Главная » Форум » Сообщество » Общение

hardened Gentoo

localhost 19 февраля, 2010 - 23:47

Добрый вечер господа!
Наткнулся на статью о переходе на hardened gentoo, из всех плюсов я понял, что этот переход увеличит мою локальную безопасность. Меня интересует, кто из вас пере-собирал свой мир, ядро, и какие помимо этих плюсов меня будут ожидать?
P.S: Можно ли обойти эту процедуру перехода? А то портейдж настоятельно рекомендует мне это сделать.

‹ Flash 10.0.45.2 не показывает заставку на www.nvidia.ru Wine 1.1.38 что то с клавой ›
»

Откуда столько параноиков

Автор semlanik, дата создания 20 февраля, 2010 - 00:05.

Откуда столько параноиков развелось?

»

Их число растет

Автор SysA, дата создания 21 февраля, 2010 - 00:44.

Их число растет пропорционально корню кубическому от количества взломов :)

»

localhost написал(а): А то

Автор bes.internal, дата создания 20 февраля, 2010 - 00:16.
localhost написал(а):
А то портейдж настоятельно рекомендует мне это сделать.

серьезно? это как он это так?

»

Я ставил. Обо всем

Автор sspphheerraa, дата создания 20 февраля, 2010 - 00:45.

Я ставил. Обо всем отписывался в темах:
http://linuxforum.ru/index.php?showtopic=69882
http://forums.gentoo.org/viewtopic-t-790110.html

»

Ндас, как все печально -

Автор slepnoga, дата создания 20 февраля, 2010 - 05:30.

Ндас, как все печально - местные параноики так и не освоили Grsecurity .
Пересобрали систему с PAX и думают, что освоили харденед ?
Настояшие джедаи юзают TPE и gradm -E :)

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

slepnoga написал(а): Ндас,

Автор taaroa, дата создания 20 февраля, 2010 - 06:23.
slepnoga написал(а):
Ндас, как все печально - местные параноики так и не освоили Grsecurity .
Пересобрали систему с PAX и думают, что освоили харденед ?
Настояшие джедаи юзают TPE и gradm -E :)

┌┌(root@taaroa)┌(1371/pts/2)┌(09:00:02/20/10)┌-
└┌(#:~)┌- gradm -S
The RBAC system is currently enabled.

P.S.
1. я не параноик
2. пища для параноиков:
если сделать так 

echo 1 > /proc/sys/kernel/grsecurity/tpe_restrict_all

, то chromium (который собирается только с gcc 4.4.3) не может корректно работать (к чему бы это?) :)

»

к чему бы это? к правильной

Автор slepnoga, дата создания 20 февраля, 2010 - 14:30.
к чему бы это?

к правильной настройке policy наверное ?

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

Рано еще, сенсационной

Автор taaroa, дата создания 21 февраля, 2010 - 00:39.

Рано еще, сенсационной разоблачительной статейки касперски в журнале ксакеп дождаться надо. (:

P.S. предыдущая версия chromium (5.0.307.7) каких то дополнительных "правильных настроек policy" не требовала, браузер как браузер.

»

з всех плюсов я понял, что

Автор slepnoga, дата создания 20 февраля, 2010 - 00:46.
з всех плюсов я понял, что этот переход увеличит мою локальную безопасность.

Неа, не только и не столько. 

Меня интересует, кто из вас пере-собирал свой мир, ядро

я и еще овер 9000 тыщ человек.

какие помимо этих плюсов меня будут ожидать?

Кроме пересборки ? О, тебя ешше ожидает настройка политик, отключение некоторых видов защиты на кое каких прогах и прочие увлекательные квесты, пройдя которые, ты сможешь прокачать карму и знания и соображалку :)

По теме - хрденед есть нишевая система, если ты не имешь в голове или на бумаге требования к безопасности - то не суйся, будешь разочарован.

П.С Вот как раз на посмотреть недавно зарелизили TinHat - скачай и посмотри

'd like to announce that a new release of Tin Hat is out. Tin Hat is a fully featured Linux desktop based on Hardened Gentoo which runs purely in RAM. It aims to be very secure, stable, and fast.

http://opensource.dyc.edu/tinhat

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

...

Автор taaroa, дата создания 20 февраля, 2010 - 05:28.
slepnoga написал(а):
П.С Вот как раз на посмотреть недавно зарелизили TinHat - скачай и посмотри
[code]
'd like to announce that a new release of Tin Hat is out. Tin Hat is a fully featured Linux desktop based on Hardened Gentoo which runs purely in RAM. It aims to be very secure, stable, and fast.

http://opensource.dyc.edu/tinhat

Ага ага, и 4Gb RAM приготовьте "для знакомства" :)

»

агу,агу. Предложи свой

Автор slepnoga, дата создания 20 февраля, 2010 - 05:33.

агу,агу. Предложи свой вариант :). Есть еще какой нить лайвик с
на харденед ?
П.С подход заранне ущербен при нынешних ценах на железо

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

localhost написал(а): А то

Автор taaroa, дата создания 20 февраля, 2010 - 05:38.
localhost написал(а):
А то портейдж настоятельно рекомендует мне это сделать.

Вот прям таки настоятельно и таки portage? ^_^

* We strongly recommend that you change profile blah_blah_blah
»

taaroa написал(а): localhost

Автор localhost, дата создания 20 февраля, 2010 - 10:54.
taaroa написал(а):
localhost написал(а):
А то портейдж настоятельно рекомендует мне это сделать.

Вот прям таки настоятельно и таки portage? ^_^

* We strongly recommend that you change profile blah_blah_blah

 * This profile has not been tested thoroughly and is not considered to be
 * a supported server profile at this time.  For a supported server
 * profile, please check the Hardened project (http://hardened.gentoo.org).

 * This profile is merely a convenience for people who require a more
 * minimal profile, yet are unable to use hardened due to restrictions in
 * the software being used on the server. This profile should also be used
 * if you require GCC 4.1 or Glibc 2.4 support. If you don't know if this
 * applies to you, then it doesn't and you should probably be using
 * Hardened, instead.

ну вот как то вот так :)

»

скажи ему что ты в курсе,

Автор evadim, дата создания 20 февраля, 2010 - 14:53.

скажи ему что ты в курсе, примерно вот так:
/etc/make.conf

I_KNOW_WHAT_I_AM_DOING=yes
»

evadim написал(а): скажи ему

Автор localhost, дата создания 20 февраля, 2010 - 15:32.
evadim написал(а):
скажи ему что ты в курсе, примерно вот так:
/etc/make.conf

I_KNOW_WHAT_I_AM_DOING=yes

спасибо.

»

Аффтар, ты зачем выбрал

Автор slepnoga, дата создания 20 февраля, 2010 - 16:45.

Аффтар, ты зачем выбрал профиль server ?

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

slepnoga написал(а): Аффтар,

Автор localhost, дата создания 20 февраля, 2010 - 17:10.
slepnoga написал(а):
Аффтар, ты зачем выбрал профиль server ?

потому что у меня gentoo собрана на сервере :)

»

А зачем??? это сервер? или

Автор SysA, дата создания 20 февраля, 2010 - 23:13.

А зачем??? это сервер? или все-таки десктоп?
Уж очень это смахивает на старый армейский анекдот "...рация на танке..." :D

»

SysA написал(а): А зачем???

Автор localhost, дата создания 21 февраля, 2010 - 00:12.
SysA написал(а):
А зачем??? это сервер? или все-таки десктоп?
Уж очень это смахивает на старый армейский анекдот "...рация на танке..." :D

потому что у меня gentoo собрана на сервере :)
выделил нужное.

»

Чтобы было понятно, надо бы

Автор SysA, дата создания 21 февраля, 2010 - 00:40.

Чтобы было понятно, надо было бы писать

сервер собран на генту :)

поскольку 

цель - сервер
средство - генту

Кстати, в этом случае, а особенно если он в ДМЗ - вполне оправдан сабж.
Но! Там есть много подводных камней и многие проблемы вылезают не сразу.
Поэтому у меня только около 80% серверов имеют hardened профиль и кернель, еще 10% - hardened только профиль и обычный серверный кернель.

»

оффтоп

Автор alex__, дата создания 21 февраля, 2010 - 02:32.
SysA написал(а):
Уж очень это смахивает на старый армейский анекдот "...рация на танке..." :D

расскажите анекдот? ))

»

.

Автор patamooshta, дата создания 21 февраля, 2010 - 02:44.

- А рация на лампах или на полупроводниках?
- А для идиотов повторяю - рация на танке!

Это подпись, которую невозможно истолковать неправильно

»

Улыбнуло :)

Автор DolphinSoft, дата создания 21 февраля, 2010 - 02:59.

Офтоп:
Вспомнился на эту тему мой армейский случай:
Мичман ведет занятия выдает фразу:
"Американская военная техника работает по двум проводам, что очень непрактично из соображений безопасности при применении различных видов вооружения, которые могут вывести ее из строя.
Русская военная техника, напротив - работает лишь на одном проводе, из-за чего она неуязвима для таких
видов вооружения."
(Задал резонный вопрос - "значит она не работает чтоли?"
получил 50 отжиманий.)

:)

Gentoo - Symphony of Creations

»

потому что у меня gentoo

Автор slepnoga, дата создания 21 февраля, 2010 - 00:58.
потому что у меня gentoo собрана на сервере :

Это я сразу как бы понял, я не понял, зачем ты выбрал профиль server который не поддерживается и не доработан ?
В чем великий смысл и прочен здесь Hardened ? или нужна помощь в переводе сообщений emerge - так я английского не знаю и юзаю гуглотранслейт :)

воорбщем сделай : eselekt profile list; и выбери default 10.0 с твей архитектурой

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

А я его тоже ставлю,

Автор evadim, дата создания 21 февраля, 2010 - 03:01.

А я его тоже ставлю, собственно для недоработанного профиля он слишком долго живёт и поддерживается. Варнинг видимо от того что на нормальном сервере всёже лучше использовать hardned

»

Вадим сделай diff профилей

Автор slepnoga, дата создания 21 февраля, 2010 - 04:53.

еvadim, сделай diff профилей server и default :)

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".