TL; DR. San Airteagal seo, déanaimid iniúchadh ar na scéimeanna cruaithe a oibríonn as an mbosca ar chúig dháileadh Linux coitianta. I gcás gach ceann acu, ghlacamar an chumraíocht eithne réamhshocraithe, rinneamar na pacáistí go léir a luchtú, agus rinneamar anailís ar na scéimeanna slándála sna binaries ceangailte. Is iad na dáiltí a mheastar ná OpenSUSE 12.4, Debian 9, CentOS, RHEL 6.10 agus 7, chomh maith le Ubuntu 14.04, 12.04 agus 18.04 LTS.
Deimhníonn na torthaí nach bhfuil gach duine fós ag glacadh le bunscéimeanna amhail canáraí cruachta agus cód seasamh neamhspleách. Tá an scéal níos measa fós do thiomsaitheoirí maidir le cosaint a dhéanamh i gcoinne leochaileachtaí cosúil le stack clash, a tháinig chun solais i mí Eanáir tar éis é a fhoilsiú. . Ach nach bhfuil gach rud chomh hopeless. Cuireann líon suntasach dénártha modhanna cosanta bunúsacha i bhfeidhm, agus fásann a líon ó leagan go leagan.
Léirigh an t-athbhreithniú go bhfuil an líon is mó modhanna cosanta á gcur i bhfeidhm i Ubuntu 18.04 ag an OS agus leibhéil iarratais, agus ina dhiaidh Debian 9. Ar an láimh eile, cuireann OpenSUSE 12.4, CentOS 7 agus RHEL 7 bunscéimeanna cosanta i bhfeidhm freisin, agus cosaint imbhuailte Stack. úsáidtear níos forleithne fós le sraith i bhfad níos dlúithe de phacáistí réamhshocraithe.
Réamhrá
Tá sé deacair bogearraí ardchaighdeáin a chinntiú. In ainneoin go bhfuil líon mór uirlisí chun cinn maidir le hanailís cód statach agus anailís ar am rite dinimiciúil, chomh maith le dul chun cinn suntasach i bhforbairt tiomsaitheoirí agus teangacha ríomhchlárúcháin, tá bogearraí nua-aimseartha fós ag fulaingt ó leochaileachtaí a bhaineann ionsaitheoirí i gcónaí leas a bhaint astu. Tá an scéal níos measa fós in éiceachórais a chuimsíonn cód oidhreachta. I gcásanna den sórt sin, ní hamháin go bhfuil muid ag tabhairt aghaidh ar an bhfadhb shíoraí a bhaineann le hearráidí féideartha insaothraithe a aimsiú, ach táimid teoranta freisin ag creataí dochta comhoiriúnachta siar, a éilíonn go minic orainn cód leochaileach nó bugaí teoranta, nó níos measa fós, a chaomhnú.
Seo an áit a mbíonn modhanna cosanta nó cláir chruaite i bhfeidhm. Ní féidir linn roinnt cineálacha earráidí a chosc, ach is féidir linn saol an ionsaitheora a dhéanamh níos deacra agus an fhadhb a réiteach go páirteach trí chosc nó a chosc. saothrú na hearráidí seo. Úsáidtear cosaint den sórt sin i ngach córas oibriúcháin nua-aimseartha, ach tá difríocht mhór idir na modhanna maidir le castacht, éifeachtúlacht agus feidhmíocht: ó chruach chanáracha agus chun cosaint iomlán и . San Airteagal seo, féachfaimid cad iad na modhanna cosanta a úsáidtear sna dáiltí Linux is coitianta sa chumraíocht réamhshocraithe, agus scrúdóimid freisin airíonna na binaries a dháiltear trí chórais bhainistíochta pacáiste gach dáileacháin.
CVE agus slándáil
Tá ailt feicthe againn go léir le teidil cosúil le "Na Feidhmchláir is Leochaillí den Bhliain" nó "Na Córais Oibriúcháin is Leochailí." De ghnáth soláthraíonn siad staitisticí ar líon iomlán na dtaifead faoi leochaileachtaí mar , a fhaightear ó ó agus foinsí eile. Ina dhiaidh sin, déantar na feidhmchláir seo nó OS a rangú de réir líon na CVEanna. Ar an drochuair, cé go bhfuil CVEanna an-úsáideach chun saincheisteanna a rianú agus chun díoltóirí agus úsáideoirí a chur ar an eolas, is beag a deir siad faoi shlándáil iarbhír na mbogearraí.
