paxtest log

[quote:e2070b6976="Sallus"]A Hardened Gentoo letezik elore forgatott csomagokkal, vagy azt is nekem kell forgatnom mint a hagyomanyos Gentoot?

jelenleg csak a stage-k leteznek (pl. http://gentoo.prz.rzeszow.pl/releases/x86/2004.2/stages/x86/hardened/ ), a kovetkezo kiadasban mar lesz minden, teljes livecd is.

[quote:dff4ec4838="Sallus"]Ezek szerint meg a RANDEXEC-t erdemes bekapcsolni?

attol fugg, mire kell. ha csak a paxtest eredmenyet akarod javitani, akkor hajra, kulonben meg nem sok ertelme van, en nem javaslom az elesben valo hasznalatat (olvasd el a config helpjet vagy a pax doksit rola, hogy miert).

Esetleg tudsz valami howto lelohelyet a gradm2, paxctl-hez, policy file-ok krealasahoz?

van ugye olyan, hogy 'man paxctl' ;-), a gradm2-ben van egy ondokumentalo policy file. ha ezen tul van kerdesed, akkor irany a grsec forum inkabb.

hmm.. nem a feeling miatt hasznalok debiant, hanem mert azt ismerem a legjobban, mar tobb eve azt hasznalom..
de gyozz meg, szerinted miert jobb a Hardened Gentoo, nyitott vagyok az ertelmes hozzaszolasokra.

Igazából a debian hardeningje és a hardened gentoo / adamantix között az a külömbség, hogy a debian esetében ez egy hack, amit neked kell csinálni/utánahúzni stb. , míg a másik esetekben ez az adott disztribúcióhoz tartozó feature, amin akár 10+ ember is dolgozik, és a disztribúció szerves részét képezi. Csak ennyit tudok mondani, kérem kapcsolja ki.

1. a 'guessed' ahogy mar mondtak masok is, nem problema onmagaban, csak arra utal, hogy a veletlen bitek szama meres eredmenye, es pontatlan lehet (PaX alatt altalaban max 1 bittel ter el a tenyleges ertektol, ez a meresi modszer hibaja/tulajdonsaga).

2. a RANDEXEC-kel jelolt sorok ill. az ET_EXEC randomization sor csak arra utal, hogy te a kerneledbol kihagytad a RANDEXEC-t, nem dol ossze tole a vilag.

3. a maradek 'return to strcpy/memcpy' tesztek pedig szandekosan nem sikerulnek PaX alatt, azt mutatjak, hogy az adott tesztben hasznalt exploit technika mukodik PaX alatt is. az ssp hasznalata valoban segit megfogni a konkret tamadast, de mas valtozatait nem, ezert a paxtest direkt kikapcsolja az ssp hasznalatat (egyreszt mert a paxtest a PaX-ot teszteli, masreszt mert nem akarunk 'false sense of security'-t terjeszteni). persze ha akarod, akkor atirod a makefile-t es villoghatsz ;-), de ettol meg nem leszel 100%-ban vedett a return-to-libc tipusu tamadasokkal szemben.

[quote:6406e8ad9e="Sallus"]de gyozz meg, szerinted miert jobb a Hardened Gentoo, nyitott vagyok az ertelmes hozzaszolasokra.

pl. hardened gentoo kernel alapból tartalmazza a PaX-ot és jónéhány security megoldást, nem kell patchelgetned... de én nem győzködlek se linuxal, se mással, mert csak flame lenne belőle. :wink:

[quote:8b0fda8f67="johans"]A return to libc típusú dolgokat pedig nem a PaX-nak, hanem a ProPolice-nak kellene megfognia. Valószínűleg nincs ilyen patch a gcc-dben.

Khm, nem egészen...
A PaX-nak is meg kellene fognia szerintem, de talán kérdezzük meg a PaXTeam véleményét erről. :D

[quote:8b0fda8f67="johans"]Ha flémelni akarnék, azt mondanám, hogy úgy lehet a legegyszerűbben megoldani, hogy felraksz egy hardened gentoot, mert ott ezek alapból adottak, de mivel nem akarok flémelni ilyet nem mondok.

Vagy Adamantix és akkor megmarad neki a debian feeling... ehhe :P
De én is a Hardened Gentoot ajánlanám, ha már linux. :lol:

Ja, és kijavítani pedig Debian alatt nem lehet egyszerűen, mert a ProPolice-os (esetleg hardened-toolchain-es, pie és pic támogatású) gcc-vel minden binárist újra kellene fordítani a rendszeredben. Ha flémelni akarnék, azt mondanám, hogy úgy lehet a legegyszerűbben megoldani, hogy felraksz egy hardened gentoot, mert ott ezek alapból adottak, de mivel nem akarok flémelni ilyet nem mondok. :lol:

A "guessed" sorok nem hibák, csak azt mutatják, hogy kb. hány bites random számot generál a PaX az adott funkcióhoz. A return to libc típusú dolgokat pedig nem a PaX-nak, hanem a ProPolice-nak kellene megfognia. Valószínűleg nincs ilyen patch a gcc-dben.

Akkor próbáld ki előre "összehegesztett" pax-os kernellel.

Nem próbáltad 2.4-es kernellel?