Protegendo o kernel do Debian com o Grsecurity

Navegue suas respostas
0

Eu quero proteger meu kernel com o Grsecurity, no entanto; Eu pesquisei sobre isso e encontrei alguns tutoriais, mas não tenho certeza sobre isso. Eu li que você precisa substituir seu kernel atual por um kernel Vanilla. Qual é um kernel Linux padrão inalterado, mas é bom substituir o kernel atual incluído pelo Debian com um do Vanilla? Isso não causará problemas com atualizações, não obterá todas as atualizações, não terá a melhor otimização para o Debian, ...?

E se eu substituí-lo por um do Vanilla, é fácil de atualizar, ou eu preciso verificar o site da Vanilla cada vez que uma atualização e, em seguida, compilá-lo manualmente?

Então, em suma, é uma boa idéia proteger meu kernel com o Grsecurity e fazer o incômodo da Vanilla? Esta página Debian diz que o desempenho não é tão difícil, e há um repositório para atualizá-lo facilmente; isso ainda é verdade neste dia?

Alguém experimentou ou já fez isso?

Obrigado!

    
por O'Niel 17.01.2017 / 10:46

2 respostas

2

Stephen foi mais rápido do que eu. Seu método de resposta é o caminho a percorrer se você quiser instalar o linux-image-grsec-amd6 sem o trabalho envolvido na compilação do kernel e na criação do pacote do kernel com make-kpkg .

No entanto, algumas coisas podem ser quebradas usando grsecurity :

  • A hibernação pode quebrar (conflitos com CONFIG_GRKERNSEC_KMEM , CONFIG_PAX_MEMORY_SANITIZE e CONFIG_RANDOMIZE_BASE );
  • Xen e virtualbox podem quebrar (conflitos com CONFIG_PAX_KERNEXEC e CONFIG_PAX_MEMORY_UDEREF );
  • A proteção de ataques de reutilização de código (RAP), ativada com CONFIG_PAX_RAP , pode quebrar blobs binários como o driver nvidia ;
  • broadcom-sta-dkms pode falhar na compilação devido ao acesso ilegal à memória;

Todas essas coisas estão listadas na página do wiki do Grsecurity do Arch Linux. Em casa, decidi usar o grsecurity e não estou usando drivers proprietários da nvidia (mas com uma placa desta marca instalada). Você tem que ter certeza de quais são os parâmetros habilitados no grsec pela sua distribuição, e ver se ele atende às suas necessidades (de se você pode fazer a troca de alguns recursos).

Se você pegar o caminho do empacotamento / "patch" do seu próprio Kernel baunilha, você manterá seu kernel atualizado e usará as próprias ferramentas do Debian para criar pacotes para linux-image , kernel-source e kernel-headers .

Material relacionado:

por 17.01.2017 / 11:04
1

A página wiki menciona kernels grsec empacotados na instável; estes estão agora disponíveis para o Debian 8 (Jessie) via Backports . Para instalá-los, adicione o repositório apropriado: 

echo deb http://http.debian.net/debian jessie-backports main > /etc/apt/sources.list.d/jessie-backports.list

(como root ), então 

apt-get update

e finalmente instale o kernel e as ferramentas apropriadas: 

apt-get -t jessie-backports linux-image-grsec-amd64 gradm2

(assumindo que você está executando amd64 ). Isso instalará um kernel grsec recente e o manterá atualizado.

Note que você provavelmente precisará ajustar várias configurações antes de ter seu sistema grsec rodando corretamente, então mantenha um kernel não-grsec por perto ...

    
por 17.01.2017 / 10:54

Tags

Servidor Linux como roteador - problema Introdução de valores ascii estendidos