Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2013-01-02 13:26:06
nvll - Nowy użytkownik
- nvll
- Nowy użytkownik
- Zarejestrowany: 2013-01-02
Problem z grsecurity
Witam
Posiadam serwer vps xen hvm z zainstalowanym debianem squeeze. Postanowiłem zainstalować grsecurity. Więc ściągnąłem źródła kernela 2.6.32.60 i łatkę grsecurity. Skopiowałem aktualną konfigurację kernela, w make menuconfig zaznaczyłem grsecurity, skompilowałem kernel i zainstalowałem. Po uruchomieniu serwera vps z kernelem z grsecurity nie działa sieć. Otrzymuję następujące błędy:
Kod:
Configuring network interfaces...SIOCSIFADDR: No such device eth0: ERROR while getting interface flags: No such device SIOCSIFNETMASK: No such device eth0: ERROR while getting interface flags: No such device Failed to bring up eth0.
Kod:
INIT: Id "co" respawning too fast: disabled for 5 minutes
Na debianowym kernelu 2.6.32-5-amd64 wszystko działa ok.
Mój .config: http://pastebin.com/UrTBvqYe
Wynik polecenia ifconfig -a:
na 2.6.32-5-amd64: http://pastebin.com/ruWkJGRz
na kernelu z grsecurity: http://pastebin.com/u3EE90Tg
Wynik polecenia lspci:
na 2.6.32-5-amd64: http://pastebin.com/pX7y1YwU
na kernelu z grsecurity: http://pastebin.com/mARgpEAy
/var/log/dmesg:
na 2.6.32-5-amd64: http://pastebin.com/SEs2rNNg
na kernelu z grsecurity: http://pastebin.com/8inVyu2h
Ostatnio edytowany przez nvll (2013-01-02 14:01:10)
Offline
#2 2013-01-02 18:17:55
Jacekalex - 
Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Problem z grsecurity
Po pierwsze, w jaju 2.6.32.60 chyba jeszcze nie ma suportu Xena.
Ten się pojawił dopiero w jaju 3.0, dlatego radziłbym kompilować jajo 3.2 - Xen natywnie i stabilna łatka Grsec.
Radziłbym też przygotować solidny konfig kernela dopasowany do sprzętu.
Bo albo brakuje jakiegoś sterownika, albo udev jest ubijany przez paxa.
Jeśli włączyłeś w systemie Debian
Kod:
CONFIG_PAX_NOEXEC=y CONFIG_PAX_MPROTECT=y
a sam system nie jest przystosowany do takich zabawek, jak mprotect, to niech ten serwer Pan Bóg ma w swojej opiece, dziwne, ze w ogóle na nim coś działa i coś wstaje.
Grsec i Pax to bardzo "mięsożerne" zabezpieczenia.
Najlepszy suport do grsec znajdziesz na tym forum:
http://forums.grsecurity.net/
Ostatnio edytowany przez Jacekalex (2013-01-02 19:26:07)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2013-01-02 18:21:44
nvll - Nowy użytkownik
- nvll
- Nowy użytkownik
- Zarejestrowany: 2013-01-02
Re: Problem z grsecurity
Nie potrzebuję obsługi xena w kernelu. VPS działa na pełnej wirtualizacji XEN HVM i kernel nie musi mieć wkompilowanej obsługi xena. Za chwilę spróbuję jeszcze skompilować kernel bez paxa.
Offline
#4 2013-01-02 18:27:35
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Problem z grsecurity
Być może wystarczy włączyć pax-softmode, o ile wkompilowałeś to w kernel.
Debian na razie nie stosuje flag bind-now i PIE - (to flagi do kompilacji), inne bezpieczne flagi kompilatora pojawiły się niedawno na poważnie dopiero w Wheezym, w Squeeze występują sporadycznie.
Dlatego do Squeeze całego grseca i paxa bym nie brał, ewentualnie jakieś pojedyncze funkcje, jak ochrona chroota.
Sznurki:
http://forum.dug.net.pl/viewtopic.php?pid=175377
http://dug.net.pl/news/323/
Ostatnio edytowany przez Jacekalex (2013-01-02 18:35:12)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline