[SOLVED] Jak zainstalować Gentoo Hardened?

[gesnet]

Jak zainstalować Gentoo Hardened?


Gentoo Hardened – „(...) samo w sobie, nie jest produktem, ani rozwiązaniem. Jest to po prostu projekt zrzeszający grupę developerów, którzy dążą do tego samego celu, jakim jest niezwykle prewencyjne bezpieczeństwo”.
http://www.gentoo.org/proj/pl/hardened/primer.xml
Hardened Gentoo is a project of Gentoo Linux that is enhancing the distribution with security addons.
http://en.wikipedia.org/wiki/Hardened_Gentoo
Is government currently using your project(s)?

Sandia (The Sandia National Laboratories, Research: National security, nuclear,. a wholly owned subsidiary of Lockheed Martin Corporation) uses Gentoo Linux in research. Some military labs use Hardened Gentoo (an selinux secure variant of Gentoo Linux), although we do not know exactly how those machines are being used.
http://www.uneca.org/itca/governance/Do ... Source.pdf
http://www.nsa.gov/research/_files/seli ... ls2004.pdf

1) Gdzie jest instalka, dystrybucja tego systemu, (czy to jest w ogóle system) ISO czy coś? znalazłem na sieci tylko instalkę Gentoo pod adresem http://gentoo.ussg.indiana.edu//release ... b-10.1.iso . Instalka ta ma prawie dwa lata.

2) Ktoś ma podręcznik użytkownika? Znalazłem na sieci w języku polskim tylko podręcznik "Gentoo Linux Instrukcja instalacji i konfiguracji systemu" ktoś ma coś co dotyczy stricte "Gentoo Hardened"?
foton.ap.krakow.pl/~lupus/gentoo.pdf

3) Ktoś zna jakieś forum w języku polskim bądź angielskim dotyczące "Gentoo Hardened?" Znalazłem tylko to: http://forums.gentoo.org/viewforum-f-45.html lub http://linuksowo.pl/index.php?t=thread& ... 0253fe6dc7 lub http://www.gentoo.org.pl/component/opti ... Itemid,58/ http://forum.dug.net.pl/viewforum.php?id=11

4) Czy ktoś zna bezpieczniejszy system niż "Gentoo Hardened?"

5) Ktoś wie jakie są różnice między "Ubuntu Hardened", "Gentoo Hardened", a Adamantix, Adios?

6) Podobno istnieje możliwość przejścia na "hardened gentoo" ze zwykłego "gentoo" bez konieczności przeinstalowania systemu (konieczna jest jednak zmiana profilu i prze-kompilowanie) ?

[igotit4free]

Tu byłeś oczywiście?
Z całego serca popieram dążenie do rozwoju i samorealizację a także pęd do wiedzy, miłej zabawy życzę.

[k2cl]

Pierwszy z brzegu wynik od wujka
http://www.rockfloat.com/howto/gentoo-hardened.html

Z drugiej strony, to nie jest oficjalna dokumentacja Gen2. Ta ostatnia jest całkiem obszerna - spora część informacji jest też po polsku... kilka przykładów:
http://www.gentoo.org/proj/pl/hardened/hardenedfaq.xml
http://www.gentoo.org/proj/pl/hardened/hardenedxorg.xml
http://www.gentoo.org/proj/pl/hardened/capabilities.xml
http://www.gentoo.org/proj/en/hardened/grsecurity.xml

[jacekalex]

Gentoo Hardened instalujesz tak jak normalne Gentoo, ze stage3, najlepiej wg tego dokumentu:
http://www.gentoo.org/doc/pl/gentoo-x86 ... nstall.xml
Do instalacji najlepiej nadaje się LiveCD Ubuntu, ustawisz nim partycje, postawisz chroota, rozpakujesz stage i jazda.

Potrzebujesz do tego specjalny stage np:
amd64:http://distfiles.gentoo.org/releases/am ... /hardened/
x86: http://distfiles.gentoo.org/releases/x8 ... -hardened/

Potem używasz dodatkowych flag dla gcc: "hardened pic pie"
Różnica między normalnym Gentoo a Hardened w tej chwili nie istnieje po za kompilatorem z jednej strony, a Kernelem z Grsec/Pax z drugiej.
Dodatkowo portage przy instalacji programów (emerge) automatycznie ustawia domyślny typ pliku wykonywalnego akceptowalny dla paxa, ( w porównaniu ze standardownym Linuxem jest to specjalny znacznik, dzięki któremu PAX rozpoznaje swój zaufany plik binarny).
Na tym mechanizmie opiera się PAX_NOEXEC i FORCE_NOEXEC.

Dzięki tym znacznikom PAX po prostu wie, które programy mają prawo działać, a które nie.
Jeśli chcesz mieć Skype, Javę od Suna, Win32codecs, Realplayera, czy Virtualboxa, albo coś z Win$hita przez Wine, to o pax_noexec możesz przeważnie zapomnieć.

