Hey flipperfish,
1) Das OS muss NX-Stack, Stack-Canaries und ASLR unterstützen. Weiter oben erwähnte ich Windows Vista/7 mit EMET. Das ist IMHO schon eine recht brauchbare Kombi. Windows XP ist wegen des fehlenden ASLR im Kernel keine Empfehlung mehr. Falls Linux, dann nur mit diesen Features.
Wie sieht es denn damit derzeit bei den gängigen Linux-Distributionen aus? Als ich das letzte mal Nachforschungen zu diesem Thema angestellt habe, war es eher so, dass man noch zusätzliche Kernel-Patches wie "grsecurity", "execshield", etc. für alles, was über das NX-Bit hinausging, benötigte.
Das gilt IMHO auch weiterhin für ExecShield. Zumindest habe ich es bisher nicht in der Kernelkonfiguration gesehen. Vermutlich muss es gepatcht werden, wenn man kein RedHat, Fedora oder CentOS hat.
Im Standardkernel ist dafür aber PaX vorhanden. Grsecurity muss ebenfalls nicht mehr durch einen separaten Kernelpatch nachgereicht werden.
Standardmäßig scheinen bisher alle aktuellen Linuxdistros (abgesehen von "Damn Vulnerable Linux") ASLR einzusetzen. Wie es dabei mit den restlichen Schutzmaßnahmen aussieht, kann ich nicht beurteilen. Mir fehlt schlicht die Zeit, um mir selbst ein aktuelles Bild davon zu machen.
Das ist einer der Gründe, warum ich hoffe, in diesem Thread vielleicht etwas dazuzulernen.
Gruss
Bill