O Debian 6.0 (Squeeze) possui mecanismos de proteção contra buffer overflow?

11

Minha pergunta é: Quais defesas de estouro de buffer / quebra de pilha (se houver) estão ativadas por padrão no Debian 6.0 (Squeeze)?

O Ubuntu possui uma tabela de resumo útil, mostrando os principais recursos de segurança de cada versão da edição Server , mas não encontrei algo semelhante para o Debian. O Ubuntu menciona:

  • Protetor de pilha (gcc's -fstack-protetor)
  • Protetor de pilha (protetor de pilha da biblioteca GNU C)
  • Ofuscação de ponteiro (Alguns ponteiros armazenados na glibc são ofuscados)
  • Randomização de Layout do Espaço de Endereço (ASLR) (Pilha ASLR; Libs / mmap ASLR; Exec ASLR; brk ASLR; VDSO ASLR)
  • Vários daemons criados como Executáveis ​​independentes da posição (PIE)
  • Alguns daemons (?) Criados com o Fortify Source "-D_FORTIFY_SOURCE = 2"

Até que ponto o Debian 6.0 usa técnicas semelhantes (por padrão)?

Jesper M
fonte

Respostas:

5

Infelizmente a maioria (todas?) Dessas defesas não estão ativadas no Debian. Eles falam sobre isso há anos e houve algum projeto "debian reforçado", mas não levou a nada concreto até agora da perspectiva do usuário. É uma das raras distros que ainda não implementaram essas medidas.

Há mais informações em http://wiki.debian.org/Hardening :

Após a reunião entre 14 e 16 de janeiro de 2011, a equipe de segurança debian anunciou em um e-mail que pretende forçar a inclusão de recursos de fortalecimento para o lançamento do chiado. Uma sessão de Birds of a Feather será organizada durante o debconf de 2011 para configurar um processo.

O email referenciado está aqui: http://lists.debian.org/debian-devel-announce/2011/01/msg00006.html .

Então talvez esteja finalmente chegando "chiado" ...

Esta é a maior razão pela qual eu pessoalmente prefiro rodar o Ubuntu sobre o Debian nos meus servidores.

estalar
fonte
O Debian facilita muito a compilação de um novo kernel baseado em seus lançamentos. Você sempre pode ativar as opções que deseja no seu kernel.
bahamat
1
Esses são (principalmente) recursos de espaço do usuário. Compilar um novo kernel não fará diferença.
snap
0

Se você precisa de um pacote no Debian com CFLAGS ou opções de configuração especiais, você pode usar o apt-build . O Gentoo ou * BSD é um sistema operacional muito bom para esse propósito.

Eu sei que isso não é uma solução, mas é a melhor solução agora.

Rufo El Magufo
fonte
Por que o voto negativo? Gostaria de saber :)
Rufo El Magufo