Найдено объяснение тормознутости openSUSE и Fedora

Удивительный случай произошел на прошлой неделе. В позорной поделке г-на Поттеринга SystemD нашли очередные критические дыры. На этот раз в системе журналирования. Говорили же пацанчику, что не стоит делать из простой системы инициализации целый комбайн а-ля и швец, и жнец, и на дуде игрец.

Но сейчас речь не об этом. Специалисты в области компьютерной безопасности с удивлением обнаружили, что дырявы почти все дистрибутивы, но нашлись и такие, в которых эксплоиты для SystemD попросту не срабатывали:

• SUSE Linux Enterprise 15;
• openSUSE Leap 15.0;
• Fedora 28 и 29

Это удивительно. По сути, производители Суси и Федоры заранее защитили свои дистры от взлома, который изобрели в будущем. Как это возможно? Специалисты засели за дебагеры и выяснили, что хотя все дистрибутивы — это всё те же яйца, только вид в профиль программы, но различаться сборки могут параметрами компилятора. Этих параметров сотни и каждый влияет на безопасность и производительность.

Секрет защиты от взлома указанных выше дистрибутивов оказался прост: они собраны с опцией GCC -fstack-clash-protection. Компилятор сам добавляет защиту в результирующий бинарный код, что автоматически защищает от целого класса атак. Почему же тогда все дистрибутивостроители не используют -fstack-clash-protection и все остальные опции защиты, коих довольно много? Потому, что дополнительные проверки заметно снижают производительность. Получается интересный и взаимоисключающий выбор: пользоваться глючной, небезопасной, но быстрой ОС, либо поставить жалкий тормоз типа Федоры и наслаждаться осознанием того факта, что соседа с Ubuntu нагнут злые каккеры, а тебя — нет.

Юный друг, а что важнее для тебя: производительность или безопасность?