Seite 1 von 1
Trusted Debian?
Verfasst: 26.03.2003 09:24:27
von Ilúvatar
Trusted Debian Project. The Trusted Debian project aims to create a highly secure but usable GNU/Linux platform. To accomplish this, the project will use currently available security solutions for GNU/Linux (like kernel patches, compiler patches, security related programs and techniques) and knit these together to a highly secure GNU/Linux platform. Trusted Debian is an upgrade to Debian GNU/Linux 3.0 which adds stack execution protection, address space layout randomization, FreeS/WAN, and some recent security package updates.
Ähm, kennt von euch jemand dieses "Trusted Debian"? Oder weis jemand ob es sich lohnt einen Server auf Trusted Debian "up zu daten"?
Verfasst: 26.03.2003 10:32:14
von abi
hm, noch nie von gehört..
Verfasst: 26.03.2003 12:31:12
von [Cyrus]
Habs zwar noch nicht ausprobiert, aber hört sich IMHO sehr interessant an.
Debian an sich ist ja schon sicher (und kann noch sicherer gemacht werden:
http://www.de.debian.org/doc/manuals/se ... ian-howto/ ), aber mit den ganzen Sachen wie PaX, gcc mit stack protector werden Bufferoverflows unmöglich gemacht. Wenn du also nen sicheren Server brauchst würd es sich lohnen.
Ich glaub ich schaus mir auch mal genauer an wenn ich mein HostAP-Server aufbau.
Verfasst: 26.03.2003 13:26:42
von pdreker
[Cyrus] hat geschrieben:mit den ganzen Sachen wie PaX, gcc mit stack protector werden Bufferoverflows unmöglich gemacht.
Beliebter Irrglaube, aber so nicht ganz richtig. Diese ganzen Systeme legen zwar die Messlatte höher (teilweise sogar sehr deutlich), aber wirklich verhindern können sie so etwas nicht. Allerdings Ist man vor praktisch 100% aller Skript Kiddies und Würmer sicher, weil die nicht gegen die Overflow Protection ankommen. Ein Angriff "von Hand" ist immer noch möglich, aber sehr schwierig.
Nur damit jetzt keiner glaubt, dass das eine "Silver Bullet" wäre...
Patrick
Verfasst: 26.03.2003 14:35:26
von Ilúvatar
[Cyrus] hat geschrieben:Ich glaub ich schaus mir auch mal genauer an wenn ich mein HostAP-Server aufbau.
das hab ich mir eben auch gedacht aber 2 gründe verunsichern mich noch ein bissen. zum einen ist es immer noch eine beta und es gibt relativ wenig packete (z.b KEIN apache, postfix, proftd und so...)
aber das ändert sich ja vielleicht noch...
Verfasst: 26.03.2003 14:40:23
von [Cyrus]
@pdreker:
Stimmt, wollt vorhin auch fast unmöglich schreiben.
Aber zumindestens hat man die Script Kiddies vom Hals.
Ein Blackhat müßte sehr genaue Kenntnisse über das System haben um diese Sachen zu umgehen. Und ich glaub nicht dass sich der ganze Aufwand dann überhaupt für ihn lohnen würde
@Illùvatar:
Das Projekt ist ja noch neu.
Aber vielleicht kannst du die fehlenden Pakete einfach aus den Woodysource kompillieren mit dem gepatchten gcc.
Verfasst: 26.03.2003 14:47:08
von pdreker
Jupp... wenn das aufschweissen des Safes mehr Geld kostet als drinliegt ist das ein sehr schlechtes Geschäft
Patrick
Verfasst: 26.03.2003 19:37:17
von glar00k
Hm,
wenn man das ganze etwas weiter spinnt, meint ihr trusted debian könnte OpenBSD in Sachen Sicherheit irgendwann den Rang ablaufen oder zumindest damit gleich gestellt werden? Oder liegt es in der Sache der Natur dass es eben Linux und kein BSD ist? Jedenfalls würde es der Beliebtheit von Debian (welche auf Servern so und so hoch ist) gut tun ...
Gruß
Verfasst: 26.03.2003 19:53:12
von Ilúvatar
von der offziellen website:
'Why the Trusted Debian project was started' hat geschrieben:
....
The most important point however is that the OpenBSD people are still laughing at Linux. We can't let that happen, can we??? Right, we can't! So join the Trusted Debian project, so we can scare the OpenBSD people.
da sag ich nur:
Verfasst: 26.03.2003 20:43:48
von abi
sieht alles recht interessant aus, mich würde eine Statistik interessieren wieviele vanilla pakete mit einen propolice gepatchten gcc übersetzt werden etc ..
welche Vorteile/Nachteile hat die ProPolice Extension ?
Verfasst: 27.03.2003 06:45:22
von glar00k
Ilúvatar hat geschrieben:von der offziellen website:
'Why the Trusted Debian project was started' hat geschrieben:
....
The most important point however is that the OpenBSD people are still laughing at Linux. We can't let that happen, can we??? Right, we can't! So join the Trusted Debian project, so we can scare the OpenBSD people.
da sag ich nur:
Hrhr, klingt wie "Let`s get ready to rumble"
Na mal schauen ob sich was findet wie ich da mit machen könnte.
Gruß
Re: Trusted Debian?
Verfasst: 27.03.2003 08:18:32
von xtoph
Ilúvatar hat geschrieben:Trusted Debian Project. The Trusted Debian project aims to create a highly secure but usable GNU/Linux platform. To accomplish this, the project will use currently available security solutions for GNU/Linux (like kernel patches, compiler patches, security related programs and techniques) and knit these together to a highly secure GNU/Linux platform. Trusted Debian is an upgrade to Debian GNU/Linux 3.0 which adds stack execution protection, address space layout randomization, FreeS/WAN, and some recent security package updates.
Ähm, kennt von euch jemand dieses "Trusted Debian"? Oder weis jemand ob es sich lohnt einen Server auf Trusted Debian "up zu daten"?
Man sollte sich nur vorher genau informieren, welche Auswirkungen so eine Umstellung hat. I.d.R. steigt z.B. der Administrationsaufwand deutlich an.
Re: Trusted Debian?
Verfasst: 27.03.2003 08:33:34
von Ilúvatar
xtoph hat geschrieben:Ilúvatar hat geschrieben:Trusted Debian Project. The Trusted Debian project aims to create a highly secure but usable GNU/Linux platform. To accomplish this, the project will use currently available security solutions for GNU/Linux (like kernel patches, compiler patches, security related programs and techniques) and knit these together to a highly secure GNU/Linux platform. Trusted Debian is an upgrade to Debian GNU/Linux 3.0 which adds stack execution protection, address space layout randomization, FreeS/WAN, and some recent security package updates.
Ähm, kennt von euch jemand dieses "Trusted Debian"? Oder weis jemand ob es sich lohnt einen Server auf Trusted Debian "up zu daten"?
Man sollte sich nur vorher genau informieren, welche Auswirkungen so eine Umstellung hat. I.d.R. steigt z.B. der Administrationsaufwand deutlich an.
yep, vorallem wenn man aktuelle packete benötigt (z.b aus testing oder so), dann muss man jedes packet neu kompilieren
Verfasst: 27.03.2003 08:58:16
von feltel
Moved nach Smalltalk
Verfasst: 27.03.2003 09:11:09
von Natas12
mal ne frage (da ich nicht soviel davon verstehe): wenn es nur daran liegt, einen veränderten compiler zu benutzen, um linux noch sicherer zu machen, weshalb sind dann nicht alle kernel und programme nach diesem muster erstellt worden? oder ist das insgesamt zu aufwändig?
gruß
natas12
Verfasst: 27.03.2003 09:14:25
von pcm
also ich werd meinen router mal neu installieren und auf trusted debian umstellen, allerdings weiß ich leider noch nicht wann ich dafür zeit finde
aber trusted debian klingt interessant, mal sehen was sich da noch ergibt.
bye pcm
Verfasst: 27.03.2003 09:37:22
von Frankenstein
pdreker hat geschrieben: Ein Angriff "von Hand" ist immer noch möglich, aber sehr schwierig.
Aha sowas wie wenn der Administrator zufählig rm -rf / macht
Ich würde interesieren welcher Patch ist in gcc. Ist es Stack Guard ?
Verfasst: 27.03.2003 10:56:37
von Ilúvatar
so wie ich das verstanden hab können nicht alle packete mit PaX (-fPIC ) und dem IBM stack smashing protector (-fstack-protector) erfolgreich kompiliert werden weil sie dadurch unstabil werden...
Verfasst: 27.03.2003 11:00:28
von Ilúvatar
@frankenstein:
The v0.9 beta release has the following features:
Linux 2.4.20 kernel
Simple upgrade from a normal Debian 3.0 (i.e. Woody) installation
PaX non-executable data kernel patch (with maximum security settings)
IBM stack smashing protector patch for GCC (formerly known as ProPolice)
Almost all packages containing C/C++ files have been recompiled using the patched GCC compiler
Many packages which contain executables have been recompiled to maximize the use of the PaX address layout randomization (this includes the most important servers, like BIND, Apache, Postfix and OpenSSH).
FreeS/WAN 1.99 (with X.509 support)
A patched Orinoco WLAN driver and libpcap to support airsnort
HostAP drivers, to make it possible to use Trusted Debian as a WLAN base station.
Snort IDS and Zorp firewall packages from unstable (the most recent ones)
The first Linux distribution which makes compilation for PaX easy.
Verfasst: 27.03.2003 11:23:39
von Frankenstein
IBM stack smashing protector patch for GCC (formerly known as ProPolice)
Die Zeile habe ich wohl übersehen
The jeering nerds from OpenBSD
Verfasst: 23.05.2003 01:08:36
von DareDevil
Die Entwickler von OpenBSD lachen über Linux? OpenBSD hat ja nicht mal eine verwertbare ISDN Unterstützung! Mag für die Mehrzahl der Anwender in Kanada und sonstwo in der Welt auch nicht erforderlich sein, für mich ist dieses Feature maßgeblich.
Verfasst: 23.05.2003 08:17:00
von Frankenstein
Apropo Trusted Debian da Projekt heistt jetzt
Adamantix.
Us finktionrt sehr gut. Mitlerweile sind es ca. 4000 Packete drin. Knapp die Hälfte von woody
Verfasst: 17.09.2003 22:57:51
von Ghost
Hat es jetzt schon mal jemand ausprobiert?
Würde mich mal interressieren, weil ich das mal (nur so testweise auf einem sowieso ausgemusterten PC) in absehbarer Zeit ausprobieren wollte.
Würde mich mal interressieren wie euer Erfahrungen/Probleme waren
Gruss
Ghost