Po za tym na kernelu hardened-sources z Gentoo występuje dość często pewien błąd w działaniu xservera - myszka się zatrzymuje, czasami xorg się wiesza.
Na kernelu vanilla (z kernel.org) z dodaną łatą grsecurity podobnych kłopotów nie mam.
(występowały na hardened-sources-2.6.36-r8 )

Jeśli chcesz zobaczyć w jednym wątku wsio na temat instalacji, (czytania mniej więcej tydzień ), - to polecam ten wątek: http://forum.dug.net.pl/viewtopic.php?id=16056

To by było na tyle

[gesnet]

Gentoo Hardened instalujesz tak jak normalne Gentoo, ze stage3, najlepiej wg tego dokumentu:
http://www.gentoo.org/doc/pl/gentoo-x86 ... nstall.xml

Czym się różni wersja
http://distfiles.gentoo.org/releases/am ... 20.tar.bz2

od wersji
http://distfiles.gentoo.org/releases/am ... 20.tar.bz2

Czy te wersje mają jakiś numer typu 1.0, 2.0?

Do instalacji najlepiej nadaje się LiveCD Ubuntu, ustawisz nim partycje, postawisz chroota, rozpakujesz stage i jazda.

Czy Hardened nie ma własnego LiveCD? Trzeba zawsze posiłkować się płytą od innego dostawcy?

Dlaczego ten Hardened ma tylko około 150 mb? Gento LiveDVD to ilka giga.

Czy instalacja jest w trybie graficznym?

Czy konieczny jest Internet podczas instalacji konfiguracji systemu?

Dzięki tym znacznikom PAX po prostu wie, które programy mają prawo działać, a które nie.
Jeśli chcesz mieć Skype, Javę od Suna, Win32codecs, Realplayera, czy Virtualboxa, albo coś z Win$hita przez Wine, to o pax_noexec możesz przeważnie zapomnieć.

To jak wygląda kwestia uruchomienia JDownloadera, Firefoxa etc Czy stajemy przed dylematem albo PAX albo JDownloader, Firefox?

Po za tym na kernelu hardened-sources z Gentoo występuje dość często pewien błąd w działaniu xservera - myszka się zatrzymuje, czasami xorg się wiesza.
Na kernelu vanilla (z kernel.org) z dodaną łatą grsecurity podobnych kłopotów nie mam.
(występowały na hardened-sources-2.6.36-r8 )

Czyli system aspirujący do jednego z najstabilniejszych, odmawia współpracy i posłuszeństwa?


Czyli mechanizm obronny PAX, może sprawiać problemy nie tylko pod Ubuntu ale i w Hardened. Czy w takim układzie istnieje możliwość zastąpienia Firefoxa, JDownloadera innym softem o podobnej funkcjonalności?

Czy podczas instalacji istnieje możliwość skonfigurowania samodzielnie kernela czy może dostajemy gotowe rozwiązanie do użytkowania?

Jakie programy są absolutnie niezbędne do doinstalowania w Hardened?

[Admc]

Mam nadzieję, że nie zostanę wygwizdany, etc. ale co tam.

Mogę wiedzieć po co ci tak wysoki poziom bezpieczeństwa na desktopie? Masz jakieś na dysku pliki poszukiwane przez CIA/FBI/ABW/CBŚ/CBA? Doszedłem do wniosku, że masz desktopa, bo na serwerach nie raczej używa się oprogramowania typu firefox.

[jacekalex]

Trochę programów i sterowników na amd64 bit wymaga bibliotek 32 bitowych.
Multilib pozwala na używanie 32 bitowych programów i bibliotek w 64 bitowym systemie, w większości Linuxów tryb domyślny,
nomultilib - w tym trybie mogą działać tylko programy i biblioteki 64 bit.

A po za tym, kto kiedy i za co dał ci bana na google, wiki i dokumentację?
Sznurek: http://www.gentoo.org/doc/pl/gentoo-amd64-faq.xml

W Gentoo bez umiejętności szukania i czytania ze zrozumieniem dokumentacji nie przetrwasz nawet tygodnia (mam na myśli zwykły system, o hardened nie wspominając).
Nawet proste Ubuntu wymaga czytania od czasu do czasu dokumentacji.
AS ty ciągle pytasz o rzeczy, które w dokumentacjach, na wiki* , na forum, czy na innych forach były wałkowane co najmniej kilkadziesiąt razy.

Główny sznurek:
http://www.gentoo.org/doc/pl/list.xml

To by było na tyle

[gesnet]

Mam nadzieję, że nie zostanę wygwizdany, etc. ale co tam.

Mogę wiedzieć po co ci tak wysoki poziom bezpieczeństwa na desktopie? Masz jakieś na dysku pliki poszukiwane przez CIA/FBI/ABW/CBŚ/CBA? Doszedłem do wniosku, że masz desktopa, bo na serwerach nie raczej używa się oprogramowania typu firefox.

