| View previous topic :: View next topic |
| Author |
Message |
vitae
Tux's lil' helper
Joined: 26 Mar 2004
Posts: 134
Location: Germany
|
 Posted: Mon Jan 08, 2007 9:29 pm Post subject: [Solved] Hardened Gentoo |
 |
|
Hallo ihr,
nachdem ich schon seit zwei jahren bei gentoo bin und damit eigentlich auch sehr, abgesehen von manchen kleinen problemchen, sehr zufrieden bin, hatte ich mal versucht etwas über den suppenteller zu blicken und andere distris ausprobiert.
alles in allem ganz nett, aber nichts was mich von gentoo wegbringen könnte. der ganze abhängigkeitskrampf (schon mal probiert mono von opensuse zu entfernen?) ist nichts für mich.
das einzige was ich sehr toll fand bei opensuse und fedora sind die sicherheitsfunktionen. selinux und apparmour.
da ich durch einige news bzgl. bundesländer haben lauffähige trojaner für linux und windows entwickelt (heise glaub ich) und das auch einsetzen wollen und ich etwas für die sicherheit tun wollte probierte ich gentoo zu härten.
soviel zu der langen einleitung.
meine erste wahl fiel auf selinux (grsecurity hatte ich vor einiger zeit mal ausprobiert, aber da gab es finanzielle probleme und das projekt stand da kurz vor dem aus, deswegen meine wahl).
nachdem durchlesen der howtos (die mir irgendwie veraltet vorkamen, vielleicht täusche ich mich da auch) und des umstellen des profiles auf selinux kamen die ersten probleme. viele der policies ließen sich nicht herunterladen, weil sie bei der hoster (nsa wars glaub ich) durch neuere ersetzt wurden. in bugzilla las ich dann, dass selinux momentan wohl etwas vernachläßigt wird...
deswegen informierte ich mich über den aktuellen zustand von grsecurity und probierte das auch mal.
also ebenfalls auf zum howto, was auch veraltet schien. der erste punkt war schon, dass das profil nicht auf hardened/2.6 verwies sondern nur auf hardened mit 2.4 kernel. auch viele meiner anderen fragen blieben unbeantwortet.
| Quote: | 1. warum ist der aktuelle stabile kernel 4.1.1 nicht mit hardened unterstützt. ich fand dazu keinerlei infos. stattdessen will er immer auf nen 3er gcc downgraden. analog dazu glibc
2. kann ich auch nur das hardened useflag setzen und mein system ist dann genauso gehärtet, wie wenn ich das profil auf hardened setze?
3. welche auswirkungen hat ein gehärtet gcc? härtet der ebenfalls meine neukompilierten programme?
4. ich habe mit meinem nicht gehärteten gcc alle programme mit dem useflag=hardened neu kompiliert. reicht das aus oder muss ich trotzdem ein emerge -e world machen, obwohl der gcc nicht gehärtet ist? |
das sind alles so fragen von jemanden, der sich etwas mit der materie beschäftigt. falls es irgendwo weitere pages gibt (blogs oder andere resourcen) wäre nett, wenn die jemand postet. ich möchte nicht darauf rumreiten, aber bin ich der erste der das problem hat?
ich weiß, dass das alles freiwillige arbeit ist, aber dass dazu kein post im wiki geschrieben wurde, finde ich schon schwach. würde ich mich etwas mehr auskennen und mir sicher sein, dass ich dort keinen totalen nonesense hinterlasse, hätte ich mich bestimmt dort auch verewigt.
ich hoffe einige meiner fragen können beantwortet werden.
danke
vitae
p.s.: wenn andere distris per default schon gehärtet sind, sollte gentoo nicht als bleeding edge distri mitziehen?
Last edited by vitae on Tue Jan 09, 2007 3:45 pm; edited 1 time in total |
|
| Back to top |
|
 |
gimpel
Advocate
Joined: 15 Oct 2004
Posts: 2720
Location: Munich, Bavaria
|
|
| Back to top |
|
|
vitae
Tux's lil' helper
Joined: 26 Mar 2004
Posts: 134
Location: Germany
|
| Posted: Tue Jan 09, 2007 9:15 am Post subject: |
|
|
| Quote: | vitae hat Folgendes geschrieben:
da ich durch einige news bzgl. bundesländer haben lauffähige trojaner für linux und windows entwickelt (heise glaub ich) und das auch einsetzen wollen und ich etwas für die sicherheit tun wollte probierte ich gentoo zu härten.
