Exec Shield - Exec Shield - Wikipedia

Exec Shield boshlangan loyihadir Qizil shapka, Inc 2002 yil oxirida Linux tizimlariga qurtlarni yoki boshqa avtomatlashtirilgan masofadan hujumlar xavfini kamaytirish maqsadida. Loyihaning birinchi natijasi a xavfsizlik uchun patch Linux yadrosi taqlid qiladigan NX bit kuni x86 CPU apparatda mahalliy NX dasturiga ega bo'lmagan. Exec Shield loyihasi ko'plab boshqa tarkibiy qismlarga ega bo'lsa-da, ba'zi odamlar ushbu birinchi yamoqni Exec Shield deb atashadi.

Birinchi Exec Shield patch ma'lumotlar xotirasini bajarilmaydigan va dastur xotirasini yozib bo'lmaydigan deb belgilashga harakat qiladi. Bu ko'pchilikni bostiradi xavfsizlik ekspluatatsiyasi, masalan, kelib chiqadiganlar kabi bufer toshib ketadi va boshqa usullar ma'lumotlar ustiga yozish va ushbu tuzilmalarga kod kiritish. Exec Shield shuningdek, ba'zi narsalarni etkazib beradi manzil maydoni tartibini tasodifiylashtirish uchun mmap () va yig'ish bazasi.

Yamoq qo'shimcha ravishda kiritish va bajarish qiyinligini oshiradi qobiq kodi, ko'p ekspluatatsiyani samarasiz qilish. Exec-shield-dan to'liq foydalanish uchun dasturni qayta kompilyatsiya qilish shart emas, ammo ba'zi ilovalar (Mono, Vino, XEmacs, Mplayer ) to'liq mos kelmaydi.

Exec Shield loyihasidan chiqqan boshqa xususiyatlar Mustaqil bajariladigan fayllarni joylashtiring (PIE), Linux yadrolari uchun manzil maydonini tasodifiy tuzatish paketi, yig'ma va formatlash satrlarini ekspluatatsiya qilishni imkonsiz qiladigan glibc ichki xavfsizlik tekshiruvlarining keng to'plami, GCC Manbani mustahkamlash xususiyati va GCC porti va birlashishi stack-protector xususiyati.

Amalga oshirish

Exec Shield kod segmentining cheklovidan foydalangan holda barcha x86 protsessorlarda ishlaydi. Exec Shield ish uslubi tufayli u juda engil; ammo, u o'zboshimchalik bilan to'liq himoya qila olmaydi virtual xotira maketlar. Agar CS chegarasi ko'tarilsa, masalan, yuqori xotirani bajariladigan qilish uchun mprotect () ga qo'ng'iroq qilib, u holda himoya bu chegaradan pastda yo'qoladi. Ingo Molnar elektron pochta orqali suhbatda buni ta'kidlaydi. Ko'pgina dasturlar bunga etarlicha aqlga sazovor; stek (muhim qism) hech bo'lmaganda xaritadagi har qanday kutubxonadan yuqoriga ko'tariladi, shuning uchun dastur tomonidan aniq qo'ng'iroqlar bundan mustasno.

2004 yil avgust oyidan boshlab Exec Shield loyihalaridan hech narsa cheklash orqali xotirani muhofaza qilishni talab qilmaydi himoya qilish () har qanday arxitektura bo'yicha; dastlab xotira bajarilmasligi mumkin bo'lsa-da, keyinchalik bajarilishi mumkin, shuning uchun yadro dasturga xotira sahifalarini bir vaqtning o'zida yoziladigan va bajariladigan sifatida belgilashga imkon beradi. Biroq, bilan hamkorlikda Xavfsizligi yaxshilangan Linux loyihasi (SELinux), uchun standart siyosat Fedora yadrosi tarqatish aksariyat bajariladigan fayllar uchun ushbu xatti-harakatni taqiqlaydi, faqat moslik sabablari uchun bir nechta istisnolar mavjud.

Tarix

Exec Shield Red Hat-da turli odamlar tomonidan ishlab chiqilgan; tomonidan birinchi yamoq chiqarildi Ingo Molnar Red Hat-ning birinchi versiyasi 2003 yil may oyida chiqarilgan. Bu Fedora Core 1 dan 6 gacha va Red Hat Enterprise Linux-ning 3-versiyasidan beri.[1][2] Boshqa ishtirokchilar orasida Yoqub Jelinek, Ulrix Drepper, Richard Xenderson va Arjan van de Ven.

Shuningdek qarang

Adabiyotlar

  1. ^ "Fedora Core 1 nashrining eslatmalari". Red Hat, Inc. Noyabr 2003. Arxivlangan asl nusxasi 2003-12-02 kunlari. Olingan 2007-10-18.
  2. ^ van de Ven, Arjan (2004 yil avgust). "Red Hat Enterprise Linux v.3-da yangi xavfsizlik yaxshilanishlari, yangilanish 3" (PDF). Red Hat, Inc. Arxivlandi asl nusxasi (PDF) 2005-05-12 kunlari. Olingan 2007-10-18.

Tashqi havolalar