Hardened Gentoo на основе GCC 4.3 (делимся опытом)

Sabayon, Calculate, Funtoo, Exherbo

Модератор: /dev/random

integer
Сообщения: 24
ОС: GNU/Linux Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение integer »

sspphheerraa писал(а):
22.10.2008 14:54
SSP это флаг компилятора, и сам gentoo как таковой здесь не причем. Все зависит от того какой и как собран у тебя gcc.
Hardened это серверный профиль, а на серверах гибернация нафих не нужна. Следовательно оно или будет костылем, или вообще не будет работать.
И ядро нужно брать sys-kernel/hardened-sources

То что ssp флаг компилятора знаю, только какой и с какой версией gcc юзается и какие опции добавляет gentoo?
(By default, stack-smashing protection can be attained by adding the -fstack-protector flag for string protection, or -fstack-protector-all for protection of all types. On some systems, as under OpenBSD, ProPolice is enabled by default, and the -fno-stack-protector flag disables it. With GCC 4.1 and above the array size threshold for stack-smashing protection to be enabled can be tuned with --param ssp-buffer-size=.... )
Есть ~x86 переключаю профиль на hardened/2008.0/desktop , хочу пересобрать gcc 4.3.2, а хочет пересобраться 3.4.6, хотя от него уже есть
[1] i686-pc-linux-gnu-3.4.6
[2] i686-pc-linux-gnu-3.4.6-hardened
[3] i686-pc-linux-gnu-3.4.6-hardenednopie
[4] i686-pc-linux-gnu-3.4.6-hardenednopiessp
[5] i686-pc-linux-gnu-3.4.6-hardenednossp
[6] i686-pc-linux-gnu-4.2.4
[7] i686-pc-linux-gnu-4.3.2 *
Где что-то не так? Или 4.3.2 одинаков для hardened и не?
Потом на собираемой с нуля hardened ~amd64 , после сборки сделал paxctl -v /usr/bin/* и увидел всё как disabled.
Опции paxctl нужно для всех бинарников самому включать?
Спасибо сказали:
Аватара пользователя
damex
Сообщения: 276
Статус: segfault in your face
ОС: Hardened Funtoo x86_64

Re: Hardened Gentoo на основе GCC 4.3

Сообщение damex »

самому нужно включать с paxctl ;>. 4.3.2 собирается сразу либо hardened либо нет просто большего не дано ;) зависит от флага hardened/-hardened
Non-technical questions sometimes don't have an answer at all. @ Linus Torvalds
Спасибо сказали:
Аватара пользователя
sspphheerraa
Сообщения: 1375
ОС: Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение sspphheerraa »

>>> только какой и с какой версией gcc юзается и какие опции добавляет gentoo?
Не совсем понимаю вопрос. На сколько я знаю, в gcc-4* флаг ssp включен по умолчанию. Как собран gcc у тебя, - смотри "emerge -pv" какие юзы включены, какие нет.

>>> On some systems, as under OpenBSD, ProPolice is enabled by default
а как же они glibc с флагом -fstack-protector-all собрали-то?
на gentoo - баг, а у них, значит, все в шоколаде...

>>> Или 4.3.2 одинаков для hardened и не?
Выше уже об этом говорили. Оффициально, gcc-4* не поддерживается hardened профилем (при сборке об этом выпадает сообщение). Но в юзах флаг hardened есть, и при включении его paxtest показывает результаты даже лучше, чем с gcc-3*

>>> Потом на собираемой с нуля hardened ~amd64 , после сборки сделал paxctl -v /usr/bin/* и увидел всё как disabled.
>>> Опции paxctl нужно для всех бинарников самому включать?

так а ядро ты как собрал? pax должен быть включен в ядре, без этого все остальные манипуляции теряют смысл
Sspphheerraa
Спасибо сказали:
Аватара пользователя
damex
Сообщения: 276
Статус: segfault in your face
ОС: Hardened Funtoo x86_64

Re: Hardened Gentoo на основе GCC 4.3

Сообщение damex »

Код: Выделить всё

какие юзы включены

hardened/mudflap/fortan/multilib/nls enabled. all other disabled.

ps откатился на не hardened ибо хардмаск флагов mmx/ssse3 =(
Non-technical questions sometimes don't have an answer at all. @ Linus Torvalds
Спасибо сказали:
Kris
Сообщения: 146
Статус: Безумный гентушник

Re: Hardened Gentoo на основе GCC 4.3

Сообщение Kris »

Подскажите, gcc-3.4.6-r2 при сборке вываливается с ошибкой, собирается gcc 4.3.2 hardened
Кстати, gcc 3.4.6 последний из <4.3 и поддерживающих hardened ?

emerge --info:

Код:

