Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В OpenBSD приняты изменения для дополнительной защиты памяти процессов"	+1 +/–
Сообщение от opennews (??), 09-Окт-22, 09:52
Тэо де Раадт (Theo de Raadt) добавил в кодовую базу OpenBSD серию патчей для дополнительной защиты памяти процессов в пространстве пользователя. Разработчикам предложен новый системный вызов и связанная с ним одноимённая библиотечная функция mimmutable, позволяющая зафиксировать права доступа при отражении в память (memory mappings). После фиксации, выставленные для области памяти права, например, запрет на запись и исполнение, невозможно в дальнейшем изменить через последующие вызовы функций mmap(), mprotect() и munmap(), которые при попытке изменения будут выдавать ошибку EPERM... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57890
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 09-Окт-22, 09:58	–16 +/–
зачем это? если у вас все опенсорс - максимум что вам может понадобится это chroot для консоли или для гуи (типо flatpak) зачем усложнять методы работы с памятью?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #27

4. Сообщение от Аноним (4), 09-Окт-22, 10:01	–1 +/–
Надо попробовать поставить
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

6. Сообщение от Аноним (6), 09-Окт-22, 10:27	+13 +/–
А как будто в опенсорсном Firefox перестали находить баги? Или в хромиуме? Или в ffmpeg? Или в либрофисе? Все что работает с внешними данными может неправильно их обработать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #17

7. Сообщение от Аноним (7), 09-Окт-22, 10:27	–3 +/–
>mimmutable, позволяющая зафиксировать права доступа при отражении в память (memory mappings). После фиксации, выставленные для области памяти права, например, запрет на запись и исполнение, невозможно в дальнейшем изменить через последующие вызовы функций mmap(), mprotect() и munmap(), которые при попытке изменения будут выдавать ошибку EPERM. Затем последует mmoreimmutable, которая будет работать так: при вызове mimmutable будет выдаваться ошибка EPERM
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #59

8. Сообщение от Хру (?), 09-Окт-22, 10:34	+1 +/–
Вообще довольно логичный шаг, отрубающий на корню половину хаков, использующих перехват системных вызовов. Конечно ROP и его друзья никуда не денутся, но одно дело писать эксплойты под целевую версию софта, а другое дело делать постоянные модули типа читов :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63

10. Сообщение от Аноним (10), 09-Окт-22, 10:52	–3 +/–
Файфая не будет, дуалбут будет сделать муторнее чем на фрибзде(начинай с опенбзди, а аж потом ставь линукс),со звуком - вроде интеловская встройка должна завестись.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #21, #51, #79, #99

12. Сообщение от myhand (ok), 09-Окт-22, 11:13	+2 +/–
Просто спрашивать разрешения Тэо.  Всегда.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

13. Сообщение от Аноним (13), 09-Окт-22, 11:24	+1 +/–
а цифры по просадке производительности есть ? или хотя бы как это можно будет отключить если вдруг окажется что падение местами не на жалкие проценты а на порядки ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

16. Сообщение от YetAnotherOnanym (ok), 09-Окт-22, 12:08	–1 +/–
`cat Анекдот_о_том_как_Сталин_руководил_сортировкой_картошки.txt`
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #30

17. Сообщение от Аноним (17), 09-Окт-22, 12:23	–12 +/–
Опенсорс? Внеси изменение в код, давай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #78

19. Сообщение от Мимолеопард (?), 09-Окт-22, 12:48	+2 +/–
o_O точнее O_O Вы адекватно понимаете прочитанное? Один вызов подпрограммы, если она сама захотела это. Несколько наносекунд у загрузчика на запуск процесса с дополнительным сегментом. Откуда проценты и порядки? Или вы создаёте процессы сотнями тысяч в секунду?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #28

21. Сообщение от Kuromi (ok), 09-Окт-22, 13:20	+1 +/–
"дуалбут будет сделать муторнее" Правильные чуваки просто ставят на отдельный диск и заморачиваются с дуалбутом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #62, #85

23. Сообщение от Аноним (23), 09-Окт-22, 14:22	+/–
А когда появится софт, использующий эту фичу? Та же джава (tomcat например)?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #64

25. Сообщение от Аноним (25), 09-Окт-22, 14:46	–1 +/–
Немного не по теме. Почему в Linux системах для распаковки архива задействуется только одно ядро процессора при наличии нескольких? Так и не смогли распараллелить задачу?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26, #29, #31, #47, #80, #91

26. Сообщение от Аноним (23), 09-Окт-22, 14:55	+1 +/–
Не всегда это эффективно. Мы на работе пытались в много потоков сделать одну задачу например: получилось медленнее...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #101

27. Сообщение от n00by (ok), 09-Окт-22, 15:04	+4 +/–
Это затрудняет иньекцию непрошеного кода в процессы. Не все же руткиты с LD_PRELOAD, возможны и более сложные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

