Czy Debian 6.0 (Squeeze) ma mechanizmy ochrony przed przepełnieniem bufora?

11

Moje pytanie brzmi: które zabezpieczenia przed przepełnieniem bufora / ochroną przed rozbiciem stosu (jeśli istnieją) są domyślnie włączone w Debian 6.0 (Squeeze)?

Ubuntu ma poręczną tabelę podsumowań pokazującą główne funkcje bezpieczeństwa każdej wersji Server Edition , ale nie znalazłem czegoś podobnego dla Debiana. Ubuntu wspomina:

  • Stack Protector (gcc's -fstack-protector)
  • Heap Protector (ochraniacz sterty biblioteki GNU C)
  • Wskaźnik zaciemnienia (niektóre wskaźniki przechowywane w glibc są zaciemnione)
  • Randomizacja układu przestrzeni adresowej (ASLR) (stos ASLR; Libs / mmap ASLR; Exec ASLR; brk ASLR; VDSO ASLR)
  • Kilka demonów zbudowanych jako pliki niezależne od pozycji (PIE)
  • Niektóre demony (?) Zbudowane z użyciem źródła Fortify „-D_FORTIFY_SOURCE = 2”

W jakim stopniu Debian 6.0 używa podobnych technik (domyślnie)?

Jesper M.
źródło

Odpowiedzi:

5

Niestety większość (wszystkich?) Tych zabezpieczeń nie jest włączona w Debianie. Rozmawiali o tym od lat i był jakiś „zahartowany debian” projekt, ale nie doprowadziło to do niczego konkretnego z perspektywy użytkownika. Jest to jedno z nielicznych dystrybucji, które nie wdrożyły jeszcze tych środków.

Więcej informacji znajduje się na stronie http://wiki.debian.org/Hardening :

Po spotkaniu w dniach 14-16 stycznia 2011 r. Zespół ds. Bezpieczeństwa Debiana ogłosił w e-mailu, że zamierza przyspieszyć włączenie funkcji hartowania w wydaniu wheezy. Podczas debconf 2011 odbędzie się sesja Birds of a Feather w celu skonfigurowania procesu.

Odnośny adres e-mail znajduje się tutaj: http://lists.debian.org/debian-devel-announce/2011/01/msg00006.html .

Więc może wreszcie nadejdzie „wheezy” ...

To największy powód, dla którego osobiście wolę uruchamiać Ubuntu niż Debian na moich serwerach.

kłapnięcie
źródło
Debian bardzo łatwo kompiluje nowe jądro w oparciu o ich wydania. Zawsze możesz po prostu włączyć żądane opcje w jądrze.
bahamat
1
Są to (głównie) funkcje przestrzeni użytkownika. Kompilacja nowego jądra nie zrobi różnicy.
przyciągnąć
0

Jeśli potrzebujesz pakietu w Debianie ze specjalnymi opcjami CFLAGS lub konfiguracji, możesz użyć apt-build . Gentoo lub * BSD to bardzo dobry system operacyjny do tych celów.

Wiem, że to nie jest rozwiązanie, ale teraz jest to lepsze obejście.

Rufo El Magufo
źródło
Dlaczego głosowanie negatywne? Chciałbym wiedzieć :)
Rufo El Magufo