¿Debian 6.0 (Squeeze) tiene mecanismos de protección de desbordamiento de búfer?

11

Mi pregunta es: ¿Qué defensas de desbordamiento del búfer / aplastamiento de la pila (si las hay) están habilitadas por defecto en Debian 6.0 (Squeeze)?

Ubuntu tiene una práctica tabla de resumen que muestra las principales características de seguridad de cada versión de Server Edition , pero no he encontrado algo similar para Debian. Ubuntu menciona:

  • Protector de pila (gcc's -fstack-protector)
  • Heap Protector (GNU C Library heap protector)
  • Ofuscación de puntero (algunos punteros almacenados en glibc están ofuscados)
  • Aleatorización del diseño del espacio de direcciones (ASLR) (ASLR de pila; ASLR de Libs / mmap; ASLR de ejecución; ASLR de brk; ASLR de VDSO)
  • Varios demonios construidos como ejecutables independientes de posición (PIE)
  • Algunos demonios (?) Creados con Fortify Source "-D_FORTIFY_SOURCE = 2"

¿En qué medida Debian 6.0 utiliza técnicas similares (por defecto)?

Jesper M
fuente

Respuestas:

5

Desafortunadamente, la mayoría (¿todas?) De estas defensas no están habilitadas en Debian. Han hablado de ello durante años y hubo un proyecto de "debian endurecido", pero hasta ahora no ha llevado a nada concreto desde la perspectiva del usuario. Es una de las distribuciones raras que aún no han implementado estas medidas.

Hay más información en http://wiki.debian.org/Hardening :

Después de su reunión los días 14 y 16 de enero de 2011, el equipo de seguridad de Debian anunció en un correo electrónico que tienen la intención de impulsar la inclusión de características de refuerzo para el lanzamiento de wheezy. Se organizará una sesión de Birds of a Feather durante el debconf 2011 para configurar un proceso.

El correo electrónico referenciado está aquí: http://lists.debian.org/debian-devel-announce/2011/01/msg00006.html .

Entonces, tal vez finalmente llegue en "wheezy" ...

Esta es la razón más importante por la que personalmente prefiero ejecutar Ubuntu sobre Debian en mis servidores.

chasquido
fuente
Debian hace que sea muy fácil compilar un nuevo núcleo basado en sus versiones. Siempre puede habilitar las opciones que desee en su núcleo.
bahamat
1
Estas son (en su mayoría) características de espacio de usuario. Compilar un nuevo kernel no hará la diferencia.
snap
0

Si necesita un paquete en Debian con CFLAGS especiales u opciones de configuración, puede usar apt-build . Gentoo o * BSD es un sistema operativo muy bueno para este propósito.

Sé que esto no es una solución, pero es la mejor solución ahora.

Rufo El Magufo
fuente
¿Por qué el voto negativo? Me gustaría saber :)
Rufo El Magufo