Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

Post by adjustman » 2006-09-15 04:15

Hi @all. Hab jetzt nen neuen Kernel.

2.6.17.7-grsec-default, vorher 2.4.31

Bis jetzt läuft, soweit ich sehen kann, "alles" gut.

Nur kann ich nicht mehr die CPU Temp auslesen (m. MRTG)
Da kommt:
./mbmon
InitMBInfo: Operation not permitted
This program needs "setuid root"!!

Wird aufgerufen per Script mit: mbmon=`/usr/bin/mbmon -c 1 -T 2 -i`

Vorher (m. 2.4.31) lief alles problemlos.
mbmon hab ich schon mit dem s Flag versehen. Leider nix gebracht.
Google spuckt leider nix hilfreiches aus.
Hat da jemand nen Tipp?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

Post by captaincrunch » 2006-09-15 08:01

Aufrufen, danach ein

Code: Select all

dmesg|tail
Ausgabe hier posten, bzw. günstigstenfalls selbst drauf kommen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

Post by adjustman » 2006-09-15 13:58

Code: Select all

grsec: From 84.183.241.144: denied use of iopl() by /usr/bin/mbmon[mbmon:18170]                                               uid/euid:0/0 gid/egid:0/0, parent /root/tools/mrtg/mbmon[mbmon:29173] uid/euid:0                                              /0 gid/egid:0/0
grsec: From 84.183.241.144: denied use of iopl() by /usr/bin/mbmon[mbmon:18170]                                               uid/euid:0/0 gid/egid:0/0, parent /root/tools/mrtg/mbmon[mbmon:29173] uid/euid:0                                              /0 gid/egid:0/0

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

Post by captaincrunch » 2006-09-15 14:21

Zusätzlich benötigte Infos:

Code: Select all

sysctl -a|grep grsec
und die kernelseitige GRSecurity-Config.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

Post by adjustman » 2006-09-15 14:32

CaptainCrunch wrote:Zusätzlich benötigte Infos:

Code: Select all

sysctl -a|grep grsec

Code: Select all

sysctl -a|grep grsec
kernel.osrelease = 2.6.17.7-grsec-default
CaptainCrunch wrote: und die kernelseitige GRSecurity-Config.
äähm, wo ist die? :oops: (Ist meine erste "Berührung" mit grsec)
EDIT: Meinst du die Ausgabe von sysctl -a?

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

Post by Roger Wilco » 2006-09-15 18:15

adjustMan wrote:äähm, wo ist die? :oops: (Ist meine erste "Berührung" mit grsec)

Code: Select all

grep GRKERNSEC /boot/config || grep GRKERNSEC /usr/src/linux/.config
Du willst übrigens die sysctl-Unterstützung für grsecurity aktivieren (CONFIG_GRKERNSEC_SYSCTL=y). ;)

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

Post by adjustman » 2006-09-15 18:34

Roger Wilco wrote:

Code: Select all

grep GRKERNSEC /boot/config || grep GRKERNSEC /usr/src/linux/.config
in /boot ist nur eine config-2.4.27-2-386 vorhanden, also vom vorvorherige Kernel.
Roger Wilco wrote: Du willst übrigens die sysctl-Unterstützung für grsecurity aktivieren (CONFIG_GRKERNSEC_SYSCTL=y)
die ist in der /usr/src/linux-2.6.17.7/.config aktiviert

Code: Select all

CONFIG_GRKERNSEC=y
# CONFIG_GRKERNSEC_LOW is not set
# CONFIG_GRKERNSEC_MEDIUM is not set
# CONFIG_GRKERNSEC_HIGH is not set
CONFIG_GRKERNSEC_CUSTOM=y
CONFIG_GRKERNSEC_KMEM=y
CONFIG_GRKERNSEC_IO=y
# CONFIG_GRKERNSEC_BRUTE is not set
CONFIG_GRKERNSEC_HIDESYM=y
CONFIG_GRKERNSEC_ACL_HIDEKERN=y
CONFIG_GRKERNSEC_ACL_MAXTRIES=3
CONFIG_GRKERNSEC_ACL_TIMEOUT=30
CONFIG_GRKERNSEC_PROC=y
# CONFIG_GRKERNSEC_PROC_USER is not set
# CONFIG_GRKERNSEC_PROC_USERGROUP is not set
CONFIG_GRKERNSEC_LINK=y
# CONFIG_GRKERNSEC_FIFO is not set
CONFIG_GRKERNSEC_CHROOT=y
CONFIG_GRKERNSEC_CHROOT_MOUNT=y
CONFIG_GRKERNSEC_CHROOT_DOUBLE=y
CONFIG_GRKERNSEC_CHROOT_PIVOT=y
CONFIG_GRKERNSEC_CHROOT_CHDIR=y
CONFIG_GRKERNSEC_CHROOT_CHMOD=y
CONFIG_GRKERNSEC_CHROOT_FCHDIR=y
CONFIG_GRKERNSEC_CHROOT_MKNOD=y
CONFIG_GRKERNSEC_CHROOT_SHMAT=y
CONFIG_GRKERNSEC_CHROOT_UNIX=y
CONFIG_GRKERNSEC_CHROOT_FINDTASK=y
CONFIG_GRKERNSEC_CHROOT_NICE=y
CONFIG_GRKERNSEC_CHROOT_SYSCTL=y
CONFIG_GRKERNSEC_CHROOT_CAPS=y
# CONFIG_GRKERNSEC_AUDIT_GROUP is not set
# CONFIG_GRKERNSEC_EXECLOG is not set
# CONFIG_GRKERNSEC_RESLOG is not set
# CONFIG_GRKERNSEC_CHROOT_EXECLOG is not set
# CONFIG_GRKERNSEC_AUDIT_CHDIR is not set
# CONFIG_GRKERNSEC_AUDIT_MOUNT is not set
# CONFIG_GRKERNSEC_AUDIT_IPC is not set
# CONFIG_GRKERNSEC_SIGNAL is not set
CONFIG_GRKERNSEC_FORKFAIL=y
CONFIG_GRKERNSEC_TIME=y
# CONFIG_GRKERNSEC_PROC_IPADDR is not set
# CONFIG_GRKERNSEC_EXECVE is not set
CONFIG_GRKERNSEC_SHM=y
CONFIG_GRKERNSEC_DMESG=y
CONFIG_GRKERNSEC_RANDPID=y
# CONFIG_GRKERNSEC_TPE is not set
# CONFIG_GRKERNSEC_RANDNET is not set
# CONFIG_GRKERNSEC_SOCKET is not set
# CONFIG_GRKERNSEC_SYSCTL is not set
CONFIG_GRKERNSEC_FLOODTIME=10
CONFIG_GRKERNSEC_FLOODBURST=4

