patch grsecurity en high?

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : patch grsecurity en high?

POWA

Salut,

Je dois compiler un kernel 2.4.26 et je vais ajouter le patch grsecurity qui dispose de plusieurs niveau de securité ( low, medium, high, customised )

Est ce que le niveau high est conseillé pour un serveur en production?

concernant le customised, d'après ce que j'ai compris il faut choisir les options une à une dans /proc

merci

Publicité

POWA

:??:

Tomate

POWA a écrit :

bah les niveaux concerne les options activées c tout
en customized tu mets ce ke tu veux

mais mis a part ca, une fois booté il fo un script ki "enable" grsec

#!/bin/sh

# Script de param?trage GRSEC.
# Auteur: SP18. (sp18@trackfire.net)

PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/bin/X11
dir=/proc/sys/kernel/grsecurity

# does the kernel support grsec? yes, continue.. no, STOP
if [ ! -d $dir ]
then
echo "Your kernel doesn't support grsec..."
exit 1
fi

# can i jump explications here? ;)
# yeah !
case "$1" in
start)
id=1
;;
stop)
id=0
;;
lock)
# we are locking grsec in order to skip troubles !
echo 1 >> ${dir}/grsec_lock
echo "Grsec's parameters are now locked. If you wan't to change them, you MUST reboot your linusque ! don't you mister grsec? ;)"
exit 0
;;
*)
echo "Usage: $0 [start|stop|lock]"
exit 0
;;
esac

# script is doing a listing of grsec's directory files..
for a in `ls $dir`
do
# if file is grsec_lock .. just warn it ! ? nike
if [ $a == "grsec_lock" ]
then
echo "grsec_lock.. bypass .. must exec $0 lock !"
else
# BUT script applies rules :)
echo $id >> ${dir}/${a}
fi
done

# 0 in order to skip apache's troubles !
echo 0 >> ${dir}/tpe_restrict_all

voilou

---------------
:: Light is Right ::

POWA

d'accord merci beaucoup.
Mais en fait, je me demandais si le niveau high n'était justement pas trop restrictif et aurait pus poser des problèmes?

Le script que tu viens de m'indiquer il faut qu'il soit lancé à chaque reboot?

merci

Tomate

POWA a écrit :

bah je sais pas moi je suis en custom

oui fo le lancer a chaque boot, et le plus tot possible

chez moi (rc2) :

S13grsec -> ../init.d/grsec

Message édité par Tomate le 18-04-2004 à 14:32:09

---------------
:: Light is Right ::

POWA

en custom ca doit pas être super évident vu le nombre d'options dispo

fl0ups

東京 - パリ - SLP

Spoiler :

si j'etais toi je ferais gaffe... on sait pas si le tomate syndrome est contagieux!

---------------
Fluctuat nec mergitur

Tomate

fl0ups a écrit :

Spoiler :

si j'etais toi je ferais gaffe... on sait pas si le tomate syndrome est contagieux!

:kaola:

---------------
:: Light is Right ::

Tomate

POWA a écrit :

en custom ca doit pas être super évident vu le nombre d'options dispo

bah au moins tu sais ce ke tu mets

car sais tu ce qu il y a en niveau high ??

---------------
:: Light is Right ::

POWA

Low :

Linking restrictions

Fifo restrictions

Random pids

Enforcing RLIMIT_NPROC on execve()

Restricted dmesg

Random ip ids

Enforced chdir("/" ) on chroot

Medium :

Random tcp source ports

Altered Ping ids

Failed fork logging

Time change logging

Signal Logging

Deny mounts in chroot

Deny double chrooting

Deny sysctl writes in chroot

Deny mknod in chroot

Deny access to abstract AF_UNIX out of chroot

Deny pivot_root in chroot

Denied writes of /dev/kmem, /dev/mem, and /dev/port

/proc restrictions with special gid set to 10

address space layout randomization

High:

additional /proc restrictions

chmod restrictions in chroot

no signals, ptrace, or viewing processes outside of chroot

capability restrictions in chroot

deny fchdir out of chroot

priority restrictions in chroot

segmentation-based implementation of PaX

mprotect restrictions

removal of /proc//[maps|mem]

kernel stack randomization

mount/unmount/remount logging

kernel symbol hiding

Publicité

Tomate

bah t as encore plus de choses en custom

enfin c est que tu vois tout, et que c est pas marqué genre "additional /proc restrictions", mais tu as chaque option pour /proc etc.

---------------
:: Light is Right ::

glor

Vous pourriez peut etre lui expliquer comment mettre en place son serveur en custom, ou lui filer un lien

Tomate

glor a écrit :

Vous pourriez peut etre lui expliquer comment mettre en place son serveur en custom, ou lui filer un lien

bah tu coches la case custom et ensuite mets ce que tu veux pour les options [:mrbrelle]

mikala

Souviens toi du 5 Novembre...

pour rappel pour la version stable de grsecurity est maintenant la 2.0
de meme les acls ont totalement changés
(d'ailleurs on attends toujours la documentation qui va avec )
voila
de surcroit sur un serveur de production il serait interressant de locker systcl

Message édité par mikala le 18-04-2004 à 16:40:17

---------------
Intermittent du GNU

FORUM HardWare.fr

Linux et OS Alternatifs

Installation

patch grsecurity en high?

Sujets relatifs
Créer un fichier patch	Hunk lors d'un patch du kernel est ce grave ?
comment appliquer un patch sous Mandrake 9.1 ?	Kontact/Kmail => bug enorme : plus de mails ! PATCH
comment modifier un patch kernel?	outils pour patch, diff, etc
Mozilla 1.6 final release ! (patch fr release)	Ou trouver ce patch kernel pour l'usb?
J'ai tlg nWn le patch fr et le clienlinux j'execute fixinstall mais...	[Debian] Install sur Dell Inspiron 8500 - Patch 2.4.21
Plus de sujets relatifs à : patch grsecurity en high?

Page générée en 0.061 secondes