Dubbi su Pax+Pie+Ssp(clock e hardening)!

[mack1]

Ciao ho alcune domande su pax,pie e ssp:
1-Ho installato una nuova gentoo partendo da stage3 hardened-sources-grsecurity (naturalmente ho seguito la guida gentoo) funzia tutto solo in fase di avvio hwclock non riece a settare l'orologio(credo non riesca ad accedere via hardware all'orologio di sistema!?!?), ho risolto con ntp ma continua,in fase di avvio, a chiedere di settare manualmente l'ora.Non che la cosa mi disturbi (visto che comunque l'ora viene settata da ntp), ma esiste un modo per evitare che il servizio clock tenti di impostare l'ora con (ovvia) susseguente sequela di messaggi che non è riuscito a fare il suo lavoro e che bisogna provvedere manualmente?

2-Ho notato che:

[djinnZ]

La guida è un poco datata quindi non ci sono più quegli enormi problemi di compatibilità, rispetto a quando è stata scritta mi pare che il gruppo di hardened-gentoo abbia risolto quasi tutto.
Ora non posso darti informazioni più precise (e le giuste opzioni del kernel, of course) ma quell'opzione che blocca xorg non ti aggiunge grande sicurezza di fatto. Hai impostato la sincronia dell'ora in rc.conf o conf.d/rc? Io uso l'hardening da sempre e non ho mai avuto simili problemi.
Ovviamente per usare pax devi assegnare e configurare oppurtunamente trusted user etc. e se non hai correttamente assegnati al gruppo weel gli user impiegati dai servizi qualcosa si blocca.
Quelle protezioni di default non sono abilitate perchè possono portare ad errori a runtime o perchè dipendono dall'attivazione di specifiche funzioni del kernel (RANDEXEC comporta l'attivazione dell'assegnazione random nel kernel e funziona solo con un ristretto numero di applicativi, rendendo di fatto impossibile qualsiasi forma di debug e diagnosi dei crash).
Pax e grsecurity non pongono particolari problemi di compatibilità (a differenza di selinux/rsbac che su desktop non vogliono sapere di andare) ma tieni conto che in relatà il loro intervento si riduce a rendere difficili exploit e proteggere i chroot, per rendere sicuro un sistema è meglio che ti concentri sulle impostazioni di iptables, su limits.conf e sulla corretta gestione dei permessi piuttosto che su minime differenze nell'esecuzione dei programmi (con sensibile rallentamento delle prestazioni generali).
Considera anche che presto anche su hardened si presenterà la tragedia dell'upgrade a gcc 4.x quindi ti consiglio di farti dei pacchetti binari di tutto il sistema base e di aggiornare con una certa frequenza.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist

[mack1]

Ciao djinnZ, /etc/conf.d/clock è impostato "local" come al solito in più:

[djinnZ]

Dunque, per prima cosa ti conviene disabilitare i legacy pax nel kernel, il softmode è abiltato?
Per usare SEGMEXEC, ET_EXEC e compagnia devi abilitare nel kernel CONFIG_PAX_ASLR e derivate ma sia PAX_RANDUSTACK che RANDMMAP mi hanno creato dei grossi problemi con applicativi che non siano totalmente compatibili con pie ed ssp (a suo tempo avevo vgalib, per esempio, il kernel con RANDMAP mi portava un freeze di consolle, idem con directFB e qingy). Nulla di irrisolvibile ma ti conviene partire dalla configurazione più semplice possibile ed abilitare man mano e testare accuratamente ogni singola opzione se non vuoi brutte sorprese; per esempio ho il sospetto che alcuni miei problemi di kernel panic e reset successivo (su 2.6.16) siano dovuti ad una incompatibilità totale tra ACPI ext3/libata e PAX_RANDSTACK (stack randomizzato per i processi del kernel).

per hwclock devi avere sia CLOCK_SYSTOHC=Y che TIMEZONE="Europe/Rome" in conf.d/clock che il vecchio link simbolico (nel dubbio mi sa che tutti hanno risolto così) oltre al local. Se sballa devi cancellare /etc/adjtime.

Ti conviene definire GRKDERSEC_PROC_GID=10 (il famigerato gruppo wheel) o usare un gruppo separato ma includerci wheel e daemon, dovresti risolvere.

