Будущее hardened gentoo в 2.6.28 [SOLVED]
Ну что, кирдык проекту Hardened? Чего делать-то будем, товарищи!? У меня тут возникла такая нелепая ситуация. Broadcom 4318 на ноуте по всем источникам должен работать с ядрёным модулем, но не работает :( Ни с 2.6.27, ни с 2.6.28, ни с ваниллой, ни с генту, ни с одной из существующих фирмварей, включая свободные OpenFWWT и свежие закрытые. Скажу больше, вытягивал их b43-fwcutter-ом, предварительно меняя fwcutter_list.h, короче, чего только не делал... :(
Точнее - работать-то работает, сети видит, но не хочет авторизоваться, блэклистит по нулям скрытый мак-адрес точки доступа. На архитектуре i686 работал через ndiswrapper, а тут решил перевести этот ноут на amd64, причём hardened. Вот вляпался-то! :( Ни один из существующих ndiswrapper-ов не работает с этим ноутом на amd64. Попробовал сделать ебилд на базе ndiswrapper-1.54-2.6.28 - вроде как народец подхватил почти вымерший проект, исправил уязвимости, добавил совместимости с новыми ядрами. Без всяких патчей модуль собирается, но не грузццо на 2.6.27. :( Зато на 2.6.28-{gentoo,vanilla} вай-фай теперь работает превосходно!..
Hardened у меня нормально установился, с большинством программ, с настройками проблем не возникло. Но разумеется, Hadrened-ядро есть только v2.6.27, а v2.6.28 пока нет. Но что самое печальное, обнаружилось, что видимо и не предвидится. :( Т.о. возникает серьёзный вопрос будущего этого проекта, а я как раз возложил на него такие надежды, решил всю технику на него перевести!..
Расковырял я всю инфраструктуру Hardened Gentoo и посмотрел, что есть готове, а чего нужно допиливать. Самый большой облом заключается в том, что патчей grsecurity для 2.6.28 пока нет, есть только для 2.6.27.10 от 27 декабря (в hardened их ещё нет). Наложить старые патчи на новое ядро пробовал, но обломался, не говоря о возможных регрессиях. С PaX-ом ситуация обстоит несколько легче - сегодня вышел уже 7-ой тестовый патч для 2.6.28.
Думаю, смогу сделать частичный вариант hardened ядра без главного патча grsecurity (ну, хотя бы так). Но вопрос в том, как жить дальше. Больше всего меня волнует будущее этого проекта. Чего посоветуете, товарищи?..
- Для комментирования войдите или зарегистрируйтесь
Приведи в порядок то, что
Приведи в порядок то, что написал. Ничего не понятно. Где проблема, где рассуждения, и чего ты в итоге хочешь.
hardened никогда семимильными шагами развития не отличалось и отставало от gentoo-sources на цифр в x, где x располагается здесь - 2.6.x.
Может с hardened и есть какие-то проблемы в развитии, но из того, что ты написал этого ни чуть не следует. Заявление об смерти hardened от того, что ещё патчей под 2.6.28 нет - считаю спамом и дезинформацией.
Насчёт дезы категорически не
Насчёт дезы категорически не согласен, потому что:
1. spender написал 27 декабря: Due to the current economic situation, grsecurity recently lost its primary sponsor. After discussing the situation for some time with the PaX team, I have come to two scenarios for the future of the project. If within the next few months I can find one or more sponsors to get the project back to its previous level of sponsorship, I'll continue development on the project and keep up to date with the latest kernels as I've done in the past. If I am unable to find anyone interested in sponsoring the project, development and availability of the software will end on March 31st. Further public development of PaX will be uncertain. Тот же сабж - сейчас последний в списке рассылки grsecurity. :(
2. На оффсайте проекта Hardened Gentoo (на gentoo.org) инфа очень устаревшая. На сегодняшний день, ядро hardened не включает ничего, из того что перечислено на оффсайте, кроме upstream патча grsecurity - не верите, разверните сорцы и убедитесь сами. Пузатая мелочь - не в счёт! :)
3. Собс-но, громко сабж уже обсуждался и даже на русский переводился - и на ЛОРе и на OpenNETе. Так что никак не деза...
НО!..
1. Согласен, что шансы появления полноценного патча grsecurity для ядра 2.6.28 имеются (если успеют до конца марта), тогда и ТОЛЬКО ТОГДА будет hardend-sources-2.6.28.
2. Согласен, что если спонсор найдётся, grsecurity и соотвественно hardened не кирдык, это точно.
А если нет, что будет с hardened - ВОТ ЧТО МЕНЯ СЕЙЧАС ВОЛНУЕТ БОЛЬШЕ ВСЕГО!
А написал немного больше, ибо всё равно потом пришлось бы это писать/объяснять. :)
Пожалуй, всё-таки поясню ещё одну неувязочку...
Действительно, upstream патч grsecurity уже включает и PaX, и RBAC, котрые независимы и отключаемы. В последнем абзаце исходного сообщения я имел ввиду вот чего: аудит, RBAC и прочие фичи мандатного доступа на уровне ядра не так важны (ДЛЯ МЕНЯ), как PaX. А вот его патчи пока доступны, уже есть даже для ядра 2.6.28, и возможно, что команда PaX продолжит развитие независимо от судьбы grsecurity. Т.о., не зная пока планов Hardened Gentoo Team, я думаю, как хотя бы временно решить проблему для себя, советуюсь. К тому же, жалко затраченных сил и времени...
Попробуй
Попробуй http://www.broadcom.com/support/802.11/linux_sta.php. А если hardened чем-то неудовлетворяет, то стоит задуматься, для чего он предназначен и зачем он тебе нужен.
Благодарю, конечно!
Правда, я сомневаюсь, что эта ссылка чего-то даст для конкретного ноута, поскольку даже в анонсе и в readme видно, что поддержкой для 4318 там и не пахнет. К счастью, это даже вообще и не так важно, поскольку меня больше волнует не конкретный вай-фай и даже не ноут, а именно целесообразность моей затеи с переводом всей техники на hardened gentoo.
Проблему с вай-фаем я описал к слову, чтобы пояснить, как я набрёл на данный сабж. Учитывая, что в русскоязычном коммьюнити он обсуждался как раз в праздники, когда я занимался настройкой и этими разборками, можно сказать, что с момента анонса до сегодняшнего дня прошло не более нескольких рабочих дней и проблема с hardened вобщем-то нова.
На gentoo-wiki сказано, что PCI#ID 14e4:4318 SUBSYS#ID 103c:1355 работает с b43 на HP Pavilion zd6000. У меня сейчас zd8230us с таким же в точности чипом, но возможно проверявший не использовал WPA1/PSK/TKIP, сокрытие SSID и BSSID, а я использую. Скорее всего проблема не в прошивке, а в самом b43. Но даже последние изменения из 2.6.28, коснувшиеся b43, не оказали положительного влияния. Подчеркну особо, что b43 не работал - не с 32bit, не с 64bit ядром. С 32bit-ым работал только ndiswrapper из портежей.
Скажите, а зачем вообще эта
Скажите, а зачем вообще эта паранойя на ноуте? Что такого в этом hardened (grsecurity, в частности), что реально полезно? В случае с сервером понятно, интересует конкретно в вашем случае.
P.S. Про wifi, получается, оффтопик. (:
в hardened - ничего общего с параноей нет! ;)
Популярность линукса растёт, лично я пересаживаю одного пользователя за другим на него. Не ровен час, как и его начнут ломать. Кто вам сказал, что hardened - это только для серверов? :) Даже в профилях есть разделение на server/ws, и даже в ядре есть такие пре-сеты. ;) Посмотрите, что говорит glsa-check, вспомните, как часто обновляете Firefox, etc... Да что там говорить, сообщения об обнаружении очередной уязвимости нередко сопровождаются словами, что она не распространяется только на ядра, пропатченные grsecurity.
Ну а зачем оно в принципе надо - написано в оффдоке. Есть статьи на харбаре и в PCWeek, в частности, Кирилла Тихонова. А лично мне больше нужен PaX - очень полезная фича, хотя и от других бы не отказался. Настройка hardened ничуть не сложнее обычной настройки по хендбуку, только компилятор отстаёт от последнего stable на пару шагов, и всего-то. Пусть уж лучше в системе что-нть падает, чем там заводятся зверьки непонятного происхождения!.. =)))
Насчёт вай-фай - не оффтопик, а "2 в 1-ом"! =))
Важный UPD:
УРА, товарищи! Одно решение найдено!!!
Патч PaX (тестовый для 2.6.28) успешно накладывается на ядро. Оказывается, сам по себе он уже включает SELinux, но может и без него работать. Очевидно, патч grsecurity+pax блокирует NSA SELinux Support. Либо GRSecurity(RBAC)+PaX, либо SELinux+PaX. Но это и так было известно, просто оказалось, что PaX-патч уже содержит всё необходимое! =)))
Вопрос будущего hardened gentoo остаётся открытым. Попробую порыть в сети или связаться с тимом...
Вот такая лабудятина! :-(
Единственное предложение по существу вопроса в официальном списке рассылки:
http://archives.gentoo.org/gentoo-hardened/msg_0c4c507b0c5024adec92428bc346e59c.xml
и то - полностью проигнорированное разработчиками... :-(
Насколько я понял суть предложения Dw, каждый заинтересованный может
немного поддержать разработчиков. Нечто подобное звучало и на ЛОРе.
Насчёт сохранения проекта членами US кабинета он конечно загнул!.. :)
P.S. При таком раскладе вопрос судьбы hardened остаётся открытым,
а задавать ещё один подобный вопрос там же - смысла не имеет...
Глубоко вздохнув...
Появились тестовые патчи grsecurity для ядра 2.6.28.
В принципе, я бы и PaX-ом обошёлся, но теперь уж точно сделю свежий ебилд...
P.S. Народ, куда и как такие вещи лучше заливать?
Сделал ebuild и набор патчей
Собрал ядро sys-kernel/hardened-sources-2.6.28. За основу взял свежайшее hardened-sources-2.6.27-r4. Патчи в hardened те же, что и в gentoo-sources (за исключением одного - fbcondecor) плюс grsecurity и ещё ряд патчей уже чисто для hardened. Так вот, с ядром 2.6.28 из них у меня не пошло только два - #4425 и #4450 (совершенно несущественных, ИМХО). Собрал ядро по старому конфигу, пока полёт нормальный. Если кому интересно, могу слить diffы.
Одна только проблема возникла: мой ndiswrapper-1.54 с этим укреплённым ядром грузиться отказался... :-(
Возник другой вопрос: кто-нибудь видел такую зверюшку (скачать TinHat)? Что-нть можете о ней сказать?
Grsecurity судя по всему
Grsecurity судя по всему скоро сдохнет.
Если разыгралась параноя, рекомендую посмотреть на selinux.
GreenMice - сайт и блог о linux, opensouce и администрированию
Судя по всему, ДА :-/
Досконально разобрался, опечален до мозга костей. :-( Трёхэтажная ругань Linus-а особенно покоробила. С одной стороны, его т.з. технически немотивированна, но с другой - как он сказал, так будет. Я склонен верить, что он очень прав, другое дело, почему бы не представить сообществу неопровержимые аргументы?
Печально, что три команды не смогли достичь консенсуса. Ядерщикам Торвальдса глубоко накласть на предлагаемые ноу-хау в укреплении безопастности ядра, архтектура модулей безопасности (LSM) мягко говоря не устраивает никого, кто занимается безопасностью, но это совершенно не волнует ядерщиков, команде grsecurity нет времени и желания пускаться во флейм-войны видите ли, а PaX-овцы оказывается никогда и не стремились в апстрим, просто делая своё дело.
Кого интересуют комменты и предыстория. Что же касается комментария главного разработчика grsecurity, то вообще "no coments"! Похоже, человек воспринимает слишком близко к сердцу не только мировой кризис... :-/
У нас это называется "неумением работать в команде". Начитавшись подобного невольно задумаешься, а о чём вообще думает (и думало ли раньше!) сообщество Hardened Gentoo?.. :-((
импользуйте SMACK он проще
импользуйте SMACK он проще чем SElinux
Спасибо, Gogast!
Посмотрел... Это один из тех LSM, которые упомянул выше. Вопрос не в простоте, конечно. Меня тут просто жутко коробит двуличность в подходе ядерщиков! С одной стороны, "Linux - это монолитное ядро, программа, постоянно эволюционирующая, и потому API никогда не будет заморожено", а с другой, LSM - ни что иное, как "замороженное API". Чего я собственно и сказал выше - ядерщикам глубоко накласть на ноу-хау в части укрепления безопасности.
Честно говоря из прочитанного
Честно говоря из прочитанного я двуличности не увидел. Замороженное API в ядре это ... сказка. Такого, поверьте, там нету. Проблема в том, что разработчики grsecurity не хотят работать так, как это предложил Linus и это их личная проблема. Они же ясно написали, что им лень (вернее у них есть куда тратить своё свободное время...). Процесс предложенный Линусом работает для тысяч других разработчиков, и им, и Линусу, есть чем заняться, помимо ковыряния огромных монолитных чужих патчей, которые, очевидно, "как есть" в официальное ядро не войдут.
В общем есть и отчасти радостное известие:
Thank you to everyone who has mailed me so far offering support and sponsorship opportunities. Based on the response received, the project will continue development.Так что grsecurity не умрёт.
Насколько я понял, есть три причины неуживаемости.
Первая - вполне стандартная и правильная отмаза: "большие патчи не принимаем". И оно как правило справедливо. Вторая уже весьма спорна - предлагать укладываться в концепцию LSM тогда, когда есть более сильная, но комплексная концепция, не вынося публичный спор в техническое русло... ну незнаю. Тем более, как реализовать большую концепцию большим числом маленьких патчей, если патчи по отдельности - вся концепция работать не будет. Третья - самая неочевидная, но мне кажется доминирующая причина. Линусу просто не нравится, как написан этот код, вот и всё. А что и как - у него тоже нет времени объяснять. Если бы у команды PaX было желание активней поработать языком, попытаться убедить остальных, приложить усилия к вопросу работы в команде, а не создавать эту заплату для каждой версии... этого тоже нет.
Однако эта ситуация возникла не вчера. Так всегда было. Вот что я имел ввиду.
Чёт меня оно не сильно обнадёжило, но я не силён в английском. :) В любом случае, grsecurity дожил до 2.6.28 (у меня по крайней мере), и думаю в будущем проект Hardend Gentoo всё же будет скорее жив, чем мёртв. Только что будет лежать в основе, сейчас говорить сложно...
Позиция Линуса вполне
Позиция Линуса вполне понятна. Он не собирается защищать ядро и систему в целом путем прикручивания хардендед заплат и пересборки всей системы хардендедкомпилятором. Вполне логично, что уязвимости в открытом софте следует прикрывать там где они появились. Известных уязвимостей в свежей версии ядра не обнаружено, соответсвенно патчи хардендед для ядра Линусу не нужны.
Вот цитата из предложенной вами статьи
"Грубо говоря, если у вас стоит "дырявая" версия программы X, и её пытается взломать хакер, то в обычной системе у него это получится, а в hardened - не получится, да ещё и в лог запись пойдёт."
Весьма показательно. Грубо говоря если у вас стоит "дырявая" версия программы X - установите новую версию программы Х. Конечно можно попытаться написать универсальную заплатку и перекорежить всю систему. Только вряд ли получится на все сто, потому как невозможно написать заплатку для дыры в голове. И тут диаметрально противоположный подход. Разработчики хардендед пытаются обеспечить защиту от идиотов, Линус предлагает избавляться от идиотов. Защиту от идиотов пытаются осуществить разработчики антивирусов под винду, насколько это эффективно - судить вам.
По большей части согласен со всем,
что Вы написали. Нет, без ошибок программ конечно не бывает. И разработчикам давно было бы пора открыть для себя инструменты, избавляющие их продукт от всякого рода упущений. Но раз это не делается персонально каждым разработчиком, то здесь весьма полезной оказывается фишка Hardened Gentoo. В первую очередь PIE+SSP и поддержка оного PaX-ом со стороны ядра. Большего для счастья и не надо!
Вы верно заметили, нужно просто не ставить дырявый софт, своевременно его обновлять. Вот только в случае Gentoo, когда машина уникальной конфигурации и находится от меня довольно далеко, да и подобных пользователей предполагается весьма много, пока там тихой сапой развиваются пакетные возможности portage, периодическое/своевременное обновление таких машин представляется для меня затруднительным (пока...), потому я и наделся, что обвязка Hardened как-то поможет мне обойти проблему частоты обновлений...
Очевидно, ни тем путём идём, товарищи!... (C)
50% SOLVED =)))
Поскольку вопрос изначально ставился как "2 в 1", хочу сообщить, что одна дилемма уже решена! :) У меня заработал вышеупомянутый вай-фай, причём без ndiswrapper и c hardened-ядром!!! :o Решение оказалось весьма неожиданным для меня:
1. Старое hardened-ядро (2.6.25-r13) с deprecated bcm43xx (модулем).
2. Deprecated 802.11 Stack с SoftMAC и всей криптографией (не модулями).
3. bcm43xx-fwcutter-006 и прошивка с openwrt (вот инструкция).
Итак, BCM4318 [14e4:4318] [103c:1355] наконец-то побеждён:
lspci 0b:03.0 Network controller [0280]: Broadcom Corporation BCM4318 [AirForce One 54g] 802.11g Wireless LAN Controller [14e4:4318] (rev 02) Subsystem: Hewlett-Packard Company Broadcom 802.11b/g WLAN [103c:1355]Дополнительная информация была найдена ЗДЕСЬ...
26 ядро уже в стейбле
26 ядро уже в стейбле
СильнО! Впрочем, что ещё называть "стейблом"! =)))
Ядро - как бы не гентушная фича, 2.6.28 уже давно зарелизено... ;-)
Но мне не горячо, не холодно. Бился раньше с 2.6.27 и 2.6.28 - полный ноль. :(
Опусы неудач - выше... С новым "стейблом" 2.6.26-hardened-r9 = та же песня.
Как только перешли с bcm43xx/softmac/FW V3 на b43/mac80211/FW V4,
авторизации WPA-PSK/TKIP нет, ошибки в/в, что с SSB - тоже непонятно.
Короче, пока так: 2.6.25 - работает, >=2.6.26 - уже не работает. :(
Продолжаю искать решение для новых ядер/прошивок/модулей...