Portage 2.2_rc17 (hardened/linux/amd64/2008.0/desktop, gcc-4.3.2, glibc-2.8_p20080602-r0,) ================================================================= System uname: Linux-2.6.27-gentoo-r4-x86_64-Intel-R-_Core-TM-2_Quad_CPU_Q6600_@_2.40GHz-with-glibc2.2.5 Timestamp of tree: Fri, 05 Dec 2008 12:07:01 +0000 ccache version 2.4 [enabled] app-shells/bash: 3.2_p48 dev-lang/python: 2.5.2-r8 dev-util/ccache: 2.4-r8 dev-util/cmake: 2.6.2 sys-apps/baselayout: 2.0.0 sys-apps/openrc: 0.3.0-r1 sys-apps/sandbox: 1.2.18.1-r3 sys-devel/autoconf: 2.13, 2.63 sys-devel/automake: 1.5, 1.9.6-r2, 1.10.2 sys-devel/binutils: 2.19 sys-devel/gcc-config: 1.4.0-r4 sys-devel/libtool: 2.2.6a virtual/os-headers: 2.6.27-r2 ACCEPT_KEYWORDS="amd64 ~amd64" CBUILD="x86_64-pc-linux-gnu" CFLAGS="-march=core2 -O2 -pipe" CHOST="x86_64-pc-linux-gnu" CONFIG_PROTECT="/etc" CONFIG_PROTECT_MASK="/etc/ca-certificates.conf /etc/env.d /etc/fonts/fonts.conf /etc/gconf /etc/gentoo-release /etc/php/apache2-php5/ext-active/ /etc/php/cgi-php5/ext-active/ /etc/php/cli-php5/ext-active/ /etc/revdep-rebuild /etc/terminfo /etc/udev/rules.d" CXXFLAGS="-march=core2 -O2 -pipe" DISTDIR="/usr/portage/distfiles" FEATURES="ccache distlocks fixpackages parallel-fetch preserve-libs protect-owned sandbox sfperms strict unmerge-orphans userfetch" GENTOO_MIRRORS="http://distfiles.gentoo.org http://distro.ibiblio.org/pub/linux/distri...ns/gentoo" LANG="ru_RU.UTF-8" LC_ALL="" LDFLAGS="-Wl,-O1" LINGUAS="ru" MAKEOPTS="-j5" PKGDIR="/usr/portage/packages" PORTAGE_RSYNC_OPTS="--recursive --links --safe-links --perms --times --compress --force --whole-file --delete --stats --timeout=180 --exclude=/distfiles --exclude=/local --exclude=/packages" PORTAGE_TMPDIR="/var/tmp" PORTDIR="/usr/portage" PORTDIR_OVERLAY="/usr/local/portage" SYNC="rsync://rsync.gentoo.org/gentoo-portage" USE="7zip X accessibility acl acpi additions alsa amd64 arts berkdb bluetooth branding bzip2 cairo cdr cli cracklib crypt cups dbus djvu dri dvd dvdr dvdread eds emboss encode equalizer esd evo fam firefox flac gdbm gif gpm gstreamer gtk hal hardened hddtemp iconv ipv6 irc isdnlog jpeg justify ldap libnotify mad midi mikmod mmx mp3 mpeg mudflap multilib ncurses nls nptl nptlonly ogg opengl openmp pam pcre pdf perl pic png ppds pppd python qt3 qt3support quicktime readline reflection sdl session source spell spl sqlite sse sse2 ssl startup-notification svg sysfs tcpd threads tiff truetype unicode urandom usb userlocales utf8 vorbis x264 xfce xml xorg xv xvid zlib" ALSA_CARDS="ali5451 als4000 atiixp atiixp-modem bt87x ca0106 cmipci emu10k1x ens1370 ens1371 es1938 es1968 fm801 hda-intel intel8x0 intel8x0m maestro3 trident usb-audio via82xx via82xx-modem ymfpci" ALSA_PCM_PLUGINS="adpcm alaw asym copy dmix dshare dsnoop empty extplug file hooks iec958 ioplug ladspa lfloat linear meter mmap_emul mulaw multi null plug rate route share shm softvol" APACHE2_MODULES="actions alias auth_basic authn_alias authn_anon authn_dbm authn_default authn_file authz_dbm authz_default authz_groupfile authz_host authz_owner authz_user autoindex cache dav dav_fs dav_lock deflate dir disk_cache env expires ext_filter file_cache filter headers include info log_config logio mem_cache mime mime_magic negotiation rewrite setenvif speling status unique_id userdir usertrack vhost_alias" ELIBC="glibc" INPUT_DEVICES="keyboard mouse" KERNEL="linux" LCD_DEVICES="bayrad cfontz cfontz633 glk hd44780 lb216 lcdm001 mtxorb ncurses text" LINGUAS="ru" USERLAND="GNU" VIDEO_CARDS="nvidia" Unset: CPPFLAGS, CTARGET, EMERGE_DEFAULT_OPTS, FFLAGS, INSTALL_MASK, PORTAGE_COMPRESS, PORTAGE_COMPRESS_FLAGS, PORTAGE_RSYNC_EXTRA_OPTS


failed:

Код:

* * ERROR: sys-devel/gcc-3.4.6-r2 failed. * Call stack: * ebuild.sh, line 49: Called src_compile * environment, line 4666: Called toolchain_src_compile * environment, line 5203: Called gcc_src_compile * environment, line 2998: Called gcc_do_make * environment, line 2821: Called die * The specific snippet of code: * emake LDFLAGS="${LDFLAGS}" STAGE1_CFLAGS="${STAGE1_CFLAGS}" LIBPATH="${LIBPATH}" BOOT_CFLAGS="${BOOT_CFLAGS}" ${GCC_MAKE_TARGET} || die "emake failed with ${GCC_MAKE_TARGET}"; * The die message: * emake failed with profiledbootstrap * * If you need support, post the topmost build error, and the call stack if relevant. * A complete build log is located at '/var/tmp/portage/sys-devel/gcc-3.4.6-r2/temp/build.log'. * The ebuild environment file is located at '/var/tmp/portage/sys-devel/gcc-3.4.6-r2/temp/environment'. * >>> Failed to emerge sys-devel/gcc-3.4.6-r2, Log file: >>> '/var/tmp/portage/sys-devel/gcc-3.4.6-r2/temp/build.log' * Messages for package sys-devel/gcc-3.4.6-r2: * * ERROR: sys-devel/gcc-3.4.6-r2 failed. * Call stack: * ebuild.sh, line 49: Called src_compile * environment, line 4666: Called toolchain_src_compile * environment, line 5203: Called gcc_src_compile * environment, line 2998: Called gcc_do_make * environment, line 2821: Called die * The specific snippet of code: * emake LDFLAGS="${LDFLAGS}" STAGE1_CFLAGS="${STAGE1_CFLAGS}" LIBPATH="${LIBPATH}" BOOT_CFLAGS="${BOOT_CFLAGS}" ${GCC_MAKE_TARGET} || die "emake failed with ${GCC_MAKE_TARGET}"; * The die message: * emake failed with profiledbootstrap * * If you need support, post the topmost build error, and the call stack if relevant. * A complete build log is located at '/var/tmp/portage/sys-devel/gcc-3.4.6-r2/temp/build.log'. * The ebuild environment file is located at '/var/tmp/portage/sys-devel/gcc-3.4.6-r2/temp/environment'. *
Спасибо сказали:
Аватара пользователя
sspphheerraa
Сообщения: 1375
ОС: Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение sspphheerraa »

Кстати, gcc 3.4.6 последний из <4.3 и поддерживающих hardened ?
Оффициально - да.
Sspphheerraa
Спасибо сказали:
Аватара пользователя
sspphheerraa
Сообщения: 1375
ОС: Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение sspphheerraa »

/заметка

Мне так и не удалось собрать ОО-3х на жестком ядре. Постоянно вылетала ошибка std::bad_alloc.
Пришлось параллельно установить ядро с выключенными PaX и GrSecurity. ОО собрался без проблем (как нативный, так и инфра).
Баг запостил, пометил как "Can't Fix"
Sspphheerraa
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Hardened Gentoo на основе GCC 4.3

Сообщение serzh-z »

sspphheerraa писал(а):
11.12.2008 19:31
Баг запостил, пометил как "Can't Fix"
"Can't Fix" - так в Bugzilla разработчики метят баги, которые не могут исправить в принципе. Т.е. этот баг никто и не будет править.
Спасибо сказали:
Аватара пользователя
sspphheerraa
Сообщения: 1375
ОС: Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение sspphheerraa »

