Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Desktop System nach Hardened
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
frank9999
n00b
n00b


Joined: 20 Feb 2013
Posts: 54
Location: US occupation zone: Central europe

PostPosted: Sun Jun 08, 2014 10:54 pm    Post subject: Desktop System nach Hardened Reply with quote

Hallo,

ich bin am überlegen meine Gentoo Rechner auf ein Hardened Profil zu switchen.
Nach ich nun so einiges gelesen habe unter anderem:

http://wiki.gentoo.org/wiki/Hardened/Introduction_to_Hardened_Gentoo
http://resources.infosecinstitute.com/gentoo-hardening-part-1-introduction-hardened-profile-2/
http://resources.infosecinstitute.com/gentoo-hardening-part-2-introduction-pax-grsecurity/
http://resources.infosecinstitute.com/gentoo-hardening-part-3-using-checksec-2/
http://resources.infosecinstitute.com/gentoo-hardening-part-4-pax-rbac-clamav/
usw.

Mein System: etwa ~1.500 packages installiert, davon ca. 1.000 Stable packages
Portage 2.2.8-r1 (default/linux/amd64/13.0/desktop/kde/systemd, gcc-4.7.3, glibc-2.17, 3.14.6-gentoo x86_64)
NVIDIA Binary Treiber, KDE 4.13.1, Libreoffice, Thunderbird, Google Chrome, Firefox, VLC, Amarok, XBMC, VirtualBox, Wine, Digikam, Dropbox, etc..

Bleiben noch ein paar Fragen:

1) Macht es überhaupt Sinn für ein Desktop System?
2) Gibt es packages die nicht mit Hardened laufen?
3) Nach einem Rebuild von World, funktioniert das System dann noch mit einem Kernel aus gentoo-sources?
4) Mit genlop -i foo erhält man ja eine einzelne "Average merge time" für das package foo.
Gibt es ein Möglichkeit/Script was die ungefähre Zeitdauer eines World Rebuild ermittelt anhand dieser "Average merge time"?
5) Besteht nach einem erfolgreichen Umstieg ein höherer Pflegeaufwand?
Back to top
View user's profile Send private message
frank9999
n00b
n00b


Joined: 20 Feb 2013
Posts: 54
Location: US occupation zone: Central europe

PostPosted: Mon Jun 09, 2014 10:20 pm    Post subject: Reply with quote

Niemand?
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1166
Location: Schweiz

PostPosted: Tue Jun 10, 2014 6:53 am    Post subject: Re: Desktop System nach Hardened Reply with quote

frank9999 wrote:
1) Macht es überhaupt Sinn für ein Desktop System?

Was Sinn macht und was nicht ist Ansichtssache und demnach von Mensch zu Mensch unterschiedlich, ich persönlich finde das verschlüsseln der root Partition für wesentlich sinnvoller als SELinux.
frank9999 wrote:
2) Gibt es packages die nicht mit Hardened laufen?

Solange für ein Softwarepaket eine passende SELinux-Policy verfügbar ist sollte es auch funktionieren aber mich persönlich würde es wundern wenn unter Gentoo wirklich für jedes Paket eine solche vorliegt.
frank9999 wrote:
3) Nach einem Rebuild von World, funktioniert das System dann noch mit einem Kernel aus gentoo-sources?

Wenn ich mich richtig an diesen SELinux-Kram erinnere muss der Kernel den Support für SELinux einfach mit drin haben dann ist der Rest vom Kernel ziemlich egal.
frank9999 wrote:
5) Besteht nach einem erfolgreichen Umstieg ein höherer Pflegeaufwand?

In Erinnerung an meine SELinux-Debakel-Erfahrungen unter Fedora und anderen Distributionen kann ich hier nur eines sagen: Ja definitiv, SELinux kann sich sehr schnell zu einer Lebensaufgabe entwickeln.
_________________
GPG: 0x54A19454
Philosophie: Es ist nicht wirklich möglich andere vor sich selbst zu schützen ohne deren Produktivität zu versauen oder sich selbst jede Menge weiteren Ärger einzufangen.
Back to top
View user's profile Send private message
boris64
Veteran
Veteran


Joined: 04 Oct 2003
Posts: 1770
Location: vechelde / peine

PostPosted: Tue Jun 10, 2014 4:29 pm    Post subject: Reply with quote

Also ich hab das auch mal probiert. Nach meinen Erfahrungen mit den
hardened-Sources kann ich davon nur eher abraten, weil alles gefühlt
langsamer und oft auch nur fehlerhaft läuft (3D-Beschleunigung unter KDE,
ach, und so weiter...) selbst mit ausgewähltem Desktop-Profil. Auf dem
Server ist das echt top, aber mit X und den ganzen anderen Programmen,
die du da laufen lassen willst, wird das echt zu 'ner Lebensaufgabe.
_________________
boris64.net 200x / visit my desktop / try these tiny kernel patches ;)
Back to top
View user's profile Send private message
boospy
Apprentice
Apprentice


Joined: 07 Feb 2010
Posts: 278
Location: Austria

PostPosted: Tue Jun 10, 2014 7:39 pm    Post subject: Reply with quote

Man kann ja einzelne Pakete mit Hardened kompilieren, macht glaub ich mehr Sinn. Serversysteme haben wir alle auf Hardened nomultilib. Nomultilib täte mich schon eher auf nen Desktop interessieren, aber dann geht ganz sicher einiges nicht mehr.... hmm, ich könnts ja mal testen.

lg
boospy
Back to top
View user's profile Send private message
kernelOfTruth
Watchman
Watchman


Joined: 20 Dec 2005
Posts: 5897
Location: Vienna, Austria; Germany; hello world :)

PostPosted: Wed Jun 11, 2014 12:54 am    Post subject: Reply with quote

ich hab hier alles mit den freigeschalteten "hardened" use-flags und transparenter "hardened" toolchain kompiliert (momentan dabei mit gcc 4.9.0 zu aktualisieren)

soweit lies sich alles mit 4.7.3 kompilieren, 4.9.0 hat bis jetzt für die paar Pakete auch keine Probleme gemacht

grsecurity oder PaX nutze ich momentan nicht, weil diverse Sachen (wine, mono - tomboy, etc.) damit nicht so recht liefen und der Aufwand für das Erste zu groß war (patche den Kernel oft auch 1-2 Versionen hinauf in einzelnen

Sub-Systemen so funktioniert das ganze nicht bzw. wird zu komplex)


das einzige, das nicht so recht laufen will war memtest86 und memtest86+ (geht jetzt seit dem Rechner Upgrade mit UEFI sowieso nicht im uefi Modus), dann muss auf das vanilla-Profil umgeschaltet werden


Quote:
gcc-config -l
[1] x86_64-pc-linux-gnu-4.6.3
[2] x86_64-pc-linux-gnu-4.6.3-hardenednopie
[3] x86_64-pc-linux-gnu-4.6.3-hardenednopiessp
[4] x86_64-pc-linux-gnu-4.6.3-hardenednossp
[5] x86_64-pc-linux-gnu-4.6.3-vanilla
[6] x86_64-pc-linux-gnu-4.7.3
[7] x86_64-pc-linux-gnu-4.7.3-hardenednopie
[8] x86_64-pc-linux-gnu-4.7.3-hardenednopiessp
[9] x86_64-pc-linux-gnu-4.7.3-hardenednossp
[10] x86_64-pc-linux-gnu-4.7.3-vanilla
[11] x86_64-pc-linux-gnu-4.8.2
[12] x86_64-pc-linux-gnu-4.8.2-hardenednopie
[13] x86_64-pc-linux-gnu-4.8.2-hardenednopiessp
[14] x86_64-pc-linux-gnu-4.8.2-hardenednossp
[15] x86_64-pc-linux-gnu-4.8.2-vanilla
[16] x86_64-pc-linux-gnu-4.9.0 *
[17] x86_64-pc-linux-gnu-4.9.0-hardenednopie
[18] x86_64-pc-linux-gnu-4.9.0-hardenednopiessp
[19] x86_64-pc-linux-gnu-4.9.0-hardenednossp
[20] x86_64-pc-linux-gnu-4.9.0-vanilla


Quote:
[I] sys-libs/glibc
Available versions: (2.2) 2.3.6-r5^s[1] 2.4-r4^s[1] **2.5.1^s[1] 2.6.1^s[1] (~)2.7-r2^s[1] 2.8_p20080602-r1^s[1] (~)2.9_p20081201-r3^s (~)2.9_p20081201-r3^s[4] 2.10.1-r1^s 2.10.1-r1^s[4] 2.11.3^s 2.11.3^s[4] (~)2.12.1-r3^s (~)2.12.1-r3^s[4] 2.12.2^s 2.12.2^s[4] (~)2.13-r2^s (~)2.13-r2^s[4] 2.13-r4^s 2.13-r4^s[4] (~)2.14^s (~)2.14^s[4] (~)2.14.1-r2^s (~)2.14.1-r2^s[4] 2.14.1-r3^s 2.14.1-r3^s[4] (~)2.15-r1^s (~)2.15-r1^s[4] 2.15-r2^s 2.15-r2^s[4] 2.15-r3^s 2.15-r3^s[4] 2.16.0^s{tbz2} 2.16.0^s{tbz2}[4] 2.17^s{tbz2} 2.17^s{tbz2}[2] 2.17^s{tbz2}[3] 2.17^s{tbz2}[4] (~)2.18-r1^s{tbz2} (~)2.18-r1^s{tbz2}[3] (~)2.18-r1^s{tbz2}[4] (~)2.19^s{tbz2} (~)2.19^s{tbz2}[3] (**)2.19^s{tbz2}[4] **9999^s **9999^s[4]
{build debug erandom gd glibc-compat20 glibc-omitfp hardened multilib nptl nptlonly nscd profile selinux suid systemtap vanilla CROSSCOMPILE_OPTS="headers-only"}
Installed versions: 2.19(2.2)^s{tbz2}[4](11:47:04 PM 05/22/2014)(gd hardened multilib -debug -nscd -profile -selinux -suid -systemtap -vanilla CROSSCOMPILE_OPTS="-headers-only")
Homepage: http://www.gnu.org/software/libc/libc.html
Description: GNU libc6 (also called glibc2) C library


/etc/portage/profile/package.use.mask wrote:
sys-devel/gcc -hardened
sys-libs/glibc -hardened



/etc/portage/make.conf wrote:
USE="multislot hardened mode-paranoid pic pie"


eselect profile list wrote:

Available profile symlink targets:
[1] default/linux/amd64/13.0
[2] default/linux/amd64/13.0/selinux
[3] default/linux/amd64/13.0/desktop *
[4] default/linux/amd64/13.0/desktop/gnome
[5] default/linux/amd64/13.0/desktop/gnome/systemd
[6] default/linux/amd64/13.0/desktop/kde
[7] default/linux/amd64/13.0/desktop/kde/systemd
[8] default/linux/amd64/13.0/developer
[9] default/linux/amd64/13.0/no-multilib
[10] default/linux/amd64/13.0/x32
[11] hardened/linux/amd64
[12] hardened/linux/amd64/selinux
[13] hardened/linux/amd64/no-multilib
[14] hardened/linux/amd64/no-multilib/selinux
[15] hardened/linux/amd64/x32
[16] hardened/linux/uclibc/amd64
[17] hardened/linux/musl/amd64
[18] init6:init6/default/linux/amd64
[19] init6:init6/default/linux/amd64/bleeding_edge
[20] init6:init6/hardened/linux/amd64
[21] init6:init6/hardened/linux/amd64/binary
[22] init6:init6/hardened/linux/amd64/bleeding_edge

_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.5.2

Hardcore Gentoo Linux user since 2004 :D
Back to top
View user's profile Send private message
frank9999
n00b
n00b


Joined: 20 Feb 2013
Posts: 54
Location: US occupation zone: Central europe

PostPosted: Wed Jun 11, 2014 5:40 pm    Post subject: Reply with quote

Zunächst einmal Danke an alle die geantwortet haben :-)
Ich war inzwischen fleißig und habe das Profil umgestellt, die dadurch entstandenen Abhängigkeits Konflikte gelöst (man ist portage in diesem Bereich langsam geworden) und anschließend emerge –1e system && emerge –1e world hinter mir…
Für 1.500 Packages in World und 600 davon in System, haben die 2.100 emerge Operationen knapp 30 Stunden gedauert…
Das ging dann doch schneller als Befürchtet.

Es gab ein paar Problem, weil die aktuelle „stabile“ Version von icedtea-bin nicht wirklich funktioniert, was zu einer Vielzahl an Sandbox Violation Errors in diversen Sachen geführt hat.
Das wäre dann dieser Bug: https://bugs.gentoo.org/show_bug.cgi?id=502280

Ich habe dann einfach mal mit dem alten Kernel gebootet und KDE lief mit allen Effekten :-)

Nach einem schnellen Test gingen:
Chrome, Dropbox, Wine(!), Libreoffice, krusader, yakuake etc.

Was nicht ging war:
Steam (Schade, da es jetzt Civ 5 gibt! ), Firefox, Thunderbird

Den Rest habe ich noch nicht getestet.

Insbesondere virtualbox wird spannend, da es sich bisher auch nicht mit dem hardened gcc übersetzen lies. Könnte aber auch an diesem Java Bug liegen.
Wobei Firefox und Thunderbird mit einem neuen Useflag gebaut wurden was vielleicht wirklich einen hardened Kernel voraussetzt.
Ich werde am Wochenende mal einen neuen "echten" hardened Kernel bauen. SELinux und einiges andere bleiben erstmal dann ausgeschaltet.

Da ich auf diesem Rechner mit der dortigen Grafikkarte (680 GTX) eh immer Probleme mit dem NVIDIA Treiber habe,
werde ich auch noch einmal mit nouveau testen und meine Resultate hier berichten.

Es fehlt also eigentlich gar nicht mehr viel …

Daumendrücken Leute! ;-)
Back to top
View user's profile Send private message
boospy
Apprentice
Apprentice


Joined: 07 Feb 2010
Posts: 278
Location: Austria

PostPosted: Wed Jun 11, 2014 5:41 pm    Post subject: Reply with quote

Nicht schlecht...
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum