ВУЗ:
Составители:
Рубрика:
ЗАЩИТА ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СЕТЯХ 57
это ограничение работает только в том случае, если порождение оче-
редного процесса происходит посредством запроса fork. Включение оп-
ции Enforce RLIMIT_NPROC on execve(2) позволяет распростра-
нить действие проверок и на системный вызов execve.
В Linux также имеются ограничения на объем памяти, доступ-
ный выполняемому процессу. К сожалению, сегменты разделяемой па-
мяти могут существовать независимо от процессов, их использующих,
что позволяет обойти соответствующие проверки. Включение опции
Destroy shared memory segments not in use вызывает уничто-
жение этих сегментов, после того как они становятся невостребованны-
ми. Активизация данного режима может привести к неработоспособности
некоторых приложений.
Если в системе появляются проблемы с запуском некоторых прило-
жений, необходимо воспользоваться утилитой chstk, позволяющей разре-
шить отдельным приложениям выполнять соответствующие «незаконные»
операции. При этом следует учесть, что, при выключении тех или иных
механизмов защиты, открываются бреши, через которые злоумышленник
может проникнуть в систему. Поэтому, если требования по безопасности
высоки, лучше отказаться от «неправильных» программ и как можно реже
пользоваться утилитой chstk.
3.2.2. ПРОЕКТ PAX
Целью проекта PaX [
14] является также создание механизма, позво-
ляющего противостоять атакам, основанным на различных способах пе-
рехвата управления у нормально исполняющегося процесса. Перечень за-
щит, предоставляемых PaX-ядром, значительно отличается от аналогично-
го перечня Openwall-ядра. PaX предоставляет более широкий выбор меха-
низмов, реализующих контроль попыток вживления вредоносного кода в
исполняющийся процесс, исполнения существующего программного кода
в порядке, не предусмотренном изначальным алгоритмом программы и об-
работку процессом некорректных данных, поступающих извне. Вместе с
тем, в нем нет механизмов, ограничивающих доступ к символьным ссыл-
кам, и не осуществляется контроль ситуаций, связанных с перерасходом
системных ресурсов, выделенных процессу.
Рассмотрим возможности, предоставляемые подсистемой PaX при кон-
фигурировании ядра.
Блок опций Enforce non-executable pages отвечает за ограничения, вво-
димые ядром системы при выполнении программного кода. Включение
опции Paging based non-executable page запрещает выполнение программ-
ного кода, расположенного в страницах памяти, содержащих данные. Ак-
тивизация этой опции на системах архитектуры i386 может привести к
значительному снижению быстродействия; на платформах Alpha, SPARC,
SPARC64, AMD64 не произойдет снижения производительности. Для того
чтобы потеря производительности была незначительной, можно выбрать
опцию Segmentation based non-executable pages. В этом случае, правда,
объем адресуемой памяти уменьшится вдвое, до 1,5 Гбайт.
Страницы
- « первая
- ‹ предыдущая
- …
- 55
- 56
- 57
- 58
- 59
- …
- следующая ›
- последняя »
