Debian 6.0 (Squeeze) a-t-elle des mécanismes de protection contre les dépassements de tampon?

11

Ma question est: quelles défenses contre le débordement de tampon / la pile (le cas échéant) sont activées par défaut dans Debian 6.0 (Squeeze)?

Ubuntu a un tableau récapitulatif pratique montrant les principales fonctionnalités de sécurité de chaque version de l'édition serveur , mais je n'ai pas trouvé quelque chose de similaire pour Debian. Ubuntu mentionne:

  • Stack Protector (gcc's -fstack-protector)
  • Heap Protector (protecteur de tas de la bibliothèque GNU C)
  • Obfuscation du pointeur (certains pointeurs stockés dans la glibc sont obscurcis)
  • Randomisation de la mise en page de l'espace d'adressage (ASLR) (Stack ASLR; Libs / mmap ASLR; Exec ASLR; brk ASLR; VDSO ASLR)
  • Plusieurs démons construits en tant qu'exécutables indépendants de la position (PIE)
  • Quelques démons (?) Construits avec Fortify Source "-D_FORTIFY_SOURCE = 2"

Dans quelle mesure Debian 6.0 utilise-t-elle des techniques similaires (par défaut)?

Jesper M
la source

Réponses:

5

Malheureusement, la plupart (toutes?) De ces défenses ne sont pas activées sur Debian. Ils en parlent depuis des années et il y a eu un projet "debian durci", mais cela n'a pas abouti à quelque chose de concret pour l'instant pour les utilisateurs. Il s'agit d'une des rares distributions qui n'a pas encore mis en œuvre ces mesures.

Il y a plus d'informations sur http://wiki.debian.org/Hardening :

Après leur réunion des 14 et 16 janvier 2011, l'équipe de sécurité de Debian a annoncé dans un courrier électronique qu'elle avait l'intention de pousser l'inclusion de fonctionnalités de renforcement pour la version Wheezy. Une session Birds of a Feather sera organisée lors du debconf 2011 pour mettre en place un processus.

L'e-mail référencé est ici: http://lists.debian.org/debian-devel-announce/2011/01/msg00006.html .

Alors peut-être que ça arrive enfin dans "wheezy" ...

C'est la principale raison pour laquelle je préfère personnellement exécuter Ubuntu sur Debian sur mes serveurs.

casser
la source
Debian facilite la compilation d'un nouveau noyau basé sur leurs versions. Vous pouvez toujours simplement activer les options souhaitées sur votre noyau.
bahamat
1
Ce sont (principalement) des fonctionnalités de l'espace utilisateur. Compiler un nouveau noyau ne fera aucune différence.
snap
0

Si vous avez besoin d'un paquet dans Debian avec des options CFLAGS ou config spéciales, vous pouvez utiliser apt-build . Gentoo ou * BSD est un très bon système d'exploitation à cet effet.

Je sais que ce n'est pas une solution mais c'est la meilleure solution de contournement maintenant.

Rufo El Magufo
la source
Pourquoi le downvote? Je voudrais savoir :)
Rufo El Magufo