Дык, так и есть.
Это точно никто править не будет :)
Sspphheerraa
Спасибо сказали:
Аватара пользователя
sspphheerraa
Сообщения: 1375
ОС: Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение sspphheerraa »

Nikoli писал(а):
11.01.2009 23:51
мне иногда помогало:

Код: Выделить всё

echo "1" > /proc/sys/kernel/pax/softmode

странно, у меня /proc/sys/kernel/pax/ нету, хотя pax включен

К стати, а можно ли как-то отключать pax путем прописывания параметров при загрузке (в грубе, как например прописывание фреймбуфера).
а то иногда нужно проверить капризное приложение и держать два ядра не удобно, прописывание локальных версий, модули nvidia, ну и соответственно обновления - очень геморно...
Sspphheerraa
Спасибо сказали:
Аватара пользователя
sspphheerraa
Сообщения: 1375
ОС: Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение sspphheerraa »

уже нашел,
в ядре надо включать CONFIG_PAX_SOFTMODE
а при загрузке прописывать "pax_softmode=1" для ядра
Sspphheerraa
Спасибо сказали:
hello
Сообщения: 3

Re: Hardened Gentoo на основе GCC 4.3

Сообщение hello »

Код: Выделить всё

Portage 2.1.6.4 (hardened/x86/2.6, gcc-4.3.3-hardenednopie, glibc-2.9_p20081201-r1, 2.6.26-hardened-r9 i686)
=================================================================
System uname: Linux-2.6.26-hardened-r9-i686-Intel-R-_Celeron-R-_CPU_2.60GHz-with-glibc2.0
Timestamp of tree: Fri, 06 Feb 2009 01:45:01 +0000
ccache version 2.4 [enabled]
app-shells/bash:     3.2_p39
dev-lang/python:     2.5.2-r7
dev-python/pycrypto: 2.0.1-r6
dev-util/ccache:     2.4-r7
dev-util/cmake:      2.6.2-r1
sys-apps/baselayout: 1.12.11.1
sys-apps/sandbox:    1.2.18.1-r2
sys-devel/autoconf:  2.13, 2.63
sys-devel/automake:  1.5, 1.7.9-r1, 1.8.5-r3, 1.9.6-r2, 1.10.2
sys-devel/binutils:  2.18-r3
sys-devel/gcc-config: 1.4.0-r4
sys-devel/libtool:   1.5.26
virtual/os-headers:  2.6.27-r2
ACCEPT_KEYWORDS="x86"
CBUILD="i686-pc-linux-gnu"
CFLAGS="-march=pentium4 -O2 -pipe"
CHOST="i686-pc-linux-gnu"
CONFIG_PROTECT="/etc /usr/kde/3.5/env /usr/kde/3.5/share/config /usr/kde/3.5/shutdown /usr/share/config /var/bind"
CONFIG_PROTECT_MASK="/etc/ca-certificates.conf /etc/env.d /etc/fonts/fonts.conf /etc/gconf /etc/php/apache2-php5/ext-active/ /etc/php/cgi-php5/ext-active/ /etc/php/cli-php5/ext-active/ /etc/revdep-rebuild /etc/terminfo /etc/udev/rules.d"
CXXFLAGS="-march=pentium4 -O2 -pipe"
DISTDIR="/mnt/hda8/distfiles"
FEATURES="ccache distlocks fixpackages parallel-fetch protect-owned sandbox sfperms strict unmerge-orphans userfetch"
GENTOO_MIRRORS="http://gentoo.channelx.biz/ http://gentoo.osuosl.org/ http://adelie.polymtl.ca/ http://distro.ibiblio.org/pub/linux/distributions/gentoo/ http://www.gtlib.gatech.edu/pub/gentoo http://ftp.ucsb.edu/pub/mirrors/linux/gentoo/ http://gentoo.seren.com/gentoo http://ftp.uoi.gr/mirror/OS/gentoo/ http://gentoo.zie.pg.gda.pl http://gentoo.po.opole.pl http://www.mirrorservice.org/sites/www.ibiblio.org/gentoo/"
LANG="ru_RU.UTF-8"
LC_ALL=""
LDFLAGS=""
LINGUAS="ru"
MAKEOPTS="-j2"
PKGDIR="/usr/portage/packages"
PORTAGE_RSYNC_OPTS="--recursive --links --safe-links --perms --times --compress --force --whole-file --delete --stats --timeout=180 --exclude=/distfiles --exclude=/local --exclude=/packages"
PORTAGE_TMPDIR="/tmp_portage"
PORTDIR="/usr/portage"
PORTDIR_OVERLAY="/mnt/hda8/portage"
SYNC="rsync://rsync.gentoo.org/gentoo-portage"
USE="X a52 aac aalib acpi additions alsa amr amrnb amrwb ao audiofile bluetooth bzip2 cairo cracklib crypt css cups dts dv dvd dvdr dvdread encode exif fbcon ffmpeg firefox flac gif glut gnutls gpm hardened history imlib jabber javascript jbig jikes jng jpeg jpeg2k kde lame mad maildir matroska mmx mng moznopango mp3 mp4 mpeg mudflap musepack nas ncurses nls nptl nptlonly ogg opengl pam pcre pdf php pic pie png qt3 qt3support qt4 quicktime readline sdl simplexml slang sndfile socks5 source speex sse sse2 ssl ssp svg svga symlink tcpd theora tidy tiff truetype unicode usb v4l vcd vidix vorbis win32codecs wmf wxwindows x264 x86 xml xorg xpm xprint xv xvid zlib" ALSA_CARDS="emu10k1" ALSA_PCM_PLUGINS="empty plug" APACHE2_MODULES="dir log_config mime unique_id authz_host" APACHE2_MPMS="prefork" ELIBC="glibc" FOO2ZJS_DEVICES="hp1018" INPUT_DEVICES="keyboard mouse" KERNEL="linux" LCD_DEVICES="bayrad cfontz cfontz633 glk hd44780 lb216 lcdm001 mtxorb ncurses text" LINGUAS="ru" USERLAND="GNU" VIDEO_CARDS="nv"
Unset:  CPPFLAGS, CTARGET, EMERGE_DEFAULT_OPTS, FFLAGS, INSTALL_MASK, PORTAGE_COMPRESS, PORTAGE_COMPRESS_FLAGS, PORTAGE_RSYNC_EXTRA_OPTS

top показывает:

Код: Выделить всё

top - 16:48:38 up 21:28,  2 users,  load average: 20.92, 20.70, 18.78
Tasks: 139 total,   3 running, 136 sleeping,   0 stopped,   0 zombie
Cpu(s): 23.1%us,  5.0%sy,  0.0%ni, 71.6%id,  0.0%wa,  0.3%hi,  0.0%si,  0.0%st
Mem:    514560k total,   474464k used,    40096k free,    65684k buffers
Swap:  1060248k total,     4652k used,  1055596k free,   207404k cached

# cat /proc/loadavg
20.76 20.67 18.83 4/153 26774
#
Откуда такое космическое значение load average? Запустить htop или ps aux не удается, при запуске зависает, и прибить нельзя, только alt+SysRq+K спасает.

