Probleme mit grsecurity Patch

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
mediumo
Posts: 9
Joined: 2003-06-18 13:13

Probleme mit grsecurity Patch

Post by mediumo »

Hi hab probiert auf mein neuses Debian auf meinem Rootie den grsecurity Patch ein zu spielen.

Nur wenn ich das Patch-Script laufen lassen will krieg ich folgende Meldung:
descomp-serv1:/usr/src/kernel-source-2.4.18# ../kernel-patches/all/apply/grsecurity_2_4
Testing whether Greater Security for Linux 2.4.x patch for 2.4.18 applies (dry run):
1 out of 11 hunks FAILED -- saving rejects to file include/linux/sched.h.rej
Greater Security for Linux 2.4.x patch for 2.4.18 does not apply cleanly
Vieleicht kann mir ja jemand sagen ob er ein ähnliches Problem schon einmal hatte, oder mir sagen was ich am besten mache.


mfg
MediumO

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Probleme mit grsecurity Patch

Post by captaincrunch »

Das "Problem" besteht darin, dass Debian ptrace-gepatchte Kernelsourcen rausgebracht hat, die auch das besagte "sched.h" patchen. Dadurch schlägt ger GRSecurity fehl.

Ein neuer Patch des GRSecurity-Maintainers ist zwar draußen, ob dieser in stable Einzug halten wird vermag er aber nicht zu sagen.

Schau mal in die Mailinglist bei http://www.debianhowto.de . Da ist eine Ankündigung über GRSecurity-geptachte Kernel drin, den kannst du nutzen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

mediumo
Posts: 9
Joined: 2003-06-18 13:13

Re: Probleme mit grsecurity Patch

Post by mediumo »

Danke für die schnelle Antwort.

Nen 2.4.18er kernel gibt es nicht fertig kompiliert mit dem grsecurity irgendwo?

so on
MediumO

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Probleme mit grsecurity Patch

Post by captaincrunch »

Was für eine Kiste hast du denn ? Ich könnte dir zwar einen anbieten, der ist aber optimiert auf einen Rootie L mit 1.2GHz und Realtek-Karte ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

mediumo
Posts: 9
Joined: 2003-06-18 13:13

Re: Probleme mit grsecurity Patch

Post by mediumo »

Hab nen Rootie Start

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Probleme mit grsecurity Patch

Post by captaincrunch »

Welche Netzwerkkarte hast du drin ?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

mediumo
Posts: 9
Joined: 2003-06-18 13:13

Re: Probleme mit grsecurity Patch

Post by mediumo »

Keine Ahnung ich find nix in meiner Modules.conf ich glaub es war ne Via

phil
Posts: 58
Joined: 2002-05-02 12:02
Location: Bodensee

Re: Probleme mit grsecurity Patch

Post by phil »

besser wissen als glauben. mit lspci sieht man was es für devices gibt.

lufthansen
Posts: 390
Joined: 2002-09-24 17:31
Location: NRW

Re: Probleme mit grsecurity Patch

Post by lufthansen »

olfi und ich haben das gleiche prob ..
die sollen das endlich ma auf die mirrors hauen ....

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Probleme mit grsecurity Patch

Post by captaincrunch »

olfi und ich haben das gleiche prob ..
die sollen das endlich ma auf die mirrors hauen ....
Nicht nur du und olfi : olfi macht mir fast täglich dafür die Hölle heiß ... ;)

Aber mal ernsthaft : Der Patch ist seit gestern im "proposed-updates"-Zweig zu finden, ich kann allerdings nicht sagen, wie stabil das ganze danach ist. Ich teste gerade "meine" 2.4.20er-Kernelpackages aus der Ankündigung, bisher ohne jegliche Probleme.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Probleme mit grsecurity Patch

Post by floschi »

Nicht nachmachen, es funzz ned!

Das patchen am Anfang hat noch keine Probleme gemacht, aber nach dem make-kpkg... kamen erstmal jede Menge Zeilen mit HUNK FAILED... sieht ned gut aus... er baut sich dann zwar, aber da ist bestimmt was faul dran :(

CC schreibt grad an nem Howto (hoffe ich mal), wie man den 2.4.20|21 mit grsec an nen Rootie anpasst, solange müssen wir wohl noch warten ;)

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Probleme mit grsecurity Patch

Post by floschi »

Also jetzt mein endgültiger Testbericht:

Ich habe mir das neue Debianpaket vom Patch gezogen und damit versucht, einen 2.4.18 gemäß dem Howto zu bauen.

Wie bereits oben geschrieben hat es am Anfang keine Probleme gegeben, jedoch beim make-kpkg kamen die HUNK FAILED Probleme.

Nachdem der Kernel jetzt fertig gebaut ist, kann ich feststellen, dass ich einfach einen 2.4.18 ohne jegliche grsec-Funktionalität gebaut habe (ja, ich habe sie konfiguriert).

