Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
BiExi napisał(-a):
co do hardened to odradzam na początek :P
Sznurek: http://forum.dug.net.pl/viewtopic.php?pid=152158#p152158
Może to już nie początek, ale przeprowadzka na full hardened stała się faktem.
Na razie jeszcze nie całkiem, ale jestem coraz bliżej pełnych możliwości pancernego systemu:
~ # zegrep -i 'grker|pax' /proc/config.gz CONFIG_GRKERNSEC=y # CONFIG_GRKERNSEC_LOW is not set # CONFIG_GRKERNSEC_MEDIUM is not set # CONFIG_GRKERNSEC_HIGH is not set # CONFIG_GRKERNSEC_HARDENED_SERVER is not set # CONFIG_GRKERNSEC_HARDENED_SERVER_NO_RBAC is not set # CONFIG_GRKERNSEC_HARDENED_WORKSTATION is not set # CONFIG_GRKERNSEC_HARDENED_WORKSTATION_NO_RBAC is not set CONFIG_GRKERNSEC_CUSTOM=y CONFIG_GRKERNSEC_KMEM=y CONFIG_GRKERNSEC_VM86=y # CONFIG_GRKERNSEC_IO is not set CONFIG_GRKERNSEC_PROC_MEMMAP=y CONFIG_GRKERNSEC_BRUTE=y CONFIG_GRKERNSEC_MODHARDEN=y CONFIG_GRKERNSEC_HIDESYM=y # CONFIG_GRKERNSEC_NO_RBAC is not set CONFIG_GRKERNSEC_ACL_HIDEKERN=y CONFIG_GRKERNSEC_ACL_MAXTRIES=3 CONFIG_GRKERNSEC_ACL_TIMEOUT=30 CONFIG_GRKERNSEC_PROC=y # CONFIG_GRKERNSEC_PROC_USER is not set CONFIG_GRKERNSEC_PROC_USERGROUP=y CONFIG_GRKERNSEC_PROC_GID=100 CONFIG_GRKERNSEC_PROC_ADD=y CONFIG_GRKERNSEC_LINK=y CONFIG_GRKERNSEC_FIFO=y CONFIG_GRKERNSEC_ROFS=y CONFIG_GRKERNSEC_CHROOT=y CONFIG_GRKERNSEC_CHROOT_MOUNT=y CONFIG_GRKERNSEC_CHROOT_DOUBLE=y CONFIG_GRKERNSEC_CHROOT_PIVOT=y CONFIG_GRKERNSEC_CHROOT_CHDIR=y CONFIG_GRKERNSEC_CHROOT_CHMOD=y CONFIG_GRKERNSEC_CHROOT_FCHDIR=y CONFIG_GRKERNSEC_CHROOT_MKNOD=y CONFIG_GRKERNSEC_CHROOT_SHMAT=y CONFIG_GRKERNSEC_CHROOT_UNIX=y CONFIG_GRKERNSEC_CHROOT_FINDTASK=y CONFIG_GRKERNSEC_CHROOT_NICE=y CONFIG_GRKERNSEC_CHROOT_SYSCTL=y CONFIG_GRKERNSEC_CHROOT_CAPS=y CONFIG_GRKERNSEC_AUDIT_GROUP=y CONFIG_GRKERNSEC_AUDIT_GID=100 CONFIG_GRKERNSEC_EXECLOG=y CONFIG_GRKERNSEC_RESLOG=y CONFIG_GRKERNSEC_CHROOT_EXECLOG=y CONFIG_GRKERNSEC_AUDIT_PTRACE=y CONFIG_GRKERNSEC_AUDIT_CHDIR=y CONFIG_GRKERNSEC_AUDIT_MOUNT=y CONFIG_GRKERNSEC_SIGNAL=y CONFIG_GRKERNSEC_FORKFAIL=y CONFIG_GRKERNSEC_TIME=y CONFIG_GRKERNSEC_PROC_IPADDR=y CONFIG_GRKERNSEC_EXECVE=y CONFIG_GRKERNSEC_DMESG=y CONFIG_GRKERNSEC_HARDEN_PTRACE=y CONFIG_GRKERNSEC_TPE=y CONFIG_GRKERNSEC_TPE_ALL=y CONFIG_GRKERNSEC_TPE_INVERT=y CONFIG_GRKERNSEC_TPE_GID=100 CONFIG_GRKERNSEC_RANDNET=y CONFIG_GRKERNSEC_BLACKHOLE=y CONFIG_GRKERNSEC_SOCKET=y CONFIG_GRKERNSEC_SOCKET_ALL=y CONFIG_GRKERNSEC_SOCKET_ALL_GID=65534 