Mar shampla, breithnigh ar líon iomlán na CVEanna le ceithre bliana anuas don eithne Linux agus na cúig dháileadh freastalaí is coitianta, eadhon Ubuntu, Debian, Red Hat Enterprise Linux agus OpenSUSE.
Fig. 1
Cad a insíonn an graf seo dúinn? An gciallaíonn líon níos airde CVEanna go bhfuil dáileadh amháin níos leochailí ná dáileadh eile? Gan freagair. Mar shampla, san Airteagal seo feicfidh tú go bhfuil meicníochtaí slándála níos láidre ag Debian i gcomparáid le, abair, OpenSUSE nó RedHat Linux, agus fós tá níos mó CVEanna ag Debian. Mar sin féin, ní gá go gciallaíonn siad slándáil lagaithe: ní léiríonn láithreacht CVE fiú an bhfuil leochaileacht i gceist. shaothrú. Tugann scóir déine léiriú ar conas is dócha leochaileacht a shaothrú, ach sa deireadh thiar braitheann an insaothraithe go mór ar na cosaintí atá sna córais atá i gceist agus ar acmhainní agus cumais na n-ionsaitheoirí. Ina theannta sin, níl aon rud le rá ag easpa tuairiscí CVE faoi dhaoine eile neamhchláraithe nó anaithnid leochaileachtaí. D’fhéadfadh an difríocht i CVE a bheith mar gheall ar fhachtóirí seachas cáilíocht bogearraí, lena n-áirítear na hacmhainní a leithdháileadh ar thástáil nó méid an bhoinn úsáideora. Inár sampla, b'fhéidir go léiríonn líon níos airde CVEanna Debian go seoltar níos mó pacáistí bogearraí do Debian.
Ar ndóigh, cuireann an córas CVE faisnéis úsáideach ar fáil a ligeann duit cosaintí cuí a chruthú. Dá fheabhas a thuigimid na fáthanna le teip cláir, is amhlaidh is fusa a bheidh sé modhanna féideartha saothraithe a aithint agus meicníochtaí cuí a fhorbairt bhrath agus freagairt. I bhFíor. Léiríonn 2 na catagóirí leochaileachtaí do gach dáileadh le ceithre bliana anuas (). Tá sé soiléir láithreach go dtagann an chuid is mó de CVEanna sna catagóirí seo a leanas: seirbhís a dhiúltú (DoS), forghníomhú cód, ró-shreabhadh, éilliú cuimhne, sceitheadh faisnéise (eas-scagadh) agus ardú pribhléide. Cé go ndéantar go leor CVEanna a chomhaireamh go minic i gcatagóirí éagsúla, go ginearálta leanann na saincheisteanna céanna bliain i ndiaidh bliana. Sa chéad chuid eile den alt, déanfaimid meastóireacht ar úsáid scéimeanna cosanta éagsúla chun cosc a chur ar shaothrú na leochaileachtaí sin.
Fig. 2
tascanna
San Airteagal seo tá sé beartaithe againn na ceisteanna seo a leanas a fhreagairt:
- Cad é slándáil na dáiltí Linux éagsúla? Cad iad na meicníochtaí cosanta atá sna feidhmeanna eithne agus spáis úsáideora?
- Conas a d’athraigh glacadh meicníochtaí slándála le himeacht ama thar dháiltí?
- Cad iad meánspleáchas na bpacáistí agus na leabharlann do gach dáileadh?
- Cad iad na cosaintí a chuirtear i bhfeidhm do gach dénártha?
