ВУЗ:
Составители:
Рубрика:
58 Д. С. КУЛЯБОВ
Активизация опции Emulate trampolines снимает проблемы, возникаю-
щие при исполнении программ, использующих соответствующие вызовы.
Включение опции Restrict mprotect() запрещает изменение статуса
страниц памяти на executable (выполняемый), если он не был таковым
изначально. Активизация этого режима приводит к неработоспособности
многих приложений (в том числе, и приложений X Window).
Опция Disallow ELF text relocations обеспечивает дополнительную за-
щиту от несанкционированных действий, выполняемых посредством вы-
зова mmap. Активизировать эту опцию можно только в тех системах, где
все программы собраны с PIC-версией библиотеки crtl; в противном слу-
чае система может стать незагружаемой.
Режимы из блока Address Space Layout Randomization вносят элемент
случайности при распределении системой адресного пространства. Дело в
том, что большинство методик осуществления вторжений требуют знания
определенных адресов внутри атакуемого процесса. В системе, управляе-
мой классическим ядром, эти адреса распределяются стандартным обра-
зом и могут быть легко предсказаны. Введение же в процесс распределе-
ния адресного пространства элемента случайности значительно усложняет
процедуру передачи управления вредоносному коду.
При включении опции Randomize kernel stack base ядро при каждом
системном запросе будет производить перераспределение области стеко-
вой памяти ядра. Разработчики PaX предупреждают, что включение этой
опции может повлечь за собой нестабильность в работе ОС, поэтому поль-
зоваться ей нужно крайне осторожно.
Активизация режима Randomize user stack base включает механизм
случайного распределения памяти под стековую область пользовательско-
го процесса.
Включение опции Randomize mmap() base приведет к тому, что ядро
будет назначать случайным образом базовый адрес запроса mmap, в ре-
зультате чего все динамические библиотеки будут загружаться в память
по произвольному адресу. Это значительно затруднит успешное проведе-
ние атак, в которых злоумышленник пытается выполнить существующий
библиотечный код для своих целей, например, инициировать вызов shell
из атакованной программы.
Управление защитой на уровне отдельных программ осуществляется
при помощи утилиты chpax.
3.2.3. MEDUSA
Medusa DS9 security system — система, позволяющая делить процессы
на группы — виртуальные среды и гарантировать их непересекаемость.
Проект Medusa DS9 [21] был инициирован летом 1997 года.
Первая версия этого программного продукта представляла собой за-
платку для ядра ОС Linux. В настоящее время Medusa DS9 представля-
ет собой пакет способный значительно улучшить защищенность Linux-
систем, расширяя функциональность стандартных средств обеспечения
безопасности, обеспечивая при этом обратную совместимость.
Страницы
- « первая
- ‹ предыдущая
- …
- 56
- 57
- 58
- 59
- 60
- …
- следующая ›
- последняя »
