Новость: Ядро Linux: PaX против ExecShield и пояснение работы ExecShield
(Категория: Linux)
Добавил Roman I Khimov
Суббота, 22 Январь 2005, 04:29
KernelTrap.org сообщает о прошедшей в листе разработчиков Linux дискуссии, продолжившей тему отчетов о проблемах в безопасности. В ней Инго Молнар (Ingo Molnar) рассказал о различиях между технологиями защиты от исполнения PaX и ExecShield.
Началось все со слов Линуса Торвальдса (Linus Torvalds) о том, что не стоит надеяться на то, что в ядре нет ошибок вообще, поскольку для настоящей безопасности недостаточно только отсутствия ошибок, нужны и другие защитные меры, одной из который и является exec-shield.
Однако, помимо ExecShield существуют и другие технологии защиты от исполнения, в частности, PaX. Авторы ExecShield, Арьян ван де Вен (Arjan van de Ven) и Инго Молнар в этой нити прояснили то, как работает Exec Shield и в чем он отличен от PaX. Среди недостатков PaX были отмечены сужение выделяемого процессоу адресного пространства в виртуальной памяти с 3 ГБ до 1.5 ГБ, сложно написанный код PaX, который тяжело поддерживать и требование PaX к ручной настройке приложений. В то же время Инго отметил и недостаток ExecShield, который проявляется в том, что некоторые шаблоны распределения виртуальной памяти могут ухудшать его эффективность, хотя такие случаи редки и большей частью уже исправлены. Также Инго отметил, что одной из целей ExecShield было сделать его настолько прозрачным и автоматическим, насколько это возможно, чтобы пользователи могли просто продолжать работать.
Почитать нить обсуждения можно на KernelTrap.org (
).
Источник этой новости Центр информации по операционным системам
( http://www.osrc.info/news.php?extend.1906 )
(Категория: Linux)
Добавил Roman I Khimov
Суббота, 22 Январь 2005, 04:29
KernelTrap.org сообщает о прошедшей в листе разработчиков Linux дискуссии, продолжившей тему отчетов о проблемах в безопасности. В ней Инго Молнар (Ingo Molnar) рассказал о различиях между технологиями защиты от исполнения PaX и ExecShield.
Началось все со слов Линуса Торвальдса (Linus Torvalds) о том, что не стоит надеяться на то, что в ядре нет ошибок вообще, поскольку для настоящей безопасности недостаточно только отсутствия ошибок, нужны и другие защитные меры, одной из который и является exec-shield.
Однако, помимо ExecShield существуют и другие технологии защиты от исполнения, в частности, PaX. Авторы ExecShield, Арьян ван де Вен (Arjan van de Ven) и Инго Молнар в этой нити прояснили то, как работает Exec Shield и в чем он отличен от PaX. Среди недостатков PaX были отмечены сужение выделяемого процессоу адресного пространства в виртуальной памяти с 3 ГБ до 1.5 ГБ, сложно написанный код PaX, который тяжело поддерживать и требование PaX к ручной настройке приложений. В то же время Инго отметил и недостаток ExecShield, который проявляется в том, что некоторые шаблоны распределения виртуальной памяти могут ухудшать его эффективность, хотя такие случаи редки и большей частью уже исправлены. Также Инго отметил, что одной из целей ExecShield было сделать его настолько прозрачным и автоматическим, насколько это возможно, чтобы пользователи могли просто продолжать работать.
Почитать нить обсуждения можно на KernelTrap.org (
).Источник этой новости Центр информации по операционным системам
( http://www.osrc.info/news.php?extend.1906 )