GRsecurity und Kernel Patchen

[royal1177]

sorry, ich war eben wohl im falschen thread (sicherheitsrelevante themen)

hallo zusammen,

ich möchte mir grsecurity installieren und habe jetzt ein paar fragen...

1. ist es sinnvoller, die von debian zur verfügung gestellten kernel (apt-cache search linux-image gibt bei mir max. den 2.6.18-5 aus) oder den aktuellen 2.6.23-11 von kernel.org zu nehmen ?

2.ist der bei apt aufgeführte 2.6.18-5er besser an debian angepasst ?

3. die aussage, dass die installation des pakets kernel-patch-grsecurity2 die volle implementierung von grsecurity bringt, anstatt einen neuen kernel zu backen, ist falsch oder ?

4. unter grsecurity.net ist nur ein patch (grsecurity-2.1.10-2.6.19.2-200701222307.patch.gz) für den kernel 2.6.19.2 - läuft dieser mit dem aktuellen 2.6.23-11, mit dem von debian 2.6.18-5 oder wirklich nur mit dem 2.6.19-2 ?

ich hoffe ihr könnt mir meine fragen alle beantworten.

besten dank im voraus

viele grüße

[Joe User]

1. Letzteres.
2. Ja.
3. Richtig.
4. Die Patche passen nur für den angegebenen Vanilla Kernel.

[aubergine]

1. den von kernel.org
2. nein bei Debian gibt es nur einmal im Jahr einen neuen Kernel das ist alles
3. Das Wort kernel-patch sagt denke ich alles
4. Teste es, die Entwickler haben es nur mit 2.6.19.2 getestet :)

[Joe User]

http://www.grsecurity.net/test.php sind trotz "development version" stabil genug, um auf unkritischen Systemen eingesetzt zu werden.

[royal1177]

sorry, etwas falsch ausgedrückt. meine frage war dahingehend,
ob ich per apt-get install kernel-patch-grsecurity2
die gleiche implementierung / funktionalitäten bekomme, als wenn ich einen kernel mit grsec patch selber backe ?!

[flo]

Wenn Du den patch lesen möchtest, dann ja ...

Lade Dir einen aktuellen und zum grsecurity passenden Kernel herunter, patche diesen und los gehts.

[flo]

2. nein bei Debian gibt es nur einmal im Jahr einen neuen Kernel das ist alles

;-) ja, einen neuen uralten ;-)

[royal1177]

ok, also zusammengefasst: mit dem patch über apt alleine kann ich nix anfangen - ich komme also nicht drumherum, einen kernel selber zu backen richtig ?


btw. hat jemand vll. nen gutes how to in bezug auf etch zum backen ??

und zu guter letzt: was empfiehlt ihr mir ? den 2.6.18-5er , der an debian angepasst ist, oder einen aktuellen von kernel.org ?


besten dank im voraus...

[flo]

Den neuesten, für den grsecurity verfügbar ist - entweder stable oder development. Wichtig: Der Patch gibt den Kernel vor.

patch und Kernel runterladen, Kernel entpacken, patchen, alte config nach .config kopieren, make oldconfig aufrufen, make machen,´make modules_install machen, image kopieren, ramdisk erstellen, grub konfigurieren, reboot.

[royal1177]

thx flo...

welche nachteile ergeben sich denn nun für mich, wenn ich einen kernel nehme, der nicht von debian supportet wird - bzw. inwiefern sind die kernels von debian an debian angepasst - oder ist das nur ein gerücht ?


gruß

[flo]

Ein eigener Kernel hat Vorteile, aber auch Nachteile :-)

Prinzipiell solltest Du erst einmal langsam anfangen, den Debian Kernel "nachbauen", lernen, was das Ding überhaupt macht. Von vornherein grsecurity draufzumachen ist ohne Kernelgrundkenntnisse etwas verwegen.

Der Debian-Kernel ist gepatched - genauso wie dies SuSE und alle anderen auch machen - wie genau, das übersteigt mein Wissen, weil ich die Debian-Kernel seit Jahren nicht mehr einsetze. Ich kann mir aber nicht vorstellen, daß "apt" mit einem Debian-Kernel wesentlich schneller läuft. - Im Gegenteil, Distri-Kernels haben prinzipbedingt das Problem, daß hier Funktionen implementiert sind, die auf einem Server evtl. fragwürdig sind und gegebenenfalls nur Einfallstore sind - im günstigsten Fall zumindest Ballast.