Ovviamente, hai incluso il supporto all'hardware clock nel kernel?!

[mack1]

@djinnZ grazie delle risposte .

[MeMyselfAndI]

Scusate se mi intromettoe forse saro' un po OT: ho visto che stanno spuntando fuori dei nuovi sistemi di "hardening" del sistema, ad esempio apparmor introdotto da novel e un versione semplificata di selinux che, a quanto sembra potrebbe venire inclusa direttamenete nel kernel vanilla dalla prossima release(.24), di cui al momento il nome mi sfugge. qualcuno di voi li ha mai testati/visti in azione ?

Grazie e scusate il mezzo OT

[mack1]

@MeMyselfAndI sul forum internazionale si era parlato di apparmor già l'anno scorso:

https://forums.gentoo.org/viewtopic-t-428176-highlight-apparmor.html?sid=8319a16c8bb32f46225146c6a6f36dab

Patch di vipernicus per kernel 2.6.17 che include apparmor:

https://forums.gentoo.org/viewtopic-t-495356-postdays-0-postorder-asc-start-0.html?sid=c4c60b3a8fe5892ec0d5a8f4423a8d47

Prova adare un'occhiata agli "ebuild di novell":

https://forums.gentoo.org/viewtopic-t-406260-highlight-apparmor.html?sid=8319a16c8bb32f46225146c6a6f36dab

Comunque leggendo le discussioni sul forum anglofono apparmor non sembra aggiungere niente ai sistemi di hardening già presenti in gentoo, tieni presente che grsecurity, se segui le guide di gentoo, non crea grandi problemi, anzi funge piuttosto bene .La scelta di un sistema è sempre relativo a quelle che sono le tue esigenze in termini di sicurezza quindi credo che RSBAC e SElinux (attualmente, come diceva djinnZ, non sono usabili sulle workstation >>> causa troppi problemi con le applicazioni di uso comune) siano adatte ad un ambiente server(viste le diverse esigenze di sicurezza con una workstation).Apparmor dalla sua ha la facilità d'uso mentre SElinux e RSBAC sono un "pochino" ostiche da configurare e gestire ma probabilmente superiori in termini di protezione del sistema

Tavola di comparazione di gentoo-wiki:

http://gentoo-wiki.com/Access_Control_Comparison_Table

Di una versione easy di SElinux non ho sentito niente proverò a cercare qualche cosa.
Dovresti aspettare qualcuno che usa e conosce i suddetti sistemi meglio di me per avere maggiori dettagli, visto che ho appena cominciato ad interessarmi di hardening del sistema

Ciao

[mack1]

Non è che stai parlando di Smack .....pare che Torvalds non lo veda di buon occhio:

http://www.tuxjournal.net/?p=1245

Ciao

[djinnZ]

apparmor ha dalla sua una migliore ottimizzazione del codice rispetto ad selinux (e non comporta filesystem obesi) ma sono sistemi abbastanza rigidi e decisamente banali rispetto ad RSBAC (che non è difficile ma ad oggi è troppo complesso e richiede troppo lavoro per essere configurato, quindi ho rinunciato).

GRSEC oltre a pesare molto meno sulle prestazioni è più semplice ed immediato.

SElinux è totalmente incompatibile con OpenOffice (nel senso che non può proprio funzionare, ma è un vecchio difetto di OOo) ed alcune feature di kde, è difficilissimo che riesca a funzionare bene con X (so che pebenito stava lavorando ad una struttura delle policy più granulare) e devi perdere un casino di tempo solo per appronbtare un normale server "casalingo" (di quelli che fanno di tutto di più) mentre con RSBAC parti del tutto da zero, non è difficile ma è un lavoraccio eccessivo per le mie esigenze, quindi lo ho abbandonato.
Tieni conto che sia apparmor che selinux sono più pensati per poter facilmente "tradurre" le specifiche di sicurezza legate a quel solito sistema operativo (tanto carino quanto arretrato nella struttura e nelle funzionalità) di cui non faccio il nome che non per incrementare realmente il livello di sicurezza del sistema.