28. Сообщение от n00by (ok), 09-Окт-22, 15:08	+1 +/–
Это здесь «нормально», в соседней теме у экспертов защищённый режим реально тормозит по сравнению с реальным, а прерывания надо отключать для ускорения сетевых операций.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #35

29. Сообщение от Аноним 80_уровня (ok), 09-Окт-22, 15:16	+/–
pbzip2 -dc myfile.tar.bz2 | tar x
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

30. Сообщение от Аноним (51), 09-Окт-22, 15:25	+1 +/–
Не гуглится, расскажи
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #32, #33

31. Сообщение от birdie (ok), 09-Окт-22, 15:25	+1 +/–
Это ограничение формата сжатия, а не [ядра] Линукса. Под Windows/MacOS вы увидите то же самое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

32. Сообщение от Fracta1L (ok), 09-Окт-22, 15:52	+4 +/–
Потому что это анекдот про Лукашенко
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

33. Сообщение от YetAnotherOnanym (ok), 09-Окт-22, 15:56	+3 +/–
Приходит к Сталину посетитель на приём, а тот по телефону разговаривает: - Хорошая... Плохая... Хорошая... Плохая... И так несколько часов. Наконец, кладёт трубку и восклицает: - Что за люди, картошку без меня перебрать не могут!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #57

35. Сообщение от Igraine (ok), 09-Окт-22, 16:23	+/–
Можно же просто скрыть комментарии и не читать толстый троллинг и глупости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #41

36. Сообщение от Аноним (36), 09-Окт-22, 16:39	+/–
Проверьте кому не лень, чтобы этот писака дважды free не вызвал, как OpenSSH.
Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Krafter (?), 09-Окт-22, 16:56	+/–
для того чтобы потому менять секцию Mutable BSS, нужно еще пару секций для защиты придумать
Ответить | Правка | Наверх | Cообщить модератору

41. Сообщение от n00by (ok), 09-Окт-22, 17:52	+1 +/–
В том случае, скорее, человек сообщил актуальную информацию, но актуальной она была во времена i80386, с тех пор он что-то подзабыл и перепутал. Потом подобные комментарии читают, учатся, и получаются вот такие интересные гипотезы. Да и как его скрыть, если я его ник вижу впервые? А Анонимы подчас пишут дельное, потому профессиональные мракобесы за ними и прячутся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

47. Сообщение от Аноним (47), 09-Окт-22, 18:21	+1 +/–
> для распаковки архива потому что запись идёт медленнее распаковки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

51. Сообщение от Аноним (51), 09-Окт-22, 18:58	+/–
Вай-вай в опен много лучше других бздей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #83

57. Сообщение от Аноним (57), 09-Окт-22, 20:41	+4 +/–
Так не смешно же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #94

59. Сообщение от Аноним (51), 09-Окт-22, 21:23	+2 +/–
Не понял шутку, пояснишь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

62. Сообщение от Аноним (62), 10-Окт-22, 01:00	–2 +/–
Попробуй сделать это на ноутбуке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #67, #81, #88, #100

63. Сообщение от Аноним (62), 10-Окт-22, 01:02	+1 +/–
А теперь попробуй написать патч, реализующий предложенные преимущества разграничения например в firefox или chomium-е.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #90

64. Сообщение от Аноним (62), 10-Окт-22, 01:05	–3 +/–
В ближайшее никогда. OpenBSD - это испражнения Тео и компании на тему гипотетической безопасности. Пацаны с каждым новым релизом всё дальше отрываются от ральности и уходят в свой выдуманный "безопасный" мир.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #93

67. Сообщение от Kuromi (ok), 10-Окт-22, 02:30	–1 +/–
> Попробуй сделать это на ноутбуке. Можно грузиться с подключенного по USB диска.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #84

78. Сообщение от фф (?), 10-Окт-22, 07:17	+4 +/–
а вас во всех редакторах забанили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

79. Сообщение от Бывалый смузихлёб (?), 10-Окт-22, 07:34	+/–
> дуалбут будет сделать муторнее чем на фрибзде На ней его сделать как-то особенно сложно и муторно ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #86

80. Сообщение от Ан (??), 10-Окт-22, 07:51	+/–
Причем здесь линукс, это же про прикладное ПО. Мне кстати не нравятся когда приложение занимает все ядра, оно в этом случае другие приложения становятся неотзывчивыми, хотя бы одно физическое ядро надо не трогать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

81. Сообщение от ryoken (ok), 10-Окт-22, 08:05	+1 +/–
У многих ноутов есть слот для NVME\m.SATA + порт SATA под винт\SSD.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

82. Сообщение от timewilltell (ok), 10-Окт-22, 08:14	+/–
отлично!
Ответить | Правка | Наверх | Cообщить модератору

83. Сообщение от timewilltell (ok), 10-Окт-22, 08:18	+/–
не только лишь бздей
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #87

84. Сообщение от Аноним (84), 10-Окт-22, 08:46	+/–
Хорошая идея, но... Опенбздя и так - самая тормозная бздя, ибо во сляву секирити! И вот именно ее надо грузить с USB-накопителя. Плавали, знаем, работает! Но хочется таки с жесткого диска, где с соседями она почти не дружит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

