Linux カーネルは過去7年で基本性能がどんどん遅くなっているらしい。select() は2年前と比べて最大100%の性能低下。要因はセキュリティ強化、新機能、設定ミス。今年の SOSP で一番 OS っぽい話。https://t.co/zZjuALAkS6
Apr 17, 2018Why is the kernel community replacing iptables with BPF? Author Note: this is a post by long-time Linux kernel networking developer and creator of the Cilium project, Thomas Graf The Linux kernel community recently announced bpfilter, which will replace the long-standing in-kernel implementation of iptables with high-performance network filtering powered by Linux BPF, all while guarant
中村 雄一 日本SELinuxユーザ会 2007/10/31 “insane”とは「正気でない」「狂った」「非常識な」という意味があります。その言葉があのLinusから、セキュリティを考える人たちに投げられました。はたしてその真意とは? Linuxフォーラムで人気の連載「Linux Kernel Watch」番外編として、メーリングリストから気になる発言をピックアップしてみました。本家Linuxフォーラムの記事「10月版 あんなコアいいな、吐けたらいいな」も同時公開しておりますので、あわせてお読みください(編集部) きっかけはLinusの発言 いつもはLinuxフォーラムで連載されている「Linux Kernel Watch」ですが、今回はその番外編として、セキュアOSに注目したKernel Watchをお届けしたいと思います。 まずきっかけとして取り上げたいのは、あのLinus Torv
セキュリティ関係ではたびたび怒っている気がするLinusだが、今度はカーネル堅牢化を意図して作成されたパッチが他の事をないがしろにしているとして、Linuxカーネルのメーリングリストにお怒りのメールを投げたらしい(LKML、ZDNet Japan、Slashdot 問題のパッチに対しLinus氏は、カーネルのコアな部分に影響するにも関わらず、きちんとしたものでない修正や変更を加えようとするセキュリティ研究者が多く信用できないと述べ、こういったものに時間を取る暇はないと述べている(Linus氏による返信)。こういったパッチを容易に取り込んでしまうと広範囲かつランダムに発生するような問題を生んでしまうとも述べている。
動的解析ツール構築のためのフレームワーク「Valgrind」開発チームは10月24日、「Valgrind-3.12.0」を公開した。メモリ監視機能の強化などが行われている。 Valgrindは多数のメモリ管理とスレッドのバグを自動的に検出し、プログラムをプロファイリングするツールを集めたフレームワーク。メモリエラー検出やスレッドエラー検出、キャッシュとブランチ検出プロファイラ、コールグラフ生成キャッシュ、ブランチ予測プロファイラ、ヒーププロファイラなどのツールを備え、Linux(x86、AMD64、ARM、ARM64、PPC32、PPC64、PPC64LE、S390X、MIPS32、MIPS64など)、Solaris(x86、AMD64)、Android(ARM、ARM64、x86、MIPS32)、Darwin/Mac OS X 10.10(X86、AMD64)などをサポートする。 Val
上記 Dirty COW によると Linuxカーネルのメモリサブシステムがcopy-on-write(COW) 時に、プライベートなread-onlyメモリを破損する事が可能である問題らしい。 これにより、権限のないユーザが権限昇格によって、読み取り専用のメモリへ書き込みを行えるようになる( 特権取得が可能 ) 実際にこの脆弱性を利用する exploit が Phil Oester によって見つかっている Linux users urged to protect against 'Dirty COW' security flaw (HTTPのパケットキャプチャにより発見) Dirty COW の COW は copy-on-write (COW) から。 Dirty COW explained: Get a moooo-ve on and patch Linux root hole によ
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
カリフォルニア大学らの研究者らが公開したホワイトペーパー「Off-Path TCP Exploits: Global Rate Limit Considered Dangerous (PDF)」が、Linuxカーネルバージョン3.6以降にはネットワークスタックに重大な脆弱性があり、遠隔から攻撃者によってTCP通信の内容を推測される危険性があると指摘していることを複数のメディアが伝えた。Linuxカーネル3.6は2012年に公開されており、影響範囲が広範囲に及ぶ可能性が高く注意が必要。 研究者らが指摘した脆弱性はパス外TCP攻撃(Off-Path TCP Exploits)を許してしまうというもの。1分間ほどの攻撃で90%程度の確率で通信に割り込むパケットを生成することが可能になるとされている。この攻撃は受けていることがわかりにくく、しかも広範囲に影響が及ぶ可能性が高い。Linux以外のオペ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く