@mack1:
i legacy header non fanno che aggiungere confusione (non mi ricordo dove avevo letto di malfunzionamenti veri e propri) e sono deprecati. Poichè non parti da un sistema che ha usato il vecchio metodo (stai ricompilando tutto da zero) e non penso che hai binari modificati dalle vecchie paxutils ti servono solo a rallentare il kernel e complicarti la vita.
quindi CONFIG_PAX_EI_PAX=n e, per sicurezza, emerge -C chpax. oppure ti tieni chpax, lo finisci di configurare ed usi lo script rc ma sappi che sono funzioni deprecate.

CONFIG_PAX_SOFTMODE=y, avvii con l'opzione alla linea di comando del kernel pax_softmode=1 e vedi se hwclock funziona o meno. Se non funziona prova a disabilitare randexec ed mprotect con paxctl.

Se continua a non funzionare prova a disabilitare grsec e vedere cosa succede. Se con pax e grsec disabilitati non funziona ancora, hwclock non c'entra niente quindi fatti splittare il thread di modo che cercando sul forum per hwclock e problemi di orario non ti ritrovi a discutere di hardening e viceversa.

ovviamente ti conviene mettere le linux capabilities come modulo (non vanno d'accordo con grsec e con rsbac le devi eliminare).

non è che ci sono problemi a portare questi sistemi su workstation solo che le policy RBAC/RSBAC/SElinux per potersi conciliare con gli accessi diretti all'hardware (vedi driver nvidia/ati), per la necessità di avere accesso in lettura a tutte le directory (--x invece di r-x) dell'albero (konqueror, nautilus) per poter funzionare correttamente o per poter funzionare (OOo non presenta il browsing dei file sulla dir corrente se non può leggere tutte le sovrastanti, per dirne una) etc. richiedono un lavoraccio infame, che per di più non può essere esportato facilmente, quasi pari a creare un linux from stratch. Se poi l'uso è si workstation ma limitata e dedicata (esempio un pc che deve solo consentire di usare il programma di contabilità) ci si può cimentare con profitto. Ma se pensi di usare allegramente il pc per condividere file in rete, ascoltare miìusica, vedere film etc. sei masochista.

NB: che randomizzare consenta agli applicativi di avviarsi non vuol dire che funzionino. Non so potresti trovarti con OOo che impazzisce e ti pialla la tesi all'improvviso o con un computer che se accedi ad una partizione ext3 non usata da un paio d'ore si resetta (come capita a me). Usa le opzioni una alla volta verificando che tutto funzioni.
gentoo-hardened è stabile ma è ancora poco testata e semisperimentale (nel senso che non c'è molta documentazione ed è in fermento continuo) quindi l'unico consiglio che posso darti è procedere con i piedi di piombo. (di mio uso grsec solo per limitare il chroot, perchè non ho il tempo di impostare delle serie policy)
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist

[MeMyselfAndI]

[mack1]

@MeMyselfAndI hai ragione nella fretta di postare il link che avevo trovato e l'esigenza di divorare un meritato piatto di pasta(fame allucinante dovuta a digiuno prolungato) ho letto solo a spizzichi e bocconi l'articolo.Scusami

@djinnZ

Allora ho disabilitato i legacy header CONFIG_PAX_EI_PAX=n e poi emerge -C chpax.Ho avviato con pax_softmode=1
ma niente;invece è andato a posto disabilitando randexec ed mprotect con paxctl .

[djinnZ]

[mack1]

Grazie djinnZ le tue risposte mi hanno chiarito le idee .
Non sono propriamente un niubbo (ma non mi definirei neanche un iper esperto), la mia era inizialmente solo curiosità e voglia di sperimentare un progetto gentoo , poi se anche imparo qualche cosa sui sistemi hardened non credo mi faccia male (anzi probabilmente mi tornerà utile in futuro!).

Ciao

[mack1]

Ok il problema non era hwclock ne gentoo-hardened ne pax...... vecchio disco usato per test che stava per morire

I am sorry

[djinnZ]

Appunto, questo è il problema con l'hardening, individuare in fretta la causa.

In futuro ti tornerà utile perchè la tendenza è verso un maggiore livello di sicurezza, chiero che se segui lo sviluppo di qualcosa fai meno fatica e sei più competente rispetto a chi lo affronta tutto in una volta.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist

[mack1]

Sì capisco cosa vuoi dire, è sempre una questione di costi/benefici relativi a quello che è il tempo/risorse/sbattimento per installare e poi gestire una macchina.
Grazie dei consigli

Ciao