Вообщем это происходит после запуска VirtualBox, сейчас опять loadavr растет а процесс не убивается, kill -9 PID тоже зависает, ps aux не завершается до конца, выводит несколько строк, и все, в командную строку больше не попасть. Можно как-нить через pax или как-то еще убить процесс? 7 виртуальных консолей уже висит из-за разных команд. Через top тоже не убивается.
Спасибо сказали:
Аватара пользователя
sspphheerraa
Сообщения: 1375
ОС: Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение sspphheerraa »

sspphheerraa писал(а):
17.10.2008 13:16
заметка
Xake's toolchain-overlay

Итак, наконец-то появилось время попробовать сей оверлей. Систему собирал с нуля (взял свободный винт). Сначала установил "минимальную дефолтовую систему", затем после добавления оверлея - пересобрал ее в hardened.
Первое, что сразу дало о себе знать после переключения - предупреждение о приоретизации eclass из оверлея над портежевым.
'К стати, в mail-рассылке пишут что gcc-4.3*, находящийся в портеже сломан по части PIE.
Профиль поставил тот же, хотя SELinux так и не заработал (хз, на офф. доках последние изменения датируются 2006 годом, наверно проект загинается).

Код: Выделить всё

# emerge --info
 * Overlay eclasses override eclasses from PORTDIR:
 *
 *   '/usr/local/overlay/xake-toolchain/toolchain-overlay/eclass/flag-o-matic.eclass'
 *   '/usr/local/overlay/xake-toolchain/toolchain-overlay/eclass/toolchain.eclass'
 *   '/usr/local/overlay/xake-toolchain/toolchain-overlay/eclass/toolchain-funcs.eclass'
 *
 * It is best to avoid overriding eclasses from PORTDIR because it will
 * trigger invalidation of cached ebuild metadata that is distributed with
 * the portage tree. If you must override eclasses from PORTDIR then you
 * are advised to add FEATURES="metadata-transfer" to /etc/make.conf and to
 * run `emerge --regen` after each time that you run `emerge --sync`. Set
 * PORTAGE_ECLASS_WARNING_ENABLE="0" in /etc/make.conf if you would like to
 * disable this warning.
Portage 2.1.6.7 (selinux/2007.0/amd64/hardened, gcc-4.3.3, glibc-2.9_p20081201-r3, 2.6.26-hardened-r9 x86_64)
=================================================================
System uname: Linux-2.6.26-hardened-r9-x86_64-AMD_Athlon-tm-_64_Processor_3000+-with-glibc2.4
Timestamp of tree: Sun, 08 Mar 2009 01:45:02 +0000
app-shells/bash:     3.2_p39
dev-lang/python:     2.4.4-r13, 2.5.2-r7
dev-python/pycrypto: 2.0.1-r6
dev-util/cmake:      2.6.2-r1
sys-apps/baselayout: 2.0.0
sys-apps/openrc:     0.4.3-r1
sys-apps/sandbox:    1.2.18.1-r2
sys-devel/autoconf:  2.13, 2.63
sys-devel/automake:  1.5, 1.7.9-r1, 1.9.6-r2, 1.10.2
sys-devel/binutils:  2.18-r3
sys-devel/gcc-config: 1.4.0-r4
sys-devel/libtool:   1.5.26
virtual/os-headers:  2.6.27-r2
ACCEPT_KEYWORDS="amd64"
CBUILD="x86_64-pc-linux-gnu"
CFLAGS="-march=k8 -O2 -pipe"
CHOST="x86_64-pc-linux-gnu"
CONFIG_PROTECT="/etc /usr/kde/3.5/env /usr/kde/3.5/share/config /usr/kde/3.5/shutdown /usr/share/config"
CONFIG_PROTECT_MASK="/etc/ca-certificates.conf /etc/env.d /etc/fonts/fonts.conf /etc/gconf /etc/gentoo-release /etc/revdep-rebuild /etc/terminfo /etc/udev/rules.d"
CXXFLAGS="-march=k8 -O2 -pipe"
DISTDIR="/mnt/distfiles/distfiles"
FEATURES="buildsyspkg ccache collision-protect distlocks fixpackages loadpolicy metadata-transfer parallel-fetch protect-owned sandbox selinux sesandbox sfperms strict unmerge-orphans userfetch"
GENTOO_MIRRORS="http://distfiles.gentoo.org http://distro.ibiblio.org/pub/linux/distributions/gentoo"
LANG="ru_UA.UTF-8"
LC_ALL=""
LDFLAGS=""
MAKEOPTS="-j2"
PKGDIR="/usr/portage/packages"
PORTAGE_CONFIGROOT="/"
PORTAGE_RSYNC_OPTS="--recursive --links --safe-links --perms --times --compress --force --whole-file --delete --stats --timeout=180 --exclude=/distfiles --exclude=/local --exclude=/packages"
PORTAGE_TMPDIR="/var/tmp"
PORTDIR="/usr/portage"
PORTDIR_OVERLAY="/usr/local/overlay/my /usr/local/overlay/xake-toolchain/toolchain-overlay"
SYNC="rsync://rsync.gentoo.org/gentoo-portage"
USE="3dnow X aac acpi alsa amd64 berkdb branding cli cracklib crypt cups dri flac fortran gdbm gpm hal hardened iconv isdnlog kde logitech-mouse midi mmx mudflap ncurses nls nptl nptlonly nvidia ogg opengl openmp pam pcre perl pic png pppd python qt3 qt4 readline reflection selinux session spl sse sse2 ssl tcpd unicode utf8 vorbis x264 xorg xv xvid zlib" ALSA_CARDS="ali5451 als4000 atiixp atiixp-modem bt87x ca0106 cmipci emu10k1x   ens1370 ens1371 es1938 es1968 fm801 hda-intel intel8x0 intel8x0m maestro3   trident usb-audio via82xx via82xx-modem ymfpci" ALSA_PCM_PLUGINS="adpcm alaw asym copy dmix dshare dsnoop empty extplug file hooks iec958 ioplug ladspa lfloat linear meter mmap_emul mulaw multi null plug rate route share shm softvol" APACHE2_MODULES="actions alias auth_basic authn_alias authn_anon authn_dbm authn_default authn_file authz_dbm authz_default authz_groupfile authz_host authz_owner authz_user autoindex cache dav dav_fs dav_lock deflate dir disk_cache env expires ext_filter file_cache filter headers include info log_config logio mem_cache mime mime_magic negotiation rewrite setenvif speling status unique_id userdir usertrack vhost_alias" ELIBC="glibc" INPUT_DEVICES="keyboard mouse" KERNEL="linux" LCD_DEVICES="bayrad cfontz cfontz633 glk hd44780 lb216 lcdm001 mtxorb ncurses text" USERLAND="GNU" VIDEO_CARDS="nv nvidia vesa"
Unset:  CPPFLAGS, CTARGET, EMERGE_DEFAULT_OPTS, FFLAGS, INSTALL_MASK, LINGUAS, PORTAGE_COMPRESS, PORTAGE_COMPRESS_FLAGS, PORTAGE_RSYNC_EXTRA_OPTS


