Page 1 of 1
Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen
Posted: 2006-09-15 04:15
by adjustman
Hi @all. Hab jetzt nen neuen Kernel.
2.6.17.7-grsec-default, vorher 2.4.31
Bis jetzt läuft, soweit ich sehen kann, "alles" gut.
Nur kann ich nicht mehr die CPU Temp auslesen (m. MRTG)
Da kommt:
./mbmon
InitMBInfo: Operation not permitted
This program needs "setuid root"!!
Wird aufgerufen per Script mit: mbmon=`/usr/bin/mbmon -c 1 -T 2 -i`
Vorher (m. 2.4.31) lief alles problemlos.
mbmon hab ich schon mit dem s Flag versehen. Leider nix gebracht.
Google spuckt leider nix hilfreiches aus.
Hat da jemand nen Tipp?
Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen
Posted: 2006-09-15 08:01
by captaincrunch
Aufrufen, danach ein
Ausgabe hier posten, bzw. günstigstenfalls selbst drauf kommen.
Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen
Posted: 2006-09-15 13:58
by adjustman
Code: Select all
grsec: From 84.183.241.144: denied use of iopl() by /usr/bin/mbmon[mbmon:18170] uid/euid:0/0 gid/egid:0/0, parent /root/tools/mrtg/mbmon[mbmon:29173] uid/euid:0 /0 gid/egid:0/0
grsec: From 84.183.241.144: denied use of iopl() by /usr/bin/mbmon[mbmon:18170] uid/euid:0/0 gid/egid:0/0, parent /root/tools/mrtg/mbmon[mbmon:29173] uid/euid:0 /0 gid/egid:0/0
Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen
Posted: 2006-09-15 14:21
by captaincrunch
Zusätzlich benötigte Infos:
und die kernelseitige GRSecurity-Config.
Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen
Posted: 2006-09-15 14:32
by adjustman
CaptainCrunch wrote:Zusätzlich benötigte Infos:
Code: Select all
sysctl -a|grep grsec
kernel.osrelease = 2.6.17.7-grsec-default
CaptainCrunch wrote:
und die kernelseitige GRSecurity-Config.
äähm, wo ist die? :oops: (Ist meine erste "Berührung" mit grsec)
EDIT: Meinst du die Ausgabe von sysctl -a?
Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen
Posted: 2006-09-15 18:15
by Roger Wilco
adjustMan wrote:äähm, wo ist die? :oops: (Ist meine erste "Berührung" mit grsec)
Code: Select all
grep GRKERNSEC /boot/config || grep GRKERNSEC /usr/src/linux/.config
Du willst übrigens die sysctl-Unterstützung für grsecurity aktivieren (CONFIG_GRKERNSEC_SYSCTL=y). ;)
Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen
Posted: 2006-09-15 18:34
by adjustman
Roger Wilco wrote:Code: Select all
grep GRKERNSEC /boot/config || grep GRKERNSEC /usr/src/linux/.config
in /boot ist nur eine config-2.4.27-2-386 vorhanden, also vom vorvorherige Kernel.
Roger Wilco wrote:
Du willst übrigens die sysctl-Unterstützung für grsecurity aktivieren (CONFIG_GRKERNSEC_SYSCTL=y)
die ist in der /usr/src/linux-2.6.17.7/.config aktiviert
Code: Select all
CONFIG_GRKERNSEC=y
# CONFIG_GRKERNSEC_LOW is not set
# CONFIG_GRKERNSEC_MEDIUM is not set
# CONFIG_GRKERNSEC_HIGH is not set
CONFIG_GRKERNSEC_CUSTOM=y
CONFIG_GRKERNSEC_KMEM=y
CONFIG_GRKERNSEC_IO=y
# CONFIG_GRKERNSEC_BRUTE is not set
CONFIG_GRKERNSEC_HIDESYM=y
CONFIG_GRKERNSEC_ACL_HIDEKERN=y
CONFIG_GRKERNSEC_ACL_MAXTRIES=3
CONFIG_GRKERNSEC_ACL_TIMEOUT=30
CONFIG_GRKERNSEC_PROC=y
# CONFIG_GRKERNSEC_PROC_USER is not set
# CONFIG_GRKERNSEC_PROC_USERGROUP is not set
CONFIG_GRKERNSEC_LINK=y
# CONFIG_GRKERNSEC_FIFO is not set
CONFIG_GRKERNSEC_CHROOT=y
CONFIG_GRKERNSEC_CHROOT_MOUNT=y
CONFIG_GRKERNSEC_CHROOT_DOUBLE=y
CONFIG_GRKERNSEC_CHROOT_PIVOT=y
CONFIG_GRKERNSEC_CHROOT_CHDIR=y
CONFIG_GRKERNSEC_CHROOT_CHMOD=y
CONFIG_GRKERNSEC_CHROOT_FCHDIR=y
CONFIG_GRKERNSEC_CHROOT_MKNOD=y
CONFIG_GRKERNSEC_CHROOT_SHMAT=y
CONFIG_GRKERNSEC_CHROOT_UNIX=y
CONFIG_GRKERNSEC_CHROOT_FINDTASK=y
CONFIG_GRKERNSEC_CHROOT_NICE=y
CONFIG_GRKERNSEC_CHROOT_SYSCTL=y
CONFIG_GRKERNSEC_CHROOT_CAPS=y
# CONFIG_GRKERNSEC_AUDIT_GROUP is not set
# CONFIG_GRKERNSEC_EXECLOG is not set
# CONFIG_GRKERNSEC_RESLOG is not set
# CONFIG_GRKERNSEC_CHROOT_EXECLOG is not set
# CONFIG_GRKERNSEC_AUDIT_CHDIR is not set
# CONFIG_GRKERNSEC_AUDIT_MOUNT is not set
# CONFIG_GRKERNSEC_AUDIT_IPC is not set
# CONFIG_GRKERNSEC_SIGNAL is not set
CONFIG_GRKERNSEC_FORKFAIL=y