85. Сообщение от Аноним (84), 10-Окт-22, 08:47	+/–
> Правильные чуваки просто ставят на отдельный диск и заморачиваются с дуалбутом. Я неправильный чувак.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

86. Сообщение от Аноним (84), 10-Окт-22, 08:52	+/–
Да. Ставить надо сначала опенбзду, создать в ней отдельный раздел для линукса, поставить линукс и граб, грузить грабом в чейнлоад опенбзды. У меня со второго раза получалось. Касательно же фрибзды - свободный дисковый раздел отдаешь под бзд-слайс, ставишься в него, а из граба грузишь /boot/loader как kfreebsd. Работает всегда без проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #89, #104

87. Сообщение от Аноним (84), 10-Окт-22, 08:53	–1 +/–
В отличии от бздей, в "не только лишь системах" вай-вай работает. И это с учетом того, что бздешные дрова скопипасчены из "не только лишь систем".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #96

88. Сообщение от Янис (?), 10-Окт-22, 09:12	+/–
Ставил себе OpenBSD на ноутбук рядом с Линуксом. Подкорректировал GRUB, и никаких проблем с дуал-бут. Нет проблем им уживаться на одной машине. Только проблема в том, что уже очень OpenBSD медленно работает, хотя для моих нужд все программы на нем есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

89. Сообщение от Аноним (89), 10-Окт-22, 09:21	+/–
чё за бред. вообще нет проблем, делаешь тот же слайс и грузишь, как хочешь. в случае bios - либо chainloader +1, но можно и kopenbsd /boot/bsd. в случае uefi - просто грузишь bootx64.efi. никаких проблем нет, ставишь linux, потом отрезаешь нужный раздел, делаешь его A6 и всё, никаких проблем
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

90. Сообщение от Аноним (90), 10-Окт-22, 10:23	–1 +/–
Пункт первый — объявляем JS главным источником глобального потепления…
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

91. Сообщение от Killer (??), 10-Окт-22, 12:35	–3 +/–
Потому что те кто пишет на си не умеют потоки. Норм работа с потоками начинается на уровне c++ futures, async, task.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #92

92. Сообщение от Аноним (92), 10-Окт-22, 15:22	+1 +/–
Ты хоть смо рел эту норм легализацию, дерево? Там под капотом pthreads
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

93. Сообщение от Аноним (23), 10-Окт-22, 17:17	+/–
Насколько я знаю: на нём часто делают VPN (IPSec tunnel VPN). Но это не отвечает на вопрос : когда появится софт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

94. Сообщение от Аноним (94), 10-Окт-22, 18:17	+1 +/–
Потому что главным героем в оригинале был Лукашенко.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

96. Сообщение от Аноним (-), 10-Окт-22, 22:27	+/–
> В отличии от бздей, в "не только лишь системах" вай-вай работает. Пишу тебе ответ из бзди, с ноута, через вай-вай ... > И это с учетом того, что бздешные дрова скопипасчены из "не только лишь систем". Правда, без учета того, что писали эти дрова совсем не носители маечек с логотипом "не только лишь систем" - интересно, почему подоконники в свое время не задирали гузочку (или что там у них) из-за используемых в "не только лишь системах" дровишек под ndis-wrapper.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

97. Сообщение от Golangdev (?), 11-Окт-22, 02:50	–1 +/–
Зачем это ? Есть же Docker / Podman
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #102

99. Сообщение от Аноним (-), 12-Окт-22, 10:18	+/–
> Файфая не будет, Ну так и станет безопаснее как раз, что тебе не нравится? Еще проводную сеть не подключай и вообще хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

100. Сообщение от Stellarwind (?), 12-Окт-22, 11:19	+/–
И в чем проблема, у меня в probook и m2 и sata и соответственно два диска.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

101. Сообщение от Аноним (101), 12-Окт-22, 14:04	+/–
Это всегда эффективно. Раз не вышло, значит делали неправильно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

102. Сообщение от Stellarwind (?), 13-Окт-22, 11:55	+/–
Зачем вообще в машине багажник? Есть же прицеп.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

103. Сообщение от Neon (??), 16-Окт-22, 22:00	+/–
И кто это чудо реально практически использует ? А не поиграться с экзотикой
Ответить | Правка | Наверх | Cообщить модератору

104. Сообщение от Аноним (104), 28-Ноя-22, 23:20	+/–
ерунда все это. имею ноутбук с windows/linux/openbsd на борту, все это на одном диске, опенка ставил в последнюю очередь. загрузкой управляет gummiboot(который systemd-boot). с помощью fdisk выделил раздел, указал файловую систему openbsd data, там же, далее стандартная установка openbsd, после оттуда же смотрировал efi раздел, положил загрузчик (BOOTX64.EFI) и приписал его в конфиг gummiboot(две строчки), все, работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема