>> Ты хотел казаться.
> Это твои домыслы.Не домыслы, а хорошо обоснованные выводы.
> были такие "термины" как "уродство" - можешь перечитать и проверить.
Уродство - слово литературное. Потом ты раскрылся и перешёл на физиологизмы. Красноречивая разница налицо.
>> ЧТД.
> Сейчас - да.
Сейчас - то есть, в реальности, а не в твоих фантазиях. В реальности PaX/grsecurity уже второй десяток лет обеспечивает защиту в рамках заданной модели угроз...
> В перспективе - нет.
...а наивные вьюноши из рядов пользователей OpenBSD продолжают видеть перспективу того, как blacklist-решения дадют 100% покрытие.
>> [PAX_MPROTECT] включён по умолчанию примерно везде, где система работает на ядре с grsecurity.
> То есть примерно нигде - я всё сказал правильно. Да?
То есть, примерно везде, где востребован уровень защиты наилучший из практически достижимых по совокупности требований на сегодняшний день.
Тебя к таким задачам не подпускают и в профессиональной среде у тебя соответсвующих контактов нет. И утверждение ты делаешь в куцих рамках своих компетенций и неосведомлённости.
> Зачем сравнивать нишевое решение с ОС общего назначения?
А кто сказал, что оно нишевое? Ты. А на каком основании? Может быть, есть общепринятые представления, классификация ОС? Нет. Может быть, ты эксперт и даёшь экспертное заключение? Тоже нет. Утверждение о нишевости - твоё личное мнение, которое ты очень хочешь выдать за авторитетное.
>> Это решение, которое зарекомендовало себя с лучшей стороны.
> Как это решение себя зарекомендовало, мы уже выяснили.
Вижу, тебе очень хочется, чтобы я в чём-то с тобой согласился. Но для этого нужно прилагать созидательные умственные усилия, а не те, что прилагаешь ты.
> решение не портированно примерно никуда, по-умолчанию не включено нигде у "серьёзных игроков".
У "серьёзных игроков" - это у тех, чья целевая аудитория - неосведомлённые массы? Это те "серьёзные игроки", кто про SELinux годами рассказывали, а как вышла статья в Уошингтон Пост, подсуетились и выродили KSPP для создания видимости заимствования наработок grsecurity? ;) Их нежелание связываться с PaX/grsecurity говорит только об одном: ЦА не выдаёт соответствующих потребительских запросов и не в состоянии оценить результат.
Между тем, эти "серьёзные игроки" пользуются многими средствами, которые пришли из PaX и в софт, и в процессоры (NX-бит, SMEP, SMAP). И всегда они плелись у PaX в хвосте. Повторюсь: ай, Моська, знать, она сильна, что лает на слона.
> Выключенность, откуда у тебя вообще сомнения? Нет ни одной "серьёзной" ОС, где
> это включено по умолчанию. Grsec - не ОС, а набор патчей.
Так это набор патчей работает вместо ядра ОС? Приложения в середе набора патчей выполняются? Мой юный друг, PaX - это только PaX, как и grsecurity. И там PAX_MPROTECT включён по умолчанию. А твои попытки съехать с темы говорят всё о том же: что настоящих аргументов у тебя нет.
>> Там, где он нужен, он [PAX_MPROTECT] именно лучше и именно правильнее.
> История нас рассудит, посмотрим.
Рассудит, безусловно. Но показательно, что тебя не интересует, как она рассуждала последние почти 20 лет.
> Как по мне, смысла в костыле, пусть и
> довольно удачном, при наличии не ломающего стандарты решения, просто нет.
Вот когда - а вернее, если вдруг - у "не ломающего стандарты решения" будет покрытие, как у PAX_MPROTECT, тогда и о наличии можно будет говорить. А пока только фантазии.
> Я писал и про то, почему это неудобно и почему непрактично.
Какая разница, чем ты свои _субъективные впечатления_ обосновываешь? Ты пытаешься возвести их в ранг объективных или хотя бы общепринятых. И тебя не устраивает, что твоё мнение - всего лишь твоё мнение. Хочешь что-то обосновать, выдвини фальсифицируемый тезис и дай ему обоснование. А неудобным и непрактичным можно назвать всё, что угодно. Это чисто субъективные критерии.
> Про то, что можно сбросить больше привилегий и т.п., порезать доступ к
> fs через unveil и вот это всё.