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

Post by Roger Wilco » 2006-09-15 18:37

adjustMan wrote:die ist in der /usr/src/linux-2.6.17.7/.config aktiviert
[...]

Code: Select all

# CONFIG_GRKERNSEC_SYSCTL is not set
Mit CONFIG_GRKERNSEC_CHROOT_SYSCTL verwechselt oder ist das eine andere Konfiguration? Wenn der sysctl-Support aktiviert wäre, müsste `sysctl -a|grep grsec` mehr anzeigen.

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

Post by adjustman » 2006-09-15 18:42

ja, völlig verwechselt. :oops: sorry. Aber wie löse ich DAS Problem?

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

Post by Roger Wilco » 2006-09-15 18:49

Code: Select all

config GRKERNSEC_IO
        bool "Disable privileged I/O"
        depends on X86
        select RTC
        help
          If you say Y here, all ioperm and iopl calls will return an error.
          Ioperm and iopl can be used to modify the running kernel.
          Unfortunately, some programs need this access to operate properly,
          the most notable of which are XFree86 and hwclock.  hwclock can be
          remedied by having RTC support in the kernel, so CONFIG_RTC is
          enabled if this option is enabled, to ensure that hwclock operates
          correctly.  XFree86 still will not operate correctly with this option
          enabled, so DO NOT CHOOSE Y IF YOU USE XFree86.  If you use XFree86
          and you still want to protect your kernel against modification,
          use the RBAC system.

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

Post by adjustman » 2006-09-15 20:25

ok. Danke. Hab das im Prinzip verstanden. :)
Aber das ist ein Server, auf den ich physisch keinen Zugriff habe. Da möcht ich nichts falsch machen. :wink:
Nicht, dass der dann nicht bootet.
Wie kann ich denn die Kernel Option CONFIG_GRKERNSEC_SYSCTL=y setzen und was muss in der sysctl.conf dann gesetzt werden?

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

Post by Roger Wilco » 2006-09-15 20:55

adjustMan wrote:Aber das ist ein Server, auf den ich physisch keinen Zugriff habe. Da möcht ich nichts falsch machen. :wink:
Nicht, dass der dann nicht bootet.
Dann solltest du vielleicht doch mal einen Blick in die Doku von GrSecurity und die Hilfetexte der Kernelkonfiguration werfen. :roll:
adjustMan wrote:Wie kann ich denn die Kernel Option CONFIG_GRKERNSEC_SYSCTL=y setzen
In deiner Kernelkonfiguration und anschließend den Kernel neu kompilieren. Aber lies bitte auch den Hilfetext dazu.
adjustMan wrote:und was muss in der sysctl.conf dann gesetzt werden?
Alles, was du willst. Fast jede GrSecurity-Option kann dann mit sysctl gesetzt werden. Wie die äquivalenten sysctl-Optionen zu den Kerneloptionen heißen, steht in den Hilfetexten zu der jeweiligen Option.

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

Post by adjustman » 2006-09-16 00:40

@Roger Wilco :-D Danke.

Code: Select all

make menuconfig
make clean; make
Und alles ist gut.
Wenn man etwas in sysctl.conf geändert hat, wie "lädt" man das denn?

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

Post by Roger Wilco » 2006-09-16 00:54

adjustMan wrote:Wenn man etwas in sysctl.conf geändert hat, wie "lädt" man das denn?
`man sysctl`
In der manpage steht auch beschrieben, wie du die Einstellungen on-the-fly änderst.

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

Post by adjustman » 2006-09-16 01:04

Roger Wilco wrote:`man sysctl`
ja ja, die lieben Manpages. :wink: Da steht ja alles. Danke.
Thema erledigt