Roghnú dáiltí
Tharlaíonn sé go bhfuil sé deacair staitisticí cruinne a fháil ar shuiteálacha dáileacháin, ós rud é i bhformhór na gcásanna ní léiríonn líon na n-íoslódálacha líon na suiteálacha iarbhír. Mar sin féin, is leaganacha Unix iad formhór na gcóras freastalaí (ar fhreastalaithe gréasáin 69,2%, de réir W3techs agus foinsí eile), agus tá a sciar ag fás i gcónaí. Mar sin, dár dtaighde dhíríomar ar dháiltí atá ar fáil as an mbosca ar an ardán . Go háirithe, roghnaigh muid an OS seo a leanas:
Dáileadh/leagan
Croí
Tógáil
OpenSUSE 12.4
4.12.14-95.3-réamhshocraithe
#1 SMP Dé Céadaoin 5 Nollaig 06:00:48 UTC 2018 (63a8d29)
Debian 9 (síneadh)
4.9.0-8-leasú64
#1 SMP Debian 4.9.130-2 (2018-10-27)
6.10 CentOS
2.6.32-754.10.1.el6.x86_64
#1 SMP Dé Máirt 15 Eanáir 17:07:28 UTC 2019
7 CentOS
3.10.0-957.5.1.el7.x86_64
#1 SMP Aoine 1 Feabhra 14:54:57 UTC 2019
Freastalaí Red Hat Enterprise Linux 6.10 (Santiago)
2.6.32-754.9.1.el6.x86_64
#1 SMP Dé Céadaoin 21 Samhain 15:08:21 EST 2018
Freastalaí Red Hat Enterprise Linux 7.6 (Maipo)
3.10.0-957.1.3.el7.x86_64
#1 SMP Thu Nov 15 17:36:42 UTC 2018
Ubuntu 14.04 (Trusty Tahr)
4.4.0–140 – cineálach
#166~14.04.1-Ubuntu SMP Dé Sathairn 17 Samhain 01:52:43 UTC 20…
Ubuntu 16.04 (Xenial Xerus)
4.15.0–1026-gcp
#27~16.04.1-Ubuntu SMP Aoine 7 Nollaig 09:59:47 UTC, 2018
Ubuntu 18.04 (Beaver Bionic)
4.15.0–1026-gcp
#27-Ubuntu SMP Déardaoin 6 Nollaig 18:27:01 UTC 2018
Tábla 1
Anailís
Déanaimis staidéar ar an chumraíocht eithne réamhshocraithe, chomh maith le hairíonna na bpacáistí atá ar fáil trí bhainisteoir pacáiste gach dáileadh amach as an mbosca. Mar sin, ní mheasaimid ach pacáistí ó scátháin réamhshocraithe gach dáileacháin, gan aird a thabhairt ar phacáistí ó stórtha éagobhsaí (cosúil le scátháin 'tástála' Debian) agus pacáistí tríú páirtí (cosúil le pacáistí Nvidia ó scátháin chaighdeánacha). Ina theannta sin, ní mheasaimid tiomsaithe eithne saincheaptha nó cumraíochtaí slándála-cruaite.
Anailís Cumraíochta Eithne
Chuireamar script anailíse i bhfeidhm bunaithe ar . Breathnaímid ar pharaiméadair chosanta lasmuigh den bhosca de na dáileacháin ainmnithe agus déanaimis iad a chur i gcomparáid leis an liosta ó (KSPP). I gcás gach rogha cumraíochta, déanann Tábla 2 cur síos ar an socrú inmhianaithe: tá an ticbhosca le haghaidh dáiltí a chomhlíonann moltaí an KSSP (féach an méid seo a leanas le haghaidh míniú ar théarmaí). ; In ailt amach anseo míneoimid cé mhéad de na modhanna slándála seo a tháinig i bhfeidhm agus conas córas a hack ina n-éagmais).
Go ginearálta, tá socruithe níos déine ag na eithne nua as an mbosca. Mar shampla, níl an chuid is mó de na gnéithe ríthábhachtacha a chuirtear i bhfeidhm in eithne níos nuaí ar nós CentOS 6.10 agus RHEL 6.10 ar an eithne 2.6.32 , ceadanna dian RWX, randamú seoltaí nó cosaint copy2usr. Ba chóir a thabhairt faoi deara nach bhfuil go leor de na roghanna cumraíochta sa tábla ar fáil i leaganacha níos sine den eithne agus nach bhfuil siad infheidhme i ndáiríre - tá sé seo le fios fós sa tábla mar easpa cosanta cuí. Mar an gcéanna, mura bhfuil rogha cumraíochta i láthair i leagan ar leith, agus má éilíonn slándáil an rogha sin a dhíchumasú, meastar gur cumraíocht réasúnta é seo.