W zasadzie mówią że jestem terrorystą który utrzymuje kontakty z bojówkami anarchistycznymi w Grecji, al kaidą w sudanie i jemenie, czy Hezbollah'em. Na hdd plany budynków, sieci wodaciągowych, lista osbó na które szykowane są zamachy, a ... tak na poważnie Chciałbym uruchomić serwer z forum o tematyce społeczno - gospodarczej

viewtopic.php?t=139778 (tutaj też na ten temat).

Że budżet niewielki to trzeba samemu wsio robić. Pierwsze jednak coś trzeba wiedzieć.

[jacekalex]

a ... tak na poważnie Chciałbym uruchomić serwer z forum o tematyce społeczno - gospodarczej

viewtopic.php?t=139778 (tutaj też na ten temat).

Że budżet niewielki to trzeba samemu wsio robić. Pierwsze jednak coś trzeba wiedzieć.

I tutaj widać polityka
Jak zainstalować grsecurity na kernel, (czy chodzi o dodatek do firefoxa?)
A jak z 10 razy pojawiły się linki do dokumentacji opisującej grsecurity, to jakby grochem o ścianę rzucać.

W dodatku chcesz się łapać na prawdziwy hardcore (90% informatyków na hasła Gentoo czy Grsecurity robi natychmiastowy w tył zwrot - sam znam kilku takich), i to raczej cudzymi rękami.
Z wątku o instalacji patcha i kłopotów z firefoxem zauważyłem, że na 90% polecenie:

Kod: Zaznacz cały

egrep -i 'firefox|grsec|pax' /var/log/messages

jest zbyt trudne, nie mówiac o włączaniu logowania przez sysctl lub proc,
czyli np komenda:

Kod: Zaznacz cały

echo 1 > /proc/sys/kernel/grsecurity/exec_logging

Podobnych komend dotyczących różnych parametrów kernela są na necie tysiące, we wszystkich dokumentacjach traktujących o kernelu Linux, jakie widziałem.

A tutja jak polityk , ja robię, ale nie potrafię, więc może ktoś pomoże, albo najlepiej zrobi.

Może najpierw, zamiast pytać o Gentoo Hardened, najpierw na zwykłym Ubuntu skompilujesz najzwyklejszy kernel, beż żadnych łatek, żeby zobaczyć, jak to się robi?

A jak ten najzwyklejszy kernel będzie prawidłowo skonfigurowany, to na jego źródła możesz nakładać łaty i wykonać rekompilację, a przede wszystkim, masz solidne podstawy do używania Grsecurity i Gentoo.
Ja na Gentoo zdecydowałem się dopiero, jak miałem na Ubuntu statycznie skompilowany kernel, na którym wstawał i działał cały system, do działania potrzeby z zewnątrz był tylko ster nvidii.
teraz w modułach mam tuner tv, (nie da się tego wbudować na stałe) , nvidię, vboxa, kvm i dazukofs.

I nawet - jakby wyparował folder /lib/modules, to wstanie w pełni sprawny system (konsola), a po wyrzuceniu xorg.conf wstanie też obraz (na sterze vesa).

I dopiero do takiego konfigu dodałem grsecurity, a po kilku miesiącach używania Gentoo Hardened (stage, profil i kompilator) z zwykłym kernelem, wprowadziłem się na grsec, jak nauczyłem się o systemie tyle, że widzę, które błędy powoduje grsec/pax, a które tkwią w innych anomaliach.

Także czytać dokumentację i jeszcze raz czytać, i działać.
Zarówno w tonach dokumentacji Gentoo, jak i np w "Szkole Rodzenia Gentoo" , czy na Gentoo forums, - temat jest przemaglowany na wszystkie możliwe sposoby.

Do tego zagadka:
co oznacza to polecenie (mam na myśli wynik)?

Kod: Zaznacz cały

egrep -i 'grsec|pax' /var/log/messages | wc -l
3034

To by było na tyle

[gesnet]

Z wątku o instalacji patcha i kłopotów z firefoxem zauważyłem, że na 90% polecenie:

Kod: Zaznacz cały

egrep -i 'firefox|grsec|pax' /var/log/messages

jest zbyt trudne,

Wynik komendy:

