Главная » Форум » Gentoo Linux » Общие вопросы

[РЕШЕНО] Проблема с Hardened

Ant90 5 ноября, 2012 - 04:24

Здравствуйте.

У меня возникли сложности с проверкой Hardened Gentoo (архитектура amd64) paxtest'ом, что, вероятно, свидетельствует о неправильной настройке Grsecurity.

Помимо источников с gentoo.org (прежде всего этого и этого), а также сторонних руководств, я изрыл весь интернет и наткнулся на множество подобных тем с той же проблемой. Все эти темы - сомнительной свежести, 2010 год - самые поздние, как в русско-, так и в англоязычных источниках. Ответа, увы, нигде нет.

Суть проблемы: проверки paxtest kiddie и paxtest blackhat находят следующие уязвимости: кат, которых быть не должно.

Установка производилась наново (т.е. НЕ сверху на обычную Gentoo), использовался октябрьский stage3-amd64-hardened. Ядра (все hardened) пробовал следующие: 3.5.4-r1, 3.4.5 и 3.6.1, собирались генкернелом с --menuconfig. Везде одни и те же уязвимости.

Настройки Grsecurity в ядре (menuconfig'овые): кат

Где я допустил ошибку? Возможно, причина в другом?

Заранее благодарю за помощь.

‹ Настройк cron Устройство swap ›
»

. Ядра (все hardened)

Автор slepnoga, дата создания 5 ноября, 2012 - 13:39.
. Ядра (все hardened) пробовал следующие: 3.5.4-r1, 3.4.5 и 3.6.1, собирались генкернелом с --menuconfig.

теперь покажи греп конфига, дмесг загрузки и paxctl бинарника баша.
гцц-конфиг тоже покажи.

ПЫ.СЫ и емерге --инфо в студию

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

paxctl за очевидной

Автор Beelzebubbie, дата создания 5 ноября, 2012 - 16:46.

paxctl за очевидной лексической сложностью осилен не был

»

/оффтоп дануда

Автор slepnoga, дата создания 5 ноября, 2012 - 19:24.

/оффтоп
дануда -пахцтл
оффтоп/

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

Спасибо за ответ. Вот все

Автор Ant90, дата создания 6 ноября, 2012 - 02:37.

Спасибо за ответ.

Вот все необходимое: gcc-config, grep, emerge --info, paxctl, dmesg.

»

Прошу прощения, наверное, я

Автор Ant90, дата создания 7 ноября, 2012 - 20:36.

Прошу прощения, наверное, я неправильно поступил, упаковав все это добро в html. Возможно, так будет удобнее:

gcc-config

[1] x86_64-pc-linux-gnu-4.5.4 *
[2] x86_64-pc-linux-gnu-4.5.4-hardenednopie
[3] x86_64-pc-linux-gnu-4.5.4-hardenednopiessp
[4] x86_64-pc-linux-gnu-4.5.4-hardenednossp
[5] x86_64-pc-linux-gnu-4.5.4-vanilla

pax-control

PaX control v0.7
Copyright 2004,2005,2006,2007,2009,2010,2011,2012 PaX Team <pageexec@freemail.hu>
 
- PaX flags: -------x-e-- [/bin/bash]
        RANDEXEC is disabled
        EMUTRAMP is disabled

"Простыни" оставил на pastebin:

http://pastebin.com/S2DFL22V - греп
http://pastebin.com/X5xEb2TX - emerge --info
http://pastebin.com/4SS6PBfH - dmesg boot

Заранее благодарю.

»

на зеленом 3.2 все тоже самое

Автор slepnoga, дата создания 8 ноября, 2012 - 14:15.

на зеленом 3.2 все тоже самое ? :) замени ядро , последний-распоследний харденед - не лучшаяя идея

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

Да, на 3.2.23-r1 все

Автор Ant90, дата создания 11 ноября, 2012 - 00:28.

Да, на 3.2.23-r1 все повторяется. Кроме того, за эти дни я попробовал 2.6.32-r116 и 2.6.32-r130 (последнее также на другой машине с x86 архитектурой), и даже пару нестабильных - везде одно и то же.

Кстати, для меня непонятно отсутствие ряда файлов и директорий в /proc/sys/kernel (в частности, /proc/sys/kernel/grsecurity), которые, по идее, должны делать возможным полноценное управление через sysctl/sysctl.conf. Этот файл невозможно заблокировать при включенной в ядро поддержке sysctl, т.к. ключа kernel.grsecurity.grsec_lock он попросту не видит (не удивительно, т.к. для этого ключа нету соответствий внутри /proc/sys/kernel). Это относится ко всем испробованным ядрам. Думал, что изменилась общая настройка sysctl, но ни на grsecurity.net, ни в манах sysctl(8) и sysctl.conf(5), ни в других источниках ничего не сказано об этом.

Кстати, наткнулся на довольно древнюю запись с отдаленно похожей проблемой (в этом случае речь шла о баге): http://grsecurity.net/pipermail/grsecurity/2006-February/000706.html

Прилагаю список всего, что есть в моем /proc/sys/kernel: http://pastebin.com/aR38MAnN (текущее ядро 3.5.4-r1).

»

А если так? zcat

Автор alexanderyt, дата создания 11 ноября, 2012 - 03:27.

А если так?

zcat /proc/config.gz | grep -i -e grke -e pax -e grsec
»

Моему удивлению нет

Автор Ant90, дата создания 11 ноября, 2012 - 04:34.

Моему удивлению нет предела.

# CONFIG_GRKERNSEC is not set

При том, что в .config 

CONFIG_GRKERNSEC=y
»

А где этот .config ? Нводит

Автор evadim, дата создания 11 ноября, 2012 - 15:27.

А где этот .config ? Нводит на мысль что собранное ядро несовсем то, что загружено.
Стандартный косяк с не монтированием /boot во время установки ядра?

»

Прошу меня простить за

Автор Ant90, дата создания 29 июня, 2013 - 02:47.

Прошу меня простить за изрядную задержку с ответом, - проблема действительно заключалась в том, что банально отваливался /boot. После успешной сборки и проверки пакстестом возникло множество уже других увлекательных проблем, не связанных с данным вопросом.

Большое спасибо всем за помощь.

»

> Суть проблемы: проверки

Автор alexanderyt, дата создания 8 ноября, 2012 - 02:33.

> Суть проблемы: проверки paxtest kiddie и paxtest blackhat находят следующие уязвимости: кат, которых быть не должно.
Вывод через grep пропущен, я так полагаю?

Если попробовать grsec профили в чистом виде без модификаци?

»

Спасибо за ответ. Дефолтные

Автор Ant90, дата создания 10 ноября, 2012 - 23:25.

Спасибо за ответ.

Дефолтные профили дают тот же результат.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".