[Raspberrypi 3 && Grsecurity] Patcher kernel avec Grsec ?

jaypeche · Apprentice Joined: 13 Jun 2007 Posts: 173 Location: France

Bonsoir à tous,

J'ai dernièrement fait l'acquisition du RPI3 et je souhaite l'utiliser comme serveur de remplacement pour Apache.

J'ai suivi à la lettre le wiki gentoo https://wiki.gentoo.org/wiki/Raspberry_Pi, et l'installation s'est déroulée sans problème.

J'ai installé un stage3 avec un profil hardened et je souhaiterais dans l'idéal disposer d'un kernel patché grsec voire hardened.

De ce que j'ai pu lire sur la toile, les sources officielles rpi, sont modifiées à partir des vanilla-sources afin d'apporter le support des technologies arm et rpi.
Après quelques tests... Il n'est pas aisé de patcher celui-çi car il a été grandement modifié pour prendre en charge lle matériel. (Processeur armV8, wifi, bluetooth, boot, firmware, etc...)

Je souhaiterais pour que mon système hardened soit cohérent, compiler un kernel disposant des options grsecurity. https://grsecurity.net/download.php#test

:idea:

Pensez-vous qu'il soit possible d'y inclure ces patchs de sécurité ? et si oui quelles options me recommanderiez-vous ?

Merçi.

El_Goretto · Moderator Joined: 29 May 2004 Posts: 3169 Location: Paris

Regarde un peu ce qui se dit sur le net, en particuliers côté copperheadOS (l'android qui se veut "hardened"), car il me semble avoir lu sur un billet de chez eux qu'il n'y a pas de version grsec ARM (et il n'y en aura jamais) et que ARM64 est très partiellement implémenté (et ils expliquent un peu le point de vue du projet upstream).
Pour le moment, du véritable hardened/grsec, c'est sur x86_64. "Et pis c'est tout." (enfin bon, de mémoire, hein, tant mieux si je me plante

)
_________________
-TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT)

jaypeche · Apprentice Joined: 13 Jun 2007 Posts: 173 Location: France

Bonjour El'go,

Toujours fidèle au poste :wink:

!

Je vais regarder du côté de copperheadOS pour en savoir un peu plus...

El_Goretto · Moderator Joined: 29 May 2004 Posts: 3169 Location: Paris

jaypeche · Apprentice Joined: 13 Jun 2007 Posts: 173 Location: France

Salut El'Go,

Merçi pour ta réponse !

Effectivement, patcher à l'arrache un kernel, c'est pas génial du tout, mais ça reste expérimental et ne maitrisant pas les choses comme toi ou Xavier, ben je tente un peu ce qui est dans mes cordes.

J'ai choisi un profile hardened car c'est toujours ce que je fais quand je mets une machine Gentoo accessible sur le Net. Je connais bien la politique de sécurité de Gentoo et je lui fais confiance !

Je comprends bien ce que tu me dis, les flags hardened me permettent donc d'avoir un espace utilisateur plus secure mais pour l'espace noyau on repassera car le kernel raspberry n'est pas supporté par l'équipe gentoo en terme de sécurité :

El_Goretto · Moderator Joined: 29 May 2004 Posts: 3169 Location: Paris

Malheureusement, pas de solution miracle pour du LAMP.
J'ai même tendance à considérer qu'une machine avec une appli PHP exposée sur le net doit s'attendre un jour ou l'autre à se faire pwned... Donc mettre en place tes propres procédures rigoureuses de surveillance et de backup des données me semble une très bonne chose à faire, et te permettra de dormir sereinement

---
edit: si tu as du nginx (à la place d'Apache), regarde du côté de naxsi. Je n'ai jamais eu le temps de tester correctement le bestiau (juste posé, lu la doc, pas compris la doc, reporté à plus tard, repeat...

) mais ça peut être sympa.
_________________
-TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT)

jaypeche · Apprentice Joined: 13 Jun 2007 Posts: 173 Location: France

J'ai cependant ajouter le dernier patch grsec pour iptables ! On peut ainsi avoir une solution netfilter robuste et fiable http://ftp.pingwho.org/pub/gentoo/ftp/overlay/net-firewall/iptables/files/

:idea:

_________________
:-)

Gentoo Linux Rullez !

HacKurx · n00b Joined: 07 Jan 2012 Posts: 6 Location: pwd

Bonjour,

Je viens d’acquérir un Pi 3B+ et étant un ancien utilisateur de grsecurity, j'ai porté et upgradé sur le raspberry pi la dernière version publique du patch.

Pour l'utiliser, veuillez compiler le noyau en suivant la documentation officielle :
https://www.raspberrypi.org/documentation/linux/kernel/building.md

Mais en utilisant ma branche git comme source :
https://github.com/HacKurx/linux-rpi_unofficial_grsec

Un example de config est disponible pour les Raspberry Pi 2, Pi 3, Pi 3+. Le résultat de paxtest est le suivant :

El_Goretto · Moderator Joined: 29 May 2004 Posts: 3169 Location: Paris

@HacKurx: impressionnant. Ça fait un sacré portfolio à emmener en entretien d'embauche

_________________
-TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT)