Главная » Форум » Gentoo Linux » Установка Gentoo Linux

hardened

vovanvster 29 июня, 2009 - 09:25

Всем привет, подскажите пожалуйста как установить Gentoo hadened. В гугле как много всего, и как всегда сомнительной свежести. Установку делаю новую, из под чрута на другой хард. Выбрал профиль:

(chroot) tuxhost / # ls -FGg /etc/make.profile
lrwxrwxrwx 1 39 Июн 29 09:05 /etc/make.profile -> ../usr/portage/profiles/hardened/amd64//

и поставил флаги в make.conf: hardened pie ssp

сейчас строить начну, надеюсь к тому времени как наткнусь на какое нибудь препятствие прочитать здесь советы ориентирующие из опыта людей которые харденед пробовали.

‹ i686 PKGDIR ›
»

Непонятно, дальше вся

Автор vovanvster, дата создания 29 июня, 2009 - 09:37.

Непонятно, дальше вся установка как обычно или ещё что-то изменить надо ? Уж очень всё просто на первый взгляд. И кстати, подскажите кто нибудь как /etc/shadow можно защитить

Мышка дура, прав был Суворов.

»

/

Автор Anarchist, дата создания 29 июня, 2009 - 09:48.
vovanvster написал(а):
Всем привет, подскажите пожалуйста как установить Gentoo hadened. В гугле как много всего, и как всегда сомнительной свежести.

Мне почему-то казалось, что начинать следовало бы как всегда с gentoo.org...
http://www.gentoo.org/proj/en/hardened/primer.xml

vovanvster написал(а):
и поставил флаги в make.conf: hardened pie ssp

Ты уверен в достаточности сего набора?

:wq
--
Live free or die

»

Да не в чём я не уверен,

Автор vovanvster, дата создания 29 июня, 2009 - 10:50.

Да не в чём я не уверен, первый раз харденед ставлю. К тому же я из Архангельска, у нас вчера день города был. 425 лет :-) Посему доки долго читать не могу.Вот и прошу помощи... Какие мнения ? Кто - чё знает !? Делитесь пжлста, можно без граматики и пунктуациии. Лишь-бы понятно.

P.S. Кстати,'Live free or die' - это обо мне... Брат !

Мышка дура, прав был Суворов.

»

/

Автор Anarchist, дата создания 29 июня, 2009 - 11:04.
vovanvster написал(а):
Да не в чём я не уверен, первый раз харденед ставлю.

А не-Hardened?

Набор флагов --- штука такая. Сильно зависящая от требуемой функциональности.

vovanvster написал(а):
К тому же я из Архангельска, у нас вчера день города был. 425 лет :-)

Поздравляю :)

vovanvster написал(а):
Посему доки долго читать не могу.Вот и прошу помощи... Какие мнения ? Кто - чё знает !?

Ты это самое, возьми пивка, подлечись... ;)

Если же серьёзно: такое состояние --- не лучшее время для установки Hardened-системы (которую ИМХО ставить надо только тогда/там, где ты чётко знаешь почему и зачем она тебе нужна).

vovanvster написал(а):
P.S. Кстати,'Live free or die' - это обо мне... Брат !

Смотри картинку ;)

:wq
--
Live free or die

»

ну конечно всё правильно, но

Автор vovanvster, дата создания 29 июня, 2009 - 12:22.

ну конечно всё правильно, но по существу-то ? Иксы мне не обязательны а в остальном обычный десктоп

Мышка дура, прав был Суворов.

»

vovanvster написал(а):ну

Автор vovanvster, дата создания 29 июня, 2009 - 12:26.
vovanvster написал(а):
ну конечно всё правильно, но по существу-то ? с устоновкой обычного Gentoo вроде справляюсь, уже скучно поэтому и решил захардить Иксы мне не обязательны а в остальном обычный десктоп
P.S. Провакационные вопросы я пропустил

Мышка дура, прав был Суворов.