D.h. es funzzt definitiv nicht mehr mit 2.4.18 Kerneln. Schade :(

Grüßle

Olfi

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Probleme mit grsecurity Patch

Post by captaincrunch »

CC schreibt grad an nem Howto (hoffe ich mal), wie man den 2.4.20|21 mit grsec an nen Rootie anpasst, solange müssen wir wohl noch warten
Du hoffst richtig ... ;) ich habe das HowTo über Exim aufgrund der sich bietenden Problematik erstmal zur Seite gelegt, und arbeite mit Hochdruck am Kernel-HowTo. Dadurch, dass ich momentan arbeitsmäßig aber auch einiges anstehen habe, kann ich noch nicht verlässlich sagen, wann es etwas damit wird, ich hoffe aber mal, dass es Mitte bis Ende nächster Woche so weit sein dürfte.
Wie bereits oben geschrieben hat es am Anfang keine Probleme gegeben, jedoch beim make-kpkg kamen die HUNK FAILED Probleme.
HUNK FAILED heißt eigentlich nichts anderes, als dass der Patch nicht angewendet werden konnte, was aber auch normal ist, wenn du den Patch zuerst händisch anbringst.

Wer es also gar nicht abwarten kann, kann aber gerne mithelfen, die 2.4.20er-Serie zu testen ... ;)[/quote]
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

/dev/game
Posts: 58
Joined: 2003-06-19 14:39
Location: Paderborn

Re: Probleme mit grsecurity Patch

Post by /dev/game »

Wer es also gar nicht abwarten kann, kann aber gerne mithelfen, die 2.4.20er-Serie zu testen ...
Wird das HowTO nur noch auf die neue Rootserver Gerneration:

L = 2 GHz und Via Netzwerk

optimiert oder kann ich als low Performance Altkunde

L = 1,2 GHz und Realtec Netzwerk

mich auch noch auf einen 2.4.20 Kernel mit grsecurity Patch freuen?

@ CaptainCrunch

Hast du auch nen neueren Kernel für unsere "alten Mühlen" ?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Probleme mit grsecurity Patch

Post by captaincrunch »

Das ist ja das gute daran : sowohl die "alten" (habe auch noch die 1.2 GHz-Version), als auch die neuen werden durch den Kernel unterstützt : der Chipsatz auf dem Mutterbrett ist der selbe, und alle drei NW-Karten, die ich in Rooties "gesehen" habe, sind als Modul mit eingebaut.

Ergo wird auch das HowTo so breit wie irgend möglich nutzbar sein, wobei ich keinerlei Erfahrung mit den ganzen alten Rooties )900 und wie sie alle hießen) habe.

Du kannst den "Test-Kernel" also gefahrlos nutzen, ich teste den seit ein paar Tagen extensiv auf meiner Kiste, und habe noch nicht ein Problem feststellen können.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

/dev/game
Posts: 58
Joined: 2003-06-19 14:39
Location: Paderborn

Re: Probleme mit grsecurity Patch

Post by /dev/game »

Bekomme ich den über apt-get oder nur Sources?

Ich benutze zur Zeit den 2.4.18-grsec-1.9.4

Nach http://www.debianhowto.de gebaut mit minimaler Kernel config
(Kernel image ist 750 KB)

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Probleme mit grsecurity Patch

Post by captaincrunch »

Schau mal hier : http://www.debianhowto.de/maillist/ezml ... ggdhnongci

Sofern du aber den GRSecurity damals "richtig" gebaut hast, brauchst du ohnehin keinen neuen Kernel, da auch schon der "alte" Patch den ptrace-Bug zunichte gemacht hat.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

crasline
Posts: 121
Joined: 2002-05-11 18:39

Re: Probleme mit grsecurity Patch

Post by crasline »

CaptainCrunch wrote:Sofern du aber den GRSecurity damals "richtig" gebaut hast, brauchst du ohnehin keinen neuen Kernel, da auch schon der "alte" Patch den ptrace-Bug zunichte gemacht hat.

Heisst richtig debianhowto? :)

/dev/game
Posts: 58
Joined: 2003-06-19 14:39
Location: Paderborn

Re: Probleme mit grsecurity Patch

Post by /dev/game »

Code: Select all

E: Couldn't find package kernel-image-2.4.20-grsec_01_i386.deb

Scheint als wären die Pakete nicht mehr vorhanden...

Habe den Mirror richtig eingetragen und update gemacht.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Probleme mit grsecurity Patch

Post by captaincrunch »

Poste mal bitte die genaue Fehlermeldung ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

/dev/game
Posts: 58
Joined: 2003-06-19 14:39
Location: Paderborn

Re: Probleme mit grsecurity Patch

Post by /dev/game »

Code: Select all

pXXXXXX:~# apt-get install kernel-image-2.4.20-grsec_01_i386.deb
Reading Package Lists... Done
Building Dependency Tree... Done
E: Couldn't find package kernel-image-2.4.20-grsec_01_i386.deb
pXXXXXX:~#
Bei

Code: Select all

apt-get update
beleibt er nur bei dem debianhowto Server hängen:

Code: Select all

Err http://deb.debianhowto.de testing/debianhowto Packages
  Could not connect to deb.debianhowto.de:80 (80.237.232.43), connection timed out
89% [Connecting to deb.debianhowto.de (80.237.232.43)]

/dev/game
Posts: 58
Joined: 2003-06-19 14:39
Location: Paderborn

Re: Probleme mit grsecurity Patch

Post by /dev/game »

LoL ... Sorry

Steht doch da oben:

Server mit Debian:
http://www.debianhowto.de<- 12Std. offline

/dev/game
Posts: 58
Joined: 2003-06-19 14:39
Location: Paderborn

Re: Probleme mit grsecurity Patch

Post by /dev/game »

Die Images finde ich unter:

http://deb.debianhowto.de/dists/testing ... nary-i386/

aber wenn ich wie in der Mailing Liste den Mirror in der sources.list

Code: Select all

deb http://deb.debianhowto.de testing debianhowto
eintrage findet er garnüx:

Code: Select all

pXXXXXX:~# apt-get update
Hit http://deb.debianhowto.de testing/debianhowto Packages
Ign http://deb.debianhowto.de testing/debianhowto Release
Hit http://ftp.debian.de woody/main Packages
Hit http://ftp.debian.de woody/main Release
Hit http://ftp.debian.de woody/main Sources
Hit http://ftp.debian.de woody/main Release
Hit http://ftp.debian.de woody/non-US/main Packages
Hit http://ftp.debian.de woody/non-US/main Release
Hit http://ftp.debian.de woody/non-US/main Sources
Hit http://ftp.debian.de woody/non-US/main Release
Hit http://security.debian.org stable/updates/main Packages
Hit http://security.debian.org stable/updates/main Release
Hit http://security.debian.org stable/updates/main Sources
Hit http://security.debian.org stable/updates/main Release
Hit http://security.debian.org woody/updates/main Packages
Hit http://security.debian.org woody/updates/main Release
Hit http://security.debian.org woody/updates/contrib Packages
Hit http://security.debian.org woody/updates/contrib Release
Hit http://security.debian.org woody/updates/non-free Packages
Hit http://security.debian.org woody/updates/non-free Release
Hit http://non-us.debian.org stable/non-US/main Packages
Hit http://non-us.debian.org stable/non-US/main Release
Hit http://non-us.debian.org stable/non-US/main Sources
Hit http://non-us.debian.org stable/non-US/main Release
Hit ftp://ftp.de.debian.org stable/main Packages
Hit ftp://ftp.de.debian.org stable/main Release
Hit ftp://ftp.de.debian.org stable/main Sources
Hit ftp://ftp.de.debian.org stable/main Release
Reading Package Lists... Done
Building Dependency Tree... Done
pXXXXXX:~# apt-get install kernel-image-2.4.20-grsec_01_i386.deb/testing
Reading Package Lists... Done
Building Dependency Tree... Done
E: Couldn't find package kernel-image-2.4.20-grsec_01_i386.deb

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Probleme mit grsecurity Patch

Post by dodolin »

Der Aufruf ist falsch. Musst du nehmen:

Code: Select all

cheffe:~# apt-get install kernel-image-2.4.20-grsec
Tut hier.

Den vollen Dateinamen braucht man nicht. Steht das so im Howto? Dann ist das ein Fehler.
(Ich bin aber nicht schuld. *breit+fies griens*)

/dev/game
Posts: 58
Joined: 2003-06-19 14:39
Location: Paderborn

Re: Probleme mit grsecurity Patch

Post by /dev/game »

Danke habe ihn per wget gesaugt und

Code: Select all

dpkg -i kernel-image-2.4.20-grsec_01_i386.deb
installiert 8O

Und siehe da:

Code: Select all

login as: root
root@1.2.3.4's password:
Last login: Fri Jun 20 12:14:55 2003 from pdXXXX.dip0.t-ipconnect.de on NODEVssh
Linux pXXXXXX.pureserver.info 2.4.20-grsec #1 Wed Jun 11 16:35:22 CEST 2003 i686 unknown
Computers are like airconditioners:
They stop working properly if you open windows :o)
---------------------------------------------------------
Linux - The winning OS

Last login: Fri Jun 20 12:14:55 2003 from pdXXXX.dip0.t-ipconnect.de
sh: Umask: command not found
pXXXXXX:~#
PS: Wer kann mir sagen wie ich das

Code: Select all

sh: Umask: command not found
wegbekomme oder woher die Fehlermeldung kommt?