Pekne. Pujde to zpet i do Linuxu?
2/ nerozummim tomu tolik do hloubky, ale proc se KASLR nemeni dynamicky, tj. napr jako secret u WPA, treba 1 za 5 min, ze by se adresy "zprehazely"
Jo, to nevím, jestli by vůbec bylo reálně možné. Já myslím, že po načtení jádra už se s ním nedá hýbat, aby nespadl systém, ale taky nejsem žádný odborník.
U monolitickeho jadra je pamet vyhrazena a alokovana dopredu (staticky) pri inicializaci, dynamicky jde alokovat mozna cache a loadable moduly. Jine je to u mikrokernelu (u jednotlivych sluzeb jadra).
Kdyz se nebudeme bavit o jadre, ale obecne, tak dynamicka alokace pameti znamena rezii navic. Uvolnenou pamet musite pred novym pridelenim jine aplikaci vzdy "vycistit" od puvodnich dat, a pokud narokujete souvisly blok o nejake velikosti, muze byt problem ji seskladat z nepouzivanych bloku.
V idealnim (a tudiz i nerealnem) pripade by po startu serverovy OS i pro kazdou spoustenou sluzbu postupne naalokoval dopredu dle jeji konfigurace maximum ji povolene pameti jako souvisly blok. Cili pomalejsi start systemu a sluzeb, ale pak maximalni rychlost a efektivita na konfigurovany /predpokladany/ pocet obsluhovanych klientu per sluzba. Soucasne s tim by sla bohuzel i mala flexibilita takoveho systemu - neschopnost vyrovnat se se zmenou typu zateze bez zmeny konfigurace a restartu.
Rychlosti pameti a vykon cpu (jakoz i pocet jader) dlouhodobe rostly rychleji, nez klesal pomer cena/kapacita pameti, a tak alokovat dopredu nikdy nevyuzitou pamet by proste bylo jen nehorazne plytvani penezi.
Dnestni realita je takova, ze se servery virtualizuji, procez se v praxi jde az k overcommit pameti.
Ze by nekdo preskladaval pamet aplikace (nebo jadra) za behu "jen" kvuli bezpecnosti, to je myslim scifi. To by ta bezpecnost musela financne vyvazit zvysene naroky na system (i zvysenou pravdepodobnost jeho selhani).
Jestlize da firma prumerne ze zisku rocne 7-10% na IT, kolik z toho da na bezpecnost IT ? A z te bezpecnosti jeste spise zainvestuje do neceho, co je videt (sifrovani, antiviry, firewally, analyza sitoveho provozu), nez do skryte bezpecnosti na urovni interniho behu OS.
Dnes se firmy vlastniho hardware houfne zbavuji (investicni vs provozni naklady + skalovani na potrebny vykon per bezici projekt), a jak si technicky provozuji ruzne cloudove sluzby svoje OS, je komercnim firmam srdecne ukradene. Je zajimaji jen aplikace a cena za jejich provozovani. I dostupnost systemu se hodnoti cenou (velikosti financni ztraty za cas v pripade nedostupnosti).
Bylo by mozne trosku rozvest v jake jsou rozdily z hlediska implementace a pouziti techto bezpecnostnich mechanizmu (ASLR, KASLR, mprotect) mezi *BSD a linuxem?
