Kernel 2.6.0-test6 Kryptographieprobleme

Welches Modul/Treiber für welche Hardware, Kernel compilieren...
Antworten
shh
Beiträge: 140
Registriert: 16.06.2002 14:29:44

Kernel 2.6.0-test6 Kryptographieprobleme

Beitrag von shh » 06.10.2003 15:17:39

Bin ansonsten sehr glücklich mit dem 2.6er Testkernel (wer nicht ;-))
nur funktioniert damit komischerweise keine Kryptographie.
Bzw. *scheint* alles zu funktionieren
- testweises OpenSSL Module laden von KDE ist ok
- auch sonst im Krypt.Manager scheint alles ok zu sein
Nur HTTPS-Verbindungen können nicht aufgebaut werden. Weder im Konqueror, noch im Mozilla. => Nach einiger Zeit kommt ein timeout.
Beim 2.6er habe ich alle möglichen Kryptographie-Module mit kompiliert.

Wenn ich einen "alten" Kernel wie 2.4.21 mit identischen Einstellungen boote klappen die https-Verbindungen tadellos.

Hat jemand ne Ahnung, was da vermurxt ist?
Muss ich die Kernel Sicherheitsrichtlinien (oder ähnlich) auch mit einkompilieren?

Ich denke, ich sollte noch meine Kernel-config posten (sorry für die Länge; Ich habe mal SCSI, USB, Sound, IDE, IEEE1394 und paar LAN-Sachen entfernt)

Code: Alles auswählen

#
# Block devices
#
CONFIG_BLK_DEV_FD=y
CONFIG_BLK_DEV_LOOP=y
CONFIG_BLK_DEV_CRYPTOLOOP=m

# Networking support
CONFIG_NET=y
#
# Networking options
#
CONFIG_PACKET=y
CONFIG_PACKET_MMAP=y
# CONFIG_NETLINK_DEV is not set
CONFIG_UNIX=y
# CONFIG_NET_KEY is not set
CONFIG_INET=y
CONFIG_IP_MULTICAST=y
# CONFIG_IP_ADVANCED_ROUTER is not set
# CONFIG_IP_PNP is not set
# CONFIG_NET_IPIP is not set
# CONFIG_NET_IPGRE is not set
# CONFIG_IP_MROUTE is not set
# CONFIG_ARPD is not set
CONFIG_INET_ECN=y
CONFIG_SYN_COOKIES=y
# CONFIG_INET_AH is not set
# CONFIG_INET_ESP is not set
# CONFIG_INET_IPCOMP is not set

#
# IP: Virtual Server Configuration
#
# CONFIG_IP_VS is not set
# CONFIG_IPV6 is not set
# CONFIG_DECNET is not set
# CONFIG_BRIDGE is not set
CONFIG_NETFILTER=y
# CONFIG_NETFILTER_DEBUG is not set

#
# IP: Netfilter Configuration
#
CONFIG_IP_NF_CONNTRACK=m
CONFIG_IP_NF_FTP=m
CONFIG_IP_NF_IRC=m
# CONFIG_IP_NF_TFTP is not set
# CONFIG_IP_NF_AMANDA is not set
CONFIG_IP_NF_QUEUE=m
CONFIG_IP_NF_IPTABLES=m
CONFIG_IP_NF_MATCH_LIMIT=m
# CONFIG_IP_NF_MATCH_IPRANGE is not set
CONFIG_IP_NF_MATCH_MAC=m
# CONFIG_IP_NF_MATCH_PKTTYPE is not set
CONFIG_IP_NF_MATCH_MARK=m
CONFIG_IP_NF_MATCH_MULTIPORT=m
CONFIG_IP_NF_MATCH_TOS=m
# CONFIG_IP_NF_MATCH_RECENT is not set
# CONFIG_IP_NF_MATCH_ECN is not set
# CONFIG_IP_NF_MATCH_DSCP is not set
# CONFIG_IP_NF_MATCH_AH_ESP is not set
CONFIG_IP_NF_MATCH_LENGTH=m
CONFIG_IP_NF_MATCH_TTL=m
CONFIG_IP_NF_MATCH_TCPMSS=m
# CONFIG_IP_NF_MATCH_HELPER is not set
CONFIG_IP_NF_MATCH_STATE=m
# CONFIG_IP_NF_MATCH_CONNTRACK is not set
CONFIG_IP_NF_MATCH_OWNER=m
CONFIG_IP_NF_FILTER=m
CONFIG_IP_NF_TARGET_REJECT=m
CONFIG_IP_NF_NAT=m
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=m
CONFIG_IP_NF_TARGET_REDIRECT=m
# CONFIG_IP_NF_TARGET_NETMAP is not set
# CONFIG_IP_NF_TARGET_SAME is not set
# CONFIG_IP_NF_NAT_LOCAL is not set
CONFIG_IP_NF_NAT_SNMP_BASIC=m
CONFIG_IP_NF_NAT_IRC=m
CONFIG_IP_NF_NAT_FTP=m
CONFIG_IP_NF_MANGLE=m
CONFIG_IP_NF_TARGET_TOS=m
# CONFIG_IP_NF_TARGET_ECN is not set
# CONFIG_IP_NF_TARGET_DSCP is not set
CONFIG_IP_NF_TARGET_MARK=m
# CONFIG_IP_NF_TARGET_CLASSIFY is not set
CONFIG_IP_NF_TARGET_LOG=m
# CONFIG_IP_NF_TARGET_ULOG is not set
CONFIG_IP_NF_TARGET_TCPMSS=m
# CONFIG_IP_NF_ARPTABLES is not set
# CONFIG_IP_NF_COMPAT_IPCHAINS is not set
# CONFIG_IP_NF_COMPAT_IPFWADM is not set

