View previous topic :: View next topic |
Author |
Message |
FreeManAtomic Guru
Joined: 01 Feb 2005 Posts: 365
|
Posted: Thu Jun 09, 2005 10:43 am Post subject: gresec set password |
|
|
Ciao,
sto provando grsec, seguendo la guida gentoo, sono arrivato al momento in cui setto la passwd per admin:
Code: |
root [/etc/grsec]#>gradm -P admin
Setting up password for role admin
Password:
Re-enter Password:
Password written to /etc/grsec/pw.
root [/etc/grsec]#>gradm -E
Your password file is not set up correctly.
Run gradm -P to set a password.
root [/etc/grsec]#>
|
ma dopo che la setto se faccio gradm -E mi dice che non è settata, spate aiutarmi???
grazie |
|
Back to top |
|
|
lavish Bodhisattva
Joined: 13 Sep 2004 Posts: 4296
|
Posted: Thu Jun 09, 2005 10:46 am Post subject: |
|
|
Ora sto scappando, ma anche io ho avuto problemi di quel tipo.. ho risolto leggendo la doc ufficiale di grsec.
Ciao _________________ minimalblue.com | secgroup.github.io/ |
|
Back to top |
|
|
alexerre Apprentice
Joined: 17 Sep 2003 Posts: 267 Location: Italy
|
Posted: Fri Jun 10, 2005 11:51 pm Post subject: |
|
|
lavish wrote: | ho risolto leggendo la doc ufficiale di grsec. |
a che guida ti riferisci?Interesserebbe anche me _________________ Se segui gli altri non arriverai mai primo |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Sat Jun 11, 2005 12:04 am Post subject: |
|
|
bisogna specificare anche l'utente per cui si sta impostando la password.
solitamente l'utente è admin. è quello predefinito del ruolo standard definito in fase di installazione
se vuoi cambiare nome all'utente admin devi mettere mano al file policy (te lo sconsiglio di brutto) |
|
Back to top |
|
|
alexerre Apprentice
Joined: 17 Sep 2003 Posts: 267 Location: Italy
|
Posted: Sat Jun 11, 2005 12:22 am Post subject: |
|
|
k.gothmog wrote: | bisogna specificare anche l'utente per cui si sta impostando la password.
solitamente l'utente è admin. è quello predefinito del ruolo standard definito in fase di installazione
se vuoi cambiare nome all'utente admin devi mettere mano al file policy (te lo sconsiglio di brutto) |
ok, ma esiste qualche bella guida oltre a quella di gentoo?
Qualche links?
_________________ Se segui gli altri non arriverai mai primo |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
|
Back to top |
|
|
lavish Bodhisattva
Joined: 13 Sep 2004 Posts: 4296
|
|
Back to top |
|
|
alexerre Apprentice
Joined: 17 Sep 2003 Posts: 267 Location: Italy
|
Posted: Sat Jun 11, 2005 7:14 am Post subject: |
|
|
Grazie a tutti e due _________________ Se segui gli altri non arriverai mai primo |
|
Back to top |
|
|
.:deadhead:. Advocate
Joined: 25 Nov 2003 Posts: 2963 Location: Milano, Italy
|
|
Back to top |
|
|
FreeManAtomic Guru
Joined: 01 Feb 2005 Posts: 365
|
Posted: Sat Jun 11, 2005 3:18 pm Post subject: |
|
|
.:deadhead:. wrote: | hai risolto? Ci spieghi come? |
io no, non avevo tempo di provare in questi giorni, cmq io faccio gradm -P admin e metto la passwd, uqando gaccio gradm -E per abilitare mi dice come da primo post che devo settare la passwd..... |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Sat Jun 11, 2005 3:19 pm Post subject: |
|
|
FreeManAtomic wrote: | io no, non avevo tempo di provare in questi giorni, cmq io faccio gradm -P admin e metto la passwd, uqando gaccio gradm -E per abilitare mi dice come da primo post che devo settare la passwd..... |
è molto strano... domanda: hai una directory /etc/grsec? |
|
Back to top |
|
|
alexerre Apprentice
Joined: 17 Sep 2003 Posts: 267 Location: Italy
|
Posted: Sat Jun 11, 2005 6:13 pm Post subject: |
|
|
.:deadhead:. wrote: | hai risolto? Ci spieghi come? |
quello che mi interessava maggiormente era qualche indicazione su una buona guida (anche se già ero a conoscenza delle doc ufficiali); per pigrizia non ho mai sfogliato la ml ma mi sa che lo farò presto.
