Features/OwKernel

Материал из ALT Linux Wiki
Freesource-logo.png Blue Glass Arrow.svg MediaWiki logo.png
Эта страница была перемещена с freesource.info.
Эта страница наверняка требует чистки и улучшения — смело правьте разметку и ссылки.
Просьба по окончанию убрать этот шаблон со страницы.

OpenWall/altsec kernel patch

Универсальные дистрибутивы ALT Linux, начиная как минимум с Master 2.0, содержали т. н. OW patch (в ядрах kernel22-{smp,up}-secure, kernel-image-{std-smp,std-up,vs-smp}). Настольные дистрибутивы (Junior, Compact) его типично не содержат; для ядра 2.6 в данное время (ноябрь 2006 г.) такой патч неизвестен, зато существует вариация на его тему по имени altsec patch.

Они в ответе в том числе за то, что:

  • (CONFIG_SECURE_PROC/CONFIG_HARDEN_PROC/CONFIG_ALT_SECURE_PROC) простые пользователи не видят процессов друг друга и не имеют доступа к полной сетевой статистике (непростые заносятся в группу proc)
  • (CONFIG_SECURE_SHM/CONFIG_HARDEN_SHM/CONFIG_ALT_SECURE_SHM) производится автоматическая зачистка неиспользуемых сегментов разделяемой памяти. Некоторые программы могут полагаться на неопределённое поведение по умолчанию — они сломаются; если не получается их починить, возможно отключить эту проверку:
echo 0 >/proc/sys/kernel/shm_destroy_unused
  • (CONFIG_SECURE_LINK/CONFIG_HARDEN_LINK) ограничивается следование процессов по «чужим» символическим ссылкам; это может быть источником весьма неочевидных проблем до похода в /var/log/messages и наблюдения записи о том, что такому-то UID не позволили пройти по ссылке такого-то UID

Полный список см. в документации патчей.

Сообщения в syslog

LINK:

security_alert("not followed symlink of %d.%d "
               "by UID %d, EUID %d, process %s:%d",
               "symlinks not followed",
               inode->i_uid, inode->i_gid,
               current->uid, current->euid, current->comm, current->pid);
security_alert("denied hard link to %d.%d "
                       "for UID %d, EUID %d, process %s:%d",
                       "hard links denied",
                       inode->i_uid, inode->i_gid,
                       current->uid, current->euid,
                       current->comm, current->pid);

STACK:

security_alert("return onto stack "
                               "from 0x%08lx to 0x%08lx running as "
                               "UID %d, EUID %d, process %s:%d",
                               "returns onto stack",
                               regs->eip, addr,
                               current->uid, current->euid,
                               current->comm, current->pid);

FIFO:

security_alert("denied writing FIFO of %d.%d "
                       "by UID %d, EUID %d, process %s:%d",
                       "writes into a FIFO denied",
                       inode->i_uid, inode->i_gid,
                       current->uid, current->euid,
                       current->comm, current->pid);