| View previous topic :: View next topic |
| Author |
Message |
Pryka
l33t
Joined: 08 Jun 2007
Posts: 658
Location: /dev/null
|
 Posted: Fri Jul 08, 2011 6:33 pm Post subject: |
 |
|
Wiem, że napisał.
Zastanawiam się czemu tak sam z siebie po prostu przestał beż żadnej istotnej zmiany  |
|
| Back to top |
|
 |
arturosan
n00b
Joined: 02 Aug 2011
Posts: 0
|
| Posted: Tue Aug 02, 2011 1:38 pm Post subject: |
|
|
witam, czytam wasze artykuly o vbox+hardened i mam pytanko odnosnie testowania tego zrodla, bo chcialem postawic gentoo hardened na vbox do testow, w przyszlosci wykorzystac gentoo jako niewielki serwer do podzialu sieci, ssh i jakis ftp
czy vbox nadaje sie do testowania hardened-source, czy lepiej instalowac normalnie na kompie i potestowac ?
czy wybor gentoo na niewielki serwerek to dobry wybor ? (ssh,ftp,podzial sieci + moze punkt dostepowy)
z gory dziekuje za odpowiedzi,
pozdrawiam |
|
| Back to top |
|
|
Pryka
l33t
Joined: 08 Jun 2007
Posts: 658
Location: /dev/null
|
| Posted: Thu Aug 25, 2011 3:29 pm Post subject: |
|
|
| Wywalają się komuś sterowniki Nvidia 275.09.07 i VirtualBox 4.1.2 przy instalacji na 2.6.39-hardened-12(grsecurity-2.2.2-3.0.3-201108232250.patch) i 3.0.3-hardened(grsecurity-2.2.2-3.0.3-201108232250.patch)? |
|
| Back to top |
|
|
Jacekalex
Guru
Joined: 17 Sep 2009
Posts: 553
|
| Posted: Sat Sep 03, 2011 1:28 am Post subject: |
|
|
Na 3.0.4 z łatą grsecurity-2.2.2-3.0.4-201108300001.patch, Nvidia 280.13 chodzi, Vboxa nie sprawdzałem na razie.
Za to wbudowana na stałe uvesa powodowała kernel panic. |
|
| Back to top |
|
|
Pryka
l33t
Joined: 08 Jun 2007
Posts: 658
Location: /dev/null
|
| Posted: Thu Sep 15, 2011 7:56 am Post subject: |
|
|
| Jacekalex wrote: | Na 3.0.4 z łatą grsecurity-2.2.2-3.0.4-201108300001.patch, Nvidia 280.13 chodzi, Vboxa nie sprawdzałem na razie.
Za to wbudowana na stałe uvesa powodowała kernel panic. |
Ja sobie poczekam dalej, sam nie łatałem. Zostawiłem to co wrzucali do hardened, ale jak na razie wywala się cały czas przy instalacji. W każdym razie taki temat jest już ciągnięty i na forum grsec, problem dość powszechny.
ps. Wygląda to tak:
| Code: | -hardened-r1/tools/gcc/constify_plugin.so -DCONSTIFY_PLUGIN -fplugin=/usr/src/linux-3.0.4-hardened-r1/tools/gcc/stackleak_plugin.so -fplugin-arg-stackleak_plugin-track-lowest-sp=100 -I/var/tmp/portage/x11-drivers/nvidia-drivers-275.21/work/kernel -Wall -MD -Wno-cast-qual -Wno-error -D__KERNEL__ -DMODULE -DNVRM -DNV_VERSION_STRING=\"275.21\" -Wno-unused-function -mno-red-zone -mcmodel=kernel -UDEBUG -U_DEBUG -DNDEBUG -DMODULE -D"KBUILD_STR(s)=#s" -D"KBUILD_BASENAME=KBUILD_STR(nv_usermap)" -D"KBUILD_MODNAME=KBUILD_STR(nvidia)" -c -o /var/tmp/portage/x11-drivers/nvidia-drivers-275.21/work/kernel/nv-usermap.o /var/tmp/portage/x11-drivers/nvidia-drivers-275.21/work/kernel/nv-usermap.c
/var/tmp/portage/x11-drivers/nvidia-drivers-275.21/work/kernel/nv-procfs.c: In function ‘nv_register_procfs’:
/var/tmp/portage/x11-drivers/nvidia-drivers-275.21/work/kernel/nv-procfs.c:710:5: error: assignment of read-only variable ‘nv_procfs_registry_fops’
/var/tmp/portage/x11-drivers/nvidia-drivers-275.21/work/kernel/nv-procfs.c:711:5: error: assignment of read-only variable ‘nv_procfs_registry_fops’
make[4]: *** [/var/tmp/portage/x11-drivers/nvidia-drivers-275.21/work/kernel/nv-procfs.o] Error 1
make[4]: *** Waiting for unfinished jobs....