La parte segnalata all'inizio di questo 3d non mi aveva dato granché problemi, la guida di gentoo era abbastanza esplicativa a riguardo. Ora è passato molto tempo da che ho installato un kernel-hardened e siccome volevo riprendere in mano il discorso grsec volevo sapere se esisteva qualche guida "esaustiva" sull'argomento.
Scusate l'OT
/me chiede venia _________________ Se segui gli altri non arriverai mai primo |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Sat Jun 11, 2005 6:20 pm Post subject: |
|
|
alexerre wrote: | ora è passato molto tempo da che ho installato un kernel-hardened e siccome volevo riprendere in mano il discorso grsec volevo sapere se esisteva qualche guida "esaustiva" sull'argomento. |
io installo spesso macchine con grsec, e tutto quello che ho seguito è la documentazione ufficiale. è l'unica chiara ed esaustiva e di cui mi fidi.
sono iscritto alla ML, e anche se avrò postato forse 5 messaggi in due anni, la seguo sempre. c'è davvero molto da imparare, da quella
personalmente però, è raro che vada ad utilizzare gradm e le ACL. sono strumenti bastardi ed è facile commettere errori fatali.
secondo me comportano troppo sbattimento, per i vantaggi che danno. alla fine mi tengo PaX con protezione massima e lavoro con sysctl. non ho mai fatto di più e non mi hanno mai sfondato una macchina |
|
Back to top |
|
|
FreeManAtomic Guru
Joined: 01 Feb 2005 Posts: 365
|
Posted: Sat Jun 11, 2005 6:39 pm Post subject: |
|
|
k.gothmog wrote: | FreeManAtomic wrote: | io no, non avevo tempo di provare in questi giorni, cmq io faccio gradm -P admin e metto la passwd, uqando gaccio gradm -E per abilitare mi dice come da primo post che devo settare la passwd..... |
è molto strano... domanda: hai una directory /etc/grsec? |
questo e il contenuto della mia cartella:
Code: |
root [/home/alfredo]#>ll /etc/grsec
total 16K
-rw------- 1 root root 3.9K Jun 9 12:38 learn_config
-rw------- 1 root root 6.9K Jun 9 12:38 policy
-rw------- 1 root root 224 Jun 9 12:44 pw
root [/home/alfredo]#>
|
|
|
Back to top |
|
|
FreeManAtomic Guru
Joined: 01 Feb 2005 Posts: 365
|
Posted: Sat Jun 11, 2005 6:40 pm Post subject: |
|
|
k.gothmog wrote: | alexerre wrote: | ora è passato molto tempo da che ho installato un kernel-hardened e siccome volevo riprendere in mano il discorso grsec volevo sapere se esisteva qualche guida "esaustiva" sull'argomento. |
io installo spesso macchine con grsec, e tutto quello che ho seguito è la documentazione ufficiale. è l'unica chiara ed esaustiva e di cui mi fidi.
sono iscritto alla ML, e anche se avrò postato forse 5 messaggi in due anni, la seguo sempre. c'è davvero molto da imparare, da quella
personalmente però, è raro che vada ad utilizzare gradm e le ACL. sono strumenti bastardi ed è facile commettere errori fatali.
secondo me comportano troppo sbattimento, per i vantaggi che danno. alla fine mi tengo PaX con protezione massima e lavoro con sysctl. non ho mai fatto di più e non mi hanno mai sfondato una macchina |
perche non butti giu due righe su come configuri i tui server |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Sat Jun 11, 2005 11:41 pm Post subject: |
|
|
FreeManAtomic wrote: | perche non butti giu due righe su come configuri i tui server |
perché in sostanza l'ho già detto. lavorando con PaX e sysctl lavoro prevalentemente in kernel space. non c'è niente da configurare, se non dare i corretti permessi agli applicativi tramite paxctl o chpax quando necessario.
