Xen und grsec

VirtualBox, VMWare, KVM, XEN, OpenVZ, Virtuozzo, etc.
sledge0303
RSAC
Posts: 767
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Xen und grsec

Post by sledge0303 » 2007-09-06 11:47

Hi,

ich möchte speziell die Admins ansprechen, die mit XeN arbeiten.
Auf meinen Dedies laufen 3.1 Xen dom0s mit dem momentan unterstützten Kernel 2.6.18. In der Planung sind Kernel für die domUs mit eingepatchten grsec.
Bevor ich unnötig Zeit investiere, hat jemand von Euch damit Erfahrungen sammeln können und hat jemand ggf. schon einen 2.6.22.x Kernel für eine domU erstellt?
Wäre nett wenn jemand etwas dazu schreiben würde.

aquajo
RSAC
Posts: 167
Joined: 2003-02-25 21:07

Re: Xen und grsec

Post by aquajo » 2007-09-06 11:56

@aktuelle kernel: würde entweder einen 2.6.23 nehmen, der hat bereits teilweise ein-Unterstüzung eingebaut (kein Suspend/Resume, keine Migration, kein Framenuffer).
Zu 2.6.22 kenne ich folgendes Zitat:

> Ubuntu gutsy's 2.6.22 kernel source includes patches for Xen support.
> I have not been able to verify that their patches work for creating
> a non-PAE kernel.

Should have said working patch. The ubuntu stuff is far from useable.
Last edited by aquajo on 2007-09-06 13:08, edited 1 time in total.

sledge0303
RSAC
Posts: 767
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Xen und grsec

Post by sledge0303 » 2007-09-06 12:42

AquaJo wrote:@aktuelle kernel: würde entweder einen 2.6.23 nehmen, der hat bereits teilweise kein-Unterstüzung eingebaut (kein Suspend/Resume, keine Migration, kein Framenuffer).
Zu 2.6.22 kenne ich folgendes Zitat:

> Ubuntu gutsy's 2.6.22 kernel source includes patches for Xen support.
> I have not been able to verify that their patches work for creating
> a non-PAE kernel.

Should have said working patch. The ubuntu stuff is far from useable.


Ahhh, danke. Ich werd mal so lange warten bis der 2.6.23 offiziell freigegeben wurde. Was grsec angeht, werd ich mal versuchen den 2.6.18 zu patchen, hab die Patches gesammelt und mal sehen wie es nachher ausschaut.
Wenn nicht, kann man das Teil anschließend wieder löschen, dient mir erstmal eh nur zu Testzwecken bevor so ein domU Kernel mit grsec bzw ein 2.6.22/23er in die Produktion kommt.

aquajo
RSAC
Posts: 167
Joined: 2003-02-25 21:07

Re: Xen und grsec

Post by aquajo » 2007-09-06 13:09

sledge0303 wrote:Was grsec angeht, werd ich mal versuchen den 2.6.18 zu patchen, hab die Patches gesammelt und mal sehen wie es nachher ausschaut.


Der 2.6.18er ist (leider) noch der beste Xen-Kernel...

sledge0303
RSAC
Posts: 767
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Xen und grsec

Post by sledge0303 » 2007-09-06 13:22

AquaJo wrote:Der 2.6.18er ist (leider) noch der beste Xen-Kernel...


'leider' ist noch untertrieben... Bin mal gespannt auf die nächste Version von Xen. Heute abend schau ich mir das mal an ob sich grsec einpatchen und anschließend fehlerfrei einkompilieren lässt. Ob die domU damit dann auch hochkommt wird sich zeigen :)

sledge0303
RSAC
Posts: 767
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Xen und grsec

Post by sledge0303 » 2007-09-06 14:33

hmmm, beim kompilieren des domU-grsec Kernel wird mit Fehlermeldungen abgebrochen... Schade, war mal ein versuch wert.

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Xen und grsec

Post by daemotron » 2008-01-24 22:36

Sorry für die Leichenfledderei, aber für mich stellt sich die Frage nach Xen + grsecurity aktuell auch. Und siehe da, es gibt ein paar unentwegte, die funktionierende Patches zusammengetragen/-bastelt haben: http://forums.grsecurity.net/viewtopic. ... &sk=t&sd=a. Sobald ich auf Basis der xen-sources-2.6.20-r6 von Gentoo ein fertig gepatchtes Source-Verzeichnis habe, werde ich es zusammengepackt irgendwo zum Download hinlegen.

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Xen und grsec

Post by daemotron » 2008-01-25 22:06

Nachtrag: Die fertig gepatchten Kernel-Quellen liegen jetzt zum Download bereit: ftp://ftp.my-universe.com/pub/linux/har ... r2.tar.bz2
Laut Patch-Entwicklern funktioniert aber nur die x86_64-Variante, i386 wird durch die Xen-Patches zu stark nicht nur in der Struktur, sondern auch in Schnittstellen verändert, als dass sich der grsecurity-Patch noch anwenden ließe (siehe Link aus meinem vorherigen Post).

cirox
Posts: 212
Joined: 2006-05-08 23:20
Location: Berlin

Re: Xen und grsec

Post by cirox » 2008-05-19 19:48

Hat das jetzt einer aktuell am Laufen mit einem Kernel grösser - gleich 2.6.24? Siehe auch:

http://forums.grsecurity.net/viewtopic. ... a&start=15