамках которого развивается набор пакетов, включающих дополнительные механизмы обеспечения безопасности. Дэвид считает, что штатных средств обеспечения безопасности, таких как SELinux и AppArmor, недостаточно для формирования защищённого рабочего стола. Поэтому он предлагает дополнительно использовать в дистрибутиве наработки проекта Grsecurity для ядра Linux и средства повышения защиты на уровне сборочного инструментария GCC.

Формально проект пока находится на стадии бета-тестирования, но вариант openSUSE-gardened для деcктоп-систем на основе openSUSE 13.1 и графических чипов Intel уже оценивается как пригодный для ежедневного использования. Для систем с видеокартами NVIDIA и AMD, а также для не входящих в состав openSUSE 13.1 окружений рабочего стола, пока могут наблюдаться нерешённые проблемы. Для openSUSE 13.1 (Архивная копия от 22 апреля 2017 на Wayback Machine) и openSUSE Factory(недоступная ссылка) подготовлены сценарии упрощённой установки компонентов openSUSE-gardened, которые можно использовать в YaST для настройки репозитория и установки набора пакетов в один клик. В будущем наработки openSUSE-gardened планируется по возможности интегрировать в основной состав openSUSE.

В openSUSE-gardened пользователю предлагается вариант штатного ядра openSUSE, собранный с использованием плагинов и дополнений к GCC и от проекта grsecurity. Обеспечивается поддержка механизмов для защиты от записи исполняемых областей памяти, рандомизации адресного пространства, эмуляции NX-бита на не поддерживающих данную технологию CPU. Хранение PaX-флагов(недоступная ссылка) осуществляется только в обрасти расширенных атрибутов файлов на уровне файловой системы (xattr user.pax.*) без внесения изменений в ELF-заголовки исполняемых файлов. Для автоматического обновления PaX-флагов для свежеустанавливаемых исполняемых файлов подготовлен применяемый на стадии установки пакетов плагин к zypper (zypp-plugin-pax-flags).

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Инициатива по увеличению защищённости openSUSE», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.