Kod: Zaznacz cały

egrep -i 'firefox|grsec|pax' /var/log/messages 
Jan 23 15:55:08 qwert dkms_autoinstaller: nvidia-current (260.19.29): Installing module on kernel 2.6.32.15-1-grsec. 
Jan 23 15:55:08 qwert dkms_autoinstaller:   Kernel headers for 2.6.32.15-1-grsec are not installed.  Cannot install this module. 
Jan 23 15:55:08 qwert dkms_autoinstaller:   Try installing linux-headers-2.6.32.15-1-grsec or equivalent. 
Jan 24 05:39:28 qwert kernel: [ 1289.714982] ptrace of non-child pid 2883 was attempted by: firefox-bin (pid 2882) 
Jan 24 05:39:28 qwert kernel: [ 1289.714992] ptrace of non-child pid 2884 was attempted by: firefox-bin (pid 2882) 
Jan 24 05:39:28 qwert kernel: [ 1289.714999] ptrace of non-child pid 3826 was attempted by: firefox-bin (pid 2882) 
Jan 24 05:39:28 qwert kernel: [ 1289.715006] ptrace of non-child pid 3827 was attempted by: firefox-bin (pid 2882) 
Jan 24 05:39:28 qwert kernel: [ 1289.715012] ptrace of non-child pid 3828 was attempted by: firefox-bin (pid 2882) 
Jan 24 05:39:28 qwert kernel: [ 1289.715018] ptrace of non-child pid 3829 was attempted by: firefox-bin (pid 2882) 
Jan 24 05:39:28 qwert kernel: [ 1289.715024] ptrace of non-child pid 3848 was attempted by: firefox-bin (pid 2882) 
Jan 24 05:39:28 qwert kernel: [ 1289.715030] ptrace of non-child pid 3851 was attempted by: firefox-bin (pid 2882) 
Jan 24 05:39:28 qwert kernel: [ 1289.715036] ptrace of non-child pid 3852 was attempted by: firefox-bin (pid 2882) 
Jan 24 05:39:28 qwert kernel: [ 1289.715042] ptrace of non-child pid 3853 was attempted by: firefox-bin (pid 2882)

nie mówiac o włączaniu logowania przez sysctl lub proc,
czyli np komenda:

Kod: Zaznacz cały

echo 1 > /proc/sys/kernel/grsecurity/exec_logging

Wynik komendy

Kod: Zaznacz cały

echo 1 > /proc/sys/kernel/grsecurity/exec_logging 
bash: /proc/sys/kernel/grsecurity/exec_logging: No such file or directory

Może najpierw, zamiast pytać o Gentoo Hardened, najpierw na zwykłym Ubuntu skompilujesz najzwyklejszy kernel, beż żadnych łatek, żeby zobaczyć, jak to się robi?

Mam ostatnią stabilną wersję z kernel.org, sam robiłem, bryka i działa wsio

A jak ten najzwyklejszy kernel będzie prawidłowo skonfigurowany, to na jego źródła możesz nakładać łaty i wykonać rekompilację, a przede wszystkim, masz solidne podstawy do używania Grsecurity i Gentoo.Ja na Gentoo zdecydowałem się dopiero, jak miałem na Ubuntu statycznie skompilowany kernel, na którym wstawał i działał cały system, do działania potrzeby z zewnątrz był tylko ster nvidii.
teraz w modułach mam tuner tv, (nie da się tego wbudować na stałe) , nvidię, vboxa, kvm i dazukofs.

Próbowałem na ostatnią stabilną wersje zainstalować grsecurity testowy 2.6.37, ale były jakieś problemy, zostawię to na þóźniej. NA razie chciałem tego firefoxa uruchomić na grsecurity. Jak już mówiłem pierwsze grsecurity na ubuntu a dalej się zobaczy.

W Gentoo bez umiejętności szukania i czytania ze zrozumieniem dokumentacji nie przetrwasz nawet tygodnia (mam na myśli zwykły system, o hardened nie wspominając).
Nawet proste Ubuntu wymaga czytania od czasu do czasu dokumentacji.
AS ty ciągle pytasz o rzeczy, które w dokumentacjach, na wiki* , na forum, czy na innych forach były wałkowane co najmniej kilkadziesiąt razy.

"Także czytać dokumentację i jeszcze raz czytać, i działać.
Zarówno w tonach dokumentacji Gentoo, jak i np w "Szkole Rodzenia Gentoo" , czy na Gentoo forums, - temat jest przemaglowany na wszystkie możliwe sposoby.

Faktycznie są fora quasi wyspecjalizowane w "hardened", panuje tam chaos, nie to co tu, jest tu jakiś podział na działy. Zamiast przeczytać np jedną stronę o instalacji "hardened" w PDF trzeba kliknąć kilkadziesiąt razy i przy okazji czasami czytać jak grzesiek sławkowi rowers sprzedaje, a zośka kupiła nową płytę metaliki.

Do tego zagadka:
co oznacza to polecenie (mam na myśli wynik)?

Kod: Zaznacz cały

egrep -i 'grsec|pax' /var/log/messages | wc -l
3034

To by było na tyle

u Mnie

Kod: Zaznacz cały

egrep -i 'grsec|pax' /var/log/messages | wc -l 
3 

Nie wiem musiał bym sprawdzać, w głowie tej wiedzy nie mam, może na google poszukam

[k2cl]

Nie wiem musiał bym sprawdzać, w głowie tej wiedzy nie mam, może na google poszukam

Mhm... Jest tylko jeden problem - w tej zagadce nie potrzeba wiedzy, tylko odrobinę logicznego rozumowania i jedno pytanie do wujka lub manpages...

