Instalacja Grsecurity

Grsecurity jest popularną łatą nakładaną na kod źródłowy jądra Linux, zwiększającą jego bezpieczeństwo, dzięki czemu możemy uniknąć wielu ataków zdalnych i lokalnych. Na wstępnie chciałbym zaznaczyć, że nie polecam instalowania grsec na desktopach, a jedynie serwerach, ponieważ wynika z tego powodu wiele problemów, m.in. z odpaleniem środowiska graficznego. Instalacja nie jest zbytnio skomplikowana, opiszę ją tradycyjnie na przykładzie dystrybucji Debian GNU/Linux oraz wersji kernel 2.6.31.5, w przypadku instalacji nowszej wersji potrzeba tylko zwrócić uwagę żeby zmienić numer wersji w komendach.

 

Mała uwaga, przykładowy plik z patchem grsec ma nazwę

grsecurity-2.1.14-2.4.37.7-200911101931.patch

oznacza to, że łatka jest w wersji 2.1.14 dla kernela 2.4.37.7 (wiec trzeba korzystać dokładnie z tych źródeł kernela) oraz data jej wydania. Na początek instalujemy wymagane pakiety

apt-get update;apt-get install kernel-package libncurses5-dev build-essential

następnie ściągamy kernela oraz łatkę

cd /usr/src
wget http://grsecurity.net/test/grsecurity-2.1.14-2.6.31.5-200910312135.patch
wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.31.5.tar.bz2

rozpakowujemy kernela oraz patchujemy go

tar -xjf linux-2.6.31.5.tar.bz2
patch -p0 < grsecurity-2.1.14-2.6.31.5-200910312135.patch

następnie wybór polityki grsec

cd linux-2.6.31.5
make menuconfig

w menu wybieramy

Security options > Grsecurity > Security Level > High
Security options > Grsecurity > Sysctl support > Sysctl support 
Security options > Grsecurity > Sysctl support > Turn on features by default

w tym wypadku wybraliśmy najwyższą politykę bezpieczeństwa grsec, ich dokładny opis można przeczytać pod tym adresem, następnie przechodzimy do kompilacji kernela

make-kpkg clean
make-kpkg –initrd kernel_image kernel_headers

po kompilacji instalujemy gotowe paczki

cd /usr/src
dpkg -i linux-headers-2.6.31.5.10112009-grsec_2.6.31.5.10112009-grsec-10.00.Custom_i386.deb
dpkg -i linux-image-2.6.31.5.10112009-grsec_2.6.31.5.10112009-grsec-10.00.Custom_i386.deb

tworzymy plik initrd

update-initramfs -k 2.6.31.5.10112009-grsec -c

na koniec trzeba jeszcze tylko edytować menu gruba

/boot/grub/menu.lst

i upewnić się czy wszystko jest dobrze dopisane analogicznie do standardowego wpisu z pierwotnie zainstalowanym kernelem

title Debian GNU/Linux, kernel 2.6.31.5-grsec
root (hd0,0)
kernel /boot/vmlinuz-2.6.31.5-grsec root=/dev/sda1 ro
initrd /boot/initrd.img-2.6.31.5-grsec

prawdopodobnie będzie brakowało linijki

initrd /boot/initrd.img-2.6.31.5-grsec

która trzeba będzie dopisać ręcznie, następnie restartujemy system i przy starcie w menu gruba wybieramy nowy kernel :-).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Poprzedni post
tort

Nośniki danych

Następny post
Lokalizacja pliku ikony w katalogu projektu

Start z Javą i Eclipse. Część trzecia

Powiązane posty
Backup

Cała prawda o backupie

Składowanie danych jest w społeczeństwie informacyjnym czynnością kluczową dla jego efektywnego funkcjonowania, a stały dostęp do przechowywanych zasobów to już wręcz standard, do którego zdążyliśmy się przyzwyczaić. Przechowywanie to jednak nie wszystko - istotne jest także bezpieczeństwo danych. Czy masz już przygotowany plan B na wypadek ich nagłej utraty? W tym wypadku B powinno oznaczać Backup: oto wszystko, co powinieneś wiedzieć o wykonywaniu kopii zapasowych Twoich najważniejszych zasobów.

Więcej...

Tunelowanie SSH, czyli anonimowe połączenia SSH

Trasowanie cebulowe (ang. onion routing) polega na wielokrotnym szyfrowaniu wiadomości, a następnie przesyłaniu jej przez szereg węzłów zwanych routerami cebulowymi (ang. onion routers). Każdy z nich usuwa warstwę szyfrowania w celu uzyskania informacji o dalszym trasowaniu i przesyła dane do następnego routera. Takie działanie zapobiega ujawnieniu węzłom pośredniczącym pochodzenia, odbiorcy oraz treści wiadomości. Sieć TOR dominuje w wykorzystywaniu tejże technologii. W tym wpisie postaram się przybliżyć rzadko używaną opcje SSH ProxyCommand, pozwalającą określić program, przez który będą przekazywane połączenia.

Więcej...