Debian 6.0 (Squeeze) ha meccanismi di protezione da buffer overflow?

11

La mia domanda è: quali difese di buffer overflow / stack smashing (se presenti) sono abilitate di default in Debian 6.0 (Squeeze)?

Ubuntu ha una comoda tabella riassuntiva che mostra le principali funzionalità di sicurezza di ogni versione dell'edizione Server , ma non ho trovato qualcosa di simile per Debian. Ubuntu menziona:

  • Stack Protector (gcc's -fstack-protector)
  • Heap Protector (protezione heap della libreria GNU C)
  • Pointer Obfuscation (Alcuni puntatori memorizzati in glibc sono offuscati)
  • Randomizzazione del layout dello spazio degli indirizzi (ASLR) (Stack ASLR; Libs / mmap ASLR; Exec ASLR; brk ASLR; VDSO ASLR)
  • Diversi demoni costruiti come Position Independent Executables (PIE)
  • Alcuni demoni (?) Creati con l'origine Fortify "-D_FORTIFY_SOURCE = 2"

In che misura Debian 6.0 utilizza tecniche simili (per impostazione predefinita)?

security  debian  debian-squeeze 
Jesper M
fonte

Risposte:

5

Sfortunatamente la maggior parte (tutte?) Di queste difese non sono abilitate su Debian. Ne hanno parlato per anni e c'è stato un progetto "indurito debian", ma non ha portato a nulla di concreto dal punto di vista dell'utente. È una delle rare distro che non hanno ancora implementato queste misure.

Ci sono alcune ulteriori informazioni su http://wiki.debian.org/Hardening :

Dopo l'incontro del 14-16 gennaio 2011, il team di sicurezza debian ha annunciato in un'e-mail l'intenzione di promuovere l'inclusione delle funzionalità di protezione per la versione wheezy. Una sessione di Birds of a Feather sarà organizzata durante il debconf del 2011 per impostare un processo.

L'email di riferimento è qui: http://lists.debian.org/debian-devel-announce/2011/01/msg00006.html .

Quindi forse sta finalmente arrivando in "wheezy" ...

Questo è il motivo principale per cui personalmente preferisco eseguire Ubuntu su Debian sui miei server.

schiocco
fonte
Debian semplifica la compilazione di un nuovo kernel basato sulle loro versioni. Puoi sempre abilitare solo le opzioni che desideri sul tuo kernel.
bahamat,
1
Queste sono (principalmente) funzionalità dello spazio utente. Compilare un nuovo kernel non farà differenza.
scatta il
0

Se hai bisogno di un pacchetto in Debian con CFLAGS speciali o opzioni di configurazione, puoi usare apt-build . Gentoo o * BSD è un ottimo sistema operativo per questo scopo.

So che questa non è una soluzione ma è la soluzione migliore ora.

Rufo El Magufo
fonte
Perché il downvote? Vorrei sapere :)
Rufo El Magufo,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.