CONFIG_GRKERNSEC_SOCKET_CLIENT=y CONFIG_GRKERNSEC_SOCKET_CLIENT_GID=65534 CONFIG_GRKERNSEC_SOCKET_SERVER=y CONFIG_GRKERNSEC_SOCKET_SERVER_GID=65534 CONFIG_GRKERNSEC_SYSCTL=y CONFIG_GRKERNSEC_SYSCTL_ON=y CONFIG_GRKERNSEC_SELINUX_AVC_LOG_IPADDR=y CONFIG_GRKERNSEC_FLOODTIME=10 CONFIG_GRKERNSEC_FLOODBURST=4 # PaX CONFIG_PAX_ENABLE_PAE=y CONFIG_PAX=y # PaX Control CONFIG_PAX_SOFTMODE=y CONFIG_PAX_EI_PAX=y CONFIG_PAX_PT_PAX_FLAGS=y # CONFIG_PAX_NO_ACL_FLAGS is not set CONFIG_PAX_HAVE_ACL_FLAGS=y # CONFIG_PAX_HOOK_ACL_FLAGS is not set # CONFIG_PAX_NOEXEC is not set CONFIG_PAX_ASLR=y CONFIG_PAX_RANDKSTACK=y CONFIG_PAX_RANDUSTACK=y CONFIG_PAX_RANDMMAP=y CONFIG_PAX_MEMORY_SANITIZE=y CONFIG_PAX_MEMORY_UDEREF=y CONFIG_PAX_REFCOUNT=y CONFIG_PAX_USERCOPY=y
Jeszcze jest tu kilka błędów, cośtam do poprawki, ale zaczyna to wyglądać dość profesjonalnie i strasznie zarazem.
W każdym razie, puki kaczka dupy nie umoczy, pływać się nie nauczy, a mnie w tej chwili działa 100% systemu, po wyłączeniu funkcji
echo 0 > /proc/sys/kernel/grsecurity/tpe echo "0" > /proc/sys/kernel/grsecurity/tpe_restrict_all
- która blokowała sporo programów for root only :D i wysłaniu na urlop noexec z paxa.
Noexec ma wrócić w ciągu kilku tygodni, jak dokładniej obczaję pax-utils, paxctl i chpax.
A w szczególności podpisywanie binarek.
gcc version 4.5.1 (Gentoo Hardened 4.5.1-r1 p1.4, pie-0.4.5)
eselect kernel list
Available kernel symlink targets:
[1] linux-2.6.36-gentoo-r3
[2] linux-2.6.36-hardened-r4
[3] linux-2.6.36-hardened-r8 *
[4] linux-2.6.37
Co ciekawsze, jajo hardened chodzi trochę szybciej, niż zwykłe 2.6.36 i 2.6.37 - mam na myśli reakcję na kliknięcie myszki, otwarcie okna, itp (łatka autogroup ta sama).
Widać to głównie w grafice.
Ster nvidii chodzi, w Quake sobie pograłem na nowym jaju, także można wytrzymać.
I w ten sposób główny powód przeprowadzki na Gentoo, - zamiar przetestowania takiego "czołgu", i sprawdzenia, do czego się toto nadaje, - powoli się realizuje.
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2011-02-18 03:29:44)
Offline
tpe ma możliwość dodania grupy "zaufanych" dla których te zabezpieczenia nie działają :)
a tak poza tym.. czy ja dobrze zrozumiałem? hardened na desktopie? Oo
Offline
Dobrze zrozumiałeś hardened na dekstopie, a tpe jest właśnie do tego, ma możliwość white|black listowania userów, którzy mogą uruchamiać programy z niezaufanych ścieżek.
Nie udało mi się na razie z pax-noexec.
