Pax dla FreeBSD

[bryn1u 17]

Witam.

 

Zastanawiam sie czy jest moze takie rozwiazanie jak pax dla freebsd. Z tego co czytam byl kiedys projekt cerber ale to byly odlegle lata. Jest jakas mozliwosc albo mechanizm do zabijania/wykrywania exploitow oraz bufforoverstack.

 

Pozdrawiam.

[bryn1u 17]

Jest SSP, domyślnie jajko się z tym buduje, możesz jeszcze przebudować z tym własny userland (ten z base jest już z tym zbudowany). A cerber to faktycznie odległe lata i odległe zastosowanie ;-) Teraz jest MAC.

 

Dzieki samu.

 

Faktycznie. Niestety brakuje nazewnictwa.

 

GCC Stack-Smashing Protector (ProPolice)

 

The "Stack-Smashing Protector" or SSP, also known as ProPolice, is an enhancement of the StackGuard concept written and maintained by Hiroaki Etoh of IBM. Its name derives from the wordpropolis. ProPolice differs from StackGuard in three ways:

• ProPolice moves canary code generation from the back-end to the front-end of the compiler.
  
• ProPolice also protects all registers saved in function's prologue (for example the frame pointer), and not only the Return Address.
  
• ProPolice, in addition to canary protection, also sorts array variables (where possible) to the highest part of the stack frame, to make it more difficult to overflow them and corrupt other variables. It also creates copies of arguments of the function, and relocates them together with local variables, effectively protecting the arguments.
  

It was implemented as a patch to GCC 3.x; a less intrusive reimplementation is included in the GCC 4.1 release. Currently, SSP is standard in OpenBSD, FreeBSD (since 8.0), Ubuntu (since 6.10 ^[3]),Hardened Gentoo (in gcc 4.x by default since October 2010, previously also in gcc 3.x) and DragonFly BSD. It is also available in NetBSD (enabled by default on x86), Debian and Gentoo, disabled by default.

 

Czyli mam rozumiec, ze po instalacji "min install" SSP jest wlaczone ? Jak sie MAC stosuje w praktyce ? Z tego co wiem bardzo duzo osob/administratorow tego w ogole nie uzywa i zastanawia mnie dlaczego. Dokladnie chodzi mi o wyeliminowanie odpalania dziadostwa w jailu. Noexec odpada

Edytowano Marzec 11, 2012 przez bryn1u (zobacz historię edycji)

[bryn1u 17]

uzywa, uzywa, po prostu o tym nie rozpowiada na lewo i prawo a Ci co nie uzywaja, zwyczajnie nie maja po co. Generyczne jajko fbsd posiada juz wiele funkcjonalnosci, ktore do linuksa dopiero dodaja patche grsec. dopiero od niedawna MAC jest rowniez wbudowany w domyslne jajko, ale nie ma obowiazku ladowania i uzywania wszystkich jego modulow.

 

Tak, masz juz ssp, ale jesli bedziesz budowac wlasne oprogramowanie (chocby z portow), musisz odpowiednio zmodyfikowac /etc/make.conf zeby kompilowal z ssp.

 

(Musze sie jeszcze przyzwyczaic do polskich znakow na telefonie )

 

A jak wyglada sytuacja z paczkami. Paczki sa automatycznie budowane z SSP ? Gdzie mozna wiecej cos o tym poczytac ? A dokladnie SSP w make.conf i ustawieniach. W handbooku chyba nie ma tego albo przynajmniej ja nie umiem tego znalezc . Zmotywowales mnie do lektur na dzien dzisiejszy ! Co do telefonu to nie uzywaj polskich znakow sa oczoj... na niektorych kanal ircnecie dostaje sie bana :-) a juz nie mowie o braku kodowania.

[bryn1u 17]

SSP chyba nie jest pokryte w dokumentacji freebsd, szukaj na forum fbsd (no i ssp to nie jest rzecz stricte freebsdowa). Nie wiem jak z paczkami, bo uzywam glownie portow, a tam to sie sprowadza do dodania -fstack-protector i -fstack-protector-all do flag w make.conf. Mam nadzieje ze nic z pamieci nie pomieszalem

 

W openbsd jest to juz jako czesc systemu. Mogli by przeniesc pare rozwiazan latwiej by sie zylo :-). Samu mam prosbe odnoscnie tego tematu bo za chiny nie moge sobie poradzic. Jakbys mogl zerknac http://www.webhostingtalk.pl/topic/36064-freebsd-jail-1-ip/

 

Z gory dziekuje. Pozdrawiam.