Есть ли в Debian 6.0 (Squeeze) механизмы защиты от переполнения буфера?

11

Мой вопрос: какие защиты от переполнения буфера / разрушения стека (если есть) включены по умолчанию в Debian 6.0 (Squeeze)?

В Ubuntu есть удобная сводная таблица, показывающая основные функции безопасности каждого выпуска Server Edition , но я не нашел ничего похожего для Debian. Ubuntu упоминает:

  • Защитник стека (gcc's -fstack-protector)
  • Средство защиты кучи (средство защиты кучи библиотеки GNU C)
  • Запутывание указателей (некоторые указатели, хранящиеся в glibc, запутаны)
  • Рандомизация размещения адресного пространства (ASLR) (стек ASLR; Libs / mmap ASLR; Exec ASLR; brk ASLR; VDSO ASLR)
  • Несколько демонов построены как независимые от позиции исполняемые файлы (PIE)
  • Некоторые демоны (?) Построены с помощью Fortify Source "-D_FORTIFY_SOURCE = 2"

В какой степени Debian 6.0 использует похожие методы (по умолчанию)?

Джеспер М
источник

Ответы:

5

К сожалению, большинство (все?) Этих защит не включены в Debian. Они говорили об этом годами, и был какой-то проект «закаленного дебиана», но он не привел к чему-то конкретному с точки зрения пользователя. Это один из редких дистрибутивов, которые еще не реализовали эти меры.

На сайте http://wiki.debian.org/Hardening есть дополнительная информация :

После встречи 14-16 января 2011 года команда безопасности Debian в электронном письме объявила, что намерена подтолкнуть включение усиленных функций в выпуск wheezy. Сессия «Птицы пера» будет организована во время debconf 2011 для настройки процесса.

Ссылочный адрес электронной почты находится здесь: http://lists.debian.org/debian-devel-announce/2011/01/msg00006.html .

Так что, может быть, это, наконец, приходит в "хрипит" ...

Это самая большая причина, почему я лично предпочитаю запускать Ubuntu вместо Debian на моих серверах.

щелчок
источник
Debian позволяет легко скомпилировать новое ядро ​​на основе их выпусков. Вы всегда можете просто включить опции, которые вы хотите в вашем ядре.
багамат
1
Это (в основном) функции пользовательского пространства. Компиляция нового ядра не будет иметь значения.
оснастка
0

Если вам нужен пакет в Debian со специальными параметрами CFLAGS или config, вы можете использовать apt-build . Gentoo или * BSD - очень хорошая ОС для этих целей.

Я знаю, что это не решение, но лучший обходной путь сейчас.

Руфо Эль Магуфо
источник
Почему отрицательный голос? Я хотел бы знать :)
Руфо Эль Магуфо