| View previous topic :: View next topic |
| Author |
Message |
Enlight
Advocate
Joined: 28 Oct 2004
Posts: 3519
Location: Alsace (France)
|
 Posted: Tue Jun 07, 2005 1:39 pm Post subject: [Sécurité] pax == overhead sur x86_64? |
 |
|
| Quote: | | PaX also offers the ability for executable segments to be executable and not writable, and likewise writable segments to be writable and not executable. This is called pageexec. On x86 based processors their is no ability to do this on a hardware level since the x86 designers collapsed the read and execute memory flags into 1 to save space. Since a page can either be writable or readable and executable it is not useful to set buffers as non-executable since they would no longer be readable. So on x86 PaX emulates this behavior at a software level, which introduces overhead but is very helpful for security. |
Yop, j'envisage une migration vers amd64/optéron (j'en peux plus des pbs hardware de ma box) et je voulais savoir si sur x86_64 (donc "vraie install 64 bits + éventuellement multilibs) comme sur x86, pax avait besoin d'être émulé et bouffait des ressources supplémentaires. Quelqu'un saît?
edit : changement de titre car pax "n'appartient" pas à selinux
Last edited by Enlight on Tue Jun 07, 2005 1:55 pm; edited 1 time in total |
|
| Back to top |
|
 |
kwenspc
Advocate
Joined: 21 Sep 2003
Posts: 4954
|
| Posted: Tue Jun 07, 2005 1:47 pm Post subject: |
|
|
ben non, pax c'est un patch noyau donc compilé dedans donc 64 bits lui aussi. enfin il me semble.
[edit] enfin en même temps pax sur une box de travail c'est vraiment utile? sur un serveur ok. c'est pour un serveur Enlight?[/edit] |
|
| Back to top |
|
|
Enlight
Advocate
Joined: 28 Oct 2004
Posts: 3519
Location: Alsace (France)
|
| Posted: Tue Jun 07, 2005 1:58 pm Post subject: |
|
|
| kwenspc wrote: | ben non, pax c'est un patch noyau donc compilé dedans donc 64 bits lui aussi. enfin il me semble.
[edit] enfin en même temps pax sur une box de travail c'est vraiment utile? sur un serveur ok. c'est pour un serveur Enlight?[/edit] |
bah a priori c'est différent du flags nx (no execution) de l amd64 donc pour l'overhead c'est pas sûr.
Sinon c'est par pure paranoïa (quoique je serais ptet ammené à stocker des données sensibles à terme) et je me disasi que si ça ne coute pas de ressources supplémentaires, pourquoi s'en priver. |
|
| Back to top |
|
|
Enlight
Advocate
Joined: 28 Oct 2004
Posts: 3519
Location: Alsace (France)
|
| Posted: Thu Jun 09, 2005 2:00 pm Post subject: |
|
|
| bump |
|
| Back to top |
|
|
titix
Guru
Joined: 01 Nov 2003
Posts: 343
Location: Paris, France
|
| Posted: Fri Jun 10, 2005 4:20 am Post subject: |
|
|
Les processeurs AMD64 gêrent parfaitement le pageexec au niveau hardware 
| Quote: | On 64 bit (amd64 for example) and other Hardware NX supporting
processors, there will be *no* overhead imposed by PAGEEXEC.  |
Pour reprendre ta phrase, pourquoi donc s'en priver!
_________________
titix
« La route est longue... mais la voie est libre ! » |
|
| Back to top |
|
|
Enlight
Advocate
Joined: 28 Oct 2004
Posts: 3519
Location: Alsace (France)
|
| Posted: Fri Jun 10, 2005 6:29 am Post subject: |
|
|
| Yes oki ça confirme ce que j'espérais, merci!!! |
|
| Back to top |
|
|
|
French