Pointe eile le breithniú agus na torthaí á léirmhíniú: is féidir roinnt cumraíochtaí eithne a mhéadaíonn an dromchla ionsaí a úsáid freisin le haghaidh slándála. I measc na samplaí sin tá uprobes agus kprobes, modúil eithne, agus BPF/eBPF. Is é an moladh atá againn ná na meicníochtaí thuas a úsáid chun fíorchosaint a sholáthar, ós rud é gur neamhfhánach iad a úsáid agus glacann a n-dúshaothrú leis go bhfuil bunús sa chóras cheana féin ag gníomhaithe mailíseacha. Ach má tá na roghanna seo cumasaithe, ní mór do riarthóir an chórais monatóireacht ghníomhach a dhéanamh le haghaidh mí-úsáide.
Ag breathnú níos faide ar na hiontrálacha i dTábla 2, feicimid go soláthraíonn eithne nua-aimseartha go leor roghanna chun cosaint a thabhairt i gcoinne shaothrú leochaileachtaí ar nós sceitheadh faisnéise agus ró-shreafaí stoic/charn. Mar sin féin, tugaimid faoi deara nach bhfuil fiú na dáiltí tóir is déanaí tar éis cosaint níos casta a chur i bhfeidhm go fóill (mar shampla, le paistí ) nó cosaint nua-aimseartha ar ionsaithe athúsáide cóid (e.g. ). Chun cúrsaí a dhéanamh níos measa, ní thugann na cosaintí níos forbartha seo cosaint ar raon iomlán na n-ionsaithe. Dá bhrí sin, tá sé ríthábhachtach do riarthóirí córais cumraíochtaí cliste a chomhlánú le réitigh a thairgeann am rite a bhaineann leas as brath agus cosc.
Anailís Iarratais
Ní nach ionadh go bhfuil tréithe pacáiste éagsúla, roghanna tiomsaithe, spleáchais leabharlainne, etc. ag dáiltí difriúla. Tá difríochtaí ann fiú do dáiltí agus pacáistí le líon beag spleáchais (mar shampla, coreutils ar Ubuntu nó Debian). Chun na difríochtaí a mheas, d'íoslódálamar gach pacáiste a bhí ar fáil, bhaineamar amach a n-ábhar, agus rinneamar anailís ar na dénártha agus na spleáchais. I gcás gach pacáiste, choinnigh muid súil ar na pacáistí eile a mbraitheann sé, agus do gach dénártha, rinneamar rianú ar a spleáchais. Sa chuid seo tugaimid achoimre ghairid ar na conclúidí.
dáiltí
San iomlán, d'íoslódálamar 361 pacáiste do gach dáileadh, ag baint amach pacáistí ó scátháin réamhshocraithe amháin. Rinneamar neamhaird ar phacáistí gan earraí inrite ELF, mar fhoinsí, clónna, srl. Tar éis an scagtha, d'fhan 556 pacáiste, ina raibh iomlán de 129 dénártha. Léirítear dáileadh na bpacáistí agus na gcomhad thar dháiltí i bhFíor. 569 .
