* [gentoo-commits] gentoo commit in xml/htdocs/proj/es/hardened: pax-quickstart.xml
@ 2011-05-29 17:32 JosA MarAa Alonso (nimiux)
0 siblings, 0 replies; 4+ messages in thread
From: JosA MarAa Alonso (nimiux) @ 2011-05-29 17:32 UTC (permalink / raw
To: gentoo-commits
nimiux 11/05/29 17:32:56
Modified: pax-quickstart.xml
Log:
Fixed some typos. No version bump
Revision Changes Path
1.2 xml/htdocs/proj/es/hardened/pax-quickstart.xml
file : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml?rev=1.2&view=markup
plain: http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml?rev=1.2&content-type=text/plain
diff : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml?r1=1.1&r2=1.2
Index: pax-quickstart.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml,v
retrieving revision 1.1
retrieving revision 1.2
diff -u -r1.1 -r1.2
--- pax-quickstart.xml 8 May 2011 11:39:56 -0000 1.1
+++ pax-quickstart.xml 29 May 2011 17:32:56 -0000 1.2
@@ -1,9 +1,9 @@
<?xml version='1.0' encoding="UTF-8"?>
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml,v 1.1 2011/05/08 11:39:56 nimiux Exp $ -->
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml,v 1.2 2011/05/29 17:32:56 nimiux Exp $ -->
<!DOCTYPE guide SYSTEM "/dtd/guide.dtd">
<guide lang="es">
-<title>Guía de inicio rápido para usa PaX con Gentoo Hardened</title>
+<title>Guía de inicio rápido para usar PaX con Gentoo Hardened</title>
<author title="Author">
<mail link="tseng@gentoo.org">Brandon Hale</mail>
@@ -19,7 +19,7 @@
</author>
<abstract>
-Una guía de inicio rápido que cubre PaX y Gentoo Hardened.
+Guía de inicio rápido que cubre PaX y Gentoo Hardened.
</abstract>
<!-- The content of this document is licensed under the CC-BY-SA license -->
@@ -36,7 +36,7 @@
<p>
Gentoo Hardened es un proyecto interesado en reforzar el sistema Gentoo.
-Soportamos diferentes soluciones y existe una adecuada flexibilidad para
+Soportamos diferentes soluciones y existe una flexibilidad adecuada para
crear su propia configuración. En el corazón de la configuración de un
sistema Gentoo común está <e>PaX</e>.
</p>
@@ -51,14 +51,14 @@
<body>
<p>
-PaX es un parche para el núcleo Linux que ofrece reforzamiento del mismo
-de dos formas.
+PaX es un parche para el núcleo Linux que ofrece el reforzamiento del
+mismo de dos formas:
</p>
<p>
La primera, <e>ASLR</e> (Address Space Layout Randomization o Esquema de
Aleatorización del Espacio de Direcciones) ofrece una forma de
-aleatorizar la distribución de direcciones de todos los datos cargador
+aleatorizar la distribución de direcciones de todos los datos cargados
en memoria. Cuando se construye una aplicación como un <e>PIE</e>
(Position Independent Executable o Ejecutable Independiente de la
Posición), Pax puede aleatorizar las direcciones de la aplicación base.
@@ -67,9 +67,9 @@
<p>
La segunda forma de protección ofrecida por PaX es la memoria no
ejecutable. Esto impide una forma muy común de ataque en el cual
-código ejecutable es insertado en memoria por un atacante. Se puede
-encontrar más información sobre PaX en esta guía, pero la página
-oficial está en <uri>http://pax.grsecurity.net</uri>.
+un atacante inserta código ejecutable en memoria. Se puede encontrar más
+información sobre PaX en esta misma guía, pero la página oficial está en
+<uri>http://pax.grsecurity.net</uri>.
</p>
</body>
@@ -90,7 +90,7 @@
<p>
<e>SSP</e> (Stack Smashing Protector o Protector contra Ataques a la Pila)
-es una tecnología que se añade la ejecutable en el momento de su
+es una tecnología que se añade al ejecutable en el momento de su
construcción. SSP fue originalmente introducida por IBM bajo el nombre
<e>ProPolice</e>. Modifica el compilador de C para insertar código de
inicialización en funciones que crean un buffer en memoria.
@@ -105,8 +105,8 @@
<p>
Durante la ejecución, cuando se crea un buffer, SSP añade un valor
-aleatorio secreto al final del buffer: el canario. Cuando la función
-retorna, SSP se asegura de que el canario está intacto. Si un
+aleatorio secreto al final del buffer: el chivato. Cuando la función
+retorna, SSP se asegura de que el chivato no ha sido modificado. Si un
atacante quisiera intentar un desbordamiento de buffer, sobreescribiría
este valor y esto desembocaría en un manejador de ataque a pila.
Consecuentemente esto causaría la finalización del proceso atacado.
@@ -202,11 +202,10 @@
</p>
<p>
-Para mantener un conjunto de herramientas consistente, haga
-<c>emerge binutils gcc virtual/libc</c> en primer lugar.
-A continuación, reconstruya el sistema completo haciendo
-<c>emerge -e world</c>. A partir de ese momento todos los paquetes
-se construirán usando las tecnologías PIE/SSP.
+Para mantener un conjunto de herramientas consistente, primero haga
+<c>emerge binutils gcc virtual/libc</c>. A continuación, reconstruya
+el sistema completo haciendo <c>emerge -e world</c>. A partir de ese
+momento todos los paquetes se construirán usando las tecnologías PIE/SSP.
</p>
<warn>
@@ -300,8 +299,8 @@
</p>
<p>
-Para activar un ajuste en un binario, es útil la opción <c>-z</c> ya que
-restaura el valor por defecto de ese ajuste.
+Para activar una de estas protecciones en un binario, nos será útil la
+opción <c>-z</c> ya que restaura el valor por defecto de esa protección.
</p>
<p>
^ permalink raw reply [flat|nested] 4+ messages in thread
* [gentoo-commits] gentoo commit in xml/htdocs/proj/es/hardened: pax-quickstart.xml
@ 2013-01-14 11:12 JosA MarAa Alonso (nimiux)
0 siblings, 0 replies; 4+ messages in thread
From: JosA MarAa Alonso (nimiux) @ 2013-01-14 11:12 UTC (permalink / raw
To: gentoo-commits
nimiux 13/01/14 11:12:53
Modified: pax-quickstart.xml
Log:
Remove paragraph about ldd version of revdep-pax
Revision Changes Path
1.6 xml/htdocs/proj/es/hardened/pax-quickstart.xml
file : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml?rev=1.6&view=markup
plain: http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml?rev=1.6&content-type=text/plain
diff : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml?r1=1.5&r2=1.6
Index: pax-quickstart.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml,v
retrieving revision 1.5
retrieving revision 1.6
diff -u -r1.5 -r1.6
--- pax-quickstart.xml 4 Jan 2013 18:04:47 -0000 1.5
+++ pax-quickstart.xml 14 Jan 2013 11:12:53 -0000 1.6
@@ -1,5 +1,5 @@
<?xml version='1.0' encoding="UTF-8"?>
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml,v 1.5 2013/01/04 18:04:47 nimiux Exp $ -->
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml,v 1.6 2013/01/14 11:12:53 nimiux Exp $ -->
<!DOCTYPE guide SYSTEM "/dtd/guide.dtd">
<guide lang="es">
@@ -1150,6 +1150,7 @@
XT_PAX: -em--
</pre>
+<!--
<p>
Una nota final sobre los entresijos de revdep-pax. Actualmente
utiliza un enfoque "mixto" para encontrar todos los objetos
@@ -1171,6 +1172,7 @@
exhaustiva que revdep-pax, pero mucho más lenta. Aquí -ng
significa No Gentoo.
</p>
+-->
<p>
<b>6. migrate-pax</b>
@@ -1182,7 +1184,9 @@
del núcleo, y simplemente quiera eliminar los antiguos PT_PAX y
¡Continuar con su vida!. La herramienta migrate-pax hace exactamente
eso. Recorrerá todos los objetos ELF en su sistema y migrará el
-campo PT_PAX a XATTR_PAX. Eso es todo.
+campo PT_PAX a XATTR_PAX. Para obtener más detalles sobre cómo
+migrar, lea nuestra guía <uri link='pax-migrate-xattr.xml'>
+Migración de los ajustes PaX desde PT_PAX a XATTR_PAX </uri>.
</p>
<pre caption="migrate-pax -h">
^ permalink raw reply [flat|nested] 4+ messages in thread* [gentoo-commits] gentoo commit in xml/htdocs/proj/es/hardened: pax-quickstart.xml
@ 2013-01-04 18:04 JosA MarAa Alonso (nimiux)
0 siblings, 0 replies; 4+ messages in thread
From: JosA MarAa Alonso (nimiux) @ 2013-01-04 18:04 UTC (permalink / raw
To: gentoo-commits
nimiux 13/01/04 18:04:47
Modified: pax-quickstart.xml
Log:
Translated missing paragraphs. No version bump
Revision Changes Path
1.5 xml/htdocs/proj/es/hardened/pax-quickstart.xml
file : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml?rev=1.5&view=markup
plain: http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml?rev=1.5&content-type=text/plain
diff : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml?r1=1.4&r2=1.5
Index: pax-quickstart.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml,v
retrieving revision 1.4
retrieving revision 1.5
diff -u -r1.4 -r1.5
--- pax-quickstart.xml 4 Jan 2013 16:54:43 -0000 1.4
+++ pax-quickstart.xml 4 Jan 2013 18:04:47 -0000 1.5
@@ -1,5 +1,5 @@
<?xml version='1.0' encoding="UTF-8"?>
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml,v 1.4 2013/01/04 16:54:43 nimiux Exp $ -->
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml,v 1.5 2013/01/04 18:04:47 nimiux Exp $ -->
<!DOCTYPE guide SYSTEM "/dtd/guide.dtd">
<guide lang="es">
@@ -539,14 +539,14 @@
[*] Enforce non-executable pages
[*] Paging based non-executable pages
- [*] Segmentation based non-executable pages <--- Not available on amd64
+ [*] Segmentation based non-executable pages <--- No está disponible para amd64.
[*] Emulate trampolines
[*] Restrict mprotect()
[ ] Use legacy/compat protection demoting (read help)
[ ] Allow ELF text relocations (read help)
[*] Enforce non-executable kernel pages
- Return Address Instrumentation Method (or) ---> <--- Not available on x86
- (4) Minimum amount of memory reserved for module code <--- Not available on amd64
+ Return Address Instrumentation Method (or) ---> <--- No está disponible para x86.
+ (4) Minimum amount of memory reserved for module code <--- No está disponible para amd64.
Address Space Layout Randomization ->
@@ -892,22 +892,22 @@
XATTR_PAX: Pem--
# <i>paxctl-ng -lPpv /usr/bin/python3.2</i> <--- Definir el valor por defecto '-' para PAGEEXEC (-Pp)
-/usr/bin/python3.2: <--- Solo para XATTR_FLAGS (-l)
- PT_PAX : Pem-- <--- E informar del resultado (-v)
+/usr/bin/python3.2: <--- Solo para XATTR_FLAGS (-l)
+ PT_PAX : Pem-- <--- E informar del resultado (-v)
XATTR_PAX: -em--
# <i>paxctl-ng -dv /usr/bin/python3.2</i> <--- Borrar todo el campo XATTR_PAX (-d)
-/usr/bin/python3.2: <--- E informar del resultado (-v)
+/usr/bin/python3.2: <--- E informar del resultado (-v)
PT_PAX : Pem--
XATTR_PAX: not found
# <i>paxctl-ng -lemv /usr/bin/python3.2</i> <--- Definir los ajustes "em" (-em)
-/usr/bin/python3.2: <--- Solo para XATTR_FLAGS (-l)
- PT_PAX : Pem-- <--- E informar del resultado (-v)
+/usr/bin/python3.2: <--- Solo para XATTR_FLAGS (-l)
+ PT_PAX : Pem-- <--- E informar del resultado (-v)
XATTR_PAX: -em--
# <i>paxctl-ng -fv /usr/bin/python3.2</i> <--- Copiar los ajustes XATTR_PAX a PT_PAX, sobreescribiendo estos últimos (-f)
-/usr/bin/python3.2: <--- E informar del resultado (-v)
+/usr/bin/python3.2: <--- E informar del resultado (-v)
PT_PAX : -em--
XATTR_PAX: -em--
@@ -1002,7 +1002,7 @@
<pre caption="pypaxctl en acción con PT_PAX y XATTR_PAX">
# <i>pypaxctl -g /usr/bin/python3.2</i> <--- Recuperar tanto PT_PAX como XATTR_PAX. El segundo tiene prioridad si está definido.
--em-- <--- La orden canónica es PEMRS.
+-em-- <--- La orden canónica es PEMRS.
# <i>paxctl-ng -v /usr/bin/python3.2</i> <--- Resulta que XATTR_PAX no existe, por lo que obtenemos PT_PAX.
/usr/bin/python3.2:
PT_PAX: -em--
@@ -1018,7 +1018,7 @@
# <i>pypaxctl -s me /usr/bin/python3.2</i> <--- Definir "me" para PT_PAX y XATTR_PAX
# <i>paxctl-ng -v /usr/bin/python3.2</i>
/usr/bin/python3.2:
- PT_PAX: -em-- <--- Al igual que paxctl y paxctl-ng, no sobreescribimos los ajustes, solo los añadimos.
+ PT_PAX: -em-- <--- Al igual que paxctl y paxctl-ng, no sobreescribimos los ajustes, solo los añadimos.
XT_PAX: Pem--
# <i>pypaxctl -s Pp /usr/bin/python3.2</i> <--- Pero, ¿Qué ocurre si queremos desactivar PAGEEXEC? Entonces definimos Pp al valor por defecto '-'.
@@ -1128,14 +1128,14 @@
# <i>revdep-pax -r</i> < --- Informar de todos los enlaces hacia atrás que no concuerden.
.....
-libpython3.2.so.1.0 /usr/lib64/libpython3.2.so.1.0 ( -e--- ) < --- El formato es soname /camino/a/su/objeto_elf (ajustes).
+libpython3.2.so.1.0 /usr/lib64/libpython3.2.so.1.0 ( -e--- ) < --- El formato es soname /camino/a/su/objeto_elf (ajustes).
- /usr/bin/python3.2 ( --m-- ) < --- Aquí tenemos algo que no concuerda, tal y como esperábamos
- ..... en el paso anterior.
+ /usr/bin/python3.2 ( --m-- ) < --- Aquí tenemos algo que no concuerda, tal y como esperábamos
+ ..... en el paso anterior.
# <i>revdep-pax -m -s libpython3.2.so.1.0</i> < --- Migraremos desde los ajustes de la librería al ejecutable
-libpython3.2.so.1.0 /usr/lib64/libpython3.2.so.1.0 (-e---) utilizando el soname (-s). Podríamos también haber
- utilizado /usr/lib64/libpython3.2.so.1.0 con el ajuste -l.
+libpython3.2.so.1.0 /usr/lib64/libpython3.2.so.1.0 (-e---) utilizando el soname (-s). Podríamos también haber
+ utilizado /usr/lib64/libpython3.2.so.1.0 con el ajuste -l.
/usr/bin/python3.2 ( --m-- )
Will mark binaries with -e---
^ permalink raw reply [flat|nested] 4+ messages in thread* [gentoo-commits] gentoo commit in xml/htdocs/proj/es/hardened: pax-quickstart.xml
@ 2011-05-08 11:39 JosA MarAa Alonso (nimiux)
0 siblings, 0 replies; 4+ messages in thread
From: JosA MarAa Alonso (nimiux) @ 2011-05-08 11:39 UTC (permalink / raw
To: gentoo-commits
nimiux 11/05/08 11:39:56
Added: pax-quickstart.xml
Log:
New spanish translation: pax-quickstart.xml
Revision Changes Path
1.1 xml/htdocs/proj/es/hardened/pax-quickstart.xml
file : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml?rev=1.1&view=markup
plain: http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml?rev=1.1&content-type=text/plain
Index: pax-quickstart.xml
===================================================================
<?xml version='1.0' encoding="UTF-8"?>
<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/es/hardened/pax-quickstart.xml,v 1.1 2011/05/08 11:39:56 nimiux Exp $ -->
<!DOCTYPE guide SYSTEM "/dtd/guide.dtd">
<guide lang="es">
<title>Guía de inicio rápido para usa PaX con Gentoo Hardened</title>
<author title="Author">
<mail link="tseng@gentoo.org">Brandon Hale</mail>
</author>
<author title="Editor">
<mail link="blackace@gentoo.org">Blackace</mail>
</author>
<author title="Editor">
<mail link="solar@gentoo.org">solar</mail>
</author>
<author title="Traductor">
<mail link="nimiux"/>
</author>
<abstract>
Una guía de inicio rápido que cubre PaX y Gentoo Hardened.
</abstract>
<!-- The content of this document is licensed under the CC-BY-SA license -->
<!-- See http://creativecommons.org/licenses/by-sa/2.0 -->
<license/>
<version>1.4</version>
<date>2007-09-11</date>
<chapter>
<title>¿Qué es Gentoo Hardened?</title>
<section>
<body>
<p>
Gentoo Hardened es un proyecto interesado en reforzar el sistema Gentoo.
Soportamos diferentes soluciones y existe una adecuada flexibilidad para
crear su propia configuración. En el corazón de la configuración de un
sistema Gentoo común está <e>PaX</e>.
</p>
</body>
</section>
</chapter>
<chapter>
<title>¿Qué es PaX?</title>
<section>
<body>
<p>
PaX es un parche para el núcleo Linux que ofrece reforzamiento del mismo
de dos formas.
</p>
<p>
La primera, <e>ASLR</e> (Address Space Layout Randomization o Esquema de
Aleatorización del Espacio de Direcciones) ofrece una forma de
aleatorizar la distribución de direcciones de todos los datos cargador
en memoria. Cuando se construye una aplicación como un <e>PIE</e>
(Position Independent Executable o Ejecutable Independiente de la
Posición), Pax puede aleatorizar las direcciones de la aplicación base.
</p>
<p>
La segunda forma de protección ofrecida por PaX es la memoria no
ejecutable. Esto impide una forma muy común de ataque en el cual
código ejecutable es insertado en memoria por un atacante. Se puede
encontrar más información sobre PaX en esta guía, pero la página
oficial está en <uri>http://pax.grsecurity.net</uri>.
</p>
</body>
</section>
</chapter>
<chapter>
<title>Una introducción a PIE y SSP</title>
<section>
<body>
<p>
Como se ha mencionado arriba, PaX se complementa con PIE. Este método
de construir ejecutables almacena información necesaria para relocalizar
partes del ejecutable en memoria, de ahí el nombre <e>Independiente de la
Posición</e>.
</p>
<p>
<e>SSP</e> (Stack Smashing Protector o Protector contra Ataques a la Pila)
es una tecnología que se añade la ejecutable en el momento de su
construcción. SSP fue originalmente introducida por IBM bajo el nombre
<e>ProPolice</e>. Modifica el compilador de C para insertar código de
inicialización en funciones que crean un buffer en memoria.
</p>
<note>
En las nuevas versiones de SSP, es posible aplicar SSP a todas las
funciones, añadiendo protección a funciones cuyo buffer normalmente
estaría por debajo del límite de tamaño para SSP. Esto es habilitado
mediante la CFLAG -fstack-protector-all.
</note>
<p>
Durante la ejecución, cuando se crea un buffer, SSP añade un valor
aleatorio secreto al final del buffer: el canario. Cuando la función
retorna, SSP se asegura de que el canario está intacto. Si un
atacante quisiera intentar un desbordamiento de buffer, sobreescribiría
este valor y esto desembocaría en un manejador de ataque a pila.
Consecuentemente esto causaría la finalización del proceso atacado.
</p>
<p>
<uri link="http://www.trl.ibm.com/projects/security/ssp/">Más información
sobre SSP.</uri>
</p>
</body>
</section>
</chapter>
<chapter>
<title>Construyendo un núcleo con PaX habilitado</title>
<section>
<body>
<p>
Varios árboles con el núcleo parcheado con PaX están disponibles en
Gentoo.
</p>
<p>
Para las máquinas basadas en 2.4/2.6, los núcleos recomendados son
<c>hardened-sources</c>
</p>
<p>
Obtenga uno de los árboles fuente recomendados, o aplique los parches
apropiados presentes en <uri>http://pax.grsecurity.net</uri> a su árbol
y configúrelo como normalmente lo haría para la máquina destino.
</p>
<p>
En <c>Security Options -> PaX</c>, aplique las opciones que se
muestran abajo.
</p>
<pre caption="Configuración del núcleo">
[*] Enable various PaX features
PaX Control ->
[ ] Support soft mode
[*] Use legacy ELF header marking
[*] Use ELF program header marking
MAC system integration (none) --->
Non-executable page ->
[*] Enforce non-executable pages
[*] Paging based non-executable pages
[*] Segmentation based non-executable pages
[*] Emulate trampolines
[*] Restrict mprotect()
[ ] Disallow ELF text relocations
Address Space Layout Randomization ->
[*] Address Space Layout Randomization
[*] Randomize kernel stack base
[*] Randomize user stack base
[*] Randomize mmap() base
[*] Randomize ET_EXEC base
</pre>
<p>
Construya este núcleo como lo haría normalmente e instálelo en
<path>/boot</path>.
</p>
</body>
</section>
</chapter>
<chapter>
<title>Construyendo una zona de usuario con PIE/SSP habilitado</title>
<section>
<body>
<p>
Gentoo Hardened ha añadido soporte para la construcción transparente
de PIE/SSP usando un fichero de especificación de GCC. Esto significa
que cualquier usuario que realice una actualización de instalaciones
anteriores de Hardened deberá eliminar cualquier LDFLAGS o CFLAGS
usadas para activar PIE/SSP. También, se debe tener en cuenta que
el paquete <c>hardened-gcc</c> es ahora obsoleto y debe ser
desinstalado (la versión 5.0 es una paquete inútil). Para obtener
la versión actual de GCC, añada <c>USE="hardened pic"</c> a
<path>/etc/make.conf</path> si no está usando el perfil hardened.
</p>
<p>
Para mantener un conjunto de herramientas consistente, haga
<c>emerge binutils gcc virtual/libc</c> en primer lugar.
A continuación, reconstruya el sistema completo haciendo
<c>emerge -e world</c>. A partir de ese momento todos los paquetes
se construirán usando las tecnologías PIE/SSP.
</p>
<warn>
Tanto PIE como SSP pueden causar algún tipo de problema con algunos
paquetes. Si encuentra alguno que falle al compilar, por favor,
informe de una nueva y detallada incidencia incluyendo los datos
de la compilación que ha fallado y la salida de <c>emerge info</c> en
<uri>http://bugs.gentoo.org/</uri>.
</warn>
<p>
Probablemente quiera también hacer emerge de pax-utils.
