fiasko's home page

Debian Kernel Repository

 Zur Startseite... | Deutsch | English
Übersicht
 |
2.4.31-fiasko
2.4.31-fiasko-nf
 |
2.6.16-fiasko
2.6.23-fiasko

Grsecurity Erweiterung

Die 2.4.*-fiasko und 2.6.*-fiasko Kernel sind mit der grsecurity Erweiterung gepatcht. Es wird dringend empfohlen die Dokumentation von grsecurity zu lesen bevor der Kernel eingesetzt wird!

Die genaue Konfiguration ist den einzelnen Kernel zu entnehmen. Üblicherweise ist die PaX Erweiterung und Schutzmaßnahmen die sich mittels der SYSCTL Schnittstelle konfigurieren lassen aktiviert. Außerdem gilt für die Benutzergruppe adm(4) keine Beschränkungen für das /proc Dateisystem.

SYSCTL Schnittstelle

Die Grsecurity Konfiguration kann mittels der SYSCTL Schnittstelle (kernel.grsecurity.*) zur Laufzeit verändert werden. Dieses Beispiel aktiviert alle beim Kompilieren aktivierten Optionen.

ACHTUNG: Der letzte Eintrag für grsec_lock macht die aktuelle Konfiguration bis zum nächsten Neustart permanent - ohne diese Zeile können die Schutzmechanismen wieder deaktiviert werden!

Beispiel Einträge für die Datei /etc/sysctl.conf: 

### Logging
kernel.grsecurity.audit_mount=1
kernel.grsecurity.forkfail_logging=1
kernel.grsecurity.signal_logging=1
kernel.grsecurity.timechange_logging=1

### chroot sicherer machen
kernel.grsecurity.chroot_caps=1
kernel.grsecurity.chroot_deny_chmod=1
kernel.grsecurity.chroot_deny_chroot=1
kernel.grsecurity.chroot_deny_fchdir=1
kernel.grsecurity.chroot_deny_mknod=1
kernel.grsecurity.chroot_deny_mount=1
kernel.grsecurity.chroot_deny_pivot=1
kernel.grsecurity.chroot_deny_shmat=1
kernel.grsecurity.chroot_deny_sysctl=1
kernel.grsecurity.chroot_deny_unix=1
kernel.grsecurity.chroot_enforce_chdir=1
kernel.grsecurity.chroot_findtask=1
kernel.grsecurity.chroot_restrict_nice=1
	    
### kein Zugriff auf DMESG des Kernels
kernel.grsecurity.dmesg=1
	    
### durchsetzen von Ressourcen Limits bei execve Aufrufen
kernel.grsecurity.execve_limiting=1
	    
### Beschraenkter Zugriff in +t Verzeichnissen
kernel.grsecurity.fifo_restrictions=1
kernel.grsecurity.linking_restrictions=1

### neue ID's zufaellig erstellen
kernel.grsecurity.rand_pids=1
kernel.grsecurity.rand_tcp_src_ports=1

### WICHTIG - nicht veraendern/verschieben!
kernel.grsecurity.grsec_lock=1

PaX

Einige Programme laufen wegen den Änderungen im Adreßraum durch die PaX Erweiterung nicht mehr. Dazu gehören u.a. Java, OpenOffice, wine und XFree 4.x.

Mit Hilfe des Packetes chpax-apt kann für einige bekannte Problemanwendungen entsprechende Flags in diesen Programmen automatisch gesetzt werden, mit denen die Schutzfunktionen für diese deaktiviert werden.

Für Programme die nicht durch das Packet chpax-apt behandelt werden kann dies von Hand mittels dem Packet chpax eingestellt werden.

Es besteht weiterhin die Möglichkeit die Pax Erweiterung mittels dem Kernel Parameter pax_softmode=1 im Softmode zu betreiben. Damit greifen die Pax Schutzmaßnahmen nur für beim kompilieren markierte Programme. Bei Debian gilt dies für keine Packete, sodaß effektiv die Pax Erweiterung abgeschalten wird.

06.04.06, Thomas Liske
n/a		 Valid XHTML 1.0! No Software Patents! No Software Patents! Viewable With Any Browser