Пересборка тулчейна и базовой системы сюрпризов не выкинула. Промелькнула только одна предупреждающая запись:
* Hardened compiler will filter some flags

Далее при установке Х, почему-то не поставился драйвер для клавиатуры (хотя в make.conf запись есть, хз может действительно я что-то пропустил), поставил его в ручную (x11-drivers/xf86-input-keyboard). Собралось, заработало. Но почему в логе хорга пишется
Build operating system: UNKNOWN
я так и не понял (устанавливал просто "emerge xorg-x11"), в прочем такое у меня всегда...
Проприетарные драйвера nvidia, естественно не установились (ошибка та же что и здесь, но решение не работает).
Также не собрались:
diffball
mplayer
avidemux
mjpegtools
gtk+; gimp
wine

Ну и подозреваю что OO не соберется (еще не пробовал)
Я не указываю (не запоминал), те пакеты, проблема сборки которых решилась добавлением свежей версии в package.keywords. Их не много было. Те же что все равно не собрались, можно поставить переключив профиль на gcc-4.3.3-vanilla.

Из особенностей могу отметить, - мышь как-то быстрее стала бегать (не привычно, иногда приходится "целиться"). Загрузка процессора в покое 0,5% (данные ksysguard).
Ах, да udev пришлось обновить до 135-r4

Ну и на последок, гвоздь программы - paxtest

Код: Выделить всё

# paxtest blackhat
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Writing output to paxtest.log
It may take a while for the tests to complete
Test results:
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Mode: blackhat
Linux localhost 2.6.26-hardened-r9 #4 PREEMPT Mon Mar 9 16:45:49 EET 2009 x86_64 AMD Athlon(tm) 64 Processor 3000+ AuthenticAMD GNU/Linux

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable anonymous mapping (mprotect)  : Killed
Executable bss (mprotect)                : Killed
Executable data (mprotect)               : Killed
Executable heap (mprotect)               : Killed
Executable stack (mprotect)              : Killed
Executable shared library bss (mprotect) : Killed
Executable shared library data (mprotect): Killed
Writable text segments                   : Killed
Anonymous mapping randomisation test     : 33 bits (guessed)
Heap randomisation test (ET_EXEC)        : 40 bits (guessed)
Heap randomisation test (ET_DYN)         : 40 bits (guessed)
Main executable randomisation (ET_EXEC)  : 33 bits (guessed)
Main executable randomisation (ET_DYN)   : 33 bits (guessed)
Shared library randomisation test        : 33 bits (guessed)
Stack randomisation test (SEGMEXEC)      : No randomisation
Stack randomisation test (PAGEEXEC)      : 40 bits (guessed)
Return to function (strcpy)              : *** buffer overflow detected ***: rettofunc1 - terminated
rettofunc1: buffer overflow attack in function <unknown> - terminated
Report to http://bugs.gentoo.org/
Killed
Return to function (memcpy)              : *** buffer overflow detected ***: rettofunc2 - terminated
rettofunc2: buffer overflow attack in function <unknown> - terminated
Report to http://bugs.gentoo.org/
Killed
Return to function (strcpy, RANDEXEC)    : *** buffer overflow detected ***: rettofunc1x - terminated
rettofunc1x: buffer overflow attack in function <unknown> - terminated
Report to http://bugs.gentoo.org/
Killed
Return to function (memcpy, RANDEXEC)    : *** buffer overflow detected ***: rettofunc2x - terminated
rettofunc2x: buffer overflow attack in function <unknown> - terminated
Report to http://bugs.gentoo.org/
Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed

#



ps Продолжаем тестить...
Sspphheerraa
Спасибо сказали:
Nikoli
Сообщения: 554
Статус: Житель
ОС: Gentoo
Контактная информация:

Re: Hardened Gentoo на основе GCC 4.3

Сообщение Nikoli »

Сейчас gcc ~4.3.2-r2!s и ~4.3.2-r3 в hardened профилях размаскировали, похоже скоро свершится стабилизация gcc 4 :)
Спасибо сказали:
Аватара пользователя
sspphheerraa
Сообщения: 1375
ОС: Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение sspphheerraa »

ОО собирается только на gcc-vanilla, и только с отключенным PaX.
Sspphheerraa
Спасибо сказали:
Аватара пользователя
sspphheerraa
Сообщения: 1375
ОС: Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение sspphheerraa »

Вопрос.
В оверлее обновился glibc (sys-libs/glibc-2.9_p20081201-r3 -> sys-libs/glibc-2.9_p20081201-r4). По уму при обновлении пакета из тулчейна надо пересобирать потом мир. Надо ли это делать в данном случае? Ведь здесь "отката" не оставили - просто ебилд r3 удалили, r4 добавили.
Sspphheerraa
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Hardened Gentoo на основе GCC 4.3

Сообщение serzh-z »

sspphheerraa
Всё зависит от цели "пересборки мира". "По уму" - надо.

Хотя, до сих пор не понимаю пересборщиков мира - возможно, что они просто не догадываются, что в "мир", как и в "system"? включено не так уж и много установленных в системе пакетов... Большинство пакетов - это пакеты, необходимые для сборки или запуска "мира".
Спасибо сказали:
Аватара пользователя
sspphheerraa
Сообщения: 1375
ОС: Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение sspphheerraa »

Не ну имеется в виду обновление типа
emerge -auDN world
Sspphheerraa
Спасибо сказали:
Аватара пользователя
razum
Сообщения: 189
ОС: Gentoo 64
Контактная информация:

Re: Hardened Gentoo на основе GCC 4.3

Сообщение razum »

serzh-z писал(а):
26.03.2009 22:49
sspphheerraa
Всё зависит от цели "пересборки мира". "По уму" - надо.