Посредством SECCOMP BPF тоже можно. Он также преимущественно ортогонален и комплементарен по отношению к PAX_MPROTECT, поэтому я его и не тяну за уши в этот разговор. Но тебе эти простые обстоятельств непонятны.
> Ты не поверишь, но я тоже года два имел десктоп с grsec
> ядром, и я имел опыт с grsec в продакшене (хостинг). И
Почему не поверю? Поверю. Прекрасное резюме, которое замечательно согласуется с тем, что я вижу, и задаёт стандарт всем твоим суждениям и претензиям. Вот, например, из твоего свежего ответа не мне:
> PAX MPROTECT прибивает процесс, который вызывает mprotect, добавляющий PROT_EXEC
Не прибивает, а возвращает EACCES. Поэтому некоторые приложения, вроде ClamAV или JVM из относительно свежих версий OpenJDK, которые проверяют результат соответствующих вызовов mprotect(), продолжают работать (без JIT).
> никаких проблем у меня не было (grsec выбирал не я, если что).
> Но это не отменяет того, то проблемы есть
То есть, даже у тебя проблем не было, но проблемы есть. Прям удивительно. Проблемы есть и с антивирусами, и с файрволами. Однако это не отменяет того, что невзирая на неудобства люди ими пользуются, обретая базовые знания и навыки.
> и если оно подходит для чего-то одного, типа хостинга, то не факт, что для другого.
Снова бессодержательное утверждение.
> Как нишевое решение grsec мне вполне понятен
Весмааа спорное утверждение, если задаться вопросом о глубине, ширине и контекстуальной полноте понимания.
> но не нужно удивляться, что его не взяли в апстримный линукс и не нужно удивляться, что
> даже раньше почти не было "серьёзных" дистрибутивов с grsec ядром по-умолчанию.
Я не удивляютсь, мне причины понятны. Но не сомневаюсь, что у тебя на этот счёт есть своё особо важное мнение.
> Про pledge пока говорить рано (он ещё мб и провалится, я не
> ванга, будущего не знаю), но первые примеры с тем же ff и chrome выглядят неплохо.
О нём уже можно сказать. 1. Что он ортогонален PAX_MPROTECT и аналогам. 2. Что это blacklist-решение. 3. Не предоставляет пользователю/администратору системы выбора в некоторых рамках. 4. Процесс внедрения требует бОльших трудозатрат. 5. Если приложение может работать как с PROT_EXEC, так и без него - выбор у пользователя либо отсутствует, либо для переключения требует явной предачи приложению соответствующих настроек тем или иным способом (в переменной среды, в аргументах). 6. Не является системой контроля доступа (в отличие от MAC или DAC) и, кроме прочего, не предоставляет средств контроля/наблюдения за качеством и полнотой своего применения.
> Понимаешь, я _рад_ что мне не надо будет расставлять PaX флаги, хорошо, что
> за меня это сделают авторы софта.
Понимаю. В праве на личное мнение я тебе не отказываю и не собирался. Читай внимательнее.
> Но почему-то PaX никто не хочет внедрять в стандартную поставку ОС общего назначения. Вероятно, потому
> что он слишком хорош для них?
Именно так. Слишком хорош. Отношения доверия между людьми по своей природе в существенной мере иррациональны, в вопросах безопасности в том числе. Неосведомлённые пользователи со своей стороны доверяют разработчикам и сообщают им запрос на потребительские свойства ОС, среди которых нет чётких требований безопасности и критериев оценки соответствия им. Разработчики со своей стороны ориентированы на обеспечение потребительских свойств в своих продуктах, а вопросам безопасности уделяют внимание лишь постольку, поскольку: в силу бытующих представлений, личных установок/заинтересованности и наличия/отсутствия соответствующих знаний, опыта, возможностей.
> Ну и да, разрешения pledge не аналог PaX-флагов, что ты и сам тут констатировал.
Ну и да. И что ты этим хочешь сказать в данном конкретном случае?
>> Так это ты здесь стонешь, как тебе всё неудобно и говно. Тогда как отсутствие выбора в озвученных рамках - это сухой факт.
> Только если ты не умеешь писать код, только тогда у тебя нет выбора.
У меня его нет _в озвученных рамках_ независимо от того, умею я писать код или нет. Учись читать внимателно. Тебе просто сложно принять, что у других людей есть свои соображения и требования, которые отличаются от твоих и тоже имеют полное право на существование.
> Но с учётом твоих претензий на "продвинутость" подобное выглядит как-то жалко что ли.
