Pappy, gekleidet wie ein Consultant 😉 stellt Gentoo Hardened als neues Projekt vor.
Gentoo Hardened möchte es dem User so einfach wie möglich machen, ihn also nicht mit den technischen Details belästigen, sondern konkrete Dokumentation zur Verfügung zu stellen, wie er Gentoo Hardened auf den verschiedenen Plattformen zum Laufen bekommt. Wenn er mehr über den technischen Hintergrund erfahren möchte, kann er in der Dokumentation nachsehen oder auf den Chaos Congress gehen 🙂
Das Problem: Features wie Stack Smash Protection (SSP) kosten Performance, besonders auf der x86 Architektur – dort etwa drei bis fünf Prozent. Nicht auf AMD64, da dort das entsprechende Register schon existiert, RISC-Plattformen sind auch etwas besser drann.
In Gentoo Hardened ist jetzt ziemlich neu, dass der Stack Smash Handler in glibc untergebracht wurde. Aufgrund einer Race-Condition kamen die GH-Leute mit OpenBSD-Leuten ins Gespräch, diese bringen den Handlercode in der libc unter, was für GH die Lösung des Problems war.
Der Handler wandert an eine zentrale, wartbare Stelle, und lungert nicht mehr in jedem Executable herum. Änderungen daran wirken sich dementsprechend ohne neucompilieren der Applikationen sofort aus.
Neben SSP wird noch PIC (position independend code) und PIE (position independent executables) eingesetzt, was auf x86 nochmal bis zu 20 Prozent Performance kostet.
Ich denke Gentoo Hardened macht viel Sinn auf produktiven Servern an exponierter Stelle. Auf dem Desktop werde ich es sicherlich nicht testen, auf meinem Server läuft Debian.
Günstigerweise wurde das noch junge Debian Hardened Projekt von Gentoo-Hardened inspiriert, ein Grund es sich in den nächsten Monaten genauer anzusehen.