al massimo potrei darti questo estratto del mio sysctl.conf:
Code: | kernel.grsecurity.audit_mount = 1
kernel.grsecurity.chroot_caps = 1
kernel.grsecurity.chroot_deny_chmod = 1
kernel.grsecurity.chroot_deny_chroot = 1
kernel.grsecurity.chroot_deny_fchdir = 1
kernel.grsecurity.chroot_deny_mknod = 1
kernel.grsecurity.chroot_deny_mount = 1
kernel.grsecurity.chroot_deny_pivot = 1
kernel.grsecurity.chroot_deny_shmat = 1
kernel.grsecurity.chroot_deny_sysctl = 1
kernel.grsecurity.chroot_deny_unix = 1
kernel.grsecurity.chroot_enforce_chdir = 1
kernel.grsecurity.chroot_findtask = 1
kernel.grsecurity.chroot_restrict_nice = 1
kernel.grsecurity.destroy_unused_shm = 1
kernel.grsecurity.dmesg = 1
kernel.grsecurity.execve_limiting = 1
kernel.grsecurity.fifo_restrictions = 1
kernel.grsecurity.forkfail_logging = 1
kernel.grsecurity.linking_restrictions = 1
kernel.grsecurity.rand_pids = 1
kernel.grsecurity.rand_tcp_src_ports = 1
kernel.grsecurity.signal_logging = 1
kernel.grsecurity.timechange_logging = 1
kernel.grsecurity.grsec_lock = 0 |
come vedi è quasi tutto abilitato. solitamente installo i sistemi. configuro i server che mi interessano, e poi abilito UNA ALLA VOLTA le feature (tranne le chroot restrictions, che abilito tutte in blocco)
alla fine quando tutto funziona do A MANO Code: | kernel.grsecurity.grsec_lock = 1 | e consegno la macchina
è sempre questione di abitudini e di come si è importato il lavoro. io preferisco lavorare in kernel space, per cui non sono un grande estimatore di gradm.
qualcosa però faccio, ogni tanto, quindi se hai domande specifiche forse ti posso aiutare |
|
Back to top |
|
|
FreeManAtomic Guru
Joined: 01 Feb 2005 Posts: 365
|
Posted: Sun Jun 12, 2005 10:56 am Post subject: |
|
|
Secondo te ha senso usare grsec, su una macchina che andra a fare da firewall???
Con istallato solo iptables e dipendeze? |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Sun Jun 12, 2005 11:07 am Post subject: |
|
|
FreeManAtomic wrote: | Secondo te ha senso usare grsec, su una macchina che andra a fare da firewall???
Con istallato solo iptables e dipendeze? |
tutto è relativo. se è per una piccola rete e non viene esportato nessun servizio (ma proprio nessuno) non vedo come grs possa aumentare la sicurezza. |
|
Back to top |
|
|
FreeManAtomic Guru
Joined: 01 Feb 2005 Posts: 365
|
Posted: Sun Jun 12, 2005 1:01 pm Post subject: |
|
|
k.gothmog wrote: | FreeManAtomic wrote: | Secondo te ha senso usare grsec, su una macchina che andra a fare da firewall???
Con istallato solo iptables e dipendeze? |
tutto è relativo. se è per una piccola rete e non viene esportato nessun servizio (ma proprio nessuno) non vedo come grs possa aumentare la sicurezza. |
allo stato attuale non ci sono servizi esportati, il fatto di aumentare la sicurezza va nella direzione di aprire accesso esterno ad un webserver+smtp+pop, come inizio |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Sun Jun 12, 2005 1:19 pm Post subject: |
|
|
FreeManAtomic wrote: | allo stato attuale non ci sono servizi esportati, il fatto di aumentare la sicurezza va nella direzione di aprire accesso esterno ad un webserver+smtp+pop, come inizio |
questo cambia leggermente le cose.
tu intendi dire che quella macchina presto OSPITERÀ webserver e mailserver, o che il firewall aprirà le connessioni verso un webserver e verso un mailserver?
nel primo caso, grsec può venire buono. nel secondo caso non vedo proprio come protrebbe esserti utile. casomai lo installerei sulla macchina che ospita il server web e mail |
|
Back to top |
|
|
FreeManAtomic Guru
Joined: 01 Feb 2005 Posts: 365
|
Posted: Sun Jun 12, 2005 2:10 pm Post subject: |
|
|
k.gothmog wrote: | FreeManAtomic wrote: | allo stato attuale non ci sono servizi esportati, il fatto di aumentare la sicurezza va nella direzione di aprire accesso esterno ad un webserver+smtp+pop, come inizio |
questo cambia leggermente le cose.
tu intendi dire che quella macchina presto OSPITERÀ webserver e mailserver, o che il firewall aprirà le connessioni verso un webserver e verso un mailserver?
nel primo caso, grsec può venire buono. nel secondo caso non vedo proprio come protrebbe esserti utile. casomai lo installerei sulla macchina che ospita il server web e mail |
obiettiavamente ancora non è stato deciso su quale macchina saranno piazzati
Ma credo si andra verso la definizione di un DMZ (ovviamente) |
|
Back to top |
|
|
|