View previous topic :: View next topic |
Author |
Message |
To Veteran
Joined: 12 Apr 2003 Posts: 1145 Location: Coimbra, Portugal
|
Posted: Wed Jun 04, 2003 12:55 pm Post subject: Que opções do grsecurity vcs usam? |
|
|
Já uso o grsecurity à algum tempo. Mas honestamente na minha gateway em casa, tendo como ISP a netcabo, raramente activo alguma das opções. De qualquer modo, que é que vcs usam? Só costumo activar as protecções da /proc.
Tó _________________
------------------------------------------------
Linux Gandalf 3.2.35-grsec
Gentoo Base System version 2.2
------------------------------------------------ |
|
Back to top |
|
|
RoadRunner Bodhisattva
Joined: 12 Jun 2002 Posts: 490 Location: Coimbra, Portugal
|
Posted: Wed Jun 04, 2003 1:28 pm Post subject: |
|
|
Eu uso Randomized Pids, Dmesg restriction, randomized IP ID's, Randomized TCP source Ports, Altered Pings e as normais restrições à /proc. |
|
Back to top |
|
|
darktux Veteran
Joined: 16 Nov 2002 Posts: 1086 Location: Coimbra, Portugal
|
Posted: Wed Jun 04, 2003 3:10 pm Post subject: |
|
|
RoadRunner wrote: | Eu uso Randomized Pids, Dmesg restriction, randomized IP ID's, Randomized TCP source Ports, Altered Pings e as normais restrições à /proc. |
Great minds think a like _________________ Lego my ego, and I'll lego your knowledge
www.tuxslare.org - My reborn website |
|
Back to top |
|
|
humpback Retired Dev
Joined: 19 Oct 2002 Posts: 394 Location: Coimbra - Portugal
|
Posted: Wed Jun 04, 2003 6:43 pm Post subject: |
|
|
Code: | kernel.grsecurity.dmesg = 1
kernel.grsecurity.audit_ipc = 0
kernel.grsecurity.audit_mount = 1
kernel.grsecurity.altered_pings = 1
kernel.grsecurity.rand_isns = 1
kernel.grsecurity.rand_tcp_src_ports = 1
kernel.grsecurity.rand_ip_ids = 1
kernel.grsecurity.rand_pids = 1
kernel.grsecurity.forkfail_logging = 1
kernel.grsecurity.signal_logging = 1
kernel.grsecurity.execve_limiting = 1
kernel.grsecurity.fifo_restrictions = 1
kernel.grsecurity.linking_restrictions = 1
kernel.grsecurity.socket_client = 1
kernel.grsecurity.socket_client_gid = 1005
|
E ando a ver se dou uma ajuda ao solarx do Gentoo-Hardened para ver se o numero de serviços com acl feita vai aumentando..... Ja tentei correr a FW com acl's activadas e tinha bastantes problemas (N serviços que deixavam de workar).
Ja agora a titulo de curiosidade... dem uma saltada a http://selinux.dev.gentoo.org _________________ Gustavo Felisberto
Humpback @ #gentoo-pt
------------
It's most certainly GNU/Linux, not Linux. Read more at
http://www.gnu.org/gnu/why-gnu-linux.html .
------------- |
|
Back to top |
|
|
jbssm n00b
Joined: 02 Jan 2003 Posts: 56 Location: Portugal
|
Posted: Sun Jun 08, 2003 2:47 pm Post subject: |
|
|
Eu desde q compilei o kernel a ultima vez estou a utilizar o seting "normal" ou "médio" ... não me lembro bem do nome q dão aquilo.
Mas pela primeira vez estou a ter um problema com o Gaim (quer dizer problemas com o Gaim não faltam mas este é um grande), sempre q o começo ele dá cabo da minha ligação à net.
Por isso assim que tiver tempo (leia-se paciência) vou compilar de novo o kernel e utilizar opções nmenos agrassivas para o grsecurity. |
|
Back to top |
|
|
lmpinto Tux's lil' helper
Joined: 12 Feb 2003 Posts: 94 Location: somewhere near a computer and a beer.
|
Posted: Wed Jul 09, 2003 10:21 pm Post subject: |
|
|
Code: | CONFIG_GRKERNSEC=y
CONFIG_GRKERNSEC_CUSTOM=y
CONFIG_GRKERNSEC_PAX_ASLR=y
CONFIG_GRKERNSEC_PAX_RANDKSTACK=y
CONFIG_GRKERNSEC_PAX_RANDUSTACK=y
CONFIG_GRKERNSEC_PAX_RANDMMAP=y
CONFIG_GRKERNSEC_HIDESYM=y
CONFIG_GRKERNSEC_PROC=y
CONFIG_GRKERNSEC_PROC_USER=y
CONFIG_GRKERNSEC_PROC_ADD=y
CONFIG_GRKERNSEC_LINK=y
CONFIG_GRKERNSEC_FIFO=y
CONFIG_GRKERNSEC_CHROOT=y
CONFIG_GRKERNSEC_CHROOT_MOUNT=y
CONFIG_GRKERNSEC_CHROOT_DOUBLE=y
CONFIG_GRKERNSEC_CHROOT_PIVOT=y
CONFIG_GRKERNSEC_CHROOT_CHDIR=y
CONFIG_GRKERNSEC_CHROOT_CHMOD=y
CONFIG_GRKERNSEC_CHROOT_FCHDIR=y
CONFIG_GRKERNSEC_CHROOT_MKNOD=y
CONFIG_GRKERNSEC_CHROOT_SHMAT=y
CONFIG_GRKERNSEC_CHROOT_UNIX=y
CONFIG_GRKERNSEC_CHROOT_FINDTASK=y
CONFIG_GRKERNSEC_CHROOT_NICE=y
CONFIG_GRKERNSEC_CHROOT_SYSCTL=y
CONFIG_GRKERNSEC_CHROOT_CAPS=y
CONFIG_GRKERNSEC_EXECLOG=y
CONFIG_GRKERNSEC_RESLOG=y
CONFIG_GRKERNSEC_FORKFAIL=y
CONFIG_GRKERNSEC_EXECVE=y
CONFIG_GRKERNSEC_DMESG=y
CONFIG_GRKERNSEC_RANDPID=y
CONFIG_GRKERNSEC_RANDNET=y
CONFIG_GRKERNSEC_RANDISN=y
CONFIG_GRKERNSEC_RANDID=y
CONFIG_GRKERNSEC_RANDSRC=y
CONFIG_GRKERNSEC_RANDRPC=y
CONFIG_GRKERNSEC_RANDPING=y |
Bom, com esta tralha parece que funciona tudo bem. O único problema é a info de rede do gkrellm e do ksysguard terem ido à vida. Seja como for, a ver se tento fechar mais isto... Os logs é que crescem como o raio - mas isto mete o pseudo process accounting a um cantinho... |
|
Back to top |
|
|
RoadRunner Bodhisattva
Joined: 12 Jun 2002 Posts: 490 Location: Coimbra, Portugal
|
Posted: Sat Jul 12, 2003 1:00 am Post subject: |
|
|
Tens um "workaround" simples para o gkrellm, em vez de o executares como utilizador normal, inicia o gkrellmd e depois usa o comando gkrellm2 -s localhost. Assim como o deamon corre como root tens acesso às infos todas. |
|
Back to top |
|
|
lmpinto Tux's lil' helper
Joined: 12 Feb 2003 Posts: 94 Location: somewhere near a computer and a beer.
|
Posted: Mon Jul 14, 2003 10:21 am Post subject: |
|
|
RoadRunner wrote: | Tens um "workaround" simples para o gkrellm, em vez de o executares como utilizador normal, inicia o gkrellmd e depois usa o comando gkrellm2 -s localhost. Assim como o deamon corre como root tens acesso às infos todas. |
Sweet! Também ja reparei que o klaptopdaemon se passa como utilizador normal - corre e morre, enquanto como root não (isto só depois da activação do grsec). |
|
Back to top |
|
|
m3thos n00b
Joined: 09 Apr 2002 Posts: 46 Location: Portugal
|
Posted: Thu Jul 17, 2003 1:23 am Post subject: hummm |
|
|
alguem quer uma acl para o bind a correr chrooted?
tb tenho pro postfix...
acl para o distcc seria apreciada.. nao tenho tempo para mexer nisto agora... _________________ Miguel Sousa Filipe
handle: m3thos
More human than human |
|
Back to top |
|
|
|