Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2011-01-09 07:04:41

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

[hardened]....odradzam na początek.....

BiExi napisał(-a):

co do hardened  to odradzam na początek :P

Sznurek: http://forum.dug.net.pl/viewtopic.php?pid=152158#p152158

Może to już nie początek, ale przeprowadzka na full hardened stała się faktem.
Na razie jeszcze nie całkiem, ale jestem coraz bliżej pełnych możliwości pancernego systemu:

Kod:

~ # zegrep -i 'grker|pax' /proc/config.gz
CONFIG_GRKERNSEC=y
# CONFIG_GRKERNSEC_LOW is not set
# CONFIG_GRKERNSEC_MEDIUM is not set
# CONFIG_GRKERNSEC_HIGH is not set
# CONFIG_GRKERNSEC_HARDENED_SERVER is not set
# CONFIG_GRKERNSEC_HARDENED_SERVER_NO_RBAC is not set
# CONFIG_GRKERNSEC_HARDENED_WORKSTATION is not set
# CONFIG_GRKERNSEC_HARDENED_WORKSTATION_NO_RBAC is not set
CONFIG_GRKERNSEC_CUSTOM=y
CONFIG_GRKERNSEC_KMEM=y
CONFIG_GRKERNSEC_VM86=y
# CONFIG_GRKERNSEC_IO is not set
CONFIG_GRKERNSEC_PROC_MEMMAP=y
CONFIG_GRKERNSEC_BRUTE=y
CONFIG_GRKERNSEC_MODHARDEN=y
CONFIG_GRKERNSEC_HIDESYM=y
# CONFIG_GRKERNSEC_NO_RBAC is not set
CONFIG_GRKERNSEC_ACL_HIDEKERN=y
CONFIG_GRKERNSEC_ACL_MAXTRIES=3
CONFIG_GRKERNSEC_ACL_TIMEOUT=30
CONFIG_GRKERNSEC_PROC=y
# CONFIG_GRKERNSEC_PROC_USER is not set
CONFIG_GRKERNSEC_PROC_USERGROUP=y
CONFIG_GRKERNSEC_PROC_GID=100
CONFIG_GRKERNSEC_PROC_ADD=y
CONFIG_GRKERNSEC_LINK=y
CONFIG_GRKERNSEC_FIFO=y
CONFIG_GRKERNSEC_ROFS=y
CONFIG_GRKERNSEC_CHROOT=y
CONFIG_GRKERNSEC_CHROOT_MOUNT=y
CONFIG_GRKERNSEC_CHROOT_DOUBLE=y
CONFIG_GRKERNSEC_CHROOT_PIVOT=y
CONFIG_GRKERNSEC_CHROOT_CHDIR=y
CONFIG_GRKERNSEC_CHROOT_CHMOD=y
CONFIG_GRKERNSEC_CHROOT_FCHDIR=y
CONFIG_GRKERNSEC_CHROOT_MKNOD=y
CONFIG_GRKERNSEC_CHROOT_SHMAT=y
CONFIG_GRKERNSEC_CHROOT_UNIX=y
CONFIG_GRKERNSEC_CHROOT_FINDTASK=y
CONFIG_GRKERNSEC_CHROOT_NICE=y
CONFIG_GRKERNSEC_CHROOT_SYSCTL=y
CONFIG_GRKERNSEC_CHROOT_CAPS=y
CONFIG_GRKERNSEC_AUDIT_GROUP=y
CONFIG_GRKERNSEC_AUDIT_GID=100
CONFIG_GRKERNSEC_EXECLOG=y
CONFIG_GRKERNSEC_RESLOG=y
CONFIG_GRKERNSEC_CHROOT_EXECLOG=y
CONFIG_GRKERNSEC_AUDIT_PTRACE=y
CONFIG_GRKERNSEC_AUDIT_CHDIR=y
CONFIG_GRKERNSEC_AUDIT_MOUNT=y
CONFIG_GRKERNSEC_SIGNAL=y
CONFIG_GRKERNSEC_FORKFAIL=y
CONFIG_GRKERNSEC_TIME=y
CONFIG_GRKERNSEC_PROC_IPADDR=y
CONFIG_GRKERNSEC_EXECVE=y
CONFIG_GRKERNSEC_DMESG=y
CONFIG_GRKERNSEC_HARDEN_PTRACE=y
CONFIG_GRKERNSEC_TPE=y
CONFIG_GRKERNSEC_TPE_ALL=y
CONFIG_GRKERNSEC_TPE_INVERT=y
CONFIG_GRKERNSEC_TPE_GID=100
CONFIG_GRKERNSEC_RANDNET=y
CONFIG_GRKERNSEC_BLACKHOLE=y
CONFIG_GRKERNSEC_SOCKET=y
CONFIG_GRKERNSEC_SOCKET_ALL=y
CONFIG_GRKERNSEC_SOCKET_ALL_GID=65534
CONFIG_GRKERNSEC_SOCKET_CLIENT=y
CONFIG_GRKERNSEC_SOCKET_CLIENT_GID=65534
CONFIG_GRKERNSEC_SOCKET_SERVER=y
CONFIG_GRKERNSEC_SOCKET_SERVER_GID=65534
CONFIG_GRKERNSEC_SYSCTL=y
CONFIG_GRKERNSEC_SYSCTL_ON=y
CONFIG_GRKERNSEC_SELINUX_AVC_LOG_IPADDR=y
CONFIG_GRKERNSEC_FLOODTIME=10
CONFIG_GRKERNSEC_FLOODBURST=4
# PaX
CONFIG_PAX_ENABLE_PAE=y
CONFIG_PAX=y
# PaX Control
CONFIG_PAX_SOFTMODE=y
CONFIG_PAX_EI_PAX=y
CONFIG_PAX_PT_PAX_FLAGS=y
# CONFIG_PAX_NO_ACL_FLAGS is not set
CONFIG_PAX_HAVE_ACL_FLAGS=y
# CONFIG_PAX_HOOK_ACL_FLAGS is not set
# CONFIG_PAX_NOEXEC is not set
CONFIG_PAX_ASLR=y
CONFIG_PAX_RANDKSTACK=y
CONFIG_PAX_RANDUSTACK=y
CONFIG_PAX_RANDMMAP=y
CONFIG_PAX_MEMORY_SANITIZE=y
CONFIG_PAX_MEMORY_UDEREF=y
CONFIG_PAX_REFCOUNT=y
CONFIG_PAX_USERCOPY=y

