off. Kernel-vserver und grsecurity Patch?

[bernostern]

Hallo,

ich weiß von früher (da gabs noch gar keinen offiziellen Kernel mit vserver Patch), dass es beim Patchen des Kernels mit den beiden Patches vserver und grsecurity Probleme gab. Man musste einen inoffiziellen Patch verwenden.

Wie ist das inzwischen? Kann man den offiziellen Etch Kernel-vserver verwenden UND den offiziellen grsecurity Patch dazupatchen?

Hat das jemand am laufen? Möchte nur ungern inoffizielle Patches verwenden.

Danke und schöne Grüße,
Bern

[meandtheshell]

Kann man den offiziellen Etch Kernel-vserver verwenden UND den offiziellen grsecurity Patch dazupatchen?

Hm ... also die quellen evtl. aber sogar hier sage ich nein den lieber nehme ich vanilla quellen.
Es gibt keine offiziellen quellen/repositories von Debian die einen lvs+grsec Kernel liefern daher musst du ihn dir selbst kompilieren. Jene Leute die lvs+grsec verw., konfiguriert haben und sich _wirklich_ eingearbeitet haben geben die .config eher nicht her ... aus guten Grund.

/me sagt
- viele wollen den zusätzlichen grsec patch um "sicherer" zu sein
- machen aber keine zusätzliche Konfiguration der Features die mit grsec kommen
- der Schuß kann nach hinten losgehen da tendenziell lvs und grsec (pax) zwei eigenständige Lösungen im gleichen Segment sind (zumindest was Security angeht)


FAZIT
Einfach nur grsec weil man sich "sicherer" fühlen will ist Unsinn. Man muss schon genau wissen
- was man von grsec verw. will
- wie man es konfiguriert
- worum es eigentlich geht

Imho machen das 90% der Leute nicht die lvs+grsec verwenden ... desweiteren bin ich der Meinung, dass sich der Aufwand sich einzuarbeiten nur lohnt wenn man etwas betreibt was "wirklich" kritisch ist im Sinne von Gateway im Finanzsektor etc. - für die 08/15 Heimmühle im NOC ist das Overkill.

/edit
Was sind inoffizielle Patches?
Es gibt
- pristine kernel source
- lvs patch
- grsec patch
alle mit md5 etc. hash - viel mehr gibt es dazu nicht zu sagen.

[bernostern]

Hi,
danke für deine Antwort.

Ich habe gerade gesehen, das das lvs Projekt einen grsec+lvs Patch für einen halbwegs aktuellen Kernel herausgegeben hat. Von dem her hat sich die Frage eigentlich erübrigt.

Der Grund warum ich obiges machen möchte:
Lvs in Grunde ein chroot in eine neue Umgebung. Das ein Ausbruch aus einem chroot möglich ist, ist ja kein Geheimnis. Der grsecurity Patch soll den Ausbruch aus einem chroot erschweren. That's all.

Es geht hier nicht um hochsichere Bereiche, ich möchte nur innerhalb des lvs ein paar Dienste laufen lassen, die kritisch sein könnten. Damit nicht gleich der ganze Server hopps geht möchte ich eben obiges anstreben und ein Rumpfuschen von außen über den lvs ein bisserl erschweren.

Was sind inoffizielle Patches?

Das sind für mich Patches und/oder Repositories die nicht von Debian selbst zur Verfügung gestellt werden. Eigentlich möchte ich solche Quellen vermeiden, bei speziellen Sachen kommt man event. nicht drum rum.


Schöne Grüße,
Bernhard

P.S.: dass ich einen eigenen Kernel kompilen muss war eigentlich klar....

[meandtheshell]

Ich habe gerade gesehen, das das lvs Projekt einen grsec+lvs Patch für einen halbwegs aktuellen Kernel herausgegeben hat. Von dem her hat sich die Frage eigentlich erübrigt.

Ja - ich dachte das war klar
Beide Patches nacheinander (unabhängig von der Reihenfolge) auf den pristine source tree anzuwenden würde gar nicht funktionieren daher der Grund warum es einen lvs+grsec patch gibt welcher wenn du so willst verschmolzen wurde

Der Grund warum ich obiges machen möchte:
Lvs in Grunde ein chroot in eine neue Umgebung. Das ein Ausbruch aus einem chroot möglich ist, ist ja kein Geheimnis.

Stimmt

Der grsecurity Patch soll den Ausbruch aus einem chroot erschweren. That's all.

Wenn das der einzige Grund ist dann ist lvs ausreichend. LVS macht genau das (praktisch) unmöglich. Alles was grsec bietet, hat damit nichts zu tun.

Es geht hier nicht um hochsichere Bereiche, ich möchte nur innerhalb des lvs ein paar Dienste laufen lassen, die kritisch sein könnten. Damit nicht gleich der ganze Server hopps geht möchte ich eben obiges anstreben und ein Rumpfuschen von außen über den lvs ein bisserl erschweren.

Verstehe ich nicht. LVS bietet Isolation d.h. du gibst diese Dienste in einen der Guests und am Host System hast du nichts laufen. Grsec kümmert sich darum nicht sondern um z.B. Trampoline im Address Space, Umschreiben von PID etc.

Was sind inoffizielle Patches?

Das sind für mich Patches und/oder Repositories die nicht von Debian selbst zur Verfügung gestellt werden. Eigentlich möchte ich solche Quellen vermeiden, bei speziellen Sachen kommt man event. nicht drum rum.

Man kann hier allgemeiner denken - "Ist der Code aus einer zuverlässigen Quelle?" muss die Frage lauten. Im wesentlichen ist das der Fall, wenn man den Code signiert (der Sender) - egal welche Wege er zu dir nimmt und Du dann feststellst, der Code wurde nicht verändert.

FAZIT
Imho bist du sehr gut bedient wenn du den lvs Kernel aus den offiziellen Debian Repos installiest - also einfach ein apt-get ... Für das was Du willst ist grsec nicht notwendig.

Markus