»

Обычный десктоп обычно с

Автор WXP, дата создания 1 июля, 2009 - 22:40.

Обычный десктоп обычно с иксами ведь... :)

»

В общем да, планирую

Автор vovanvster, дата создания 2 июля, 2009 - 12:27.

В общем да, планирую что-нибудь поставить. Выбор слава богу большой. Но поставлю только если не в ущерб безопастности.

Мышка дура, прав был Суворов.

»

+

Автор Daevy, дата создания 29 июня, 2009 - 12:54.

есть уже готовые харденед-стэйджы, можно ставить с них процесс аналогичен что при установке неHardened, главно правильно приготовить hardened-ядро

если уже устанволенную систему надо захардить то,
выставляем профиль hardened/x86 прописываем в make.conf флаги hardened pic
собираем hardened-gcc пересобираем binutils, glibc и затем пересобираем мир

в ядре в секции Security{PaX,Gresecurity} дабы не вникать в суть всех настроек выставляем профиль Hardened Server и собираем ядро. загружаемся в новое ядро и ставим paxtest. запускаем его и смотрим чтобы везде было Killed (кроме Return to function) и также включена рандомизация 

# paxtest blackhat
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Writing output to paxtest.log
It may take a while for the tests to complete
Test results:
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Mode: blackhat
Linux proxy.uzps.mh.ru 2.6.26-hardened-r1 #6 SMP Wed Apr 1 10:39:15 YEKST 2009 i686 Intel(R) Xeon(TM) CPU 2.80GHz GenuineIntel GNU/Linux

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable anonymous mapping (mprotect)  : Killed
Executable bss (mprotect)                : Killed
Executable data (mprotect)               : Killed
Executable heap (mprotect)               : Killed
Executable stack (mprotect)              : Killed
Executable shared library bss (mprotect) : Killed
Executable shared library data (mprotect): Killed
Writable text segments                   : Killed
Anonymous mapping randomisation test     : 17 bits (guessed)
Heap randomisation test (ET_EXEC)        : 13 bits (guessed)
Heap randomisation test (ET_DYN)         : 23 bits (guessed)
Main executable randomisation (ET_EXEC)  : No randomisation
Main executable randomisation (ET_DYN)   : 15 bits (guessed)
Shared library randomisation test        : 17 bits (guessed)
Stack randomisation test (SEGMEXEC)      : 23 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 23 bits (guessed)
Return to function (strcpy)              : Vulnerable
Return to function (memcpy)              : Vulnerable
Return to function (strcpy, RANDEXEC)    : Vulnerable
Return to function (memcpy, RANDEXEC)    : Vulnerable
Executable shared library bss            : Killed
Executable shared library data           : Killed

получаем работоспособный PaX эффективный инструмент в борьбе с эксплойтами (помнится тестил vmsplice:)

далее если есть желание ставим gradm для реализации Grsecurity, и проводим обучение системы (~ 2-3 дня). в процессе обучения необходимо запускать на серваке его штатные задачи. это необходимо для того чтобы запущенные демоны делали только то что разрешено. шаг право шаг влево, расстрел.., прыжок на месте тоже расстрел)))

если надо запускать иксы, то на gentoo.org была дока где-то.

и вобще там полно доков по Hardened если не грохнули:-) или не спрятали как в случае с русскими доками)))

поставил 7 серверов на продакшен, все на hardened'е, и дальше буду ставить))))
единственно у меня в xen, hardened-гости работали криво, но это уже проблемы xen))))

there is only war...

»

Огромное спасибо, опыт

Автор vovanvster, дата создания 29 июня, 2009 - 15:08.

Огромное спасибо, опыт бесценный. А если на чистый хард ? Подскажите пожалуйста где взять харденед-стэйджы ? Или в новой установке можно обойтись флагами ? А потом уже проблеммы разгребать, которые появятся ? В принципе установленная Джента устираивает, а нарденед на другой диск ставлю, вдруг пригодится ?

Мышка дура, прав был Суворов.

»

+

Автор Daevy, дата создания 30 июня, 2009 - 07:03.

http://ftp.yandex.ru/gentoo-distfiles/experimental/x86/hardened/stages/
3-й стэйдж самое то, отличие от обычных стэйджей в том, что в харденед-стэйджах бинарники и прочие файлы собраны посредством харденед-gcc с поддержкой pie и ssp - http://ru.wikipedia.org/wiki/PaX поэтому не надо пересобирать глибцы бинутилз и мир.

если чистый винт то установка как обычно, отформатировать разделы, смонтировать, перейти в корень будущей системы, распаковать туда стэйдж, + слепок портеджей, смонтировать proc и dev, зачерутиться внутрь, исправить fstab, устнаовить grub, собрать ядро.

если свежий неХарденед то после прописи флагов надо пересобирать gcc binutils glibc world

забыл добавить, стэйджы от 2007 года поэтому после перезагрузки можно сделать emerge --sync && emerge pvuDN world чтоб обновиьтся до сегодняшнего дня. на дату стэйджей не обращайте внимания, слежу за развитием проекта и могу сказать что он не стоит на месте, потому как в ядре от версии к версии появляются новые функции.

наверняка у вас еще возникнут вопросы по опциям в конфигурации ядра;)

http://www.gentoo.org/doc/en/?catid=project тут пролистните ниже, есть несколько статей по этой теме

there is only war...

»

Спасибо ещё раз, интернета не

Автор vovanvster, дата создания 1 июля, 2009 - 18:24.

Спасибо ещё раз, интернета не было сутки. Сейчас попробую...

Мышка дура, прав был Суворов.

»

Что-то вообще ничего не могу

Автор vovanvster, дата создания 1 июля, 2009 - 23:29.

Что-то вообще ничего не могу понять ? В самом начале :

(chroot) tuxhost / # emerge portage
Calculating dependencies -
!!! All ebuilds that could satisfy ">=dev-lang/python-2.5" have been masked.
!!! One of the following masked packages is required to complete your request:
- dev-lang/python-2.6.2-r1 (masked by: required EAPI 2, supported EAPI 0)
- dev-lang/python-2.5.4-r2 (masked by: required EAPI 1, supported EAPI 0)
- dev-lang/python-2.5.4-r3 (masked by: required EAPI 1, supported EAPI 0)

For more information, see MASKED PACKAGES section in the emerge man page or
refer to the Gentoo Handbook.
(dependency required by "sys-apps/portage-2.1.6.13" [ebuild])

Это что, так и должно быть ? Питон размаскировывать надо ? Или что-то не так идёт ? emerge --sync делал.

Мышка дура, прав был Суворов.

»

vovanvster написал(а):Что-то

Автор Daevy, дата создания 2 июля, 2009 - 06:20.
vovanvster написал(а):
Что-то вообще ничего не могу понять ? В самом начале :

(chroot) tuxhost / # emerge portage
Calculating dependencies -
!!! All ebuilds that could satisfy ">=dev-lang/python-2.5" have been masked.
!!! One of the following masked packages is required to complete your request:
- dev-lang/python-2.6.2-r1 (masked by: required EAPI 2, supported EAPI 0)
- dev-lang/python-2.5.4-r2 (masked by: required EAPI 1, supported EAPI 0)
- dev-lang/python-2.5.4-r3 (masked by: required EAPI 1, supported EAPI 0)

For more information, see MASKED PACKAGES section in the emerge man page or
refer to the Gentoo Handbook.
(dependency required by "sys-apps/portage-2.1.6.13" [ebuild])

Это что, так и должно быть ? Питон размаскировывать надо ? Или что-то не так идёт ? emerge --sync делал.