Хотя, до сих пор не понимаю пересборщиков мира - возможно, что они просто не догадываются, что в "мир", как и в "system"? включено не так уж и много установленных в системе пакетов... Большинство пакетов - это пакеты, необходимые для сборки или запуска "мира".

А портажи какой версии?
По уму с 2.2

Код: Выделить всё

emerge @installed

:)
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Hardened Gentoo на основе GCC 4.3

Сообщение serzh-z »

razum писал(а):
27.03.2009 11:33
emerge @installed
Ну, в моём случае: paludis -i everything --dl-reinstall always
Спасибо сказали:
Аватара пользователя
sspphheerraa
Сообщения: 1375
ОС: Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение sspphheerraa »

Нет, 2.2 пока замаскированы.
Sspphheerraa
Спасибо сказали:
Аватара пользователя
sspphheerraa
Сообщения: 1375
ОС: Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение sspphheerraa »

Начиная с 28 ядра для успешного запуска Х на проприетарных драйверах nvidia, надо пропускать Xorg через PaX.

Код: Выделить всё

paxctl -m /usr/bin/Xorg
Sspphheerraa
Спасибо сказали:
Sunny666
Сообщения: 1

Re: Hardened Gentoo на основе GCC 4.3

Сообщение Sunny666 »

я собрал в качестве сервера gentoo с последним ядром vanilla-sources, получается она уязвима для атак и нужно ставить hardened-sources?
Спасибо сказали:
Аватара пользователя
sspphheerraa
Сообщения: 1375
ОС: Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение sspphheerraa »

все относительно
Sspphheerraa
Спасибо сказали:
Аватара пользователя
sspphheerraa
Сообщения: 1375
ОС: Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение sspphheerraa »

Может кто уже пробовал новый 4.4 компилятор? :) У меня сейчас нету тестового компа.
Но мысли уже появляются. Вот здесь даже гид пошаговый есть...
Sspphheerraa
Спасибо сказали:
Аватара пользователя
devilr
Сообщения: 3665
ОС: Mandriva => Gentoo (~amd64)
Контактная информация:

Re: Hardened Gentoo на основе GCC 4.3

Сообщение devilr »

4.4.1 который? А что его пробовать? Нормально работает. Если оптимизацию -O3 не использовать, ибо глюки бывают.
Мудрость приходит с возрастом.
Иногда возраст приходит один.
Эхо разума
Спасибо сказали:
Аватара пользователя
sspphheerraa
Сообщения: 1375
ОС: Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение sspphheerraa »

Ну вот теперь попробовал и я :)
Проблем с 4.4 даже меньше чем с 4.3 (в прочем, тема про 4.3 - отписался здесь).
Sspphheerraa
Спасибо сказали:
Аватара пользователя
taaroa
Сообщения: 1319

Re: Hardened Gentoo на основе GCC 4.3

Сообщение taaroa »

Код: Выделить всё

taaroa ~ # emerge --info
Portage 2.1.7.1 (hardened/linux/amd64/10.0/no-multilib, gcc-4.3.4, glibc-2.10.1-r0, 2.6.31-hardened-r3 x86_64)
=================================================================
System uname: Linux-2.6.31-hardened-r3-x86_64-AMD_Athlon-tm-_64_X2_Dual_Core_Processor_5000+-with-gentoo-2.0.1
Timestamp of tree: Mon, 19 Oct 2009 09:45:02 +0000
ccache version 2.4 [enabled]
app-shells/bash:     4.0_p33
dev-java/java-config: 2.1.9-r1
dev-lang/python:     2.6.3, 3.1.1-r1
dev-util/ccache:     2.4-r8
sys-apps/baselayout: 2.0.1
sys-apps/openrc:     0.5.2
sys-apps/sandbox:    2.1
sys-devel/autoconf:  2.13, 2.63-r1
sys-devel/automake:  1.10.2, 1.11
sys-devel/binutils:  2.20
sys-devel/gcc-config: 1.4.1
sys-devel/libtool:   2.2.6a
virtual/os-headers:  2.6.30-r1
ACCEPT_KEYWORDS="amd64 ~amd64"
CBUILD="x86_64-pc-linux-gnu"
CFLAGS="-march=native -mtune=native -O2 -pipe -mmmx -msse -msse2 -msse3 -m3dnow -mfpmath=sse"
CHOST="x86_64-pc-linux-gnu"
CONFIG_PROTECT="/etc /usr/share/X11/xkb"
CONFIG_PROTECT_MASK="/etc/ca-certificates.conf /etc/env.d /etc/env.d/java/ /etc/fonts/fonts.conf /etc/gconf /etc/gentoo-release /etc/revdep-rebuild /etc/sandbox.d /etc/skel /etc/terminfo /etc/udev/rules.d"
CXXFLAGS="-march=native -mtune=native -O2 -pipe -mmmx -msse -msse2 -msse3 -m3dnow -mfpmath=sse"
DISTDIR="/usr/portage/distfiles"
EMERGE_DEFAULT_OPTS="--load-average 2 --jobs 3"
FEATURES="assume-digests ccache collision-protect distlocks fixpackages news parallel-fetch protect-owned sandbox sfperms strict unmerge-logs unmerge-orphans userfetch"
GENTOO_MIRRORS="http://mirror.yandex.ru/gentoo-distfiles/ ftp://ftp.corbina.net/pub/Linux/gentoo/"
LANG="ru_RU.UTF-8"
LC_ALL=""
LDFLAGS="-Wl,-O1 -Wl,--sort-common -Wl,--warn-once,--hash-style=gnu"
LINGUAS="ru"
MAKEOPTS="-s -j3"
PKGDIR="/usr/portage/packages"
PORTAGE_CONFIGROOT="/"
PORTAGE_RSYNC_OPTS="--recursive --links --safe-links --perms --times --compress --force --whole-file --delete --stats --timeout=180 --exclude=/distfiles --exclude=/local --exclude=/packages"
PORTAGE_TMPDIR="/var/tmp"
PORTDIR="/usr/portage"
PORTDIR_OVERLAY="/usr/local/portage/layman/hardened-development /usr/local/portage/layman/multilib /usr/local/portage/layman/zugaina /usr/local/portage/layman/sunrise /usr/local/portage/layman/rion /usr/local/portage/layman/devnull"
SYNC="rsync://rsync.europe.gentoo.org/gentoo-portage/"
USE="3dnow 3dnowext X acl amd64 berkdb bzip2 cli cracklib crypt cups directfb dri fbcon gdbm gpm hardened iconv isdnlog justify mmx modules mudflap ncurses nls nptl nptlonly openmp pam pcre perl pic pppd python readline reflection session spl sse sse2 ssl ssse3 sysfs tcpd unicode urandom xorg zlib" ALSA_CARDS="intel8x0 hda-intel" ALSA_PCM_PLUGINS="adpcm alaw asym copy dmix dshare dsnoop empty extplug file hooks iec958 ioplug ladspa lfloat linear meter mmap_emul mulaw multi null plug rate route share shm softvol" APACHE2_MODULES="actions alias auth_basic authn_alias authn_anon authn_dbm authn_default authn_file authz_dbm authz_default authz_groupfile authz_host authz_owner authz_user autoindex cache dav dav_fs dav_lock deflate dir disk_cache env expires ext_filter file_cache filter headers include info log_config logio mem_cache mime mime_magic negotiation rewrite setenvif speling status unique_id userdir usertrack vhost_alias" ELIBC="glibc" INPUT_DEVICES="evdev keyboard mouse" KERNEL="linux" LCD_DEVICES="bayrad cfontz cfontz633 glk hd44780 lb216 lcdm001 mtxorb ncurses text" LINGUAS="ru" USERLAND="GNU" VIDEO_CARDS="fbdev nvidia"
Unset:  CPPFLAGS, CTARGET, FFLAGS, INSTALL_MASK, PORTAGE_COMPRESS, PORTAGE_COMPRESS_FLAGS, PORTAGE_RSYNC_EXTRA_OPTS