Fig. 3
Beidh tú faoi deara go bhfuil an níos nua-aimseartha an dáileadh, an níos mó pacáistí agus dénártha tá sé, atá loighciúil. Mar sin féin, cuimsíonn pacáistí Ubuntu agus Debian go leor dénártha níos mó (idir inrite agus modúil dinimiciúla agus leabharlanna) ná CentOS, SUSE agus RHEL, a d'fhéadfadh tionchar a bheith aige ar dhromchla ionsaí Ubuntu agus Debian (ba chóir a thabhairt faoi deara go léiríonn na huimhreacha binaries uile de gach leagan. pacáiste, is é sin, déantar anailís ar roinnt comhad arís agus arís eile). Tá sé seo tábhachtach go háirithe nuair a mheasann tú spleáchais idir pacáistí. Mar sin, is féidir le leochaileacht i ndénártha pacáiste amháin difear a dhéanamh do go leor codanna den éiceachóras, díreach mar is féidir le leabharlann leochaileach dul i bhfeidhm ar gach dénártha a allmhairíonn é. Mar phointe tosaigh, déanaimis féachaint ar dháileadh líon na spleáchais i measc na bpacáistí i gcórais oibriúcháin éagsúla:
Fig. 4
I mbeagnach gach dáileadh, tá 60 spleáchas ar a laghad ag 10% de na pacáistí. Ina theannta sin, tá líon suntasach níos mó spleáchais ag roinnt pacáistí (níos mó ná 100). Baineann an rud céanna le spleáchais droim ar ais ar phacáiste: mar a bheifí ag súil leis, úsáideann go leor pacáistí eile cúpla pacáiste sa dáileadh, agus mar sin tá ardriosca ag baint le leochaileachtaí an bheagáin sin. Mar shampla, liostaíonn an tábla seo a leanas na 20 pacáiste leis an líon uasta spleáchais droim ar ais i SLES, Centos 7, Debian 9 agus Ubuntu 18.04 (léiríonn gach cill an pacáiste agus líon na spleáchais droim ar ais).
Tábla 3
Fíric suimiúil. Cé go bhfuil gach OS a ndearnadh anailís orthu tógtha don ailtireacht x86_64, agus go bhfuil an ailtireacht sainmhínithe mar x86_64 agus x86 ag an chuid is mó de na pacáistí, is minic go mbíonn binaries le haghaidh ailtireachtaí eile i bpacáistí, mar a thaispeántar i bhFíor 5. XNUMX.
Fig. 5
Sa chéad chuid eile, déanfaimid iniúchadh ar shaintréithe na ndénártha anailísithe.
Staitisticí cosanta comhaid dhénártha
Ar a laghad, ní mór duit sraith bhunúsach de roghanna slándála a iniúchadh le haghaidh do dhénártha atá ann cheana féin. Tagann roinnt dáiltí Linux le scripteanna a dhéanann seiceálacha den sórt sin. Mar shampla, tá a leithéid de script ag Debian/Ubuntu. Seo sampla dá shaothar:
$ hardening-check $(which docker)
/usr/bin/docker:
Position Independent Executable: yes
Stack protected: yes
Fortify Source functions: no, only unprotected functions found!
Read-only relocations: yes
Immediate binding: yesSeiceálann an script cúig cinn :
- Seasamh Inrite Neamhspleách (PIE): Léiríonn sé an féidir an chuid téacs de chlár a bhogadh sa chuimhne chun randamú a bhaint amach má tá ASLR cumasaithe san eithne.
- Cruachta Cosanta: Cibé an bhfuil na canáraí cruachta in ann cosaint a dhéanamh ar ionsaithe imbhuailte cruachta.
- Daingnigh Foinse: cibé an gcuirtear a gcomhghleacaithe níos sláine in ionad feidhmeanna neamhshábháilte (mar shampla, strcpy), agus cuirtear a gcomhghleacaithe neamhsheiceáilte in ionad glaonna a sheiceáiltear ag am rite (mar shampla, memcpy in ionad __memcpy_chk).
- Athlonnú inléite amháin (RELRO): Cibé an bhfuil iontrálacha táblaí athlonnaithe marcáilte inléite amháin má spreagtar iad sula gcuirtear tús le cur i gcrích.
- Ceangal láithreach: Cibé an gceadaíonn an nascóir ama rite gach aistriú sula gcuirtear tús le feidhmiú an chláir (tá sé seo comhionann le RELRO iomlán).
An leor na meicníochtaí thuas? Ar an drochuair níl. Tá bealaí aitheanta ann chun na cosaintí thuas go léir a sheachbhóthar, ach dá déine an chosaint, is airde an barra don ionsaitheoir. Mar shampla, níos deacra a chur i bhfeidhm má tá PIE agus ceangailteach láithreach i bhfeidhm. Mar an gcéanna, teastaíonn obair bhreise ó ASLR iomlán chun dúshaothrú oibre a chruthú. Mar sin féin, tá ionsaitheoirí sofaisticiúla ullmhaithe cheana féin chun cosaintí den sórt sin a chomhlíonadh: go bunúsach cuirfidh a n-éagmais dlús leis an hack. Tá sé fíor-riachtanach mar sin go meastar go bhfuil gá leis na bearta sin íosmhéid.
