কেন গ্রাসিকিউরিটি প্যাচগুলি ভ্যানিলা কার্নেলের অন্তর্ভুক্ত নয়?


22

grsecurityপ্যাচগুলি (বা এটি নিয়ে আসা সুরক্ষা বৈশিষ্ট্যগুলি) ডিফল্টরূপে কার্নেলের মধ্যে অন্তর্ভুক্ত না করার কারণগুলি কী ? সুরক্ষার জন্য সুবিধাগুলি খুঁজলে মনে হয় ভ্যানিলা কার্নেলটি যেমন হয় তেমন নিরাপদ।

যদি এটি কোনও বাণিজ্য-অফ (কিছু অ্যাপ্লিকেশন যেখানে আপনি সুরক্ষা ব্যবস্থা এড়াতে চান), মনে grsecurityহয় এটি ভ্যানিলা কার্নেল সক্ষম করার একটি বিকল্প হতে পারে।

মূলধারার ভ্যানিলা কার্নেলে এতগুলি জিনিস থাকা সত্ত্বেও, সম্প্রদায়টি কেন অন্তর্ভুক্ত করতে চায় না তার কারণগুলি বুঝতে আমার খুব কষ্ট হয়েছে grsecurity


এটি একটি রাজনৈতিক সমস্যা বলে মনে হচ্ছে। এটি টরভাল্ডস মনে করেন তাদের কিছু প্যাচগুলি আবর্জনা। আরো দেখুন Qualys সিকিউরিটি উপদেষ্টা - স্ট্যাক Clash এবং আরো CONFIG_VMAP_STACK দুর্বলতা, UAF refcount_t, এবং একটি উপেক্ষিত সিকিউর বুট বাইপাস / রুটকিট পদ্ধতি OSS-নিরাপত্তা মেইলিং তালিকা।

কার্নেল ক্রিপ্টো মেলিং তালিকাগুলির অতীত পরামর্শ থেকে আমার এবং অন্যদের বালতি টরভাল্ডস লেবেলে "উন্মাদ" করা হয়েছে। সুতরাং এটি কেবল গ্রিসিকিউরিটি লোকেরা নয় যারা সমস্যার মুখোমুখি হন। এলোমেলো এছাড়াও দেখুন : নীরবতা সংকলক সতর্কতা এবং স্থির রেস । থ্রেডটি এমন ড্রাইভারদের জন্য একটি ডেমসেগ সরবরাহের বিষয়ে আলোচনা যা প্রস্তুত হওয়ার আগে এলোমেলোভাবে ব্যবহার করে। (আপনি হয়ত চেনেন না, কিন্তু ড্রাইভার একটি সংখ্যা ডিভাইস ব্যবহার করার আগে সঠিকভাবে বীজযুক্ত হয় cf.। Systemd হল সামনে আরম্ভের urandom থেকে সার্চ )

উত্তর:


23

(আমি একজন গ্রসিকিউরিটি ডেভেলপার।

জেএসবিলিংসের উত্তর এলডাব্লুএন নিবন্ধে আলোচিত ইমেল পোস্টের উপর ভিত্তি করে ।

এখানে গুরুত্বপূর্ণ প্রসঙ্গটি হ'ল গ্র্যাসিকিউরিটি বা প্যাক্স বিকাশকারীরা কেউই সেই মেলিং তালিকা আলোচনায় জড়িত ছিল না। এলডাব্লুএন নিবন্ধে প্যাক্স টিমের মন্তব্য এটি পরিষ্কার করে। আমরা কখনই মূল লাইন অন্তর্ভুক্তির জন্য প্যাচগুলি জমা করিনি। একটি সাধারণ কারণ হ'ল আমরা সেই ধারণাগুলি এবং বাস্তবায়নগুলি নিয়েই আছি, যা প্রবাহিত হওয়ার সমাধান হবে না। তদুপরি, আমাদের অত্যান্ত সুরক্ষা বিরোধী এমন একটি বিকাশকারীদের সাথে ক্লান্তিকর মেলিং তালিকার যুক্তিতে জড়িত থাকতে হবে ( আমার 2012 এইচ 2 এইচসি উপস্থাপনা দেখুনএ সম্পর্কে আরও আলোচনার জন্য)। আমাদের কাছে সময় এবং সংস্থান সীমাবদ্ধ রয়েছে, তাই আমরা এটিকে সম্ভাব্য সবচেয়ে কার্যকর উপায়ে ব্যয় করতে বেছে নিই: আগামীকালটির সুরক্ষা প্রযুক্তি তৈরি করে এবং এটি প্রত্যেকের জন্য বিনামূল্যে উপলব্ধ করা। প্যাক্স টিম তাদের মন্তব্যে যেমন উল্লেখ করেছে, আমাদের সুরক্ষার বিষয়ে একটি বিশেষ দৃষ্টিভঙ্গি রয়েছে এবং স্বতন্ত্র বৈশিষ্ট্যগুলি বিভক্তকরণ এবং প্রবাহিত করার ক্ষেত্রে খুব বেশি যোগ্যতা রয়েছে বলে বিশ্বাস করি না।