*GRÖÖÖÖHL* es gibt doch welche die darauf reingefallen sind HAHAHAHAHAA!
http://bundestrojaner.zenzizenzizenzic.de <-- zu geil! |
jepp, ich merks. hätte doch nicht mehr so spät posten sollen. meinte gcc 4.1 natürlich. was solls, hab ich eben für ein paar heitere minuten gesorgt. muss auch mal sein.
zu https://forums.gentoo.org/viewtopic-t-523069.html :
das diskussionsforum hatte ich übersehen. wusste gar nicht, dass da so interessante themen behandelt werden. danke jedenfalls für die aufklärung dazu slick.
danke auch für die links, obwohl ich die meisten dazu schon gelesen habe.
dazu gehörten
http://www.gentoo.org/security/en/
http://www.gentoo.org/doc/en/security/ << war interessant, um einen groben überblick zu haben.
aber meine fragen bleiben immer noch offen:
| Quote: | 1. warum ist der aktuelle stabile gcc 4.1.1 nicht mit hardened unterstützt. ich fand dazu keinerlei infos. stattdessen will er immer auf nen 3er gcc downgraden. analog dazu glibc
2. kann ich auch nur das hardened useflag setzen und mein system ist dann genauso gehärtet, wie wenn ich das profil auf hardened setze?
3. welche auswirkungen hat ein gehärteter gcc? härtet er ebenfalls meine neukompilierten programme?
4. ich habe mit meinem nicht gehärteten gcc alle programme mit dem useflag=hardened neu kompiliert. reicht das aus oder muss ich trotzdem ein emerge -e world machen, obwohl der gcc nicht gehärtet ist? |
|
|
| Back to top |
|
|
C2DFreak
n00b
Joined: 03 Jan 2007
Posts: 48
|
| Posted: Tue Jan 09, 2007 12:20 pm Post subject: |
|
|
Das seltsame ist ja:
Warum gibt es nur ein 2005.1 Profil für SELINUX bzw. Hardened Gentoo?
Aus meiner Sicht liegt da das Problem.
Es müsste mal ein 2006.1 Profil dafür geben...
_________________
Gruß
C2DFreak
Gentoo Server |
|
| Back to top |
|
|
vitae
Tux's lil' helper
Joined: 26 Mar 2004
Posts: 134
Location: Germany
|
| Posted: Tue Jan 09, 2007 1:17 pm Post subject: |
|
|
| C2DFreak wrote: | Das seltsame ist ja:
Warum gibt es nur ein 2005.1 Profil für SELINUX bzw. Hardened Gentoo?
Aus meiner Sicht liegt da das Problem.
Es müsste mal ein 2006.1 Profil dafür geben... |
das selinux howto hatte ich mir durchgelesen und auf die frage gabs auch eine antwort.
sie meinten in etwa, dass es nicht notwendig sei das selinux profil ständig zu erneuern, da sich da eh nicht viel ändern würde. das wird schon passen. |
|
| Back to top |
|
|
C2DFreak
n00b
Joined: 03 Jan 2007
Posts: 48
|
| Posted: Tue Jan 09, 2007 1:37 pm Post subject: |
|
|
| vitae wrote: | | C2DFreak wrote: | Das seltsame ist ja:
Warum gibt es nur ein 2005.1 Profil für SELINUX bzw. Hardened Gentoo?
Aus meiner Sicht liegt da das Problem.
Es müsste mal ein 2006.1 Profil dafür geben... |
das selinux howto hatte ich mir durchgelesen und auf die frage gabs auch eine antwort.
sie meinten in etwa, dass es nicht notwendig sei das selinux profil ständig zu erneuern, da sich da eh nicht viel ändern würde. das wird schon passen. |
Trotz allem darin liegt die Antwort auf deine Frage 1.
Das 2005.1er (Hardened/SELINUX Profil) ist natürlich nicht mehr auf dem aktuellen Stand.
Und daher isn älterer GCC, glibc usw. drin weswegen du ein Downgrade machen musst.
Genau das ist das Problem.
Würde es ein aktuelles Hardened/Selinux Profil geben dann wäre auch der GCC in Version 4 drin und es wäre kein Downgrade notwendig.
Und dadurch beantworten sich indirekt auch deine weiteren Fragen.
Frag am besten mal die Entwickler, warum es kein aktuelles 2006.1 Hardened Profil gibt.
_________________
Gruß
C2DFreak
Gentoo Server |
|
| Back to top |
|
|
firefly
Watchman
Joined: 31 Oct 2002
Posts: 5329
|
| Posted: Tue Jan 09, 2007 1:43 pm Post subject: |
|
|
also bei mir gibt es ein 2006.1 profil für SELINUX:
| Code: | eselect profile list
Available profile symlink targets:
[1] default-linux/x86/2006.1
[2] default-linux/x86/no-nptl
[3] default-linux/x86/no-nptl/2.4
[4] default-linux/x86/2006.1/desktop
[5] hardened/x86/2.6
[6] selinux/x86/2006.1 |
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
| Back to top |
|
|
C2DFreak
n00b
Joined: 03 Jan 2007
Posts: 48
|
| Posted: Tue Jan 09, 2007 3:12 pm Post subject: |
|
|
@firefly THX für diese Info.
Habe gerade nachgeschaut, du hast vollkommen Recht.