Код: Выделить всё

taaroa ~ # paxtest blackhat
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Writing output to paxtest.log
It may take a while for the tests to complete
Test results:
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Mode: blackhat
Linux taaroa 2.6.31-hardened-r3 #1 SMP Sun Oct 18 11:15:59 KRAST 2009 x86_64 AMD Athlon(tm) 64 X2 Dual Core Processor 5000+ AuthenticAMD GNU/Linux

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable anonymous mapping (mprotect)  : Killed
Executable bss (mprotect)                : Killed
Executable data (mprotect)               : Killed
Executable heap (mprotect)               : Killed
Executable stack (mprotect)              : Killed
Executable shared library bss (mprotect) : Killed
Executable shared library data (mprotect): Killed
Writable text segments                   : Killed
Anonymous mapping randomisation test     : 33 bits (guessed)
Heap randomisation test (ET_EXEC)        : 40 bits (guessed)
Heap randomisation test (ET_DYN)         : 40 bits (guessed)
Main executable randomisation (ET_EXEC)  : 32 bits (guessed)
Main executable randomisation (ET_DYN)   : 32 bits (guessed)
Shared library randomisation test        : 33 bits (guessed)
Stack randomisation test (SEGMEXEC)      : No randomisation
Stack randomisation test (PAGEEXEC)      : 40 bits (guessed)
Return to function (strcpy)              : *** buffer overflow detected ***: rettofunc1 - terminated
rettofunc1: buffer overflow attack in function <unknown> - terminated
Report to http://bugs.gentoo.org/
Killed
Return to function (memcpy)              : *** buffer overflow detected ***: rettofunc2 - terminated
rettofunc2: buffer overflow attack in function <unknown> - terminated
Report to http://bugs.gentoo.org/
Killed
Return to function (strcpy, RANDEXEC)    : *** buffer overflow detected ***: rettofunc1x - terminated
rettofunc1x: buffer overflow attack in function <unknown> - terminated
Report to http://bugs.gentoo.org/
Killed
Return to function (memcpy, RANDEXEC)    : *** buffer overflow detected ***: rettofunc2x - terminated
rettofunc2x: buffer overflow attack in function <unknown> - terminated
Report to http://bugs.gentoo.org/
Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed


Код: Выделить всё

taaroa ~ # cat /proc/driver/nvidia/version
NVRM version: NVIDIA UNIX x86_64 Kernel Module  190.32  Wed Sep  2 02:23:20 PDT 2009
GCC version:  gcc версия 4.3.4 (Gentoo Hardened 4.3.4-r2 p1.0, espf-0.3.5)
taaroa ~ # cat /proc/sys/kernel/pax/softmode
0
:wq
Спасибо сказали:
Аватара пользователя
taaroa
Сообщения: 1319

Re: Hardened Gentoo на основе GCC 4.3

Сообщение taaroa »

sspphheerraa писал(а):
24.10.2008 13:28
>>> On some systems, as under OpenBSD, ProPolice is enabled by default
а как же они glibc с флагом -fstack-protector-all собрали-то?
на gentoo - баг, а у них, значит, все в шоколаде...

http://www.cr0.org/misc/obsdretf.asm

Отсутствие публичного подтверждения уязвимости W^X на x86 при возврате
на retf, а также отсутствие публичных сообщений о закрытии этой
уязвимости - факт

Возможно там "все в шоколаде", но факты остаются фактами.., не холивара ради, мысли вслух.
:wq
Спасибо сказали:
Аватара пользователя
sspphheerraa
Сообщения: 1375
ОС: Gentoo

Re: Hardened Gentoo на основе GCC 4.3

Сообщение sspphheerraa »

Интересные факты :)
Вот мой профиль:

Код:

emerge --info Portage 2.1.7.17 (hardened/linux/amd64/10.0/desktop, gcc-4.3.4, glibc-2.10.1-r1, 2.6.33-hardened x86_64) ================================================================= System uname: Linux-2.6.33-hardened-x86_64-AMD_Athlon-tm-_64_Processor_3000+-with-gentoo-1.12.13 Timestamp of tree: Thu, 01 Apr 2010 13:30:02 +0000 app-shells/bash: 4.0_p35 dev-java/java-config: 2.1.10 dev-lang/python: 2.6.4-r1 dev-util/cmake: 2.6.4-r3 sys-apps/baselayout: 1.12.13 sys-apps/sandbox: 1.6-r2 sys-devel/autoconf: 2.63-r1 sys-devel/automake: 1.7.9-r2, 1.9.6-r3, 1.10.3 sys-devel/binutils: 2.18-r3 sys-devel/gcc: 4.3.4-r2 sys-devel/gcc-config: 1.4.1 sys-devel/libtool: 2.2.6b virtual/os-headers: 2.6.30-r1 ACCEPT_KEYWORDS="amd64" ACCEPT_LICENSE="* -@EULA" CBUILD="x86_64-pc-linux-gnu" CFLAGS="-O2 -march=native -pipe" CHOST="x86_64-pc-linux-gnu" CONFIG_PROTECT="/etc /usr/share/X11/xkb /usr/share/config" CONFIG_PROTECT_MASK="/etc/ca-certificates.conf /etc/env.d /etc/env.d/java/ /etc/fonts/fonts.conf /etc/gconf /etc/revdep-rebuild /etc/sandbox.d /etc/terminfo" CXXFLAGS="-O2 -march=native -pipe" DISTDIR="/usr/portage/distfiles" FEATURES="assume-digests buildsyspkg distlocks fixpackages news parallel-fetch protect-owned sandbox sfperms strict unmerge-logs unmerge-orphans userfetch" GENTOO_MIRRORS="ftp://gentoo.kiev.ua/" LANG="ru_UA.UTF-8" LC_ALL="" LDFLAGS="-Wl,-O1 -Wl,--sort-common -Wl,--warn-once,--hash-style=gnu" MAKEOPTS="-j2" PKGDIR="/usr/portage/packages" PORTAGE_CONFIGROOT="/" PORTAGE_RSYNC_OPTS="--recursive --links --safe-links --perms --times --compress --force --whole-file --delete --stats --timeout=180 --exclude=/distfiles --exclude=/local --exclude=/packages" PORTAGE_TMPDIR="/var/tmp" PORTDIR="/usr/portage" PORTDIR_OVERLAY="/usr/local/portage/layman/hardened-development /usr/local/my-overlay" SYNC="rsync://rsync.gentoo.org/gentoo-portage" USE="3dnow X a52 aac acl acpi alsa amd64 berkdb bluetooth branding bzip2 cairo cdr cli consolekit cracklib crypt cups cxx dbus dri dts dvd dvdr emboss encode exif fam ffmpeg firefox flac gdbm gif gpm gtk hal hardened iconv jpeg justify kde lcms ldap libnotify mad mikmod mmx mng modules mp3 mp4 mpeg mudflap multilib ncurses nls nptl nptlonly ogg opengl openmp pam pango pcre pdf perl pic png ppds pppd python qt3support qt4 readline reflection sdl session spell spl sse sse2 ssl startup-notification svg sysfs tcpd tiff truetype unicode urandom usb utf8 vorbis wavpack x264 xcb xml xorg xulrunner xv xvid zlib" ALSA_CARDS="ali5451 als4000 atiixp atiixp-modem bt87x ca0106 cmipci emu10k1x ens1370 ens1371 es1938 es1968 fm801 hda-intel intel8x0 intel8x0m maestro3 trident usb-audio via82xx via82xx-modem ymfpci" ALSA_PCM_PLUGINS="adpcm alaw asym copy dmix dshare dsnoop empty extplug file hooks iec958 ioplug ladspa lfloat linear meter mmap_emul mulaw multi null plug rate route share shm softvol" APACHE2_MODULES="actions alias auth_basic authn_alias authn_anon authn_dbm authn_default authn_file authz_dbm authz_default authz_groupfile authz_host authz_owner authz_user autoindex cache dav dav_fs dav_lock deflate dir disk_cache env expires ext_filter file_cache filter headers include info log_config logio mem_cache mime mime_magic negotiation rewrite setenvif speling status unique_id userdir usertrack vhost_alias" ELIBC="glibc" INPUT_DEVICES="evdev" KERNEL="linux" LCD_DEVICES="bayrad cfontz cfontz633 glk hd44780 lb216 lcdm001 mtxorb ncurses text" RUBY_TARGETS="ruby18" USERLAND="GNU" VIDEO_CARDS="nouveau" Unset: CPPFLAGS, CTARGET, EMERGE_DEFAULT_OPTS, FFLAGS, INSTALL_MASK, LINGUAS, PORTAGE_COMPRESS, PORTAGE_COMPRESS_FLAGS, PORTAGE_RSYNC_EXTRA_OPTS


Сегодня на hardened-профиле компилятора gcc и включенным PaX, - без проблем собрались:
app-office/openoffice-3.2.0
app-emulation/wine-1.1.38

(ранее мне удавалось собрать их лишь на gcc-vanilla и только с отключенным PaX).

PaX test :)

Код:

# paxtest blackhat PaXtest - Copyright© 2003,2004 by Peter Busser <peter@adamantix.org> Released under the GNU Public Licence version 2 or later Writing output to paxtest.log It may take a while for the tests to complete Test results: PaXtest - Copyright© 2003,2004 by Peter Busser <peter@adamantix.org> Released under the GNU Public Licence version 2 or later Mode: blackhat Linux localhost 2.6.33-hardened #5 Sun Mar 21 17:07:43 EET 2010 x86_64 AMD Athlon™ 64 Processor 3000+ AuthenticAMD GNU/Linux Executable anonymous mapping : Killed Executable bss : Killed Executable data : Killed Executable heap : Killed Executable stack : Killed Executable anonymous mapping (mprotect) : Killed Executable bss (mprotect) : Killed Executable data (mprotect) : Killed Executable heap (mprotect) : Killed Executable stack (mprotect) : Killed Executable shared library bss (mprotect) : Killed Executable shared library data (mprotect): Killed Writable text segments : Killed Anonymous mapping randomisation test : 33 bits (guessed) Heap randomisation test (ET_EXEC) : 40 bits (guessed) Heap randomisation test (ET_DYN) : 40 bits (guessed) Main executable randomisation (ET_EXEC) : 32 bits (guessed) Main executable randomisation (ET_DYN) : 32 bits (guessed) Shared library randomisation test : 33 bits (guessed) Stack randomisation test (SEGMEXEC) : No randomisation Stack randomisation test (PAGEEXEC) : 40 bits (guessed) Return to function (strcpy) : *** buffer overflow detected ***: rettofunc1 - terminated rettofunc1: buffer overflow attack in function <unknown> - terminated Report to http://bugs.gentoo.org/ Killed Return to function (memcpy) : *** buffer overflow detected ***: rettofunc2 - terminated rettofunc2: buffer overflow attack in function <unknown> - terminated Report to http://bugs.gentoo.org/ Killed Return to function (strcpy, RANDEXEC) : *** buffer overflow detected ***: rettofunc1x - terminated rettofunc1x: buffer overflow attack in function <unknown> - terminated Report to http://bugs.gentoo.org/ Killed Return to function (memcpy, RANDEXEC) : *** buffer overflow detected ***: rettofunc2x - terminated rettofunc2x: buffer overflow attack in function <unknown> - terminated Report to http://bugs.gentoo.org/ Killed Executable shared library bss : Killed Executable shared library data : Killed
Sspphheerraa
Спасибо сказали:
Ответить