Jeszcze jest tu kilka błędów, cośtam do poprawki, ale zaczyna to wyglądać dość profesjonalnie i strasznie zarazem.

W każdym razie, puki kaczka dupy nie umoczy, pływać się nie nauczy, a mnie w tej chwili działa 100% systemu, po wyłączeniu funkcji

Kod:

echo 0 > /proc/sys/kernel/grsecurity/tpe
echo "0" > /proc/sys/kernel/grsecurity/tpe_restrict_all

- która blokowała sporo programów for root only :D i wysłaniu na urlop noexec z paxa.
Noexec ma wrócić w ciągu kilku tygodni, jak dokładniej obczaję pax-utils, paxctl i chpax.
A w szczególności podpisywanie binarek.

Kod:

gcc version 4.5.1 (Gentoo Hardened 4.5.1-r1 p1.4, pie-0.4.5)

eselect kernel list
Available kernel symlink targets:
  [1]   linux-2.6.36-gentoo-r3
  [2]   linux-2.6.36-hardened-r4
  [3]   linux-2.6.36-hardened-r8 *
  [4]   linux-2.6.37

Co ciekawsze, jajo hardened chodzi trochę szybciej, niż zwykłe 2.6.36 i 2.6.37  - mam na myśli reakcję na kliknięcie myszki, otwarcie okna, itp (łatka autogroup ta sama).
Widać to głównie w grafice.
Ster nvidii chodzi, w Quake sobie pograłem na nowym jaju, także można wytrzymać.

I w ten sposób główny powód przeprowadzki na Gentoo,  - zamiar przetestowania takiego "czołgu", i sprawdzenia, do czego się toto nadaje, -  powoli się realizuje.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2011-02-18 03:29:44)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#2  2011-02-05 15:23:21

  ZiomekPL - Członek DUG

ZiomekPL
Członek DUG
Zarejestrowany: 2009-12-18

Re: [hardened]....odradzam na początek.....

tpe ma możliwość dodania grupy "zaufanych" dla których te zabezpieczenia nie działają :)
a tak poza tym.. czy ja dobrze zrozumiałem? hardened na desktopie? Oo


Gentoo! user

Offline

 

#3  2011-02-05 15:55:20

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: [hardened]....odradzam na początek.....

Dobrze zrozumiałeś hardened na dekstopie, a tpe jest właśnie do tego, ma możliwość white|black listowania userów, którzy mogą uruchamiać programy z niezaufanych ścieżek.
Nie udało mi się na razie z pax-noexec.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2011-02-18 02:37:16

  winnetou - złodziej wirków ]:->

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańs
Zarejestrowany: 2008-03-31
Serwis

Re: [hardened]....odradzam na początek.....

Znalazł się kolejny masochista używający Gentoo Hardened. Z tym, że troszkę mniejszy bo na serwerze :) No ale mniejsza o to gdzie . Powiedzcie mi 2 rzeczy :) Maszynka jest na KVM.

