Kenel 2.4.28 inkl. GRSecurity u.a. fertig

[captaincrunch]

Lang lang hat's gedauert, aber endlich sind die aktuellen Kernel-Images des 2.4.28ers fertig. Enthalten sind (wie immer) die aktuelle GRSecurity-Version, die beiden nötigen Security-Patches und zusätzlich noch ein paar Patches der Gentoo hardened-sources (z.B. iptables-POM).

Zu finden ist das ganze wie gehabt unter http://linux.roothell.org/kernel/

Damit auch die "Susianer" unter euch wa davon haben, gibt's den Kernel jetzt auch endlich Tarball: http://linux.roothell.org/kernel/tarballs/ (direkt im / entpacken, danach noch den Bootloader anpassen).

Achtung:
Die Images sind noch nicht im Produktivbetrieb getestet, aber obwohl ich keinerlei Probleme erwarte geschieht die Nutzung auf eigene "Gefahr". Ã?ber Feedback würde ich mich daher sehr freuen.

[chris76]

Hi Chris, werde ich morgen vormittag mal einspielen den Kernel und dir dann rückmeldung geben.

EDIT

habe auf der Stratokiste mal den Kernel installiert. Läuft alles bis jetzt. Ich werde morgen Rückmeldung geben. Aber sofern ich net wieder einen Fehler macht wird bestimmt alles klappen so wie ich es gewohnt bin von dir :)

[mikespi]

Hallo Captain,


vor langer langer Zeit hast du mal gemeint du würdest ein Howto dazu stellen. Ist die lange Zeit jetzt vorbei oder dauert die noch an ;)

Wäre ne Supersache !!!!!!!!


Gruss
Andi

[chris76]

also der Kernel rennt nun auf drei maschinen wie gewohnt Fehlerfrei :)

@mikespi howto für was denn?

[mikespi]

Howto für Grsecurity und was ich konfigurieren sollte um auf dem Server mehr Sicherheit durch den Patch zu bekommen. Allgemein formuliert, aber ich denke Ihr versteht was ich meine.

Hoffe ich doch mal ;)

[mem]

Nabend,

zuerst: Danke fuer Deine Arbeit, Chris. Da Dein Package dann doch kleiner ist als mein 2.4.27er, musste ich es mal ausprobieren.

Die serielle Konsole hast du scheinbar nicht eingebaut. Hat das einen bestimmten Grund?

[oxygen]

Nabend,

Die serielle Konsole hast du scheinbar nicht eingebaut. Hat das einen bestimmten Grund?

Das wollte ich sowieso mal anmerken, das hat auch in den letzten Kerneln schon gefehlt (hatte die .config als Grundlage genommen)

[dts]

Hallo,

Ich habe derzeit "2.4.26-1-386" unter Debian laufen und möchte wissen, wie ich die Sourcen unter http://linux.roothell.org/kernel/tarballs/ anwenden muss um den Kernel upzudaten.

Hat vielleicht jemand ein Howto...?

Gruss
Jürgen

[captaincrunch]

Die serielle Konsole hast du scheinbar nicht eingebaut. Hat das einen bestimmten Grund?

Autsch. Einen besonderen grund hat das definitiv nicht. Ich hab#s anscheinend einfach nur vergessen. :oops: Allerspätestens beim nächsten Bugfix wird die aber mit eingebaut. ;)
Rein interessehalber: um wie viel kleiner war denn mein Paket?

und möchte wissen, wie ich die Sourcen unter http://linux.roothell.org/kernel/tarballs/ anwenden muss um den Kernel upzudaten.

Es sind keine Sourcen, sondern nicht viel mehr als die Debian-Pakete, halt nur als Tarball.
Um den kernel zu nutzen, gehst du direkt in /, machst ein "tar xvzf /pfad/zum/kernel-image*tar.gz", passt den Bootloader dementsprechend an, rebootest, und bist durch mit der Geschichte. Unter Debian wäre es halt nur etwas einfacher, das Paket mi Hilfe des Paketmanagers einzuspielen.

[Matthias Diehl]

Ich habe den Kernel mal auf einer 1&1-Maschine getestet. Leider startet diese dann nicht mehr. Ich werde später mal nach den Logs schauen. In dem Server ist laut lspci eine Intel Netzwerkkarte 82801 drin.

---Edit---
Hier ein Ausschnitt aus den Logs:

Code: Select all

<4>Warning: unable to open an initial console
<i>grsec: attempted resource overstep by requesting 4096 for RLIMIT_CORE against limit 0 by /sbin/showconsole[showconsole:18] uid/euid:0/0 gid/egid:0/0, parent /etc/init.d/boot[boot:17] uid/euid:0/0 gid/egid:0/0
<6>Adding swap: 265064k swap-space (priority 42)
<i>grsec: attempted resource overstep by requesting 4096 for RLIMIT_CORE against limit 0 by /sbin/showconsole[showconsole:25] uid/euid:0/0 gid/egid:0/0, parent /etc/init.d/boot.localfs [S03boot.localfs:22] uid/euid:0/0 gid/egid:0/0

[mem]

Rein interessehalber: um wie viel kleiner war denn mein Paket?

Code: Select all

-rw-r--r--    1 root     root       894107 Sep 25 20:51 vmlinuz-2.4.27-grseckpnet
-rw-r--r--    1 root     root       714319 Jan  3 22:36 vmlinuz-2.4.28-grsec

[mem]

So, hab den Kernel bei mir jetzt mit Deiner Config + Serielle Konsole gebaut. Laeuft prima. Bis auf einen kleinen Schoenheitsfehler.

Folgende Fehlermeldung:

Code: Select all

INIT: Id "1" respawning too fast: disabled for 5 minutes
INIT: Id "3" respawning too fast: disabled for 5 minutes
INIT: Id "2" respawning too fast: disabled for 5 minutes
...

und das alle 5+3 Minuten.

/etc/inittab sah bisher so aus:

Code: Select all

1:2345:respawn:/sbin/getty 38400 tty1
2:23:respawn:/sbin/getty 38400 tty2
3:23:respawn:/sbin/getty 38400 tty3
4:23:respawn:/sbin/getty 38400 tty4
5:23:respawn:/sbin/getty 38400 tty5
6:23:respawn:/sbin/getty 38400 tty6

Dann habe ich dem Aufruf von getty noch ein -L (carrier detection abschalten) hinzugefuegt und geschaut, ob im Kernel das devfs aktiv waere (Hinweis via Google). Brachte jedoch nichts bzw. ist nicht so.

Hab jetzt mal die tty1 bis 6 ganz abgeschaltet. Braucht man bei einem Rootserver ja sowieso kaum ;-))

Jetzt kommt die Fehlermeldung natuerlich nicht mehr, aber vielleicht hat ja trotzdem jemand eine bessere Loesung?

Gruss, Jan.

[wuerml]

Hi,

ich habe auch einen aktuellen Root-Server L mit Intel Netzwerkkarte 82801. Leider funktioniert der debian-installer nach debianhowto bei mir nicht - das System scheint korrekt installiert zu werden - allerdings kann ich mich nach dem Neustart in den Normalmodus nicht mehr über die shell anmelden.

Nach einiger Recherche bin ich zu dem Schluss gekommen, dass die Netzwerkkarte nicht erreichbar bzw. installiert ist. Installiere ich das selbe auf einem älteren Root-L mit Via-Rhine Karte funktioniert alles einwandfrei...

Hat hier jemand ne Idee dazu?!

Der neue Kernel läuft auf meinem älteren Root-L erste Sahne *danke*

Unterstützung für Serielle Konsole wäre sehr praktisch, obwohl sich das ja auch nachträglich hinzufügen lässt..hab hierzu ein howto im Forum irgendwo gefunden...

have fun and stay sunny

[captaincrunch]

Bezüglich der Intel-NICs: Probiert doch bitte mal, das Modul e1000 in die /etc/modules einzutragen. Dann sollte auch das richtige Modul geladen werden.

[wuerml]

Mit dem e1000 hab ich das Problem, dass das im Kernel wohl nich verfügbar ist....

In meiner /etc/modules steht nun nur "e1000" drin (andere habe ich gelöscht).

Ich komme via Serieller Konsole auf den Server - alles andere geht nicht....

[as-n]

Habe gerade mal versucht den kernel auf meiner SuSE9.0 bei Strato zum Luafen zu bringen, aber der Server kommt nicht hoch:

Code: Select all

Jan  6 15:22:33 h9284 kernel: Linux version 2.4.28-grsec (root@debian) (gcc version 2.95.4 20011002 (Debian prerelease)) #1 Mon Jan 3 22:30:45 CET 2005
Jan  6 15:22:33 h9284 kernel:  BIOS-e820: 0000000000000000 - 00000000000a0000 (usable)
Jan  6 15:22:33 h9284 kernel:  BIOS-e820: 00000000000f0000 - 0000000000100000 (reserved)
Jan  6 15:22:33 h9284 kernel:  BIOS-e820: 0000000000100000 - 000000001fff0000 (usable)
Jan  6 15:22:33 h9284 kernel:  BIOS-e820: 000000001fff0000 - 000000001fff3000 (ACPI NVS)
Jan  6 15:22:33 h9284 kernel:  BIOS-e820: 000000001fff3000 - 0000000020000000 (ACPI data)
Jan  6 15:22:33 h9284 kernel:  BIOS-e820: 00000000ffb00000 - 0000000100000000 (reserved)
Jan  6 15:22:33 h9284 kernel: On node 0 totalpages: 131056
Jan  6 15:22:33 h9284 kernel: zone(0): 4096 pages.
Jan  6 15:22:33 h9284 kernel: zone(1): 126960 pages.
Jan  6 15:22:33 h9284 kernel: zone(2): 0 pages.
Jan  6 15:22:33 h9284 kernel: Kernel command line: auto BOOT_IMAGE=linux ro root=303 console=tty0 console=ttyS0,57600
Jan  6 15:22:33 h9284 kernel: No local APIC present or hardware disabled
Jan  6 15:22:33 h9284 kernel: Detected 2399.759 MHz processor.
Jan  6 15:22:33 h9284 kernel: Calibrating delay loop... 4784.12 BogoMIPS
Jan  6 15:22:33 h9284 kernel: Page-cache hash table entries: 131072 (order: 7, 524288 bytes)
Jan  6 15:22:33 h9284 kernel: CPU: Intel(R) Celeron(R) CPU 2.40GHz stepping 09
Jan  6 15:22:33 h9284 kernel: POSIX conformance testing by UNIFIX
Jan  6 15:22:33 h9284 kernel: PCI: Probing PCI hardware (bus 00)
Jan  6 15:22:33 h9284 kernel: Transparent bridge - Intel Corp. 82801BA/CA/DB/EB PCI Bridge
Jan  6 15:22:33 h9284 kernel: Initializing RT netlink socket
Jan  6 15:22:33 h9284 kernel: Starting kswapd
Jan  6 15:22:33 h9284 kernel: pty: 256 Unix98 ptys configured
Jan  6 15:22:33 h9284 kernel: keyboard: Timeout - AT keyboard not present?(ed)
Jan  6 15:22:33 h9284 kernel: keyboard: Timeout - AT keyboard not present?(f4)
Jan  6 15:22:33 h9284 kernel: hda: ExcelStor Technology J360, ATA DISK drive
Jan  6 15:22:33 h9284 kernel: ide0 at 0x1f0-0x1f7,0x3f6 on irq 14
Jan  6 15:22:33 h9284 kernel: hda: attached ide-disk driver.
Jan  6 15:22:33 h9284 kernel: hda: host protected area => 1
Jan  6 15:22:33 h9284 kernel: VFS: Mounted root (ext3 filesystem) readonly.
Jan  6 15:22:33 h9284 kernel: Warning: unable to open an initial console.
Jan  6 15:22:33 h9284 kernel: grsec: attempted resource overstep by requesting 4096 for RLIMIT_CORE against limit 0 by /sbin/showconsole[showconsole:29] uid/euid:0/0 gid/egid:0/0, parent /etc/init.d/boot.localfs[S03boot.localfs:26] uid/euid:0/0 gid/egid:0/0
Jan  6 15:22:33 h9284 kernel: grsec: attempted resource overstep by requesting 4096 for RLIMIT_CORE against limit 0 by /sbin/showconsole[showconsole:76] uid/euid:0/0 gid/egid:0/0, parent /etc/init.d/rc[rc:75] uid/euid:0/0 gid/egid:0/0
Jan  6 15:22:33 h9284 kernel: e100: eth0 NIC Link is Up 100 Mbps Full duplex
Jan  6 15:22:35 h9284 modprobe: modprobe: Can't locate module char-major-4
Jan  6 15:22:35 h9284 mingetty[363]: /dev/tty1: cannot open tty: No such device
Jan  6 15:22:35 h9284 modprobe: modprobe: Can't locate module char-major-4
Jan  6 15:22:35 h9284 mingetty[364]: /dev/tty2: cannot open tty: No such device
Jan  6 15:22:35 h9284 modprobe: modprobe: Can't locate module char-major-4
Jan  6 15:22:35 h9284 modprobe: modprobe: Can't locate module char-major-4
Jan  6 15:22:35 h9284 mingetty[366]: /dev/tty4: cannot open tty: No such device
Jan  6 15:22:35 h9284 mingetty[365]: /dev/tty3: cannot open tty: No such device
Jan  6 15:22:35 h9284 modprobe: modprobe: Can't locate module char-major-4
Jan  6 15:22:35 h9284 mingetty[371]: /dev/tty6: cannot open tty: No such device
Jan  6 15:22:35 h9284 modprobe: modprobe: Can't locate module char-major-4
Jan  6 15:22:35 h9284 mingetty[370]: /dev/tty5: cannot open tty: No such device
Jan  6 15:22:35 h9284 modprobe: modprobe: Can't locate module char-major-4
Jan  6 15:22:35 h9284 mingetty[376]: /dev/tty1: cannot open tty: No such device
Jan  6 15:22:35 h9284 modprobe: modprobe: Can't locate module char-major-4
Jan  6 15:22:35 h9284 modprobe: modprobe: Can't locate module char-major-4
Jan  6 15:22:35 h9284 mingetty[380]: /dev/tty6: cannot open tty: No such device
Jan  6 15:22:35 h9284 modprobe: modprobe: Can't locate module char-major-4
Jan  6 15:22:35 h9284 mingetty[378]: /dev/tty3: cannot open tty: No such device
Jan  6 15:22:35 h9284 modprobe: modprobe: Can't locate module char-major-4
Jan  6 15:22:35 h9284 agetty[372]: /dev/ttyS0: cannot open as standard input: No such device
Jan  6 15:22:35 h9284 mingetty[379]: /dev/tty4: cannot open tty: No such device
Jan  6 15:22:35 h9284 modprobe: modprobe: Can't locate module char-major-4
Jan  6 15:22:35 h9284 last message repeated 2 times
Jan  6 15:22:35 h9284 mingetty[377]: /dev/tty2: cannot open tty: No such device
Jan  6 15:22:35 h9284 mingetty[387]: /dev/tty1: cannot open tty: No such device
Jan  6 15:22:35 h9284 mingetty[391]: /dev/tty3: cannot open tty: No such device
Jan  6 15:22:35 h9284 modprobe: modprobe: Can't locate module char-major-4
Jan  6 15:22:35 h9284 last message repeated 3 times
.....

Ciao
AS-N

[captaincrunch]

Was passiert denn, wenn du die Aufrufe von /sbin/showconsole mal aus der /etc/init.d/boot.localfs auskommentierst?

An die User mit den Intel-NICs: postet mal bitte einer die Ausgabe von "lspci"? Vielleicht bringt das ja irgendwie weiter.

[Matthias Diehl]

lspci sagt:

Code: Select all

00:00.0 Host bridge: Intel Corp. 82815 815 Chipset Host Bridge and Memory Controller Hub (rev 04)
00:02.0 VGA compatible controller: Intel Corp. 82815 CGC [Chipset Graphics Controller] (rev 04)
00:1e.0 PCI bridge: Intel Corp. 82801BA/CA/DB PCI Bridge (rev 11)
00:1f.0 ISA bridge: Intel Corp. 82801BA ISA Bridge (LPC) (rev 11)
00:1f.1 IDE interface: Intel Corp. 82801BA IDE U100 (rev 11)
00:1f.3 SMBus: Intel Corp. 82801BA/BAM SMBus (rev 11)
01:08.0 Ethernet controller: Intel Corp. 82801BA/BAM/CA/CAM Ethernet Controller (rev 03)

[captaincrunch]

Autsch. Irgendwann musste es ja so kommen, dass die Jungs andere Hardware verbauen. Da der Kernel nur Support für Via-Chipsätze einkompiliert hat, kann das ganze gar nicht gehen, da das hier augenscheinlich ein Intel-Chipsatz ist.

Ich sehe drei Möglichkeiten:
- Ich kompilier demnächst beides ein.
Gefällt mir aber nicht wirklich, da es den Kernel nur aufbläht.

- Ich bastle demnächst dann vier verschiedene Kernel-Images.
Ist halt erhöhter Aufwand.

- Da Configs und Patches ja ohnehin immer gleichzeitig bereitgestellt werden, kompiliert ist die Dinger dann kurz selbst.

Suggestions, anyone?

[creek]

Hi,
Kernel läuft bei mir einwandfrei. Nur bekomme ich jetzt meine Log Files mit folgenden zugemüllt.

Code: Select all

Jan  6 22:23:30 from-dusk-till-dawn modprobe: modprobe: Can't locate module char-major-4
Jan  6 22:23:30 from-dusk-till-dawn last message repeated 3 times
Jan  6 22:23:39 from-dusk-till-dawn init: Id "1" respawning too fast: disabled for 5 minutes
Jan  6 22:23:39 from-dusk-till-dawn init: Id "2" respawning too fast: disabled for 5 minutes
Jan  6 22:23:40 from-dusk-till-dawn init: Id "3" respawning too fast: disabled for 5 minutes
Jan  6 22:23:40 from-dusk-till-dawn init: Id "6" respawning too fast: disabled for 5 minutes
Jan  6 22:23:40 from-dusk-till-dawn init: Id "4" respawning too fast: disabled for 5 minutes
Jan  6 22:23:40 from-dusk-till-dawn init: Id "5" respawning too fast: disabled for 5 minutes

Was kann ich da machen? Wenn ich den richtigen namen des Moduls wüsste könnte ich mir das ja schnell kompilieren, aber ich finde den Namen nirgends.

