| View previous topic :: View next topic |
| Author |
Message |
frank9999
n00b
Joined: 20 Feb 2013
Posts: 61
Location: Germany
|
 Posted: Sun Jun 08, 2014 10:54 pm Post subject: Desktop System nach Hardened |
 |
|
Hallo,
ich bin am überlegen meine Gentoo Rechner auf ein Hardened Profil zu switchen.
Nach ich nun so einiges gelesen habe unter anderem:
http://wiki.gentoo.org/wiki/Hardened/Introduction_to_Hardened_Gentoo
http://resources.infosecinstitute.com/gentoo-hardening-part-1-introduction-hardened-profile-2/
http://resources.infosecinstitute.com/gentoo-hardening-part-2-introduction-pax-grsecurity/
http://resources.infosecinstitute.com/gentoo-hardening-part-3-using-checksec-2/
http://resources.infosecinstitute.com/gentoo-hardening-part-4-pax-rbac-clamav/
usw.
Mein System: etwa ~1.500 packages installiert, davon ca. 1.000 Stable packages
Portage 2.2.8-r1 (default/linux/amd64/13.0/desktop/kde/systemd, gcc-4.7.3, glibc-2.17, 3.14.6-gentoo x86_64)
NVIDIA Binary Treiber, KDE 4.13.1, Libreoffice, Thunderbird, Google Chrome, Firefox, VLC, Amarok, XBMC, VirtualBox, Wine, Digikam, Dropbox, etc..
Bleiben noch ein paar Fragen:
1) Macht es überhaupt Sinn für ein Desktop System?
2) Gibt es packages die nicht mit Hardened laufen?
3) Nach einem Rebuild von World, funktioniert das System dann noch mit einem Kernel aus gentoo-sources?
4) Mit genlop -i foo erhält man ja eine einzelne "Average merge time" für das package foo.
Gibt es ein Möglichkeit/Script was die ungefähre Zeitdauer eines World Rebuild ermittelt anhand dieser "Average merge time"?
5) Besteht nach einem erfolgreichen Umstieg ein höherer Pflegeaufwand? |
|
| Back to top |
|
 |
frank9999
n00b
Joined: 20 Feb 2013
Posts: 61
Location: Germany
|
| Posted: Mon Jun 09, 2014 10:20 pm Post subject: |
|
|
| Niemand? |
|
| Back to top |
|
|
schmidicom
Veteran
Joined: 09 Mar 2006
Posts: 1978
Location: Schweiz
|
| Posted: Tue Jun 10, 2014 6:53 am Post subject: Re: Desktop System nach Hardened |
|
|
| frank9999 wrote: | | 1) Macht es überhaupt Sinn für ein Desktop System? |
Was Sinn macht und was nicht ist Ansichtssache und demnach von Mensch zu Mensch unterschiedlich, ich persönlich finde das verschlüsseln der root Partition für wesentlich sinnvoller als SELinux.
| frank9999 wrote: | | 2) Gibt es packages die nicht mit Hardened laufen? |
Solange für ein Softwarepaket eine passende SELinux-Policy verfügbar ist sollte es auch funktionieren aber mich persönlich würde es wundern wenn unter Gentoo wirklich für jedes Paket eine solche vorliegt.
| frank9999 wrote: | | 3) Nach einem Rebuild von World, funktioniert das System dann noch mit einem Kernel aus gentoo-sources? |
Wenn ich mich richtig an diesen SELinux-Kram erinnere muss der Kernel den Support für SELinux einfach mit drin haben dann ist der Rest vom Kernel ziemlich egal.
| frank9999 wrote: | | 5) Besteht nach einem erfolgreichen Umstieg ein höherer Pflegeaufwand? |
In Erinnerung an meine SELinux-Debakel-Erfahrungen unter Fedora und anderen Distributionen kann ich hier nur eines sagen: Ja definitiv, SELinux kann sich sehr schnell zu einer Lebensaufgabe entwickeln.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
| Back to top |
|
|
boris64
Veteran
Joined: 04 Oct 2003
Posts: 1770
Location: Vechelde/Peine
|
| Posted: Tue Jun 10, 2014 4:29 pm Post subject: |
|
|
Also ich hab das auch mal probiert. Nach meinen Erfahrungen mit den
hardened-Sources kann ich davon nur eher abraten, weil alles gefühlt
langsamer und oft auch nur fehlerhaft läuft (3D-Beschleunigung unter KDE,
ach, und so weiter...) selbst mit ausgewähltem Desktop-Profil. Auf dem
Server ist das echt top, aber mit X und den ganzen anderen Programmen,
die du da laufen lassen willst, wird das echt zu 'ner Lebensaufgabe.
