Kernel-Images und grsecurity

[janc]

Hi,

ich weiss, das Thema ist schon öfters besprochen worden, aber ich bräuchte mal eine Empfehlung.
Leider ist das Problem mit dem grsecurity - Patch und den gepatchten Debian-Kernels ja noch immer nicht gelöst (soweit ich weiss?). Jetzt habe ich gerade hier im Forum entdeckt, dass debianhowto.de gepatchte 2.4.20-Kernel-Images anbietet. Find ich natürlich erstmal klasse. Allerdings möchte ich den Kernel unter Debian Stable auf einem AMD 2000 mit 1 GB DDR-RAM und Linksys Network Everywhere Netzwerkkarte laufen lassen. Welches der Image sollte ich da nehmen und spricht irgendetwas dagegen oder habt ihr in diesem Fall einen besseren Tip für mich?
Gruss
Jan

[captaincrunch]

Leider ist das Problem mit dem grsecurity - Patch und den gepatchten Debian-Kernels ja noch immer nicht gelöst (soweit ich weiss?).

Seitens des Debian-Projekts wird in dem Punkt wohl so schnell keine Lösung kommen, da hast du Recht.

Jetzt habe ich gerade hier im Forum entdeckt, dass debianhowto.de gepatchte 2.4.20-Kernel-Images anbietet.

Jein. Strenggenommen sind es aktuell Images vom 2.4.23er inkl. GRSecurity, da die Versionen <=2.4.22 eine dicke Sicherheitslücke aufweisen.

Welches der Image sollte ich da nehmen und spricht irgendetwas dagegen oder habt ihr in diesem Fall einen besseren Tip für mich?

Ganze herlich gesagt: keins der Images. ;) Sie sind samt und sonders auf die 1&1-Rooties ausgelegt, und werden auf anderen Servern höchstens dann laufen, wenn die Hardware möglichst gleich ist (wobei der Prozessor da keine allzu große Rolle spielt).
Als einzigste Möglichkeit könnte ich dir höchstens anbieten, mal ein "generisches" Image in einer ruhigen Minute zu bauen, das dann auch auf anderen Kisten laufen würde.

[janc]

Das wäre schon mal eine tolle Sache. Aber lässt sich dein Weg den Patch in den Kernel zu kriegen nicht irgendwie nachvollziehbar beschreiben?
Das wäre für mich allein schon wegen dem 1 GB RAM (highmem) das Optimum.

Gruss
Jan

[captaincrunch]

Natürlich lässt sich das ganze beschreiben. Das Patchen und bauen eines Kernels ist schließlich ein Kinderspiel, zu wissen, welche Optionen bei der Konfiguration gebraucht werden, ist allerdings nicht so einfach zu erklären, alleine schon aufgrund der Unmenge an möglichen Möglichkeiten.
Genau dieses probiere ich aber in meinem Kernel-Howto, das hoffentlich auch mal irgendwann beim Debianhowto erscheinen wird (vielleicht kann mir hier ja mal jemand erklären, wie ich Tage verlängern kann ;) ).

[janc]

Die Optionen zum reinen Kernelbau, also Netzwerkeigenschaften, die richtigen Treiber, usw. sind für mich kein Problem. Ich kriege nur den grsecurity nicht über die Sources. Kannst du mir da helfen?

(vielleicht kann mir hier ja mal jemand erklären, wie ich Tage verlängern kann)

Da wäre ich dann auch dran interessiert, könnte man vielleicht Lizenzgebühren für nehmen. Wäre das Geschäft. :-D

[captaincrunch]

Wenn's mehr nicht ist:

Code: Select all

cd /usr/src
wget ftp://ftp.de.kernel.org/pub/linux/kernel/v2.4/linux-2.4.23.tar.bz2
tar xvjf linux-2.4.23.tar.bz2
wget http://www.grsecurity.net/grsecurity-1.9.13-2.4.23.patch
cd linux-2.4.23
cat ../grsecurity-1.9.13-2.4.23.patch | patch -p1
make menuconfig
[usw. usf.]

[janc]

Also einen Standard-Kernel nehmen. Kannst du mir aus Erfahrung einen 2.4er empfehlen der am besten mit Debian Stable läuft und kann ich meine Debian Kernel Configs weiterbenutzen? Gibt es Patches die auf einen Standard-Kernel unbedingt drauf gehören und bei Debian schon dabei waren? Und lässt sich eigentlich daraus auch ein .deb-Paket machen oder klappt das nur mit der Debian-Source? Ne Menge Fragen, aber ich bin echt dankbar für die Hilfe.

Gruss
Jan

[captaincrunch]

Du solltest alleine aufgrund der Sicherheitslücke den 2.4.23er nehmen ( auch wenn der Patch für die alten nur 3 Zeilen lang ist ;) ). Ich hatte den getestet, und bisher läuft der ziemlich gut, auch viele Aussagen auf der LKML lassen darauf schließen, dass diese Version eine gute ist.

Diem Configs kannst du weiternutzen, allerdings musst du dann natürlich noch die GRSecurity-Konfiguration anpassen.

Wenn du das gemacht hast, kannst du ganz einfach ein stinknormales Debian-Kernelimage daraus bauen :
http://www.debian.de/doc/manuals/refere ... ian-kernel
oder halt als Beispiel (das patchen kannst du getrost vergessen)
http://www.debianhowto.de/howtos/de/grs ... #kernelbau

[janc]

Hat auf dem Testserver wunderbar funktioniert. Allerdings mache ich mir Gedanken darüber, welche Patches und Veränderungen in der Debian Source im Vergleich zum Standard-Kernel gemacht worden sind und mir deswegen jetzt fehlen. Leider habe ich da bisher nichts gefunden. Hast du eine Ahnung wo ich so eine Liste kriegen kann?

Gruss
Jan

[captaincrunch]

Schau ins Changelog ... ;)

Die größte Veränderung, die die Debian-Mainatiner gemacht haben ist AFAIK der Backport des IPSec-Codes aus dem 2.6er-Kernel, aber das dürfte für dich ohnehin recht uninteressant sein. Ich nutze fast nur noch Vanilla-Kernel, und habe bislang keine Nachteile dadurch feststellen können.

[janc]

*sigh* Der Wald vor lauter Bäumen...

Logisch, na dann werde ich das gute Stück mal ausführlich testen. Danke für die Hilfe.

Gruss
Jan