Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen

[adjustman]

Hi @all. Hab jetzt nen neuen Kernel.

2.6.17.7-grsec-default, vorher 2.4.31

Bis jetzt läuft, soweit ich sehen kann, "alles" gut.

Nur kann ich nicht mehr die CPU Temp auslesen (m. MRTG)
Da kommt:
./mbmon
InitMBInfo: Operation not permitted
This program needs "setuid root"!!

Wird aufgerufen per Script mit: mbmon=`/usr/bin/mbmon -c 1 -T 2 -i`

Vorher (m. 2.4.31) lief alles problemlos.
mbmon hab ich schon mit dem s Flag versehen. Leider nix gebracht.
Google spuckt leider nix hilfreiches aus.
Hat da jemand nen Tipp?

[captaincrunch]

Aufrufen, danach ein

Code: Select all

dmesg|tail

Ausgabe hier posten, bzw. günstigstenfalls selbst drauf kommen.

[adjustman]

Code: Select all

grsec: From 84.183.241.144: denied use of iopl() by /usr/bin/mbmon[mbmon:18170]                                               uid/euid:0/0 gid/egid:0/0, parent /root/tools/mrtg/mbmon[mbmon:29173] uid/euid:0                                              /0 gid/egid:0/0
grsec: From 84.183.241.144: denied use of iopl() by /usr/bin/mbmon[mbmon:18170]                                               uid/euid:0/0 gid/egid:0/0, parent /root/tools/mrtg/mbmon[mbmon:29173] uid/euid:0                                              /0 gid/egid:0/0

[captaincrunch]

Zusätzlich benötigte Infos:

Code: Select all

sysctl -a|grep grsec

und die kernelseitige GRSecurity-Config.

[adjustman]

Zusätzlich benötigte Infos:

Code: Select all

sysctl -a|grep grsec

Code: Select all

sysctl -a|grep grsec
kernel.osrelease = 2.6.17.7-grsec-default

und die kernelseitige GRSecurity-Config.

äähm, wo ist die? :oops: (Ist meine erste "Berührung" mit grsec)
EDIT: Meinst du die Ausgabe von sysctl -a?

[Roger Wilco]

äähm, wo ist die? :oops: (Ist meine erste "Berührung" mit grsec)

Code: Select all

grep GRKERNSEC /boot/config || grep GRKERNSEC /usr/src/linux/.config

Du willst übrigens die sysctl-Unterstützung für grsecurity aktivieren (CONFIG_GRKERNSEC_SYSCTL=y). ;)

[adjustman]

Code: Select all

grep GRKERNSEC /boot/config || grep GRKERNSEC /usr/src/linux/.config

in /boot ist nur eine config-2.4.27-2-386 vorhanden, also vom vorvorherige Kernel.

Du willst übrigens die sysctl-Unterstützung für grsecurity aktivieren (CONFIG_GRKERNSEC_SYSCTL=y)

die ist in der /usr/src/linux-2.6.17.7/.config aktiviert

Code: Select all

CONFIG_GRKERNSEC=y
# CONFIG_GRKERNSEC_LOW is not set
# CONFIG_GRKERNSEC_MEDIUM is not set
# CONFIG_GRKERNSEC_HIGH is not set
CONFIG_GRKERNSEC_CUSTOM=y
CONFIG_GRKERNSEC_KMEM=y
CONFIG_GRKERNSEC_IO=y
# CONFIG_GRKERNSEC_BRUTE is not set
CONFIG_GRKERNSEC_HIDESYM=y
CONFIG_GRKERNSEC_ACL_HIDEKERN=y
CONFIG_GRKERNSEC_ACL_MAXTRIES=3
CONFIG_GRKERNSEC_ACL_TIMEOUT=30
CONFIG_GRKERNSEC_PROC=y
# CONFIG_GRKERNSEC_PROC_USER is not set
# CONFIG_GRKERNSEC_PROC_USERGROUP is not set
CONFIG_GRKERNSEC_LINK=y
# CONFIG_GRKERNSEC_FIFO is not set
CONFIG_GRKERNSEC_CHROOT=y
CONFIG_GRKERNSEC_CHROOT_MOUNT=y
CONFIG_GRKERNSEC_CHROOT_DOUBLE=y
CONFIG_GRKERNSEC_CHROOT_PIVOT=y
CONFIG_GRKERNSEC_CHROOT_CHDIR=y
CONFIG_GRKERNSEC_CHROOT_CHMOD=y
CONFIG_GRKERNSEC_CHROOT_FCHDIR=y
CONFIG_GRKERNSEC_CHROOT_MKNOD=y
CONFIG_GRKERNSEC_CHROOT_SHMAT=y
CONFIG_GRKERNSEC_CHROOT_UNIX=y
CONFIG_GRKERNSEC_CHROOT_FINDTASK=y
CONFIG_GRKERNSEC_CHROOT_NICE=y
CONFIG_GRKERNSEC_CHROOT_SYSCTL=y
CONFIG_GRKERNSEC_CHROOT_CAPS=y
# CONFIG_GRKERNSEC_AUDIT_GROUP is not set
# CONFIG_GRKERNSEC_EXECLOG is not set
# CONFIG_GRKERNSEC_RESLOG is not set
# CONFIG_GRKERNSEC_CHROOT_EXECLOG is not set
# CONFIG_GRKERNSEC_AUDIT_CHDIR is not set
# CONFIG_GRKERNSEC_AUDIT_MOUNT is not set
# CONFIG_GRKERNSEC_AUDIT_IPC is not set
# CONFIG_GRKERNSEC_SIGNAL is not set
CONFIG_GRKERNSEC_FORKFAIL=y
CONFIG_GRKERNSEC_TIME=y
# CONFIG_GRKERNSEC_PROC_IPADDR is not set
# CONFIG_GRKERNSEC_EXECVE is not set
CONFIG_GRKERNSEC_SHM=y
CONFIG_GRKERNSEC_DMESG=y
CONFIG_GRKERNSEC_RANDPID=y
# CONFIG_GRKERNSEC_TPE is not set
# CONFIG_GRKERNSEC_RANDNET is not set
# CONFIG_GRKERNSEC_SOCKET is not set
# CONFIG_GRKERNSEC_SYSCTL is not set
CONFIG_GRKERNSEC_FLOODTIME=10
CONFIG_GRKERNSEC_FLOODBURST=4