_________________
boris64.net 200x / visit my desktop / try these tiny kernel patches  |
|
| Back to top |
|
|
boospy
Guru
Joined: 07 Feb 2010
Posts: 310
Location: Austria
|
| Posted: Tue Jun 10, 2014 7:39 pm Post subject: |
|
|
Man kann ja einzelne Pakete mit Hardened kompilieren, macht glaub ich mehr Sinn. Serversysteme haben wir alle auf Hardened nomultilib. Nomultilib täte mich schon eher auf nen Desktop interessieren, aber dann geht ganz sicher einiges nicht mehr.... hmm, ich könnts ja mal testen.
lg
boospy |
|
| Back to top |
|
|
kernelOfTruth
Watchman
Joined: 20 Dec 2005
Posts: 6111
Location: Vienna, Austria; Germany; hello world :)
|
| Posted: Wed Jun 11, 2014 12:54 am Post subject: |
|
|
ich hab hier alles mit den freigeschalteten "hardened" use-flags und transparenter "hardened" toolchain kompiliert (momentan dabei mit gcc 4.9.0 zu aktualisieren)
soweit lies sich alles mit 4.7.3 kompilieren, 4.9.0 hat bis jetzt für die paar Pakete auch keine Probleme gemacht
grsecurity oder PaX nutze ich momentan nicht, weil diverse Sachen (wine, mono - tomboy, etc.) damit nicht so recht liefen und der Aufwand für das Erste zu groß war (patche den Kernel oft auch 1-2 Versionen hinauf in einzelnen
Sub-Systemen so funktioniert das ganze nicht bzw. wird zu komplex)
das einzige, das nicht so recht laufen will war memtest86 und memtest86+ (geht jetzt seit dem Rechner Upgrade mit UEFI sowieso nicht im uefi Modus), dann muss auf das vanilla-Profil umgeschaltet werden
| Quote: | gcc-config -l
[1] x86_64-pc-linux-gnu-4.6.3
[2] x86_64-pc-linux-gnu-4.6.3-hardenednopie
[3] x86_64-pc-linux-gnu-4.6.3-hardenednopiessp
[4] x86_64-pc-linux-gnu-4.6.3-hardenednossp
[5] x86_64-pc-linux-gnu-4.6.3-vanilla
[6] x86_64-pc-linux-gnu-4.7.3
[7] x86_64-pc-linux-gnu-4.7.3-hardenednopie
[8] x86_64-pc-linux-gnu-4.7.3-hardenednopiessp
[9] x86_64-pc-linux-gnu-4.7.3-hardenednossp
[10] x86_64-pc-linux-gnu-4.7.3-vanilla
[11] x86_64-pc-linux-gnu-4.8.2
[12] x86_64-pc-linux-gnu-4.8.2-hardenednopie
[13] x86_64-pc-linux-gnu-4.8.2-hardenednopiessp
[14] x86_64-pc-linux-gnu-4.8.2-hardenednossp
[15] x86_64-pc-linux-gnu-4.8.2-vanilla
[16] x86_64-pc-linux-gnu-4.9.0 *
[17] x86_64-pc-linux-gnu-4.9.0-hardenednopie
[18] x86_64-pc-linux-gnu-4.9.0-hardenednopiessp
[19] x86_64-pc-linux-gnu-4.9.0-hardenednossp
[20] x86_64-pc-linux-gnu-4.9.0-vanilla
|
| Quote: | [I] sys-libs/glibc
Available versions: (2.2) 2.3.6-r5^s[1] 2.4-r4^s[1] **2.5.1^s[1] 2.6.1^s[1] (~)2.7-r2^s[1] 2.8_p20080602-r1^s[1] (~)2.9_p20081201-r3^s (~)2.9_p20081201-r3^s[4] 2.10.1-r1^s 2.10.1-r1^s[4] 2.11.3^s 2.11.3^s[4] (~)2.12.1-r3^s (~)2.12.1-r3^s[4] 2.12.2^s 2.12.2^s[4] (~)2.13-r2^s (~)2.13-r2^s[4] 2.13-r4^s 2.13-r4^s[4] (~)2.14^s (~)2.14^s[4] (~)2.14.1-r2^s (~)2.14.1-r2^s[4] 2.14.1-r3^s 2.14.1-r3^s[4] (~)2.15-r1^s (~)2.15-r1^s[4] 2.15-r2^s 2.15-r2^s[4] 2.15-r3^s 2.15-r3^s[4] 2.16.0^s{tbz2} 2.16.0^s{tbz2}[4] 2.17^s{tbz2} 2.17^s{tbz2}[2] 2.17^s{tbz2}[3] 2.17^s{tbz2}[4] (~)2.18-r1^s{tbz2} (~)2.18-r1^s{tbz2}[3] (~)2.18-r1^s{tbz2}[4] (~)2.19^s{tbz2} (~)2.19^s{tbz2}[3] (**)2.19^s{tbz2}[4] **9999^s **9999^s[4]
{build debug erandom gd glibc-compat20 glibc-omitfp hardened multilib nptl nptlonly nscd profile selinux suid systemtap vanilla CROSSCOMPILE_OPTS="headers-only"}
Installed versions: 2.19(2.2)^s{tbz2}[4](11:47:04 PM 05/22/2014)(gd hardened multilib -debug -nscd -profile -selinux -suid -systemtap -vanilla CROSSCOMPILE_OPTS="-headers-only")
Homepage: http://www.gnu.org/software/libc/libc.html
Description: GNU libc6 (also called glibc2) C library
|
| /etc/portage/profile/package.use.mask wrote: | sys-devel/gcc -hardened
sys-libs/glibc -hardened
|
| /etc/portage/make.conf wrote: | | USE="multislot hardened mode-paranoid pic pie" |
| eselect profile list wrote: |
Available profile symlink targets:
[1] default/linux/amd64/13.0
[2] default/linux/amd64/13.0/selinux
[3] default/linux/amd64/13.0/desktop *
[4] default/linux/amd64/13.0/desktop/gnome
[5] default/linux/amd64/13.0/desktop/gnome/systemd
[6] default/linux/amd64/13.0/desktop/kde
[7] default/linux/amd64/13.0/desktop/kde/systemd
[8] default/linux/amd64/13.0/developer
[9] default/linux/amd64/13.0/no-multilib
[10] default/linux/amd64/13.0/x32
[11] hardened/linux/amd64
[12] hardened/linux/amd64/selinux
[13] hardened/linux/amd64/no-multilib
[14] hardened/linux/amd64/no-multilib/selinux
[15] hardened/linux/amd64/x32
[16] hardened/linux/uclibc/amd64
[17] hardened/linux/musl/amd64
[18] init6:init6/default/linux/amd64
[19] init6:init6/default/linux/amd64/bleeding_edge
[20] init6:init6/hardened/linux/amd64
[21] init6:init6/hardened/linux/amd64/binary
[22] init6:init6/hardened/linux/amd64/bleeding_edge
|
_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa
Hardcore Gentoo Linux user since 2004  |
|
| Back to top |
|
|
frank9999
n00b
Joined: 20 Feb 2013
Posts: 61
Location: Germany
|
| Posted: Wed Jun 11, 2014 5:40 pm Post subject: |
|
|
Zunächst einmal Danke an alle die geantwortet haben 
Ich war inzwischen fleißig und habe das Profil umgestellt, die dadurch entstandenen Abhängigkeits Konflikte gelöst (man ist portage in diesem Bereich langsam geworden) und anschließend emerge –1e system && emerge –1e world hinter mir…
Für 1.500 Packages in World und 600 davon in System, haben die 2.100 emerge Operationen knapp 30 Stunden gedauert…
Das ging dann doch schneller als Befürchtet.
Es gab ein paar Problem, weil die aktuelle „stabile“ Version von icedtea-bin nicht wirklich funktioniert, was zu einer Vielzahl an Sandbox Violation Errors in diversen Sachen geführt hat.
Das wäre dann dieser Bug: https://bugs.gentoo.org/show_bug.cgi?id=502280
Ich habe dann einfach mal mit dem alten Kernel gebootet und KDE lief mit allen Effekten
Nach einem schnellen Test gingen:
Chrome, Dropbox, Wine(!), Libreoffice, krusader, yakuake etc.
Was nicht ging war:
Steam (Schade, da es jetzt Civ 5 gibt! ), Firefox, Thunderbird
Den Rest habe ich noch nicht getestet.
Insbesondere virtualbox wird spannend, da es sich bisher auch nicht mit dem hardened gcc übersetzen lies. Könnte aber auch an diesem Java Bug liegen.
Wobei Firefox und Thunderbird mit einem neuen Useflag gebaut wurden was vielleicht wirklich einen hardened Kernel voraussetzt.
Ich werde am Wochenende mal einen neuen "echten" hardened Kernel bauen. SELinux und einiges andere bleiben erstmal dann ausgeschaltet.
Da ich auf diesem Rechner mit der dortigen Grafikkarte (680 GTX) eh immer Probleme mit dem NVIDIA Treiber habe,
werde ich auch noch einmal mit nouveau testen und meine Resultate hier berichten.
Es fehlt also eigentlich gar nicht mehr viel …
Daumendrücken Leute! |
|
| Back to top |
|
|
boospy
Guru
Joined: 07 Feb 2010
Posts: 310
Location: Austria
|
| Posted: Wed Jun 11, 2014 5:41 pm Post subject: |
|
|
| Nicht schlecht... |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Deutsches Forum (German)