Theastaigh uainn staidéar a dhéanamh ar cé mhéad comhad dénártha sna dáiltí atá i gceist atá cosanta ag na modhanna seo agus trí mhodh eile:
- Giotán neamh-inrite () a chuireann cosc ar fhorghníomhú in aon réigiún nár cheart a bheith inrite, mar an gcarn cruacha, etc.
- seasann an cosán forghníomhaithe a úsáideann an lódóir dinimiciúil chun leabharlanna meaitseála a aimsiú. Is é an chéad cheann éigeantach d'aon chóras nua-aimseartha: cuireann sé ar chumas na n-ionsaitheoirí an pálasta a scríobh go treallach i gcuimhne agus é a chur i gcrích mar atá. Ar an dara dul síos, cuidíonn cumraíochtaí cosán forghníomhaithe mícheart le cód neamhiontaofa a thabhairt isteach a d'fhéadfadh roinnt fadhbanna a bheith mar thoradh air (m.sh. Agus ).
- Soláthraíonn cosaint imbhuailte cruachta cosaint in aghaidh ionsaithe a fhágann go bhforluíonn an chairn réimsí eile cuimhne (cosúil leis an gcarn). Mar gheall ar exploits déanaí mí-úsáid , bhraitheamar go raibh sé cuí an mheicníocht seo a chur san áireamh inár dtacar sonraí.
Mar sin, gan a thuilleadh moille, a ligean ar a fháil síos go dtí na huimhreacha. Tá achoimre i dTáblaí 4 agus 5 ar an anailís ar chomhaid inrite agus leabharlanna dáileacháin éagsúla, faoi seach.
- Mar a fheiceann tú, cuirtear cosaint NX i bhfeidhm i ngach áit, le heisceachtaí annamh. Go háirithe, is féidir le duine a úsáid beagán níos ísle a thabhairt faoi deara i dáiltí Ubuntu agus Debian i gcomparáid le CentOS, RHEL agus OpenSUSE.
- Tá canáraí cruachta in easnamh i go leor áiteanna, go háirithe i ndáiltí le heithne níos sine. Tá dul chun cinn áirithe le feiceáil sna dáiltí is déanaí de Centos, RHEL, Debian agus Ubuntu.
- Cé is moite de Debian agus Ubuntu 18.04, tá droch-thacaíocht PIE ag an gcuid is mó dáileacháin.
- Tá cosaint imbhuailte cruachta lag in OpenSUSE, Centos 7 agus RHEL 7, agus is beag nach bhfuil sé ann i gcásanna eile.
- Tá tacaíocht éigin ag gach dáileadh le kernels nua-aimseartha do RELRO, le Ubuntu 18.04 chun tosaigh agus Debian ag teacht sa dara háit.
Mar a luadh cheana, is iad na méadrachtaí sa tábla seo ná an meán do gach leagan den chomhad dénártha. Mura fhéachann tú ach ar na leaganacha is déanaí de chomhaid, beidh na huimhreacha difriúil (mar shampla, féach ). Thairis sin, de ghnáth ní dhéanann an chuid is mó dáileacháin ach tástáil ar shlándáil roinnt feidhmeanna sa dhénártha agus staitisticí á ríomh, ach léiríonn ár n-anailís fíorchéatadán na bhfeidhmeanna atá cruaite. Mar sin, má tá 5 as 50 feidhmeanna cosanta i dénártha, tabharfaimid scór 0,1 dó, a fhreagraíonn do 10% de na feidhmeanna atá á neartú.