Wracając zaś na moment do wstawionych przez Ciebie wyników:

Kod: Zaznacz cały

egrep -i 'firefox|grsec|pax' /var/log/messages 
Jan 23 15:55:08 qwert dkms_autoinstaller: nvidia-current (260.19.29): Installing module on kernel 2.6.32.15-1-grsec. 
Jan 23 15:55:08 qwert dkms_autoinstaller:   Kernel headers for 2.6.32.15-1-grsec are not installed.  Cannot install this module. 
Jan 23 15:55:08 qwert dkms_autoinstaller:   Try installing linux-headers-2.6.32.15-1-grsec or equivalent. 

Widzę, że sterowniki własnościowe Nvidii przy takiej konfiguracji kernela śmigają aż miło

[gesnet]

Mhm... Jest tylko jeden problem - w tej zagadce nie potrzeba wiedzy, tylko odrobinę logicznego rozumowania i jedno pytanie do wujka

Mhm... Jest tylko jeden problem - w tej zagadce nie potrzeba wiedzy, tylko ... potrzeba uruchomić firefoxa pod grsecurity, aby zadać to pytanie! a na razie nie działa, przełączanie systemów/jąder jest bardzo kłopotliwe. Przypominam że nie mam netu pod grsec i nie mam jak nawet na to forum zaglądnąć, sprawdzić opcje, polecenie czy co tam

EDIT:

Do tego zagadka:
co oznacza to polecenie (mam na myśli wynik)?

Kod: Zaznacz cały

egrep -i 'grsec|pax' /var/log/messages | wc -l
3034

To by było na tyle

grep przeszukuje wskazane pliki wejściowe (lub standardowe wejście
jeśli nie podano żadnych lub podano nazwę pliku '-'), szukając linii
zawierających coś pasującego do podanego wzorca. Domyślnie, grep wyp-
isuje pasujące linie.


Dodatkowo dostępne są dwa programy wariantowe egrep i fgrep. Egrep
jest tym samym, co grep -E. Fgrep jest tym samym, co grep -F.



-i, --ignore-case
Ignoruje rozróżnienia w wielkości liter we wzorcu oraz w plikach
wejściowych.



wc (word count) liczy liczbę bajtów, słów oddzielonych białymi znakami,
oraz znaków końca linii w każdym podanym pliku lub w standardowym
wejściu (jeśli nie podano żadnego pliku albo podano plik zwany '-').
Wypisuje jedną linię danych o liczbach dla każdego pliku, a jeśli plik
ów został podany jako argument, po liczbie(ach) wypisuje nazwę pliku.
Jeśli podano więcej niż jedną nazwę pliku, wc wypisuje linię końcową
zawierającą łączne liczby, z nazwą pliku 'total'. Liczby są wypisywane
w kolejności: linie, słowa, bajty.

Domyślnie każda z liczb wypisywana jest w wyrównanym do prawej 7-baj-
towym polu, z jedną spacją między polami. Wówczas liczby i nazwy plików
ładnie wyrównują się w kolumnach. Jednak POSIX wymaga, by kolumny były
rozdzielone dokładnie jedną spacją. Można wymusić na wc przestrzeganie
formatu wyjścia zgodnego z POSIX ustawiając zmienną środowiska
POSIXLY_CORRECT.

Domyślnie wc wypisuje wszystkie trzy liczby. Opcjami można określić
wypisywanie tylko niektórych liczb. Kolejne opcje nie unieważniają
innych, poprzednich, tak więc
wc --bytes --words
wypisze liczbę bajtów oraz liczbę słów.

Z opcją --max-line-length wypisuje długość najdłuższej linii w każdym z
plików, a jeżeli podano więcej niż jeden plik, to również największą
(nie sumę) z tych długości.


-l, --lines
Wypisuje tylko liczbę znaków nowej linii.

[jacekalex]

Mam ostatnią stabilną wersję z kernel.org, sam robiłem, bryka i działa wsio

naprawdę?

To dlaczego od razu o tym nie napisałeś?
Jesli masz działający własny kernel, to kopiujesz łate grsec do folderu ze źródłami, potem sprawdzasz, czy są błędy przy nakładaniu łaty:

Kod: Zaznacz cały

patch -p1 --dry-run < grsecurity<wersja>.patch

Jeśli tam nie ma błędów zapisywanych w plikach .rej,
to potem

Kod: Zaznacz cały

patch -p1 < grsecurity-<wersja>.patch

potem

Kod: Zaznacz cały

make xconfig

- włączasz opcje grsec, które potrzebujesz, następnie kompilacja zależnie od metody albo

Kod: Zaznacz cały

make && make modules_install && make install

albo metodą Debiana -

Kod: Zaznacz cały

make-kpkg --intrid...

i odpasz system na nowym jaju z grsec.
A z kernelsec instalujesz gradm i paxutils, powinny pasować.

