O Debian 6.0 (Squeeze) possui mecanismos de proteção contra estouro de buffer?

11

Minha pergunta é: Que buffer overflow / stack smashing defenses (se houver) estão habilitados por padrão no Debian 6.0 (Squeeze)?

O Ubuntu tem uma útil tabela de resumo mostrando os principais recursos de segurança de cada versão da edição do Servidor , mas eu não encontrei algo similar para o Debian. O Ubuntu menciona:

  • Stack Protector (protetor do fck do gcc)
  • Protetor de heap (protetor de heap da Biblioteca C GNU)
  • Obfuscação de ponteiro (alguns ponteiros armazenados no glibc são ofuscados)
  • Alocação aleatória do layout do espaço de endereço (ASLR) (Pilha ASLR; Libs / mmap ASLR; Exec ASLR; brk ASLR; VDSO ASLR)
  • Vários daemons construídos como Executáveis independentes de posição (PIE)
  • Alguns daemons (?) construídos com Fortify Source "-D_FORTIFY_SOURCE = 2"

Em que medida o Debian 6.0 usa técnicas similares (por padrão)?

    
por Jesper Mortensen 03.08.2011 / 21:04

2 respostas

5

Infelizmente a maioria (todas?) dessas defesas não está habilitada no Debian. Eles têm falado sobre isso há anos e havia um projeto "hardened debian", mas isso não levou a nada de concreto até agora longe da perspectiva do usuário. É uma das raras distribuições que ainda não implementaram essas medidas.

Há mais algumas informações no link :

After their meeting on the 14-16 January 2011, the debian security team announced in an email they intend to push the inclusion of hardening features for the wheezy release. A Birds of a Feather-session will be organized during the 2011 debconf to setup a process.

O e-mail de referência está aqui: link .

Então talvez esteja finalmente chegando "wheezy" ...

Esta é a maior razão pela qual eu pessoalmente prefiro rodar o Ubuntu sobre o Debian nos meus servidores.

    
por 03.08.2011 / 21:16
0

Se você precisa de um pacote no Debian com CFLAGS especiais ou opções de configuração, você pode usar o apt-build . O Gentoo ou * BSD é um sistema operacional muito bom para este propósito.

Eu sei que isso não é uma solução, mas é a melhor solução agora.

    
por 04.08.2011 / 20:45