Aus der ARt und Weise Deiner Fragen würde ich Dir - wenn du nicht Zeit mitbringst - vom eigenen Kernel abraten.

[royal1177]

das heisst, dass ich u.u. manche funktionen mit denen ich jetzt u.u. arbeite, mit dem neuen kernel nicht mehr benutzen kann ?

klar - ich hätte auch lieber noch einiges mehr an Zeit, mich mit der ganzen Materie mehr auseinander zusetzen, aber ich brauche kurzfristig ein sicheres system :-/ und ich denke , trotz fehlendem wissen, aber mit einer grsec patch implementierung fahre ich besser als ohne !? :-/

[flo]

das heisst, dass ich u.u. manche funktionen mit denen ich jetzt u.u. arbeite, mit dem neuen kernel nicht mehr benutzen kann ?

Das heißt, daß ein Server-Kernel (Webserver!) keine TV-Karte und keinen Joystick unterstützen wird - auch keinen Sound und keine Uralt-CDROMs.

klar - ich hätte auch lieber noch einiges mehr an Zeit, mich mit der ganzen Materie mehr auseinander zusetzen, aber ich brauche kurzfristig ein sicheres system :-/ und ich denke , trotz fehlendem wissen, aber mit einer grsec patch implementierung fahre ich besser als ohne !? :-/

Nein - nicht, wenn Du Dich nicht darin einliest, wie Du grsec sinnvoll (!) scharfschaltest. Wenn Du keine logs liest, ist die Protokollierung fürn A...imer, arbeitest Du nicht als root, wird es Dich evtl. wundern, warum Dein Apache nicht läuft (=Du ihn in der ps nicht siehst) usw.

grsecurity ist genauso wie alles andere kein Allheilmittel, sondern ein Werkzeug - mit einem goldenen Hammer würde ich mir trotzdem auf die Finger hauen - nur daß grsecurity eben kein 10kg-Vorschlaghammer ist, sondern ein ganz feines Werkzeug, das hilft, mit vielen kleinen Schlägen ein rohes Stück in Form zu bringen.

[daemotron]

Gentoo verziert auch ganz aktuelle Kernel (2.6.23) mit einem (vermutlich von den verantwortlichen Entwicklern angepassten) grsecurity-Patch. Die (fertig gepatchten) Kernel-Quellen dafür findest Du auf meinem FTP-Server. Aktuell ist der 2.6.23-hardened-r3. Ich übernehme aber keine Gewähr, dass der Kernel mit einem nicht-gehärteten nicht-Gentoo Userland sinnvoll(tm) funktioniert. Probieren geht da über studieren

[flo]

da saugt schon jemand :-)

danke!

[EdRoxter]

Ich benutze für die Debian-Kisten, auf denen ich so arbeite, immer Vanilla-Kernels. Wenn kein Support für Multimedia-Kram etc. gefragt ist (was auf einem Server eh nur den Kernel unnötig groß macht), dann reicht der Vanilla-Kernel von kernel.org (eben evtl. selbst mit grsec gepatcht) vollkommen aus, um ein Debian auf einem Server laufen zu lassen - wahrscheinlich holst du sogar noch ein oder zwei Prozentpünktchen an Rechenperformance raus.

Die Treiber für normale Server- und Desktophardware kann der Vanilla-Kernel allesamt. Und auf einem Server will man ja sowieso keine grafischen Dinge tun.

Es gibt da auch noch ein nettes Manual, wie du dir ein .deb-Package mit einem selbst gebackenen Kernel bauen kannst - obwohl ich es nicht für zwingend nötig erachte den Kernel in die Paketverwaltung mit einzubinden:

http://channel.debian.de/faq/ch-dpkgund ... s-makekpkg

[cirox]

Sorry, daß ich den Thread noch einmal ausgrabe. Ich habe mir diesen 3 mal durchgelesen, aber die eine Frage bleibt leider doch nicht richtig beantwortet.

3. die aussage, dass die Installation des pakets kernel-patch-grsecurity2 die volle Implementierung von grsecurity bringt, anstatt einen neuen Kernel zu backen, ist falsch oder ?

Ich würde die Frage gerne noch einmal wiederholen. Bringt es die ähnlichen/gleichen Funktionen, wenn ich den Patch über ein Debian Paket einspiele oder nicht?

Warum sollte ich auf öffentlichen Servern nicht bequem den Patch einspielen über "apt", zumal ich gleichzeitig mit Sicherheitsupdates versorgt werde?