make[3]: *** [_module_/var/tmp/portage/x11-drivers/nvidia-drivers-275.21/work/kernel] Error 2
make[2]: *** [sub-make] Error 2
NVIDIA: left KBUILD.
nvidia.ko failed to build!
make[1]: *** [module] Error 1
make: *** [module] Error 2
emake failed
|
Od 2.6.39-hardened-r6 do 3.0.4-hardened włącznie... |
|
| Back to top |
|
|
Pryka
l33t
Joined: 08 Jun 2007
Posts: 658
Location: /dev/null
|
| Posted: Sat Sep 17, 2011 8:12 am Post subject: |
|
|
| To samo przy najnowszym patchu i sterownikach 285 |
|
| Back to top |
|
|
SlashBeast
Retired Dev
Joined: 23 May 2006
Posts: 2922
|
| Posted: Sat Sep 17, 2011 9:30 am Post subject: |
|
|
| Zamiast nabijac post pod postem radzil bym po prostu zglosic to na liscie mailowej lub forum grsecurity, napewno cos poradza. |
|
| Back to top |
|
|
Jacekalex
Guru
Joined: 17 Sep 2009
Posts: 553
|
| Posted: Sat Sep 17, 2011 4:20 pm Post subject: |
|
|
| Pryka wrote: | | To samo przy najnowszym patchu i sterownikach 285 |
Właśnie dlatego używam kerneli vanilla-kernel i sam nakładam łaty.
U Ciebie na 3.0.4-hardened nie działa?
A ja mam jajo 3.0.4-g1 z grsecurity, do tego:
| Code: | | x11-drivers/nvidia-drivers-280.13 acpi gtk kernel_linux rt |
z overlaya stuff, i chodzi.
Developerzy Hardened ostrzegają przed używaniem zamkniętych sterów, i sami dodają łatki do źródeł wg własnego uznania.
Chcesz latać po pomoc na forum grsecurity? - używaj vanilla-sources, sam nakładaj łaty, to przynajmniej będziesz w razie czego wiedział, co masz w kernelu, i będziesz mógł o tym napisać.
Ja ze źródłami herdened miałem wyraźnie więcej kłopotów, aniżeli vanilla + grsecurity + fbcondecor + czasami inne łatki.
A też nie słyszałem, żeby Brad Spender czy Pax Team odpowiadali za zmiany, jakie w źródłach dodają Developerzy Gentoo, bądź też na bierząco śledzili wszystkie łatki, jakie pojawiają się w źródłach Gentoo.
Dość mają własnej roboty... 
To by było na tyle
 |
|
| Back to top |
|
|
Pryka
l33t
Joined: 08 Jun 2007
Posts: 658
Location: /dev/null
|
| Posted: Sun Sep 18, 2011 7:21 am Post subject: |
|
|
| SlashBeast wrote: | | Zamiast nabijac post pod postem radzil bym po prostu zglosic to na liscie mailowej lub forum grsecurity, napewno cos poradza. |
Od kiedy posty można nabijać w OTW? I kto czyta EDITY po dwóch dniach, tym bardziej w tym "tłoku" na forum. Poza tym tak bardzo to przeszkadza, że ktoś coś pisze na forum? I tak coraz mniej się tu dzieje.
Co do pax to pisałem już, że sprawa jest zgłoszona na forum
@Jacekalex spoko sprawdzę z Vanilla, poza tym łaty dodawane do hardened-sources łatwo sprawdzać, nic poza grsecurity odkrywczego tam nie ma.
