gr-security patch in SuSE 8.1 (2.4.20 Kernel)

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
maui
Posts: 83
Joined: 2002-12-10 20:20

gr-security patch in SuSE 8.1 (2.4.20 Kernel)

Post by maui »

Hallo,
ich habe hier einen 1&1 Starter Rootie mit bereits angepasstem 2.4.20er kernel (eingebauter IPv6 Support) Nun habe ich hier viel über den gr-security patch gelesen. Kann mir einer von euch ne kleine Hilfestellung geben wie ich meinen Kernel patchen kann ohne gleich alles zu zerschießen. Desweiteren würde ich mich interessieren ob mein System danach normal weiterfunktioniert.

Eine für mich passende Kernelconfig liegt bereits unter /boot/2.4.20-ipv6.conf

Jetzt fehlt mir nur noch...gr-security zu meinem glück.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: gr-security patch in SuSE 8.1 (2.4.20 Kernel)

Post by captaincrunch »

1. Hol dir die SuSE-Kernelsourcen vom Updateserver

2. (Sofern nicht bereits geschehen, bei SuSE weiß ich's nicht) Das Paket unter /usr/src entpacken

3. Hol dir den aktuellen GRSecurity-Patch von http://grsecurity.net , und leg ihn unter /usr/src ab

4. cd /usr/src/linux <- hier natürlich schauen, wo die Kernelsourcen liegen

5. cp /boot/2.4.20-ipv6.conf .config

6. cat ../grsecurity-* | patch -p1

7. make menuconfig und die GRSecurity-Punkte anpassen

8. make dep clean bzImage modules modules_install

9. cp arch/i386/boot/bzImage /boot/WIEDEINKERNELHEIÃ?ENSOLL

10. Anpassung des Bootloaders

Hth
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

maui
Posts: 83
Joined: 2002-12-10 20:20

Re: gr-security patch in SuSE 8.1 (2.4.20 Kernel)

Post by maui »

müssen es sourcen vom suse server sein...
ich meine gehört zu haben das der standart kernel auf den rooties eh kein suse kernel ist. bzw...habe ich mir meinen derzeit laufenden kernel mit ipv6 von kernel.org gezogen. also müsste das doch auch jetzt wieder gehen , oder

ansonsten aber schonmal vielen dank für diese anleitung die mich wohl in die richtige richtung schubst :wink:

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: gr-security patch in SuSE 8.1 (2.4.20 Kernel)

Post by captaincrunch »

Es macht dabei keinen Unterschied, ob du einen SuSE-, oder einen Vanilla-Kernel nimmst.
Wahrscheinlich handelst du dir mit dem "Original"-Kernel sogar noch weniger Probleme ein, da die SuSE-Kernel (normalerwiese, keine Ahnung, wie's bei 1&1 gehandhabt wird) auf's heftigste vorgepatcht sind ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

maui
Posts: 83
Joined: 2002-12-10 20:20

Re: gr-security patch in SuSE 8.1 (2.4.20 Kernel)

Post by maui »

btw...bei grub muss ich doch gar nichts anpassen, oder ?
hat zumindest immer funktioniert.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: gr-security patch in SuSE 8.1 (2.4.20 Kernel)

Post by captaincrunch »

Ja, Grub müsste das auch so schaffen, wobei ich mich bisher nie großartig mit dem befasst habe. Schau am besten vorher mal in die Doku, oder jemand anderes hier weiß da Bescheid.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

maui
Posts: 83
Joined: 2002-12-10 20:20

Re: gr-security patch in SuSE 8.1 (2.4.20 Kernel)

Post by maui »

hm...nach installierung des kernels mit grsecurity level medium...zeigt mir phpsysinfo weder die statistiken der interfaces und welchen hostname der server nutzt.

sollte ich die einstellungen evtl. doch customizen ? kann mir wer einstellungen empfehlen ?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: gr-security patch in SuSE 8.1 (2.4.20 Kernel)

Post by captaincrunch »

Um die phpsysinfo-Geschichte hinzubekommen bedarf es schon recht weitreichende Einstellunge beim GRSecurity, z.B. müsstest du eine Gruppe anlegen, die eben auf diese Syteminfos zugreifen darf (und der dann auch der Apache-User angehören muss).

Allerdings kannst du dann den Patch auch ganz weglassen, das du dir so wieder ein Loch schaffst, durch den ein Angreifer, wenn er den Apachen kompomittiert (leichter) eindringen könnte.

Security heißt nicht zwangsläufig, dass die Arbeit dadurch "komfortabler" wird, du wirst dich schon entscheiden müssen ...

Btw. : Ich würde GRSecuity grundsätzlich "customizen" ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

maui
Posts: 83
Joined: 2002-12-10 20:20

Re: gr-security patch in SuSE 8.1 (2.4.20 Kernel)

Post by maui »

Sollange der Zählmechanissmus von IAM noch läuft denke ich kann ich auf die Anzeige des Hostnames und den Traffic der Interfaces verzichten.

Sicherheit geht da in meinen Wertvortstellungen ganz klar vor bequemlichkeit. Schließlich kann es mich viel teurer zu stehen kommen, wenn der Server mal kurzeitig nicht mehr unter meiner Kontrolle steht.