Tábla 4. Saintréithe slándála do na comhaid inrite a thaispeántar i bhFíor. 3 (feidhmeanna ábhartha a chur i bhfeidhm mar chéatadán de líon iomlán na gcomhad inrite)
Tábla 5. Tréithe slándála na leabharlann a thaispeántar i bhFíor. 3 (feidhmeanna ábhartha a chur i bhfeidhm mar chéatadán de líon iomlán na leabharlann)
Mar sin an bhfuil dul chun cinn ann? Is cinnte go bhfuil: is féidir é seo a fheiceáil ó na staitisticí maidir le dáiltí aonair (mar shampla, ), chomh maith leis na táblaí thuas. Mar shampla i bhFíor. Léiríonn Fíor 6 cur i bhfeidhm meicníochtaí cosanta i dtrí dháileachán as a chéile de Ubuntu LTS 5 (rinneamar staitisticí cosanta imbhuailte cruachta ar lár). Tugaimid faoi deara go dtacaíonn comhaid níos mó agus níos mó ó leagan go leagan canáraí Stack, agus freisin binaries níos mó agus níos mó a seoladh le cosaint RELRO iomlán.
Fig. 6
Ar an drochuair, níl aon cheann de na cosaintí thuas fós ag roinnt comhad inrite i dáiltí éagsúla. Mar shampla, ag féachaint ar Ubuntu 18.04, tabharfaidh tú faoi deara an dénártha ngetty (athsholáthar getty), chomh maith leis na sliogáin mksh agus lksh, an t-ateangaire picolisp, na pacáistí nvidia-cuda-toolkit (pacáiste coitianta le haghaidh feidhmchláir luathaithe GPU mar chreataí meaisínfhoghlama), agus klibc -utils. Mar an gcéanna, tá an dénártha mandos-client (uirlis riaracháin a ligeann duit meaisíní a atosú go huathoibríoch le córais comhaid criptithe) chomh maith le rsh-redone-client (athfhostú rsh agus rlogin) long gan chosaint NX, cé go bhfuil cearta SUID acu: (. Chomh maith leis sin, tá easpa cosaint bhunúsach ag go leor dénártaí suarach cosúil le stoic chanáracha (mar shampla, an dénártha Xorg.wrap ó phacáiste Xorg).
Achoimre agus Nótaí Deiridh
San Airteagal seo, thugamar aird ar roinnt gnéithe slándála a bhaineann le dáiltí nua-aimseartha Linux. Léirigh an anailís go gcuireann an dáileadh Ubuntu LTS is déanaí (18.04) i bhfeidhm, ar an meán, an OS is láidre agus an chosaint leibhéal iarratais i measc dáiltí le kernels réasúnta nua, mar shampla Ubuntu 14.04, 12.04 agus Debian 9. Mar sin féin, tá na dáiltí scrúdaithe CentOS, RHEL agus OpenSUSE inár sraith de réir réamhshocraithe táirgeann siad sraith pacáistí níos dlúithe, agus sna leaganacha is déanaí (CentOS agus RHEL) tá céatadán níos airde de chosaint imbhuailte stack acu i gcomparáid le hiomaitheoirí atá bunaithe ar Debian (Debian agus Ubuntu). Ag comparáid idir leaganacha CentOS agus RedHat, tugaimid faoi deara feabhsuithe móra i gcur i bhfeidhm stack canaries agus RELRO ó leaganacha 6 go 7, ach ar an meán tá níos mó gnéithe curtha i bhfeidhm ag CentOS ná RHEL. Go ginearálta, ba cheart do gach dáileadh aird ar leith a thabhairt ar chosaint PIE, a chuirtear i bhfeidhm, seachas Debian 9 agus Ubuntu 18.04, i níos lú ná 10% de na binaries inár dtacar sonraí.
Ar deireadh, ba chóir a thabhairt faoi deara, cé go ndearnamar an taighde de láimh, go bhfuil go leor uirlisí slándála ar fáil (m.sh. , , ), a dhéanann anailís agus a chuidíonn le cumraíochtaí neamhshábháilte a sheachaint. Ar an drochuair, ní ráthaíonn fiú cosaint láidir i bhfoirmíochtaí réasúnta nach mbeidh aon shaothrú ann. Sin an fáth a gcreidimid go daingean go bhfuil sé ríthábhachtach a chinntiú , ag díriú ar phatrúin dúshaothraithe agus iad a chosc.
Foinse: will.com