EDIT: Właśnie sprawdziłem forum gs, jak widać to nie wina hardened, Brad zapodał łaty:
https://grsecurity.net/~paxguy1/nvidia-drivers-275.19-pax-const.patch
https://grsecurity.net/~paxguy1/nvidia-drivers-275.09-pax-usercopy.patch
EDIT:
To samo na vanilla + najnowsza dostępna łata grsec. |
|
| Back to top |
|
|
Jacekalex
Guru
Joined: 17 Sep 2009
Posts: 553
|
| Posted: Mon Sep 19, 2011 9:55 am Post subject: |
|
|
Ja tylko widzę, że Brad chce pomóc, w miarę swoich możliwości, nie zauważyłem w tym winy grsecurity.
Jak powróci kernel.org (do życia), to skompiluję sobie najnowsze jajo z grsec, na razie obecne chodzi całkiem znośnie, i nie ma z nim jakichś hardcorowych problemów, w porównaniu z poprzednimi wersjami.
Być może Twój cyrk z grsec jest spowodowany architekturą 64bit, ktora jest nieco w tyle za 32 bitową.
A może masz cos w konfigu właczone, co gryzie się z Nvidią, np PAX_USERCOPY .
Ja mam taki konfig:
| Code: | zcat /proc/config.gz | egrep -i 'grker|pax'
CONFIG_GRKERNSEC=y
# CONFIG_GRKERNSEC_LOW is not set
# CONFIG_GRKERNSEC_MEDIUM is not set
# CONFIG_GRKERNSEC_HIGH is not set
CONFIG_GRKERNSEC_CUSTOM=y
CONFIG_GRKERNSEC_KMEM=y
CONFIG_GRKERNSEC_VM86=y
# CONFIG_GRKERNSEC_IO is not set
CONFIG_GRKERNSEC_PROC_MEMMAP=y
CONFIG_GRKERNSEC_BRUTE=y
CONFIG_GRKERNSEC_MODHARDEN=y
CONFIG_GRKERNSEC_HIDESYM=y
CONFIG_GRKERNSEC_KERN_LOCKOUT=y
# CONFIG_GRKERNSEC_NO_RBAC is not set
CONFIG_GRKERNSEC_ACL_HIDEKERN=y
CONFIG_GRKERNSEC_ACL_MAXTRIES=3
CONFIG_GRKERNSEC_ACL_TIMEOUT=30
CONFIG_GRKERNSEC_PROC=y
# CONFIG_GRKERNSEC_PROC_USER is not set
CONFIG_GRKERNSEC_PROC_USERGROUP=y
CONFIG_GRKERNSEC_PROC_GID=397
CONFIG_GRKERNSEC_PROC_ADD=y
CONFIG_GRKERNSEC_LINK=y
CONFIG_GRKERNSEC_FIFO=y
CONFIG_GRKERNSEC_SYSFS_RESTRICT=y
CONFIG_GRKERNSEC_ROFS=y
CONFIG_GRKERNSEC_CHROOT=y
CONFIG_GRKERNSEC_CHROOT_MOUNT=y
CONFIG_GRKERNSEC_CHROOT_DOUBLE=y
CONFIG_GRKERNSEC_CHROOT_PIVOT=y
CONFIG_GRKERNSEC_CHROOT_CHDIR=y
CONFIG_GRKERNSEC_CHROOT_CHMOD=y
CONFIG_GRKERNSEC_CHROOT_FCHDIR=y
CONFIG_GRKERNSEC_CHROOT_MKNOD=y
CONFIG_GRKERNSEC_CHROOT_SHMAT=y
CONFIG_GRKERNSEC_CHROOT_UNIX=y
CONFIG_GRKERNSEC_CHROOT_FINDTASK=y
CONFIG_GRKERNSEC_CHROOT_NICE=y
CONFIG_GRKERNSEC_CHROOT_SYSCTL=y
CONFIG_GRKERNSEC_CHROOT_CAPS=y
CONFIG_GRKERNSEC_AUDIT_GROUP=y
CONFIG_GRKERNSEC_AUDIT_GID=397
CONFIG_GRKERNSEC_EXECLOG=y
CONFIG_GRKERNSEC_RESLOG=y
CONFIG_GRKERNSEC_CHROOT_EXECLOG=y
CONFIG_GRKERNSEC_AUDIT_PTRACE=y
CONFIG_GRKERNSEC_AUDIT_CHDIR=y
# CONFIG_GRKERNSEC_AUDIT_MOUNT is not set
CONFIG_GRKERNSEC_SIGNAL=y
CONFIG_GRKERNSEC_FORKFAIL=y
CONFIG_GRKERNSEC_TIME=y