@vitae
Du musst im ersten Schritt folgendes Profil nehmen:
rm -f /etc/make.profile
und danach (WICHTIG!)
ln -sf /usr/portage/profiles/selinux/x86/2006.1 /etc/make.profile
Um zu schauen ob alles okay ist machst du dann:
emerge --info
So sollte das dann in etwa aussehen:
gentoo-test x86 # emerge --info
Portage 2.1.1-r2 (selinux/x86/2006.1, gcc-4.1.1, glibc-2.4-r3, 2.6.19-gentoo-r3 i686)
=================================================================
System uname: 2.6.19-gentoo-r3 i686 Intel(R) Core(TM)2 CPU 6600 @ 2.40GHz
Habe es dir extra dick mackiert.
Da steht dann SELINUX.
Anschließend machst du direkt mit:
emerge glibc
weiter.
Und dann den Rest der Anleitung.
Sollte klappen.
Ich hoffe, dass ich dir helfen konnte. Wenn du noch Fragen hast, poste einfach.
_________________
Gruß
C2DFreak
Gentoo Server |
|
| Back to top |
|
|
vitae
Tux's lil' helper
Joined: 26 Mar 2004
Posts: 134
Location: Germany
|
| Posted: Tue Jan 09, 2007 3:44 pm Post subject: |
|
|
danke für die antworten.
| Code: | | eselect profile set 6 |
erleichtert es ebenfalls. das funktioniert jedenfalls.
dachte ich mir doch, dass im handbuch einiges veraltet ist.
http://www.gentoo.org/proj/en/hardened/selinux/selinux-handbook.xml?part=2&chap=1
| Quote: | # rm -f /etc/make.profile
x86:
# ln -sf /usr/portage/profiles/selinux/2005.1/x86 /etc/make.profile
x86 Hardened (PIE-SSP):
# ln -sf /usr/portage/profiles/selinux/2005.1/x86/hardened /etc/make.profile
PPC:
# ln -sf /usr/portage/profiles/selinux/2005.1/ppc /etc/make.profile
SPARC:
# ln -sf /usr/portage/profiles/selinux/2005.1/sparc64 /etc/make.profile
AMD64:
# ln -sf /usr/portage/profiles/selinux/2005.1/amd64 /etc/make.profile
Important: Do not use any profiles other than the ones listed above, even if they seem to be out of date. SELinux profiles are not necessarily created as often as default Gentoo profiles. |
für hardened hab ich im hardened profiles rumschnüffeln auch einen eintrag gefunden, warum er downgraden will. anscheinend liegt es an dem 1 jahr alten bugeintrag.
https://bugs.gentoo.org/show_bug.cgi?id=104966
ob in der zwischenzeit das problem wohl gelöst wurde geht leider nicht daraus hervor...
kann man dem selinux team nen bug-eintrag schicken, oder irgendwie benachrichten wegen dem handbuch?
ansonsten haben sind alle meine fragen beantwortet.
danke nochmals  |
|
| Back to top |
|
|
slick
Bodhisattva
Joined: 20 Apr 2003
Posts: 3495
|
|
| Back to top |
|
|
C2DFreak
n00b
Joined: 03 Jan 2007
Posts: 48
|
| Posted: Tue Jan 09, 2007 4:27 pm Post subject: |
|
|
| vitae wrote: | danke für die antworten.
| Code: | | eselect profile set 6 |
erleichtert es ebenfalls. das funktioniert jedenfalls.
dachte ich mir doch, dass im handbuch einiges veraltet ist.
http://www.gentoo.org/proj/en/hardened/selinux/selinux-handbook.xml?part=2&chap=1
| Quote: | # rm -f /etc/make.profile
x86:
# ln -sf /usr/portage/profiles/selinux/2005.1/x86 /etc/make.profile
x86 Hardened (PIE-SSP):
# ln -sf /usr/portage/profiles/selinux/2005.1/x86/hardened /etc/make.profile
PPC:
# ln -sf /usr/portage/profiles/selinux/2005.1/ppc /etc/make.profile
SPARC:
# ln -sf /usr/portage/profiles/selinux/2005.1/sparc64 /etc/make.profile
AMD64:
# ln -sf /usr/portage/profiles/selinux/2005.1/amd64 /etc/make.profile
Important: Do not use any profiles other than the ones listed above, even if they seem to be out of date. SELinux profiles are not necessarily created as often as default Gentoo profiles. |
für hardened hab ich im hardened profiles rumschnüffeln auch einen eintrag gefunden, warum er downgraden will. anscheinend liegt es an dem 1 jahr alten bugeintrag.
https://bugs.gentoo.org/show_bug.cgi?id=104966
ob in der zwischenzeit das problem wohl gelöst wurde geht leider nicht daraus hervor...
kann man dem selinux team nen bug-eintrag schicken, oder irgendwie benachrichten wegen dem handbuch?
ansonsten haben sind alle meine fragen beantwortet.
danke nochmals |
Wunderbar.
Dann sag mal bescheid, wenn deine SELINUX Install komplett durch ist. Würde mich dann mal sehr interessieren, ob auch mit der SELINUX-BASE-POLICY alles klappt...
_________________
Gruß
C2DFreak
Gentoo Server |
|
| Back to top |
|
|
|
Deutsches Forum (German)