Жалко выглядят то, как ты не придаёшь значение вещам, очевидным и существенным для любого человека, сколько-нибудь компетентного в вопросах защиты систем, и которые я тебе озвучил уже несколько раз. Например, blacklist-природе pledge и требованиям к наличию whitelist-решения. Обрати внимание, другой комментатор тебе тоже сделал замечание по этому вопросу в контексте DAC.
>> Мне в системах с grsecurity не нужно ничего патчить. PAX_MPROTECT включён по умолчанию, исключения заданы, всё работает.
> Это видимо настолько сильный аргумент, что ты повторяешь его уже не в первый раз.
Это, видимо, настолько сложный аргумент, что ты не в состоянии воспринять его смысл, сколько раз тебе не повторяй.
> Призывать тебя подумать и порассуждать более не буду, ибо ты не пытаешься.
Ты меня призываешь не подумать, а согласиться с тобой. Просто тебе в силу понятных причин пока не вполне очевидна разница между первым и вторым.
> Да, и я могу быть не прав, я это понимаю.
Нет, не понимаешь. На данном этапе личностного развития для тебя это лишь концепция, которую ты уже воспринял как положительное качество личности, но ещё не освоил как инструмент.
>>>> Сделать патч, пересобрать, развернуть.
>>> Отослать патч автору ПО, добиться включения в кодовую базу, забыть навсегда.
>> То ли дело строчку в /etc/paxctld.conf прописать... Непосильная задача!
> Во-первых - да, привет pax(ctl)d. Почему-то, массы не очень хотят настраивать это
> руками. Наверное, потому что это очень преочень просто?
Во-пераых, при чём здесь мыссы? Я говорил о наличии и отсутствии выбора в озвученных рамках для всех, а не только для масс. Во-вторых, массы много, чего не хотят. Аргумент о миллионах мух не принимается. Для масс содержимое paxctld.conf могло бы управляться пакетным менеджером, аналогично тому, как это было сделано даже в Hardened Gentoo. У тебя нет аргументов, и ты выдумываешь сложности.
> Во-вторых, зачем что-то настраивать каждый раз (на каждой новой работе/проекте), если можно
> настроить _один_ раз вообще?
Затем, что один раз вообще нигде ничего не настроено и настроено не будет никогда. Твои фантазии и реальность - вещи очень разные.
>> Не нужно решать проблему, котрой нет. Это ты будешь носиться с патчами, если захочешь ограничить PROT_EXEC. А у меня в системах с grsecurity ограничения включены по умолчанию.
> Конечно же, я не буду с этим носиться.
Это уже твоё дело. Ты мне придумываешь проблемы, которых у меня нет.
> Производственной нужды у меня сейчас нет, а локалхост переживёт. А если очень пригорит - попатчу для себя, это предельно легко.
_Предельно_ легко - это добавить строчку в конфиг, уже если возникла нужда ввести или снять ограничение.
> Или PaX возьму
Да кто ж тебе даст-то.
> я не гордый
Неправда.
> Всё зависит от поставленной задачи.
> Да, сейчас grsec может чуть дешевле предоставить гарантии защиты памяти для тех
> приложений, которым не нужен prot_exec.
И сейчас, и уже много-монго лет, как. А админы локалхостов на OpenBSD продолжают мечтать о перспективах.
> А в перспективе - телодвижений с
> pledge будет меньше, а PaX будет настраиваться всё тем же костыльным,
> наружным способом.
Откуда ты знаешь, как будет настраиваться PaX в перспективе? Ниоткуда. Wishful thinking. Очень уж тебе хочется правым казаться, хотя бы в перспективе. :))
> Я, для начала, не понял, что "огребаю". Ты очень высокого мнения о себе.
Я адекватного мнения о себе. И как ты не понял, ты показал не словом, но делом.
> Нуждаешься ты или нет в моих рассказах - мне в принципе всё равно
Именно так. Тебе всё равно, нуждаюсь ли я в твоих рассказах. Главное - это наличие желания показаться умным, которое и заставляет тебя их строчить.
> к общению со мной я тебя не принуждаю, это добровольное дело.
То есть, ты даже не понял смысл замечания о непрошенных рассказах.
> Но ты набросил и мне есть что сказать.
Я вижу, что тебе всегда есть, что сказать. Вот к качеству и релевантности сказанного возникают вопросы.
> И основная мысль этого "есть что сказать" такова: мерами "защит ядра" меряются только дети и идиоты.
Это тебе так кажется. Например, тебе кажется, что про pledge с практической точки зрения можно рассужать без учёта наличия/отсутствия защит ядра. Ты не в состоянии воспринять эти аспекты в контексте тем, которые сам же поднял.
> То, что в grsec, например, пытается решаться KASLR
В grsecurity KASLR от-клю-чён. Это апстримная "защита" ядра - в кавычках защита, как и KARL. Ознакомься и не позорься:
https://grsecurity.net/kaslr_an_exercise_in_cargo_cult_security
> в OpenBSD пытаеются решать KARL'ом.
С тем же успехом. :))
> OpenBSD не реализует PaX, PaX не реализует OpenBSD, это разные решения и разные подходы, сравнивать их в
> лоб - дилетантство.
По сути PaX и OpenBSD пересекаются в мерах защиты с практически одинаковыми областью применения, моделью угроз и близкими механизмами реализации на современных процессорах. Дилетантство - этого не понимать, но рассуждать, с апломбом клея ярлыки. Эффект Даннинга-Крюгера в действии.
>>> а также не просадить до невозможности производительность.
>> FUD. Факты где? Фактов нет.
> Факты того, что OpenBSD не стремятся просадить произвоительность?
Нет, факты того, что в стремлении не просадить производительность они от кого-то отличаются, а конкретно от PaX и grsecurity.
> Ну вот тот же KARL сделали так как сделали, чтобы избежать накладных расходов на kernel ASLR.
Ну-ка, ну-ка, какие там накладные расходы на KASLR?
>> И сколько людей пользуются этой ОС общего назначения?
> Откуда я знаю? Но если ты думаешь, что grsecurity фантастически популярен, ты
> выдаёшь желаемое за действительное. Я не думаю, что OpenBSD фантастически популярен.
Grsecurity, в отличие от OpenBSD, не фантастически популярен, а фактически безальтернативен - там, где системно востребована бОльшая часть его функций. Говорить о популярности grsecurity на данный момент не приходится в силу закрытия публичного доступа, но в прошлом, я уверен, что по количеству машин, где использовался, он на порядКИ обгонял OpenBSD. Скорее всего, и сейчас. Впрочем, цифр на руках у меня нет. Как и у тебя.
>>> Что касается патчей от PaX, то даже во времена открытого grsecurity не было ни одного "серьёзного" дистрибутива, использующего наработки PaX и чтобы они был включены по умолчанию.
>> Что из этого следует? Ты не намекай, ты прямым текстом говори.
> PaX - "слишком хорош" для этого. Слишком удобен для бескостыльного и негемморойного
> внедрения. Не надо чпокаться.
Я выше озвучил свои соображения на эту тему. Тут лишь добавлю, что это твои домыслы и не более того. Фактов нет.
>> Пользователи grsecurity, включая меня, годами используют кастомные ядра с дисрибутивами общего назначения.
> Если вы поставили в условный debian ядро, не реализующее стандарт всецело (например,
> во имя усиления безопасности), уже нельзя говорить, что используется ОС общего
> назначения. КО.
Нельзя говорить, потому что ты так сказал? Где критерии? Где факты? Тебе просто очень хочется вывести PaX и grsecurity из ряда конкурентов OpenBSD. Приём не тобой придуман. Эту песню я слышал от разработчиков OpenBSD ещё в начале нулевых. А по факту в этой "ОС не-общего назначения" работает больше приложений, чем в OpenBSD. Прямо с ходу, без расстановки флагов, из пакетов дистрибутивов общего назначения. Вот такой критерий. Можешь теперь с ним не соглашаться, сколько душе угодно. Лучше всё равно не предложишь.
>> Теперь сходи и посмотри, какую часть твоего коммента я там строчкой выше процитировал. Ты же воспринимать прочитанное в контексте не умеешь, а особо ценное мнение в области защиты систем у тебя уже есть.
> В контексте или без, то что ты предлагаешь - уродливый костыль, который
То есть, не только не умеешь воспринимать написанное, но и не хочешь. В общем-то, закономерно.
> делать ни в коему случае не надо
Тебе не надо, а мне надо. "Ни в коем случае" - типичный нигилизм и неуважение к чужому мнению. Один ты умный с правильным мнением, да разработчики OpenBSD. У всех остальных мнение неправильное. Я тебе предложил более, чем достаточный перечень практических критериев, оспорить которые как таковые ты не сумел. Этим всё сказано.
> в OpenBSD такому уродству не место.
Пф, да ради бога.