Exec Shield - Википедия - Exec Shield

Exec Shield проект начался в Красная шляпа, Inc в конце 2002 года с целью снижения риска заражения червями или других автоматизированных удаленных атак на системы Linux. Первым результатом проекта стал безопасность патч для Ядро Linux который подражает Бит NX на x86 Процессоры в которых отсутствует аппаратная реализация NX. Хотя в проекте Exec Shield было много других компонентов, некоторые люди называют этот первый патч Exec Shield.

Первый патч Exec Shield пытается пометить память данных как неисполняемую, а программную память как незаписываемую. Это подавляет многие уязвимости безопасности, например, происходящие из переполнение буфера и другие методы, основанные на перезаписи данных и вставке кода в эти структуры. Exec Shield также поставляет рандомизация разметки адресного пространства для mmap () и основание кучи.

Патч дополнительно увеличивает сложность вставки и выполнения шеллкод, что делает большинство эксплойтов неэффективными. Для полного использования exec-shield не требуется перекомпиляция приложений, хотя некоторые приложения (Мононуклеоз, Вино, XEmacs, Mplayer ) не полностью совместимы.

Среди других особенностей проекта Exec Shield были: Независимые от позиции исполняемые файлы (PIE), патч рандомизации адресного пространства для ядер Linux, широкий набор внутренних проверок безопасности glibc, которые делают почти невозможными эксплойты кучи и строкой форматирования, GCC Укрепить источник функция, а также перенос и слияние GCC протектор стека особенность.

Выполнение

Exec Shield работает на всех процессорах x86, используя ограничение сегмента кода. Благодаря особенностям работы Exec Shield, он очень легкий; однако он не сможет полностью защитить произвольные виртуальная память макеты. Если предел CS повышен, например, путем вызова mprotect (), чтобы сделать исполняемый файл с большей памятью, то защита ниже этого предела теряется. Инго Мольнар указывает на это в разговоре по электронной почте. Большинство приложений в этом отношении вполне разумны; стек (важная часть), по крайней мере, оказывается выше любых сопоставленных библиотек, поэтому не становится исполняемым, кроме как явным вызовом приложения.

По состоянию на август 2004 г. никакие проекты Exec Shield не пытаются обеспечить защиту памяти путем ограничения mprotect () на любой архитектуре; хотя память может изначально не быть исполняемой, она может стать исполняемой позже, поэтому ядро ​​позволит приложению отмечать страницы памяти как доступные для записи и как исполняемые одновременно. Однако в сотрудничестве с Linux с повышенной безопасностью проект (SELinux), стандартная политика для Fedora Core Распространение действительно запрещает такое поведение для большинства исполняемых файлов, за некоторыми исключениями по соображениям совместимости.

История

Exec Shield был разработан разными людьми в Red Hat; первый патч был выпущен Инго Мольнар Red Hat и впервые выпущен в мае 2003 года. Он является частью Fedora Core с 1 по 6 и Red Hat Enterprise Linux, начиная с версии 3.[1][2] Среди других вовлеченных людей - Якуб Елинек, Ульрих Дреппер, Ричард Хендерсон и Арьян ван де Вен.

Смотрите также

Рекомендации

  1. ^ «Примечания к выпуску Fedora Core 1». Red Hat, Inc. Ноябрь 2003 г. Архивировано с оригинал на 2003-12-02. Получено 2007-10-18.
  2. ^ ван де Вен, Арьян (август 2004 г.). «Новые улучшения безопасности в Red Hat Enterprise Linux v.3, обновление 3» (PDF). Red Hat, Inc. Архивировано из оригинал (PDF) на 2005-05-12. Получено 2007-10-18.

внешняя ссылка