Jeśli w /proc/sys/kernel/grsecurity nie ma jakiegoś klucza, to znaczy że dana opcja w jaju kernelsec nie jest wkompilowana, co dla opcji diagnostycznej exec-logging, wyłączalnej przez sysctl - jest co najmniej głupie, i utrudnia diagnozowanie kłopotów z programami.

Jeśli masz już gotowy konfig własnego kernela z kernel.org, i kompilowałeś taki kernel, to sprawa jest prosta jak drut.

Jakieś pół, czy półtora metra wyżej, w tym wątku, jest mój konfig kernela, na którym 75% funkcji paxa i 90% funkcji grsecurity mam włączone, i spokojnie mogę sobie pograć w Quake, oglądać filmy, czy gadać przez Skype i Jabbera.

Wystarczy dopasować grupy w TPE oraz socket restriction, i gotowe.

I nie musisz mi cytować instrukcji grepa, którą znam, możesz natomiast na przyszłość dokładniej opisywać problem, i to, co zrobiłeś sam, żeby ten problem rozwiązać, mam na myśli aktywne poszukiwanie rozwiązania, a nie fakt, że ktoś raczył napisać post na forum.

Podobnie, jak w pytaniu o multilib, zamiast wpisać w Google "Gentoo multilib", i kliknąć w pierwszy link, gdzie jest to dokładnie wyjaśnione, to czekasz, aż na forum ktoś Ci wyjaśni rzecz, którą można znaleźć w 30 sekund, - dokładnie, szczegółowo i po polsku.

Forum jest po to, żeby dyskutować nad rozwiązywaniem problemów, a nie zmienianiem pieluszek.

Po za tym raczej nie to forum.
Tutaj może aż 3 osoby (może 10) ma doświadczenie z grsecurity,
a najwyżej 3 mają ten moduł na desktopie.
O takie rzeczy należy pytać na forach zaawansowanych dystrybucji, od Debiana w górę (Debian, Slackware, Gentoo).

Po prostu grsecurity i pax, to taka półka, że w Ubuntu nie ma wsparcia dla tych modułów nawet w super profesjonalnym Ubuntu Server,
a projekt Debian Hardened znikł tak szybko, jak się pojawił.

Ponadto, u mnie:

Kod: Zaznacz cały

 # echo 1 > /proc/sys/kernel/grsecurity/exec_logging 
-bash: /proc/sys/kernel/grsecurity/exec_logging: Brak dostępu

spowodowane małym drobiazgiem:

Kod: Zaznacz cały

root  # cat /proc/sys/kernel/grsecurity/grsec_lock
1

To by było na tyle

[gesnet]

naprawdę?

To dlaczego od razu o tym nie napisałeś?
Jesli masz działający własny kernel, to kopiujesz łate grsec do folderu ze źródłami, potem sprawdzasz, czy są błędy przy nakładaniu łaty:

uname -r
2.6.38-rc2-mykernel
~$ uname -a
Linux qwert 2.6.38-rc2-mykernel #1 SMP Tue Jan 25 00:13:39 CET 2011 x86_64 GNU/Linux

mam też działający kernel 2.6.37

a więc pod 2.6.38 nie ma grsecurity, zostaje więc testowy patch grsec pod 2.6.37 albo cofnięcie się wstecz i instalacja jądra 2.6.32 ze stabilną wersją grsecurity.

ta testowa łata 2.6.37 działa stabilnie?

[jacekalex]

U mnie na 2.6.37 sprawuje się idealnie.

Generalnie łaty testowe grsec, to nie są alfy czy bety, ale wersje kandydujące, w których nie ma jakichś poważnych błędów.

Jednak na serwer internetowy, który udostępnia usługi w necie,
i którego nikt codziennie nie sprawdza, bezpieczniej wziąć stabilną.

Nie wiem też, czy wersja gradm z kernelsec będzie zgodna z łatą 2.6.37, (ja mam wersję 2.2.1.201012301333 z ebuilda), ale to można sprawdzić jedynie organoleptycznie.
A kernel 2.6.38-r2 - to wersja afa/beta - w której jeszcze znajdzie się tona błędów.
Stabilny 2.6.38 ma wyjść w okolicach marca/kwietnia.

To by było na tyle

[gesnet]

U mnie na 2.6.37 sprawuje się idealnie.

Generalnie łaty testowe grsec, to nie są alfy czy bety, ale wersje kandydujące, w których nie ma jakichś poważnych błędów.

Jednak na serwer internetowy, który udostępnia usługi w necie,
i którego nikt codziennie nie sprawdza, bezpieczniej wziąć stabilną.