CONFIG_GRKERNSEC_PROC_IPADDR=y
CONFIG_GRKERNSEC_DMESG=y
CONFIG_GRKERNSEC_HARDEN_PTRACE=y
CONFIG_GRKERNSEC_TPE=y
CONFIG_GRKERNSEC_TPE_ALL=y
CONFIG_GRKERNSEC_TPE_INVERT=y
CONFIG_GRKERNSEC_TPE_GID=100
CONFIG_GRKERNSEC_RANDNET=y
CONFIG_GRKERNSEC_BLACKHOLE=y
CONFIG_GRKERNSEC_SOCKET=y
CONFIG_GRKERNSEC_SOCKET_ALL=y
CONFIG_GRKERNSEC_SOCKET_ALL_GID=651
CONFIG_GRKERNSEC_SOCKET_CLIENT=y
CONFIG_GRKERNSEC_SOCKET_CLIENT_GID=652
CONFIG_GRKERNSEC_SOCKET_SERVER=y
CONFIG_GRKERNSEC_SOCKET_SERVER_GID=654
CONFIG_GRKERNSEC_SYSCTL=y
CONFIG_GRKERNSEC_SYSCTL_ON=y
CONFIG_GRKERNSEC_FLOODTIME=10
CONFIG_GRKERNSEC_FLOODBURST=4
# PaX
CONFIG_PAX_ENABLE_PAE=y
CONFIG_PAX=y
# PaX Control
CONFIG_PAX_SOFTMODE=y
CONFIG_PAX_EI_PAX=y
CONFIG_PAX_PT_PAX_FLAGS=y
# CONFIG_PAX_NO_ACL_FLAGS is not set
CONFIG_PAX_HAVE_ACL_FLAGS=y
# CONFIG_PAX_HOOK_ACL_FLAGS is not set
# CONFIG_PAX_NOEXEC is not set
CONFIG_PAX_ASLR=y
CONFIG_PAX_RANDKSTACK=y
CONFIG_PAX_RANDUSTACK=y
CONFIG_PAX_RANDMMAP=y
CONFIG_PAX_MEMORY_SANITIZE=y
CONFIG_PAX_MEMORY_STACKLEAK=y
CONFIG_PAX_REFCOUNT=y
# CONFIG_PAX_USERCOPY is not set |
I Nvidia działa.
Last edited by Jacekalex on Mon Sep 26, 2011 8:34 pm; edited 1 time in total |
|
| Back to top |
|
|
Pryka
l33t
Joined: 08 Jun 2007
Posts: 658
Location: /dev/null
|
| Posted: Mon Sep 19, 2011 10:24 am Post subject: |
|
|
Ja nie mówię, że to jego wina Chwała Bradowi za to, że jest taki wyrozumiały i robi te patche na kolanie praktycznie od zaraz
Konifigu grsec nie ruszałem od dawna, usercopy mam wyłączone. Samo z siebie się tak zrobiło przy aktualizacji jajka(bez ruszania conf), przy próbie przebudowania modułów wywala się nvidia jak i virtual. |
|
| Back to top |
|
|
Jacekalex
Guru
Joined: 17 Sep 2009
Posts: 553
|
| Posted: Mon Jan 09, 2012 3:19 am Post subject: |
|
|
Ciąg dalszy: działa,
Bardzo fajny sznurek - krótko i zwięźle:
http://www.funtoo.org/wiki/Gentoo_hardened_profile
Włączyłem PAX_NOEXEC i PAX_MEMPROTECT - większość (o ile nie wszystkie) programy korzystające z Xorga wymagają wylączenia flagi mprotect w paxie.
Zdechły Skype i AdobeAir - Skypa nie mogę uruchomić za Chiny ludowe, AdobeAir przekonwertowałem do formatu paxa, i działa, tylko przechodzi w tryb zombie po wyłączeniu programu korzystającego z AIR.
Java w przeglądarkach i flashplayer - działają.
Sterownik Nvidia-290.10 działa, 3D bez zmian, można wytrzymać.
Mam trochę znajomych na Skypie, więc jeśli ktoś zna sposób na ożenienie Skypa z noexec - to wszelkie sugestie mile widziane.
Skype nie działa również przez chroota (na Debianie Squeeze).