1) dlaczego, do jasnej cholery, PHP nie chce się skompilować z obsługą imap i mysql? Trochę info:

Kod:

nilfheim ~ # grep php /etc/portage/package.use 
dev-lang/php bcmath crypt curl exif fpm ftp gd imap ipv6 mysql nls pdo recode snmp soap sockets threads truetype unicode postgres xml

Kod:

nilfheim ~ # qlist -IUC postgres
app-admin/eselect-postgresql
dev-db/postgresql-base (linguas_pl nls pam readline ssl threads zlib)
dev-db/postgresql-server (kernel_linux linguas_pl nls perl python)
nilfheim ~ # qlist -IUC mysql   
dev-db/mysql (community perl ssl)
dev-db/mysql-init-scripts
dev-perl/DBD-mysql
virtual/mysql
nilfheim ~ # qlist -IUC qmail
mail-mta/netqmail (authcram qmail-spp ssl)

Kod:

nilfheim ~ # emerge dev-lang/php

These are the packages that would be merged, in order:

Calculating dependencies... done!

emerge: there are no ebuilds built with USE flags to satisfy "=dev-lang/php-5.3.5[-imap,-mysql,-mysqli]".
!!! One of the following packages is required to complete your request:
- dev-lang/php-5.3.5 (Change USE: -imap -mysql)
(dependency required by "dev-lang/php-5.3.5" [ebuild])
(dependency required by "dev-lang/php" [argument])

Podczas gdy na maszynie, gdzie jest "czyste" Gentoo, na OpenVZ instaluje sie bez zająknięcia.

2) Jak dorzucić suhosin do tego cholernego PHP. Na OpenVZ ruszyło bez zająknięcia tutaj się buntuje ;/

Kod:

nilfheim ~ # USE="-mysql -imap" emerge dev-lang/php

These are the packages that would be merged, in order:

Calculating dependencies... done!


[nomerge      ] dev-lang/php-5.3.5  USE="bcmath berkdb bzip2 cli crypt ctype curl exif fileinfo filter fpm ftp gd gdbm gmp hash iconv ipv6 json nls pdo phar pic posix postgres readline recode session simplexml snmp soap sockets spell ssl suhosin threads tokenizer truetype unicode xml zlib (-adabas) -apache2 (-birdstep) -calendar -cdb -cgi -cjk -curlwrappers -db2 (-dbmaker) -debug -doc -embed (-empress) (-empress-bcs) -enchant (-esoob) (-firebird) -flatfile (-frontbase) -gd-external -imap -inifile -interbase -intl -iodbc -kerberos -kolab -ldap -ldap-sasl -libedit -mhash -mssql -mysql -mysqli -mysqlnd -oci8 -oci8-instant-client -odbc -pcntl -qdbm -sapdb -sharedext -sharedmem (-solid) -sqlite -sqlite3 (-sybase-ct) -sysvipc -tidy -wddx -xmlreader -xmlrpc -xmlwriter -xpm -xsl -zip"                                                     
[ebuild  N    ]  dev-php5/suhosin-0.9.32.1-r2  PHP_TARGETS="php5-3 -php5-2" 117 kB
[ebuild  N    ]   dev-lang/php-5.3.5  USE="bcmath berkdb bzip2 cli crypt ctype curl exif fileinfo filter fpm ftp gd gdbm gmp hash iconv ipv6 json nls pdo phar pic posix postgres readline recode session simplexml snmp soap sockets spell ssl suhosin threads tokenizer truetype unicode xml zlib (-adabas) -apache2 (-birdstep) -calendar -cdb -cgi -cjk -curlwrappers -db2 (-dbmaker) -debug -doc -embed (-empress) (-empress-bcs) -enchant (-esoob) (-firebird) -flatfile (-frontbase) -gd-external -imap -inifile -interbase -intl -iodbc -kerberos -kolab -ldap -ldap-sasl -libedit -mhash -mssql -mysql -mysqli -mysqlnd -oci8 -oci8-instant-client -odbc -pcntl -qdbm -sapdb -sharedext -sharedmem (-solid) -sqlite -sqlite3 (-sybase-ct) -sysvipc -tidy -wddx -xmlreader -xmlrpc -xmlwriter -xpm -xsl -zip" 10,603 kB

Total: 2 packages (2 new), Size of downloads: 10,719 kB

 * Error: circular dependencies:

(dev-lang/php-5.3.5, ebuild scheduled for merge) depends on
 (dev-lang/php-5.3.5, ebuild scheduled for merge) (buildtime)

It might be possible to break this cycle
by applying the following change:
- dev-lang/php-5.3.5 (Change USE: -suhosin)

Note that this change can be reverted, once the package has been installed.

Dobrze rozumuje co dziad do mnie rozmawia? Najpierw "czyste" bez suhosin a potem rekompilować z ?