судя по слову (chroot) это вы с стэйджа делаете? не, быть такого не должно, установите только grub и ядро, а все остальное обновите уже загрузившись в систему

there is only war...

»

Daevy написал(а):vovanvster

Автор vovanvster, дата создания 2 июля, 2009 - 12:35.
Daevy написал(а):
vovanvster написал(а):
Что-то вообще ничего не могу понять ? В самом начале :...........

Это что, так и должно быть ? Питон размаскировывать надо ? Или что-то не так идёт ? emerge --sync делал.

судя по слову (chroot) это вы с стэйджа делаете? не, быть такого не должно, установите только grub и ядро, а все остальное обновите уже загрузившись в систему

То есть вообще сразу-же: emerge gentoo-sources grub ?

Мышка дура, прав был Суворов.

»

+

Автор Daevy, дата создания 2 июля, 2009 - 13:31.
vovanvster написал(а):
То есть вообще сразу-же: emerge gentoo-sources grub ?

ага, если честно признаться в черуте никогда не ставил ничего кроме syslog-ng vixie-cron grub и ядра...
кстати от постого gentoo-sources толку никакого не будет, надо ставить hardened-sources
там добавлены hardened-патчи, самое вкусное и ценное))) 

Security options  ---> 
  Grsecurity  --->
  PaX  --->

там как я уже говорил надо выбрать профиль Hardened server или desktop (зависит от потребностей), и правильные опции включатся сами.

Security options  ---> 
  Grsecurity  --->
    [*] Grsecurity
        Security Level (Hardened Gentoo [server])  --->

there is only war...

»

Поставилось нормально, но с

Автор vovanvster, дата создания 5 июля, 2009 - 13:50.

Поставилось нормально, но с конфигурацией ядра конечно вопросов много. Буду маны курить, что не пойму - спрошу.

Мышка дура, прав был Суворов.

»

vovanvster

Автор Daevy, дата создания 6 июля, 2009 - 06:13.
vovanvster написал(а):
Поставилось нормально, но с конфигурацией ядра конечно вопросов много. Буду маны курить, что не пойму - спрошу.

только создавай новые темы или пиши в почту lesovsky_av[собака]uzps[dot]mh[dot]ru или личку:-) а то я врялди буду дальше мониторить этот пост

there is only war...

»

А зачем качать древние

Автор RDron, дата создания 1 июля, 2009 - 22:24.

А зачем качать древние стейджи?
Вот есть же новые:
http://mirror.yandex.ru/gentoo-distfiles/releases/x86/current/hardened/stage3-i686-hardened-20090623.tar.bz2

И ещё хотел спросить, где стейджи для AMD64? Точнее куда пропали... Захотел поставить Hardened, а для AMD64 нет новых стейджей. Точнее они были на 20090618 но сейчас нет, пропали...

»

+

Автор Daevy, дата создания 2 июля, 2009 - 06:26.
RDron написал(а):
А зачем качать древние стейджи?
Вот есть же новые:
http://mirror.yandex.ru/gentoo-distfiles/releases/x86/current/hardened/stage3-i686-hardened-20090623.tar.bz2

И ещё хотел спросить, где стейджи для AMD64? Точнее куда пропали... Захотел поставить Hardened, а для AMD64 нет новых стейджей. Точнее они были на 20090618 но сейчас нет, пропали...

уже давно не качаю стэйджы, сам клепаю, потому ссылка первая что вспомнилась

amd64 стэйджы
http://gentoo.mirrors.tera-byte.com/releases/amd64/autobuilds/20090618/hardened/
свежак)))

there is only war...

»

Вот эти нашёл:

Автор vovanvster, дата создания 2 июля, 2009 - 12:22.

Вот эти нашёл: http://mirror.yandex.ru/gentoo-distfiles/releases/amd64/2008.0/stages/hardened/stage3-amd64-hardened-2008.0.tar.bz2

Мышка дура, прав был Суворов.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".