Konfig wygląda tak:
| Code: | zcat /proc/config.gz | egrep -i 'grken|pax'
# PaX
CONFIG_PAX_ENABLE_PAE=y
CONFIG_PAX=y
# PaX Control
CONFIG_PAX_SOFTMODE=y
CONFIG_PAX_EI_PAX=y
CONFIG_PAX_PT_PAX_FLAGS=y
CONFIG_PAX_NO_ACL_FLAGS=y
# CONFIG_PAX_HAVE_ACL_FLAGS is not set
# CONFIG_PAX_HOOK_ACL_FLAGS is not set
CONFIG_PAX_NOEXEC=y
CONFIG_PAX_PAGEEXEC=y
CONFIG_PAX_SEGMEXEC=y
CONFIG_PAX_EMUTRAMP=y
CONFIG_PAX_MPROTECT=y
CONFIG_PAX_MPROTECT_COMPAT=y
# CONFIG_PAX_ELFRELOCS is not set
CONFIG_PAX_KERNEXEC_PLUGIN_METHOD=""
CONFIG_PAX_ASLR=y
CONFIG_PAX_RANDKSTACK=y
CONFIG_PAX_RANDUSTACK=y
CONFIG_PAX_RANDMMAP=y
CONFIG_PAX_MEMORY_SANITIZE=y
CONFIG_PAX_MEMORY_STACKLEAK=y
CONFIG_PAX_REFCOUNT=y
CONFIG_PAX_USERCOPY=y |
I Sysctl:
| Code: | sysctl -a | egrep 'grsec|pax'
kernel.grsecurity.linking_restrictions = 1
kernel.grsecurity.deter_bruteforce = 1
kernel.grsecurity.fifo_restrictions = 1
kernel.grsecurity.consistent_setxid = 1
kernel.grsecurity.ip_blackhole = 1
kernel.grsecurity.lastack_retries = 4
kernel.grsecurity.exec_logging = 0
kernel.grsecurity.signal_logging = 1
kernel.grsecurity.forkfail_logging = 1
kernel.grsecurity.timechange_logging = 0
kernel.grsecurity.chroot_deny_shmat = 1
kernel.grsecurity.chroot_deny_unix = 0
kernel.grsecurity.chroot_deny_mount = 1
kernel.grsecurity.chroot_deny_fchdir = 0
kernel.grsecurity.chroot_deny_chroot = 1
kernel.grsecurity.chroot_deny_pivot = 0
kernel.grsecurity.chroot_enforce_chdir = 1
kernel.grsecurity.chroot_deny_chmod = 1
kernel.grsecurity.chroot_deny_mknod = 1
kernel.grsecurity.chroot_restrict_nice = 0
kernel.grsecurity.chroot_execlog = 0
kernel.grsecurity.chroot_caps = 1
kernel.grsecurity.chroot_deny_sysctl = 1
kernel.grsecurity.tpe = 1
kernel.grsecurity.tpe_gid = 100
kernel.grsecurity.tpe_invert = 1
kernel.grsecurity.tpe_restrict_all = 0
kernel.grsecurity.socket_all = 1
kernel.grsecurity.socket_all_gid = 901
kernel.grsecurity.socket_client = 1
kernel.grsecurity.socket_client_gid = 902
kernel.grsecurity.socket_server = 1
kernel.grsecurity.socket_server_gid = 903
kernel.grsecurity.audit_group = 1
kernel.grsecurity.audit_gid = 100
kernel.grsecurity.audit_chdir = 0
kernel.grsecurity.audit_mount = 0
kernel.grsecurity.dmesg = 1
kernel.grsecurity.chroot_findtask = 0
kernel.grsecurity.resource_logging = 0
kernel.grsecurity.audit_ptrace = 1
kernel.grsecurity.harden_ptrace = 0
kernel.grsecurity.grsec_lock = 0
kernel.grsecurity.romount_protect = 0
kernel.pax.softmode = 0 |
Rsysloga do grsec|paxa ustawilem tak:
| Code: | :msg, contains, "grsec" /var/log/grsec/grsec.log
:msg, contains, "pax" /var/log/grsec/pax.log |
Loguje prawidłowo do poszczególnych plików.
Edyta:
| Code: | | paxctl -Cm /opt/skype/skype |
pomogło.
Pozdrawiam
|
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Polskie forum (Polish) 