CONFIG_GRKERNSEC_TIME=y
# CONFIG_GRKERNSEC_PROC_IPADDR is not set
# CONFIG_GRKERNSEC_EXECVE is not set
CONFIG_GRKERNSEC_SHM=y
CONFIG_GRKERNSEC_DMESG=y
CONFIG_GRKERNSEC_RANDPID=y
# CONFIG_GRKERNSEC_TPE is not set
# CONFIG_GRKERNSEC_RANDNET is not set
# CONFIG_GRKERNSEC_SOCKET is not set
# CONFIG_GRKERNSEC_SYSCTL is not set
CONFIG_GRKERNSEC_FLOODTIME=10
CONFIG_GRKERNSEC_FLOODBURST=4
Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen
Posted: 2006-09-15 18:37
by Roger Wilco
adjustMan wrote:die ist in der /usr/src/linux-2.6.17.7/.config aktiviert
[...]
Code: Select all
# CONFIG_GRKERNSEC_SYSCTL is not set
Mit CONFIG_GRKERNSEC_CHROOT_SYSCTL verwechselt oder ist das eine andere Konfiguration? Wenn der sysctl-Support aktiviert wäre, müsste `sysctl -a|grep grsec` mehr anzeigen.
Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen
Posted: 2006-09-15 18:42
by adjustman
ja, völlig verwechselt. :oops: sorry. Aber wie löse ich DAS Problem?
Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen
Posted: 2006-09-15 18:49
by Roger Wilco
Code: Select all
config GRKERNSEC_IO
bool "Disable privileged I/O"
depends on X86
select RTC
help
If you say Y here, all ioperm and iopl calls will return an error.
Ioperm and iopl can be used to modify the running kernel.
Unfortunately, some programs need this access to operate properly,
the most notable of which are XFree86 and hwclock. hwclock can be
remedied by having RTC support in the kernel, so CONFIG_RTC is
enabled if this option is enabled, to ensure that hwclock operates
correctly. XFree86 still will not operate correctly with this option
enabled, so DO NOT CHOOSE Y IF YOU USE XFree86. If you use XFree86
and you still want to protect your kernel against modification,
use the RBAC system.
Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen
Posted: 2006-09-15 20:25
by adjustman
ok. Danke. Hab das im Prinzip verstanden. :)
Aber das ist ein Server, auf den ich physisch keinen Zugriff habe. Da möcht ich nichts falsch machen.
Nicht, dass der dann nicht bootet.
Wie kann ich denn die Kernel Option CONFIG_GRKERNSEC_SYSCTL=y setzen und was muss in der sysctl.conf dann gesetzt werden?
Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen
Posted: 2006-09-15 20:55
by Roger Wilco
adjustMan wrote:Aber das ist ein Server, auf den ich physisch keinen Zugriff habe. Da möcht ich nichts falsch machen.
Nicht, dass der dann nicht bootet.
Dann solltest du vielleicht doch mal einen Blick in die Doku von GrSecurity und die Hilfetexte der Kernelkonfiguration werfen. :roll:
adjustMan wrote:Wie kann ich denn die Kernel Option CONFIG_GRKERNSEC_SYSCTL=y setzen
In deiner Kernelkonfiguration und anschließend den Kernel neu kompilieren. Aber lies bitte auch den Hilfetext dazu.
adjustMan wrote:und was muss in der sysctl.conf dann gesetzt werden?
Alles, was du willst. Fast jede GrSecurity-Option kann dann mit sysctl gesetzt werden. Wie die äquivalenten sysctl-Optionen zu den Kerneloptionen heißen, steht in den Hilfetexten zu der jeweiligen Option.
Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen
Posted: 2006-09-16 00:40
by adjustman
@Roger Wilco :-D Danke.
Und alles ist gut.
Wenn man etwas in sysctl.conf geändert hat, wie "lädt" man das denn?
Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen
Posted: 2006-09-16 00:54
by Roger Wilco
adjustMan wrote:Wenn man etwas in sysctl.conf geändert hat, wie "lädt" man das denn?
`man sysctl`
In der manpage steht auch beschrieben, wie du die Einstellungen on-the-fly änderst.
Re: Kernel 2.6.17.7-grsec-default und mbmon geht nicht zusammen
Posted: 2006-09-16 01:04
by adjustman
Roger Wilco wrote:`man sysctl`
ja ja, die lieben Manpages.
Da steht ja alles. Danke.
Thema erledigt