Offline
Znalazł się kolejny masochista używający Gentoo Hardened. Z tym, że troszkę mniejszy bo na serwerze :) No ale mniejsza o to gdzie . Powiedzcie mi 2 rzeczy :) Maszynka jest na KVM.
1) dlaczego, do jasnej cholery, PHP nie chce się skompilować z obsługą imap i mysql? Trochę info:
nilfheim ~ # grep php /etc/portage/package.use dev-lang/php bcmath crypt curl exif fpm ftp gd imap ipv6 mysql nls pdo recode snmp soap sockets threads truetype unicode postgres xml
nilfheim ~ # qlist -IUC postgres app-admin/eselect-postgresql dev-db/postgresql-base (linguas_pl nls pam readline ssl threads zlib) dev-db/postgresql-server (kernel_linux linguas_pl nls perl python) nilfheim ~ # qlist -IUC mysql dev-db/mysql (community perl ssl) dev-db/mysql-init-scripts dev-perl/DBD-mysql virtual/mysql nilfheim ~ # qlist -IUC qmail mail-mta/netqmail (authcram qmail-spp ssl)
nilfheim ~ # emerge dev-lang/php These are the packages that would be merged, in order: Calculating dependencies... done! emerge: there are no ebuilds built with USE flags to satisfy "=dev-lang/php-5.3.5[-imap,-mysql,-mysqli]". !!! One of the following packages is required to complete your request: - dev-lang/php-5.3.5 (Change USE: -imap -mysql) (dependency required by "dev-lang/php-5.3.5" [ebuild]) (dependency required by "dev-lang/php" [argument])
Podczas gdy na maszynie, gdzie jest "czyste" Gentoo, na OpenVZ instaluje sie bez zająknięcia.
2) Jak dorzucić suhosin do tego cholernego PHP. Na OpenVZ ruszyło bez zająknięcia tutaj się buntuje ;/
nilfheim ~ # USE="-mysql -imap" emerge dev-lang/php These are the packages that would be merged, in order: Calculating dependencies... done! [nomerge ] dev-lang/php-5.3.5 USE="bcmath berkdb bzip2 cli crypt ctype curl exif fileinfo filter fpm ftp gd gdbm gmp hash iconv ipv6 json nls pdo phar pic posix postgres readline recode session simplexml snmp soap sockets spell ssl suhosin threads tokenizer truetype unicode xml zlib (-adabas) -apache2 (-birdstep) -calendar -cdb -cgi -cjk -curlwrappers -db2 (-dbmaker) -debug -doc -embed (-empress) (-empress-bcs) -enchant (-esoob) (-firebird) -flatfile (-frontbase) -gd-external -imap -inifile -interbase -intl -iodbc -kerberos -kolab -ldap -ldap-sasl -libedit -mhash -mssql -mysql -mysqli -mysqlnd -oci8 -oci8-instant-client -odbc -pcntl -qdbm -sapdb -sharedext -sharedmem (-solid) -sqlite -sqlite3 (-sybase-ct) -sysvipc -tidy -wddx -xmlreader -xmlrpc -xmlwriter -xpm -xsl -zip" [ebuild N ] dev-php5/suhosin-0.9.32.1-r2 PHP_TARGETS="php5-3 -php5-2" 117 kB [ebuild N ] dev-lang/php-5.3.5 USE="bcmath berkdb bzip2 cli crypt ctype curl exif fileinfo filter fpm ftp gd gdbm gmp hash iconv ipv6 json nls pdo phar pic posix postgres readline recode session simplexml snmp soap sockets spell ssl suhosin threads tokenizer truetype unicode xml zlib (-adabas) -apache2 (-birdstep) -calendar -cdb -cgi -cjk -curlwrappers -db2 (-dbmaker) -debug -doc -embed (-empress) (-empress-bcs) -enchant (-esoob) (-firebird) -flatfile (-frontbase) -gd-external -imap -inifile -interbase -intl -iodbc -kerberos -kolab -ldap -ldap-sasl -libedit -mhash -mssql -mysql -mysqli -mysqlnd -oci8 -oci8-instant-client -odbc -pcntl -qdbm -sapdb -sharedext -sharedmem (-solid) -sqlite -sqlite3 (-sybase-ct) -sysvipc -tidy -wddx -xmlreader -xmlrpc -xmlwriter -xpm -xsl -zip" 10,603 kB Total: 2 packages (2 new), Size of downloads: 10,719 kB * Error: circular dependencies: (dev-lang/php-5.3.5, ebuild scheduled for merge) depends on (dev-lang/php-5.3.5, ebuild scheduled for merge) (buildtime) It might be possible to break this cycle by applying the following change: - dev-lang/php-5.3.5 (Change USE: -suhosin) Note that this change can be reverted, once the package has been installed.
