Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В OpenBSD для sshd применена перекомпоновка во время загрузки"	+/–
Сообщение от opennews (??), 20-Янв-23, 17:54
В OpenBSD реализована техника защиты от эксплуатации уязвимостей, основанная на перекомпоновке исполняемого файла sshd со случайной перегруппировкой библиотек (libc.so, libcrypto.so, ld.so и т.п.)  при каждой загрузке системы.  В ближайшее время подобную защиту также планируется реализовать для ntpd и других серверных приложений. Изменение уже включено в состав ветки CURRENT и будет предложено в выпуске OpenBSD 7.3... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58520
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
Сообщение от Аноним (1), 20-Янв-23, 17:54
Костыли какието
Ответить | Правка | Наверх | Cообщить модератору

3. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	–4 +/–
Сообщение от Аноним (3), 20-Янв-23, 17:54
Первое, что я делаю на этапе установки, хоть на очень старых компах, хоть на более современных, это rm -r /mnt/usr/share/relink Если я буду продолжать так делать, sshd будет работать?
Ответить | Правка | Наверх | Cообщить модератору

	21. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+2 +/–
	Сообщение от Аноним (21), 20-Янв-23, 21:55
	> rm -r /mnt/usr/share/relink Но зачем?
	Ответить | Правка | Наверх | Cообщить модератору

	43. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+1 +/–
	Сообщение от Аноним (43), 21-Янв-23, 04:27
	на старых системах - потому что инсталляция по оом сдохнет. по новой - мне не надо КАЖДУЮ перезагрузку перекомпилировать ядро, оно жрёт проц и память. Ну и лишнее место занимает.
	Ответить | Правка | Наверх | Cообщить модератору

	59. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от Аноним (21), 21-Янв-23, 16:52
	> мне не надо КАЖДУЮ перезагрузку перекомпилировать ядро, оно жрёт проц и память тогда тебе и опенбзд не нужна, раз ты не разделяешь ценностей и целей сообщества (и ничего там не перекомпилируется, изучи вопрос)
	Ответить | Правка | Наверх | Cообщить модератору

	62. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+2 +/–
	Сообщение от ob2 (?), 22-Янв-23, 02:00
	хорошо, перелинковывается, какая разница - жрёт и тормозит ну да, до 6.1, вроде, этого не было, и тут вдруг появилось, и это сразу стало "ценностью сообщества". установщик нормально поддерживает тот факт, что в процессе установки я грохну /usr/share/relink, поэтому и мне жаловаться не на что. а уж что мне нужно, я сам решу
	Ответить | Правка | Наверх | Cообщить модератору

	65. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от kusb (?), 23-Янв-23, 16:16
	Они просто дают инструменты, может быть перелинковывать всё при каждой загрузке это много. Но ...может можно перелинковывать просто иногда или во время работы системы без блокировки других процессов? А перелинкованное ядро запустится при следующей загрузке.
	Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

	26. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от Аноним (26), 20-Янв-23, 22:38
	А зачем вам OpenBSD, если не секрет?
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	44. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	–2 +/–
	Сообщение от Аноним (43), 21-Янв-23, 04:28
	Она мне удобна.
	Ответить | Правка | Наверх | Cообщить модератору

	55. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от Аноним (55), 21-Янв-23, 15:02
	Тогда зачем сносить relink?
	Ответить | Правка | Наверх | Cообщить модератору

	63. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+3 +/–
	Сообщение от ob2 (?), 22-Янв-23, 02:01
	логично, потому что он мне неудобен и нигде не нужен
	Ответить | Правка | Наверх | Cообщить модератору

5. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+3 +/–
Сообщение от Аноним (5), 20-Янв-23, 18:00
> применена перекомпоновка во время загрузки турбирующие обезьяны, сэр! Ну можно же релинк сделать однажды после установки, но замедлять систему при каждой загрузке - это шедевр. Да, я знаю, это не только для ссш.
Ответить | Правка | Наверх | Cообщить модератору

	30. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от Аноним (26), 20-Янв-23, 22:47
	Это компромисс между перекомпоновкой перед каждым запуском бинарника и полным отсутствием таковой в принципе. В теории, атакующий может использовать разные уязвимости: одну для считывания кода бинарника, другую — для подстановки своих данных, для собственно перехвата управления. Поэтому в идеале было бы рандомизировать содержимое .text перед каждым запуском программы. Но это слишком большие накладные расходы, такое почти никто не будет использовать.
	Ответить | Правка | Наверх | Cообщить модератору

	54. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	–2 +/–
	Сообщение от Аноним (54), 21-Янв-23, 14:00
	Так жеж нетбзду мало кто использует, особенно на практике. Так что всё верно.
	Ответить | Правка | Наверх | Cообщить модератору

7. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+5 +/–
Сообщение от Аноним (7), 20-Янв-23, 18:08
А проверку воспроизводимости сборок это не подломает? Так-то куда интереснее знать что в системе изначально стоит не шерето чем защищать костылями заведомо скомпрометированный локалхост
Ответить | Правка | Наверх | Cообщить модератору

	10. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от Аноним (10), 20-Янв-23, 18:39
	Перелинковываем бинарник на диске? Или все же в памяти?
	Ответить | Правка | Наверх | Cообщить модератору

	16. Скрыто модератором	+/–
	Сообщение от Онанист (?), 20-Янв-23, 20:37
	А на диске-то зачем?
	Ответить | Правка | Наверх | Cообщить модератору

	27. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от Аноним (26), 20-Янв-23, 22:40
	Не ломает. Верификация происходит до собственно установки. В том и прелесть, что установочные образы — одинаковые, а ключевые системные компоненты, с точки зрения атакающих, — разные.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

17. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	–2 +/–
Сообщение от Аноним (17), 20-Янв-23, 20:51
R^X почему то не хотят сделать
Ответить | Правка | Наверх | Cообщить модератору

	28. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+1 +/–
	Сообщение от Аноним (26), 20-Янв-23, 22:41
	Работа идёт. К сожалению, Intel'овские процы изначально это не позволяли...
	Ответить | Правка | Наверх | Cообщить модератору

	41. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	–2 +/–
	Сообщение от Аноним (41), 21-Янв-23, 01:40
	Олё, болезный! x86_64 изначально уже предполагала эту фичу. Это архаичная x86 не поддерживала. Но её уже изжили.
	Ответить | Правка | Наверх | Cообщить модератору

18. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
Сообщение от Аноним (18), 20-Янв-23, 21:29
https://github.com/runsafesecurity/selfrando
Ответить | Правка | Наверх | Cообщить модератору

	23. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+1 +/–
	Сообщение от анон (?), 20-Янв-23, 22:06
	Сколько же костылей сделано, лишь бы не делать проц с современным контролем сегментов.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+1 +/–
	Сообщение от Аноним (37), 21-Янв-23, 00:54
	Дак было же, сегментация 286-го. Дали тебе сегмент - и фиг ты из него вылезешь. Но в эпоху 64-битности её выпилили полностью.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	–1 +/–
	Сообщение от Аноним (-), 21-Янв-23, 01:31
	MMU с атрибутами страниц может все то же что сегментация, только гибче и круче. Заодно еще и paging под шумок может, позволяя кастомную обработку исключений. И если что - юзерская программа не имеет прямого доступа к управлению правами страниц. Так что если что-то идет не так, возможно стоит пропатчить кернелы на тему того как они это делают. Тео впрочем предпочел вбить фееричный костыль на тему ASLR. Сделать ASLR нормально? А, фиг, давайте лучше линкером бинари на диске корежить будем. Ну, логично, блин, если системных программистов не осталось в системе - тогда вот так.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от Аноним (47), 21-Янв-23, 09:39
	> Сделать ASLR нормально? А, фиг Вообще-то в OpenBSD он там есть.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от Аноним (48), 21-Янв-23, 10:26
	> Тео впрочем предпочел вбить фееричный костыль на тему ASLR. Сделать ASLR нормально? > А, фиг, давайте лучше линкером бинари на диске корежить будем. Ну, > логично, блин, если системных программистов не осталось в системе - тогда вот так. Т.е. в линуксах системных погроммисто не осталось, так и запишем.
	Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

	51. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от Аноним (51), 21-Янв-23, 12:47
	Самое главное что системные программы осталось на опеннет и они готовы рассказать не системным не программистам, как им надо было писать их программы
	Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

	58. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от Аноним (55), 21-Янв-23, 15:21
	ASLR и описанная технология друг друга не исключают, а дополняют. А ASLR в OpenBSD имеется и работает уже десятка два лет как.
	Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

19. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+2 +/–
Сообщение от Аноним (19), 20-Янв-23, 21:29
Ох-нно. Теперь сисадмин даже не может проверить бинарник на предмет целостности. Отличная идея для хакеров, поржал.
Ответить | Правка | Наверх | Cообщить модератору

	20. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	–2 +/–
	Сообщение от Аноним (20), 20-Янв-23, 21:53
	ты вот прям-пряи реально думаешь, что при каждом запуске бинарник сам себя  перезаписыаает на файловой системе, а не в памяти перетасовывает адреса? o_O Ты случно не на расте пишешь hello world'ы?
	Ответить | Правка | Наверх | Cообщить модератору

	22. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от ivan_erohin (?), 20-Янв-23, 22:05
	> Ты случно не на расте пишешь hello world'ы? нет, на /bin/sh
	Ответить | Правка | Наверх | Cообщить модератору

	29. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от Аноним (26), 20-Янв-23, 22:42
	Бинарник перезаписывается на диске. Но делает это не он сам, а /etc/rc.
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

25. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+4 +/–
Сообщение от Аноним (25), 20-Янв-23, 22:31
Ну всё, теперь все два локалхоста под управлением OpenBSD в безопасности. Можно больше не волноваться.
Ответить | Правка | Наверх | Cообщить модератору

	31. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	–1 +/–
	Сообщение от Аноним (31), 20-Янв-23, 23:03
	И смешно, и правда))
	Ответить | Правка | Наверх | Cообщить модератору

33. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+3 +/–
Сообщение от pashev.ru (?), 20-Янв-23, 23:32
Coreduump в труху?
Ответить | Правка | Наверх | Cообщить модератору

	46. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от Аноним (46), 21-Янв-23, 07:06
	Тихо, они ещё не до дебага не добрались
	Ответить | Правка | Наверх | Cообщить модератору

34. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
Сообщение от Аноним (34), 21-Янв-23, 00:23
В последнее время линукс дистроклепатели упариваются в разные методы реализации "консистентности" ОС на конечных ПК пользователей. Я говорю про всякие там федоры, vanilla os (кстати ЕМНИП в deepin концепция A/B разделов была реализована давным давно). А Эти я так полагаю модифицирует бинари на накопителе перед из загрузкой в озу?
Ответить | Правка | Наверх | Cообщить модератору

	36. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+2 +/–
	Сообщение от Аноним (37), 21-Янв-23, 00:50
	мир свернул куда-то не туда в эпоху системд и растов.
	Ответить | Правка | Наверх | Cообщить модератору

	66. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от BorichL (ok), 24-Янв-23, 16:54
	Мир свернул не туда ещё во времена всёвытесняющего замещения тупopылoй интелловской архитектурой.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от Аноним (43), 21-Янв-23, 11:54
	> А Эти я так полагаю модифицирует бинари на накопителе перед из загрузкой в озу? там просто .o файлы, из которых бинарник линкуется. проверяй .o файлы, кто мешает
	Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

42. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+2 +/–
Сообщение от Аноним (42), 21-Янв-23, 02:57
Эй, экспертусы, поясните нибудь, чем это отличается от рандомизации адресного пространства (ASLR). Тут типа ещё офсеты функций и статических данных каждый раз новые внутри секций? Типа процедуры каждый раз по-новому переставляются относительно друг друга и т.д.?
Ответить | Правка | Наверх | Cообщить модератору

	53. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от www2 (??), 21-Янв-23, 13:12
	Присоединяюсь к вопросу. Чем это отличается от ASLR? Вмдимо, всё-таки имеется в виду, что случайные адреса получают секции .text из статически скомпонованных .o-файлов, входящих в состав sshd, а не динамически загружаемые .so-библиотеки, для которых и так есть ASLR.
	Ответить | Правка | Наверх | Cообщить модератору

	56. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+2 +/–
	Сообщение от Аноним (55), 21-Янв-23, 15:08
	ASLR разместит вашу секцию .text при запуске в произвольном месте оперативной памяти. При этом относительно друг друга все функции расположены по одним и тем же смещениям. Перекомпоновка же даёт иное содержимое секции кода. Так что эти технологии дополняют друг друга. И, да, ASLR в OpenBSD по умолчанию был включён куда раньше, чем в подавляющем большинстве Linux-дистрибутивов.
	Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

	60. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от www2 (??), 21-Янв-23, 17:41
	Что-то я сомневаюсь, что компоновщик ещё и внутри каждого .o-файла будет менять адреса функций. Перетасовать .o-файлы - да, а внутри них что-то менять - вряд ли.
	Ответить | Правка | Наверх | Cообщить модератору

	61. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от Аноним (61), 21-Янв-23, 22:47
	sshd собирается не из одного .o файла
	Ответить | Правка | Наверх | Cообщить модератору

	64. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+/–
	Сообщение от 1 (??), 23-Янв-23, 10:10
	Приятно прочитать технический ответ. А не "сам дурак".
	Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

49. Скрыто модератором	+/–
Сообщение от Аноним (-), 21-Янв-23, 10:45
О давно не слыхал. Как там Тео поживает?
Ответить | Правка | Наверх | Cообщить модератору

52. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	–2 +/–
Сообщение от Аноним (52), 21-Янв-23, 13:10
Тео опять что-то придумал в пустоту.
Ответить | Правка | Наверх | Cообщить модератору

	57. "В OpenBSD для sshd применена перекомпоновка во время загрузк..."	+2 +/–
	Сообщение от Аноним (55), 21-Янв-23, 15:10
	Спасибо за ваше ценное аргументированное мнение. Мы обязательно учтём его в следующих релизах OpenBSD.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема