RootForum Community

Hallo!

Wie ich kürzlich erfahren habe, werden die grsec-sources, die ich jetzt schon eine ganze Weile ohne Probleme verwendet habe, nicht mehr weiter gepflegt, demnächst werden diese aus dem Portage-Tree entfernt (Quelle: http://marc.theaimsgroup.com/?l=gentoo- ... 808622&w=2)

Jetzt stellt sich mir die Frage, welches Kernel-Paket ich in Zukunft verwenden soll. Ich verwende keine ACLs, kein PIE/SSP nur grsecurity, so wie es in der config unter roothell.org eingestellt ist. Mit grsec-sources konnte ich diese config bis auf 2-3 Ausnahmen 1:1 übernehmen. Aber was habe ich jetzt noch für Alternativen? Ich will auf jeden Fall ein stabiles Paket aus dem Portage-Tree nehmen, also nicht vanilla-sources manuell patchen oder sowas.

Die Alternativen:

vanilla-sources:
Wie gesagt fehlt hier das grsec-patch, abgesehen davon hört man ja gerade bei den 2.6er Kerneln, dass die vanilla-sourcen im Gegensatz zu 2.4 nicht mehr uneingeschränkt zu den stabilsten gehören, das sei ja inzwischen eher "Sache der Distributoren".

gentoo-sources
Das sind wohl die Sourcen, wo das Gentoo-Team die meiste Arbeit investiert, zielen wohl vor allem auf hohe Performance, breite Hardware-Unterstützung und viele nette Features, alles Sachen die auf meinem Server nicht höchste Priorität haben. Alles in allem sehr viele Patches in diesem Kernel (AFAIR auch grsec), aber nicht direkt für Server ausgelegt, eher in Richtung Desktop.

hardened-sources
Gemäß Gentoo Kernel Guide wenigstens schonmal "for servers" ausgelegt. Allerdings enthält auch dieser Kernel viele Patches, die ich nicht benötige, aber u.a. auch grsec. Jetzt enthält dieser ja auch Sachen wie SELinux oder RSBAC, aber das muss ich ja nicht mit reinnehmen, wenn ich es nicht brauche. Dafür werden diese Sourcen vom Hardened-Projekt durchaus gut gepflegt und zeitnah mit CAN-Patches... ausgestattet.

Aber was ist mit PIE/SSP? Ich sehe das doch richtig, dass dies nichts mit dem Kernel zu tun hat, sondern nur mit GCC, glibc... oder?

AFAIK hat das ja eh nur Sinn, wenn das ganz System damit übersetzt wurde, das heißt es wurden entsprechende Stages, ein entsprechender GCC... verwendet. Das habe ich damals bewußt nicht gemacht, weil ich Instabilitäten befürchtete, damals war das ganze noch recht neu bei Gentoo. Hat da inzwischen jemand Erfahrungen gesammelt?

Ist wahrscheinlich nicht die beste Idee `make oldconfig` zwischen derart unterschiedlichen Kerneln (grsec und hardened) zu nutzen, oder? Kann ich denn mein config von den grsec-source bei `make menuconfig` einfach importieren, oder sollte ich auch das lieber lassen?

Was würdet Ihr empfehlen? Welche Sourcen verwendet Ihr mit Gentoo? Verwendet Ihr PIE/SSP?


Grüße
Andreas

Aber was ist mit PIE/SSP? Ich sehe das doch richtig, dass dies nichts mit dem Kernel zu tun hat, sondern nur mit GCC, glibc... oder?

Siehst du haargenau richtig. PIE bezieht sich auf das dynamische linken von Binaries und Libraries. Der SSP wird über den gcc während des Kompiliervorgangs genutzt, um dem Binary z.B. Canaries mit auf den Weg zu geben. Ganz nebenbei bemerkt wird dieser aber wohl bald obsolet, mudflap scheint hier bessere Dienste zu leisten.

AFAIK hat das ja eh nur Sinn, wenn das ganz System damit übersetzt wurde, das heißt es wurden entsprechende Stages, ein entsprechender GCC... verwendet.

Si.

Hat da inzwischen jemand Erfahrungen gesammelt?

Adamantix und Co. machen's vor. Instabilitäten durch solche Maßnahmen habe ich bisher keine bemerkt. Auch die Performance leidet IMHO nicht merklich.

Ist wahrscheinlich nicht die beste Idee `make oldconfig` zwischen derart unterschiedlichen Kerneln (grsec und hardened) zu nutzen, oder?

Wieso? Nicht vorhandene Optionen werden durch "make oldconfig" nicht angefasst, und nicht vorhadener Code wird im Normalfall recht gut von Makesystem umgangen.

Kann ich denn mein config von den grsec-source bei `make menuconfig` einfach importieren, oder sollte ich auch das lieber lassen?

Ich mache bei "meinen" Kerneln nichts anderes. .config ins Sourcedir kopiert, make menuconfig, evtl. noch ein bis zwei Dinge angepasst und gut...

Alles weitere Gentoo-spezifische kann ich nicht mehr beantworten. ;) Persönlich würde ich mir selbst (trotz des größeren Aufwands) einen Kernel Marke Eigenbau anhand der hardened-sources basteln.

Wenn Du bei den hardened-sources unter den Security-Optionen nur grsec aktivierst, hast Du letztendlich die grsec-sources ;)

CaptainCrunch wrote:Siehst du haargenau richtig. PIE bezieht sich auf das dynamische linken von Binaries und Libraries. Der SSP wird über den gcc während des Kompiliervorgangs genutzt, um dem Binary z.B. Canaries mit auf den Weg zu geben. Ganz nebenbei bemerkt wird dieser aber wohl bald obsolet, mudflap scheint hier bessere Dienste zu leisten.

Ich dachte das wäre zu Debuggung/Testzwecken, und nicht für den Live-Einsatz? Wäre natürlich gut wenn es was gibt was fest in den GCC integriert ist.

CaptainCrunch wrote:Persönlich würde ich mir selbst (trotz des größeren Aufwands) einen Kernel Marke Eigenbau anhand der hardened-sources basteln.

Naja, erst hatte ich einen eigenen, der war aber noch größer als Deiner, dann habe ich irgendwann Deine Config mit 2-3 Gentoo-Ã?nderungen genommen und noch ein paar Sachen rausgeschmissen, aber am Ende habe ich das dann auch noch gelassen, damit ich die Config auch auf anderen Servern unproblematisch anwenden kann ;-)

Ich denke ich werde mich nach langer Zeit nochmal komplett durch menuconfig schlagen, von der original hardened-config ausgehend, und das Resultat mit der alten Config vergleichen, und so ggfs. noch ein paar Sachen ändern.

Joe User wrote:Wenn Du bei den hardened-sources unter den Security-Optionen nur grsec aktivierst, hast Du letztendlich die grsec-sources ;)

Ja, das wäre im Augenblick mein Plan ;-)

Oder wären da - abgesehen von grsec und ACLs - noch weitere Security-Optionen die Du nutzt, bzw. empfehlen würdest?

Ich habe Dir mal eine von meinen .config bereitgestellt: http://mkwebs.info/joeuser/gentoo/.config.txt

merci, gucke ich mir mal an!