Już mnie ręce opadywują :)


LRU: #472938
napisz do mnie: ola@mojmail.eu
Hołmpejdż | Galerie | "Twórczość" || Free Image Hosting

Offline

 

#5  2011-02-18 03:29:21

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: [hardened]....odradzam na początek.....

W kompilatorze hardened jest ruska ruletka z flagami php, czasem się kompiluje, czasem nie.
U mnie wylądowały równolegle 2 wersje:

Kod:

qlist -IvU dev-lang/php
dev-lang/php-5.2.17 (bcmath berkdb bzip2 calendar cgi cjk cli crypt ctype curl curlwrappers filter firebird flatfile gd gdbm gmp hash iconv imap inifile iodbc json mysql mysqli ncurses nls odbc pcre pdo pic posix postgres readline session simplexml soap spell sqlite ssl threads tokenizer truetype unicode xml xmlreader xmlrpc xmlwriter xpm xsl zip zlib)

dev-lang/php-5.3.5-r1 (bcmath berkdb bzip2 calendar cgi cjk cli crypt ctype curl curlwrappers fileinfo filter flatfile fpm gd gdbm gmp hash iconv imap inifile iodbc json mysql mysqli mysqlnd nls odbc pdo phar pic posix postgres readline session simplexml soap spell sqlite sqlite3 ssl suhosin threads tokenizer truetype unicode xml xmlreader xmlrpc xmlwriter xpm xsl zip zlib)

Oba kompilowane kompilatorem

Kod:

sys-devel/gcc-4.5.1-r1 (gtk hardened mudflap nls nptl openmp)

Co do flagi imap, nie mam jej, a roundcube działa bez tego na lighttpd i php przez php-fpm (socket).

Kod:

grep -v '#' /etc/lighttpd/mod_fastcgi.conf

server.modules += ("mod_fastcgi")

fastcgi.server = ( ".php" => ((
                     "socket" => "/var/run/php.sock"
                 )))

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2011-02-18 03:42:19)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2011-02-18 03:39:15

  winnetou - złodziej wirków ]:->

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańs
Zarejestrowany: 2008-03-31
Serwis

Re: [hardened]....odradzam na początek.....

Kod:

nilfheim ~ # gcc-config -l
 [1] x86_64-pc-linux-gnu-4.4.4
 [2] x86_64-pc-linux-gnu-4.4.4-hardenednopie *
 [3] x86_64-pc-linux-gnu-4.4.4-hardenednopiessp
 [4] x86_64-pc-linux-gnu-4.4.4-hardenednossp
 [5] x86_64-pc-linux-gnu-4.4.4-vanilla
nilfheim ~ # gcc --version
gcc (Gentoo Hardened 4.4.4-r2 p1.3, pie-0.4.5) 4.4.4
Copyright (C) 2010 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.  There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

oczywiście stable:

Kod:

nilfheim ~ # grep -i keyword /etc/make.conf
ACCEPT_KEYWORDS="amd64"

LRU: #472938
napisz do mnie: ola@mojmail.eu
Hołmpejdż | Galerie | "Twórczość" || Free Image Hosting

Offline

 

#7  2011-02-18 03:45:39

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: [hardened]....odradzam na początek.....

Kod:

$ gcc-config -l
 [1] i686-pc-linux-gnu-4.4.4
 [2] i686-pc-linux-gnu-4.4.4-hardenednopie
 [3] i686-pc-linux-gnu-4.4.4-hardenednopiessp
 [4] i686-pc-linux-gnu-4.4.4-hardenednossp
 [5] i686-pc-linux-gnu-4.4.4-vanilla
 [6] i686-pc-linux-gnu-4.5.1 *
 [7] i686-pc-linux-gnu-4.5.1-hardenednopie
 [8] i686-pc-linux-gnu-4.5.1-hardenednopiessp
 [9] i686-pc-linux-gnu-4.5.1-hardenednossp
 [10] i686-pc-linux-gnu-4.5.1-vanilla

Do webmaila imapa nie potrzebujesz, patrz wyżej.
A jak nie potrzebujesz do webmaila, to do czego?

Ostatnio edytowany przez Jacekalex (2011-02-18 03:46:06)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2011-02-18 15:34:55

  torrentow - Członek Sejmowej Komisji Śledczej

torrentow
Członek Sejmowej Komisji Śledczej
Skąd: z GNU
Zarejestrowany: 2009-11-23

Re: [hardened]....odradzam na początek.....

Hardended u mnie działa :p krzystam na desktopie jakieś 8 miechów.
Napisano dzięki systemowi Android 2.3.2.


Każdy sam sobie szkodzi :)
http://img715.imageshack.us/img715/7104/apt.png

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)