A menudo, si un fichero ELF tiene relocalizaciones ejecutables en
el segmento de texto, éstas pueden causarnos problemas.
scanelf -BRylptq
</p>
</body>
</section>
</chapter>
<chapter>
<title>Cuando las cosas no van como debieran (PaX Control)</title>
<section>
<body>
<p>
Algunas aplicaciones legítimas intentarán generar código en tiempo de
ejecución, el cual se ejecuta fuera de memoria. Naturalmente, PaX no
lo permitirá y terminará las aplicaciones que intenten hacerlo.
</p>
<note>
La más notable de este tipo de aplicaciones es XFree/Xorg, mplayer y
herramientas multimedia basadas en xine-lib. La forma más fácil de
evitar estos problemas es desactivar las protecciones de PaX.
</note>
<p>
Afortunadamente existe una utilidad para activar o desactivar las
protecciones para un ejecutable: <e>paxctl</e>. Al igual que otros
paquetes en Gentoo, instale paxctl mediante el comando
<c>emerge paxctl</c>. El uso de esta utilidad se muestra mediante
<c>paxctl -h</c>.
</p>
<note>
Si tiene una versión antigua de binutils, necesitará usar <e>chpax</e>,
el cual edita las marcas de PaX con el formato antiguo. El uso de chpax
es muy parecido al de paxctl. Esto también requiere el soporte de marcas
construido en su núcleo.
Las nuevas versiones de paxctl hacen chpax obsoleto.
</note>
<pre caption="paxctl -h">
usage: paxctl <options> <files>
options:
-p: disable PAGEEXEC -P: enable PAGEEXEC
-e: disable EMUTRMAP -E: enable EMUTRMAP
-m: disable MPROTECT -M: enable MPROTECT
-r: disable RANDMMAP -R: enable RANDMMAP
-x: disable RANDEXEC -X: enable RANDEXEC
-s: disable SEGMEXEC -S: enable SEGMEXEC
-v: view flags -z: restore default flags
-q: suppress error messages -Q: report flags in short format flags
</pre>
<p>
La primera opción que se suele usar es <c>-v</c>, la cual muestra los
ajustes realizados en un binario en particular.
</p>
<pre caption="paxctl -v">
shell user # paxctl -v /usr/bin/Xorg
PaX control v0.2
Copyright 2004 PaX Team <pageexec@freemail.hu>
- PaX flags: -p-sM--x-eR- [/usr/bin/Xorg]
PAGEEXEC is disabled
SEGMEXEC is disabled
MPROTECT is enabled
RANDEXEC is disabled
EMUTRAMP is disabled
RANDMMAP is enabled
</pre>
<p>
Esto muestra un binario XFree con todas las protecciones deshabilitadas.
</p>
<p>
Para activar un ajuste en un binario, es útil la opción <c>-z</c> ya que
restaura el valor por defecto de ese ajuste.
</p>
<p>
Para desactivar las protecciones en Xorg, ejecute
<c>paxctl -zpeMRxs /usr/bin/Xorg</c>.
</p>
<p>
Puede probar a activar/desactivar varias protecciones para comprobar
cuáles son las mínimas para poder trabajar. A menudo se comprueba que
son necesarias las combinaciones -m -sp.
</p>
</body>
</section>
</chapter>
</guide>
^ permalink raw reply [flat|nested] 4+ messages in thread
end of thread, other threads:[~2013-01-14 11:12 UTC | newest]
Thread overview: 4+ messages (download: mbox.gz follow: Atom feed
-- links below jump to the message on this page --
2011-05-29 17:32 [gentoo-commits] gentoo commit in xml/htdocs/proj/es/hardened: pax-quickstart.xml JosA MarAa Alonso (nimiux)
-- strict thread matches above, loose matches on Subject: below --
2013-01-14 11:12 JosA MarAa Alonso (nimiux)
2013-01-04 18:04 JosA MarAa Alonso (nimiux)
2011-05-08 11:39 JosA MarAa Alonso (nimiux)
This is a public inbox, see mirroring instructions
for how to clone and mirror all data and code used for this inbox