Nie wiem też, czy wersja gradm z kernelsec będzie zgodna z łatą 2.6.37, (ja mam wersję 2.2.1.201012301333 z ebuilda), ale to można sprawdzić jedynie organoleptycznie.
A kernel 2.6.38-r2 - to wersja afa/beta - w której jeszcze znajdzie się tona błędów.
Stabilny 2.6.38 ma wyjść w okolicach marca/kwietnia.

To by było na tyle

hmm na razie próbuję tego firefoxa na 2.6.32-28-grsec uruchomić, - wątpie aby nowa kompilacja jądra zmieniła tą sytuację z firefoxem, tym bardziej że z paxe/m nie mogę się dogadać

EDIT:

Tutaj może aż 3 osoby (może 10) ma doświadczenie z grsecurity,
a najwyżej 3 mają ten moduł na desktopie.

To może inaczej, ile osób na tym forum zainstalowało na Ubuntu 10.04 Lts z jądrem 2.6.32-28 lub 2.6.37 pakiet grseurity, i co najistotniejsze czy wszystko chodziło po zainstalowaniu poprawnie np. firefox. Pisząc o zainstalowaniu grsecurity mam na myśli korzystanie z jego funkcji przynajmniej w 66 procentach.

[jacekalex]

Ja kiedyś próbowałem odpalić grsecurity na ubuntu, ale jak zobaczyłem, jak to dziala, i zajrzałem do dokumentacji Paxa, to dałem sobie spokój.

Ubuntu ma moduł zabezpieczający Apparmor, który ma identyczne możliwości względem poszczególnych programów, jak ACL w grsecurity, z nawet lepszymi możliwościami konfiguracji.
Nie ma natomiast definiowania ról dla użytkowników, i całej bazy takich funkcji, jak ip_blackhole, tpe, chroot-protect, czy audyt.
Nie zauważeyłem też, żeby na razie miał funkcję limitowania wywołań exec.
Ale projekt się rozwila, wkrótce wersja 2.6, a w wersji 3.0 ma się pojawić ochrona chroota (aa-sandbox).
Jednak jest to alternatywa głównie dla Selinux, a nie Grsecurity.

Natomiast do do mechanizmów Paxa, to Ubuntu wspiera SPP, obsługa NXbit jest od dawna w normalnym kernelu, a większość (o ile nie wszystkie) współcześnie produkowane procesory wspierają tą technikę.

Co do mechanizmów ochronnych Ubuntu:
Tutaj piszą, że jest cudownie, na własne oczy jednek nie zauważyłem niczego podobnego, (ale sprawdzałem prawie rok temu).
Co do Debiana: http://wiki.debian.org/Hardening

Dlatego twierdzenie, że Ubuntu czy Debian jest jakąś straszną dziurą w bezpieczeństwie, jest nieuprawniony i nieuzasadniony.
A że część administratorów potrafi co najwyżej w WoW pograć, to inna sprawa.

To by było na tyle.

[gesnet]

Ja kiedyś próbowałem odpalić grsecurity na ubuntu, ale jak zobaczyłem, jak to dziala, i zajrzałem do dokumentacji Paxa, to dałem sobie spokój.

Ubuntu ma moduł zabezpieczający Apparmor, który ma identyczne możliwości względem poszczególnych programów, jak ACL w grsecurity, z nawet lepszymi możliwościami konfiguracji.

Modół Apparmor ma kernel 2.6.36, nie wiem jak wyższe wersje.

Nie ma natomiast definiowania ról dla użytkowników, i całej bazy takich funkcji, jak ip_blackhole, tpe, chroot-protect, czy audyt.
Nie zauważeyłem też, żeby na razie miał funkcję limitowania wywołań exec.
Ale projekt się rozwila, wkrótce wersja 2.6, a w wersji 3.0 ma się pojawić ochrona chroota (aa-sandbox).
Jednak jest to alternatywa głównie dla Selinux, a nie Grsecurity.

No dobra, skaner antywisusowy pod windowsem sprawdzałem testując go w ten sposób że ściągałem wirusy i spradzałem ile ich wykrywa, jak sprawdzić pax/grsecurity??

Natomiast do do mechanizmów Paxa, to Ubuntu wspiera SPP, obsługa NXbit jest od dawna w normalnym kernelu, a większość (o ile nie wszystkie) współcześnie produkowane procesory wspierają tą technikę.
Co do mechanizmów ochronnych Ubuntu:
Tutaj piszą, że jest cudownie, na własne oczy jednek nie zauważyłem niczego podobnego, (ale sprawdzałem prawie rok temu).
Co do Debiana: http://wiki.debian.org/Hardening

No właśnie, istotna sprawa czy napis Secure, Bezpieczny, Z pewnego źródła etc. jest wystarczający aby coś za takie uznać?

Dlatego twierdzenie, że Ubuntu czy Debian jest jakąś straszną dziurą w bezpieczeństwie, jest nieuprawniony i nieuzasadniony.
A że część administratorów potrafi co najwyżej w WoW pograć, to inna sprawa.

Bezpieczeństwo systemu to jedno, bezpieczeństwo programów które się używa to drugie, bezpieczne łączenie się z innymi komputerami to jeszcze inna para kaloszy. Bezpieczne hasła, bezpieczne przechowywanie danych etc w zasadzie wyliczanka nia ma końca a ograniczanie się w polityce bezpieczeństwa teleinformatycznego jedynie do systemu nie ma sensu. Moim zdaniem istotna kwestiia to łączenie się z innymi komputerami i przesył/odczyt wiadomości w pominięciem rejestrowania zachodzących zdarzeń u operatora teleinformatycznego, np, poprzez jakieś tunelowanie co ma istotne znaczenie w przypadku zainteresowania danej osoby np. przez organy ścigania. Coś jak rejestracja numerów imei u operatora komórkowego. Słynne taka akcja to sprawdzenie w Oświęcimiu, wtedy kiedy ukradli napis "Praca czyni wolnym" wszystkich połączeń komórkowych a nawet logowań do sieci komórkowej w najbliższej stacji nadawczo odbiorczej pod obozem zagłady w godzinach kradzież.

[jacekalex]

http://www.trapkit.de/tools/checksec.html
Testowanie exploitów:
np: http://packetstormsecurity.org/files/tags/exploit
mają RSS - codziennie pojawia się coś nowego.
Tu też czasami są exploity: http://www.securityfocus.com/

I to też: http://www.metasploit.com/
i to: http://nessus.org/download/
i np: http://www.pentoo.ch/
http://www.backtrack-linux.org/
http://www.openwall.com/john/

I tak dalej, i dalej, i dalej.
Po za tym Google to nie tapeta na pulpit, tylko szukajka.
Szkoda, ze już nie ma millw00rma, bo tam były takie exploity, że jak je zacząłem testować na Ubuntu 8.04 - to bardzo szybko znalazłem kilka w typie - root bez hasła, zawieszenie maszyny, itp.

Po za tym między innymi:

Kod: Zaznacz cały

[I] net-analyzer/hydra
     Available versions:  5.8 (~)5.9{tbz2} {gtk ssl}
     Installed versions:  5.9{tbz2}(00:32:52 05.12.2010)(gtk ssl)
     Homepage:            http://www.thc.org/thc-hydra/
     Description:         Advanced parallized login hacker

i kilkadziesiąt podobnych narzędzi.

Poszukaj, poczytaj a zapewne wiele się nauczysz.

To by było na tyle

[Mark1]

Też jestem zainteresowany tematem Gentoo hardened. Tzn. ......byłem zainteresowany Po przeczytaniu wpisów jacekalex wymiękam Wczoraj zainstalowałem Gentoo 11, jeszcze nie hardened . Muszę powiedzieć że pierwsze wrażenia (kompletnego amatora) są pozytywne. Jedyne czego mi tam brakuje to: brak odpowiednika pakietu Synaptic (to największy plus Ubunciaka).

Mam nadzieję, że nie zostanę wygwizdany, etc. ale co tam.

Mogę wiedzieć po co ci tak wysoki poziom bezpieczeństwa na desktopie? Masz jakieś na dysku pliki poszukiwane przez CIA/FBI/ABW/CBŚ/CBA? Doszedłem do wniosku, że masz desktopa, bo na serwerach nie raczej używa się oprogramowania typu firefox.

Pamiętaj, że oprócz ABW/CBŚ/CBA w Polsce są też inne służby! Druga sprawa (wczoraj czytałem, że FBI wprowadziło ileś tam lat temu backdoory do systemów BSD - więc na Zachodzie jest podobnie jak u nas).

Gwizdać nie będę, ale czytałem opinie informatyków, że wiele Linuxów "out of the box" wcale nie jest takie bezpieczne jak się niektórym wydaję i bez odpowiedniej konfiguracji i wykonania "pewnych" kroków też jest narażone na włamanie. Oczywiście Linux nie tak mega dziurawy jak Windows (nawet siódemka jest pod tym względem do du.. - Microsoft sprawy bezpieczeństwa ma w głębokim poważaniu). To nie jest moje zdanie, ale wyczytałem, coś w rodzaju "że średnio rozgarnięty informatyk znający zagadnienia sieciowe włamie się do takiego, świeżego (nieskonfigurowanego) Ubuntu". Na stronie securitum.pl są płatne szkolenia w czasie których prowadzący pokazują jak się włamują do różnych systemów, czy przechwytują ważne informacje w sieci....

Zaraz Wam wrzucę do innego wątku informacje o Windows 7, nie chce zaśmiecać wątku o Gentoo.