Dobrze rozumuje co dziad do mnie rozmawia? Najpierw "czyste" bez suhosin a potem rekompilować z ?
Już mnie ręce opadywują :)
Offline
W kompilatorze hardened jest ruska ruletka z flagami php, czasem się kompiluje, czasem nie.
U mnie wylądowały równolegle 2 wersje:
qlist -IvU dev-lang/php dev-lang/php-5.2.17 (bcmath berkdb bzip2 calendar cgi cjk cli crypt ctype curl curlwrappers filter firebird flatfile gd gdbm gmp hash iconv imap inifile iodbc json mysql mysqli ncurses nls odbc pcre pdo pic posix postgres readline session simplexml soap spell sqlite ssl threads tokenizer truetype unicode xml xmlreader xmlrpc xmlwriter xpm xsl zip zlib) dev-lang/php-5.3.5-r1 (bcmath berkdb bzip2 calendar cgi cjk cli crypt ctype curl curlwrappers fileinfo filter flatfile fpm gd gdbm gmp hash iconv imap inifile iodbc json mysql mysqli mysqlnd nls odbc pdo phar pic posix postgres readline session simplexml soap spell sqlite sqlite3 ssl suhosin threads tokenizer truetype unicode xml xmlreader xmlrpc xmlwriter xpm xsl zip zlib)
Oba kompilowane kompilatorem
sys-devel/gcc-4.5.1-r1 (gtk hardened mudflap nls nptl openmp)
Co do flagi imap, nie mam jej, a roundcube działa bez tego na lighttpd i php przez php-fpm (socket).
grep -v '#' /etc/lighttpd/mod_fastcgi.conf server.modules += ("mod_fastcgi") fastcgi.server = ( ".php" => (( "socket" => "/var/run/php.sock" )))
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2011-02-18 03:42:19)
Offline
nilfheim ~ # gcc-config -l [1] x86_64-pc-linux-gnu-4.4.4 [2] x86_64-pc-linux-gnu-4.4.4-hardenednopie * [3] x86_64-pc-linux-gnu-4.4.4-hardenednopiessp [4] x86_64-pc-linux-gnu-4.4.4-hardenednossp [5] x86_64-pc-linux-gnu-4.4.4-vanilla nilfheim ~ # gcc --version gcc (Gentoo Hardened 4.4.4-r2 p1.3, pie-0.4.5) 4.4.4 Copyright (C) 2010 Free Software Foundation, Inc. This is free software; see the source for copying conditions. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
oczywiście stable:
nilfheim ~ # grep -i keyword /etc/make.conf ACCEPT_KEYWORDS="amd64"
Offline
$ gcc-config -l [1] i686-pc-linux-gnu-4.4.4 [2] i686-pc-linux-gnu-4.4.4-hardenednopie [3] i686-pc-linux-gnu-4.4.4-hardenednopiessp [4] i686-pc-linux-gnu-4.4.4-hardenednossp [5] i686-pc-linux-gnu-4.4.4-vanilla [6] i686-pc-linux-gnu-4.5.1 * [7] i686-pc-linux-gnu-4.5.1-hardenednopie [8] i686-pc-linux-gnu-4.5.1-hardenednopiessp [9] i686-pc-linux-gnu-4.5.1-hardenednossp [10] i686-pc-linux-gnu-4.5.1-vanilla
Do webmaila imapa nie potrzebujesz, patrz wyżej.
A jak nie potrzebujesz do webmaila, to do czego?
Ostatnio edytowany przez Jacekalex (2011-02-18 03:46:06)
Offline
Hardended u mnie działa :p krzystam na desktopie jakieś 8 miechów.
Napisano dzięki systemowi Android 2.3.2.
Offline
Strony: 1