[wuerml]

Nun - sowas in der Art habe ich mir fast gedacht...

Ich habe das Problem nun temporär so umgangen, indem ich einfach den Server über das Konfigurationsmenu von 1&1 auf die Option "debian woody minimalinstallation" resetten lassen hab. Allerdings komme ich dann ja nicht in den genuss des neugebackenen kernel mit ipv6 und grsecurity....

Zudem muss ich bei dem 1&1-debian noch relativ viel wieder richtig schreiben - die sources.list von denen is zum beispiel der letzte Witz...

In weiser Vorraussicht CaptainCrunch - könnte es nicht sein, dass neue Rooties nun generell mit Intel Chipsatz bestückt sind?! Dann ist der debianinstaller für die Leute leider leider nicht zu gebrauchen...

Wegen mir tun es manuelle configs und patches auch - solang sie nachvollziehbar dokumentiert sind :-D

Nichtsdestotrotz muss ich an dieser Stelle mal ein RIESEN FETTES LOB an die rootforum.org/ und debianhowto.de Crew abgeben - wo wäre die Rootie-Gemeinde ohne Euch *thumbs-up*

[t0x1c]

Suggestions, anyone?

Wie wäre es, wenn Du den gepatchten Kernel-Source-Code bereit stellst, und einfach 4 verschiedene .configs anbietest? ;)
Dann müssten die User ihren Kernel zwar selbst kompilieren, aber dafür könntest Du ja ein ShellScript basteln, was den Kernel automatisch kompiliert..

Naja, auch nicht soo das Wahre..

Mfg.
t0x1c

[Matthias Diehl]

Wobei das ein älteres Modelll ist, einer aus der ersten "PS goes Rootserver" Aktionen. Ich wollte den sowieso bald auslaufen lassen. 29,- Euro ist zwar günstig, aber die Hardware ist auch nicht mehr so prickelnd :)
900er Celeron mit 256 MB RAM und 40 GB Platte

[athlux]

Suggestions, anyone?

Die erste Möglichkeit scheint mir auch nicht das wahre. Bei der zweiten kommts dann halt darauf an ob Du dir das antun willst ;)

btw:

Code: Select all

You don't have permission to access /kernel/patches/2.4.28/1005_cryptoloop.patch on this server.

Ich selber muss mich sowieso erst in das grsec Thema einlesen.

Wie wäre es, wenn Du den gepatchten Kernel-Source-Code bereit stellst, und einfach 4 verschiedene .configs anbietest? Wink

Da steigt dann aber die Grösse des Downloads arg an. Gut die configs werden da wohl weniger das Problem sein.

[captaincrunch]

Die Geschichte mit dem gesperrten Cryptoloop-Patch werde ich gleich mal fixen. Danke für den Hinweis. Da ohnehin aber nur die allerwenigsten Filesystem-Verschlüsselung auf dem Rootie nutzen werden, halte ich das allerdings ohnehin nicht für so lebenswichtig. ;)

Tja, die Frage nach der Hardware der aktuellen Rooties ist wirklich gut. Keine Ahnung, was 2&4 da mittlerweile verbaut. Hier wäre ich dann wohl auf Feedback derjenigen angewiesen, die so ein Teil nutzen. Anhand dessen kann ich mir dann ja überlegen, was ich mache.

Was die drei Möglichkeiten angeht, sagt mir die dritte bisher eigentlich noch am ehesten zu, wobei ich dann ziemlich genau schauen muss, wie das mit dem Traffic aussieht. Es ist halt schon ein kleiner Unterschied, ob sich die Leute eine knapp über 1 MB, oder eine über 30 MB große Datei runterziehen. ;)
Im allerschlimmsten Fall wird's dann aber wohl doch auf Möglichkeit 2 rauslaufen, wobei ich dann schon wieder die Fragen derjenigen höre, die nicht wissen, was in "ihrer" Kiste steckt.

Eine weitere Möglichkeit würde mir allerdings noch spontan einfallen: Ich stelle die nötigen Patches und Configs für den jeweiligen Vanilla-Kernel zur Verfügung, und schreibe dann schnell ein kleines Shellscript, das den Rest automatisch übernimmt. IMHO wäre das die schnellste und einfachste Alternative für fast alle.