আমি আকর্ষণীয় এলডাব্লুএন নিবন্ধের লিঙ্কটি পছন্দ করেছি। ধন্যবাদ. কার্নেল বিকাশকারীদের একটি গ্রুপ "খুব বেশি সুরক্ষা বিরোধী" হবে এই মতামতটি পড়তে আমি এখনও বিভ্রান্তির মধ্যে রয়েছি। আমার অবশ্যই কোনও ধরণের অন্তর্দৃষ্টি নেই, তবে এটি উদ্বেগজনক বলে মনে হচ্ছে :( বিভ্রান্তিটি হ'ল আমি সুরক্ষা ওপেনসোর্স এবং লিনাক্সের অন্যতম "শক্তিশালী যুক্তি" হিসাবে ধরে নিয়েছি the এই মুহুর্তে আমি আমার উবুন্টু ভিত্তিক সিস্টেমে যথেষ্ট হুমকী অনুভব করছি। থাকা একটু সঙ্গে বামে পিছনে চলবে কী করে যদি আমরা অপরিণামদর্শী ছিলে ওএস werth এর "আরো চোখ সন্ধান করতে পারেন" -security আমি grsecurity কোন উপায়ে মত, এটা করার জন্য আপনাকে ধন্যবাদ।
humanityANDpeace

10

এটি দেখে মনে হয় যে গ্রাসিকিউরিটি ডেভেলপারদের অতীতে লিনাসকে কার্নেলের পরিবর্তনগুলি গ্রহণ করার জন্য বোঝানো হয়েছিল । সমস্যাগুলি মনে হয়:

  1. কোডের একটি বিশাল ব্লব জমা দেওয়া এবং এটি টুকরো টুকরো টুকরো টুকরো না করে
  2. লিনাস অনেকগুলি পরিবর্তনকে "পাগল" হিসাবে বিবেচনা করে, এটি সম্ভবত লিনাসের বলার উপায় যা এটি ভবিষ্যতের উন্নয়নের জন্য তার পরিকল্পনার সাথে কাজ করে না।

এগুলি বেশ কিছু আন্তঃসুখী পয়েন্ট। এখনও শিখছি - আমি বিএলওবি সম্পর্কেও সচেতন ছিলাম না (এটি একটি বাইনারি ডেটা জিনিস, ঠিক আছে, আমার অনুমান না করে এমন কিছু প্রকাশিত হয় না)। ওয়েল তথ্য ভাল। যদি বর্ণিত কারণগুলি সত্য হয় তবে এটি এখনও লজ্জাজনক। আমি গ্রাসিকিউরিটি প্যাচসেট সম্পর্কিত সুরক্ষা উন্নতির ধারণা পছন্দ করি।
humanityANDpeace

1
@ হিউম্যানিটিএন্ডপিস "ব্লব" বলতে "বাইনারি লার্জ অবজেক্ট" বলতে বোঝায় (সাধারণত ডাটাবেসের অর্থে, তবে কখনও কখনও অন্য কোথাওও), বা এটি "যাই হোক না কেন বৃহত্তর অংশ" এর জন্য বচসা হতে পারে। এই ক্ষেত্রে, আমি এটি গ্রহণ করি jsbillings এটি পরবর্তী হিসাবে বোঝায়: উত্স কোডের একটি বিশাল অংশ যা আরও বিভক্ত নয়। আমি নিজে একজন প্রোগ্রামার হওয়ার কারণে আমি জানি যে এগুলি নিয়ে কাজ করতে হতাশাগ্রস্ত হতে পারে, কেবল পর্যালোচনা করা যাক।
একটি সিভিএন
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.