[Roger Wilco]

die ist in der /usr/src/linux-2.6.17.7/.config aktiviert
[...]

Code: Select all

# CONFIG_GRKERNSEC_SYSCTL is not set

Mit CONFIG_GRKERNSEC_CHROOT_SYSCTL verwechselt oder ist das eine andere Konfiguration? Wenn der sysctl-Support aktiviert wäre, müsste `sysctl -a|grep grsec` mehr anzeigen.

[adjustman]

ja, völlig verwechselt. :oops: sorry. Aber wie löse ich DAS Problem?

[Roger Wilco]

Code: Select all

config GRKERNSEC_IO
        bool "Disable privileged I/O"
        depends on X86
        select RTC
        help
          If you say Y here, all ioperm and iopl calls will return an error.
          Ioperm and iopl can be used to modify the running kernel.
          Unfortunately, some programs need this access to operate properly,
          the most notable of which are XFree86 and hwclock.  hwclock can be
          remedied by having RTC support in the kernel, so CONFIG_RTC is
          enabled if this option is enabled, to ensure that hwclock operates
          correctly.  XFree86 still will not operate correctly with this option
          enabled, so DO NOT CHOOSE Y IF YOU USE XFree86.  If you use XFree86
          and you still want to protect your kernel against modification,
          use the RBAC system.

[adjustman]

ok. Danke. Hab das im Prinzip verstanden. :)
Aber das ist ein Server, auf den ich physisch keinen Zugriff habe. Da möcht ich nichts falsch machen.
Nicht, dass der dann nicht bootet.
Wie kann ich denn die Kernel Option CONFIG_GRKERNSEC_SYSCTL=y setzen und was muss in der sysctl.conf dann gesetzt werden?

[Roger Wilco]

Aber das ist ein Server, auf den ich physisch keinen Zugriff habe. Da möcht ich nichts falsch machen.
Nicht, dass der dann nicht bootet.

Dann solltest du vielleicht doch mal einen Blick in die Doku von GrSecurity und die Hilfetexte der Kernelkonfiguration werfen. :roll:

Wie kann ich denn die Kernel Option CONFIG_GRKERNSEC_SYSCTL=y setzen

In deiner Kernelkonfiguration und anschließend den Kernel neu kompilieren. Aber lies bitte auch den Hilfetext dazu.

und was muss in der sysctl.conf dann gesetzt werden?

Alles, was du willst. Fast jede GrSecurity-Option kann dann mit sysctl gesetzt werden. Wie die äquivalenten sysctl-Optionen zu den Kerneloptionen heißen, steht in den Hilfetexten zu der jeweiligen Option.

[adjustman]

@Roger Wilco :-D Danke.

Code: Select all

make menuconfig
make clean; make

Und alles ist gut.
Wenn man etwas in sysctl.conf geändert hat, wie "lädt" man das denn?

[Roger Wilco]

Wenn man etwas in sysctl.conf geändert hat, wie "lädt" man das denn?

`man sysctl`
In der manpage steht auch beschrieben, wie du die Einstellungen on-the-fly änderst.

[adjustman]

`man sysctl`

ja ja, die lieben Manpages. Da steht ja alles. Danke.
Thema erledigt