#
# SCTP Configuration (EXPERIMENTAL)
#
CONFIG_IPV6_SCTP__=y

#
# Profiling support
#
# CONFIG_PROFILING is not set

#
# Security options
#
# CONFIG_SECURITY is not set

#
# Cryptographic options
#
CONFIG_CRYPTO=y
CONFIG_CRYPTO_HMAC=y
CONFIG_CRYPTO_NULL=m
CONFIG_CRYPTO_MD4=m
CONFIG_CRYPTO_MD5=m
CONFIG_CRYPTO_SHA1=m
CONFIG_CRYPTO_SHA256=m
CONFIG_CRYPTO_SHA512=m
CONFIG_CRYPTO_DES=m
CONFIG_CRYPTO_BLOWFISH=m
CONFIG_CRYPTO_TWOFISH=m
CONFIG_CRYPTO_SERPENT=m
CONFIG_CRYPTO_AES=m
CONFIG_CRYPTO_CAST5=m
CONFIG_CRYPTO_CAST6=m
CONFIG_CRYPTO_DEFLATE=m
# CONFIG_CRYPTO_TEST is not set

#
# Library routines
#
CONFIG_CRC32=y
CONFIG_ZLIB_INFLATE=y
CONFIG_ZLIB_DEFLATE=m
CONFIG_X86_BIOS_REBOOT=y
Nachtrag: .config nochmal grob gekürzt.

Danke für Hinweise
shh
Zuletzt geändert von shh am 06.10.2003 16:52:15, insgesamt 1-mal geändert.
Nach oben
Benutzeravatar
chimaera
Beiträge: 3804
Registriert: 01.08.2002 01:31:18
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von chimaera » 06.10.2003 16:29:31

naja, ein bischen mehr hättest du da ruhig filtern können :roll:

aber ich glaube einer von uns hat da ein verständnissproblem: ich habe alle kyrptographie-optionen im kernel deaktiviert und bei mir läuft trotzdem ssl, https und co. kann es sein, das die kernel-optionen für andere dinge gebraucht werden (fs-verschlüsselung..)?
[..] Linux is not a code base. Or a distro. Or a kernel. It's an attitude. And it's not about Open Source. It's about a bunch of people who still think vi is a good config UI. - Matt's reply on ESR's cups/ui rant
Nach oben
shh
Beiträge: 140
Registriert: 16.06.2002 14:29:44

Beitrag von shh » 06.10.2003 16:55:49

> kann es sein, das die kernel-optionen für andere dinge gebraucht werden (fs-verschlüsselung..)?

Hmm... weiss nicht.

Heist das, ich muss woanders suchen?
Tja, nur wo?

Ist doch komisch, dass https usw mit dem neuen Kernel nicht mehr geht.

Gruß
shh
Nach oben
Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 07.10.2003 03:53:11

Die Kernel Optionen haben definitiv nichts mit SSL (und damit https und Co.) zu tun, sondern sind wie chimaera schon richtig vermutet hat für FS Verschlüsselung und z.B. IpSec nötig.

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de
Nach oben
shh
Beiträge: 140
Registriert: 16.06.2002 14:29:44

Beitrag von shh » 07.10.2003 13:45:43

Hmm, dann müsste mein Problem wohl in ein ganz anderes Unterforum rein. :?

Könnte es sein [wild spekulier'], dass wegen dem Module-Autoload im 2.6er beim Boot die ganzen IP-Tables module geladen werden und so einige Ports "automatisch" gesperrt werden??
Beim 2.4er werden keine IP-Tables-Module geladen...

Wie könnte man solche Blockierungen abfragen oder kontrollieren?
Hat Mozilla oder Konqueror ne Protokolierungsfkt. oder iptables?

Dank erstmal
shh
Nach oben
Benutzeravatar
chimaera
Beiträge: 3804
Registriert: 01.08.2002 01:31:18
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von chimaera » 07.10.2003 14:41:45

es werden standartmässig keine regeln für iptables angelegt/geladen, also sehr unwahrscheinlich dass dein fehler daher kommt. überprüfen kannst du das mit iptables --list
[..] Linux is not a code base. Or a distro. Or a kernel. It's an attitude. And it's not about Open Source. It's about a bunch of people who still think vi is a good config UI. - Matt's reply on ESR's cups/ui rant
Nach oben
shh
Beiträge: 140
Registriert: 16.06.2002 14:29:44

Beitrag von shh » 10.10.2003 10:30:56

Hab's gefunden! :)

Irgendwie hat sich in den Netzwerksupport des Kernels die Explicit Congestion Notification (ECN) eingeschmuggelt.
Hab den support ausgeschaltet und jetzt klappt alles. :)
allows routers to notify
clients about network congestion, resulting in fewer dropped packets
and increased network performance. This option adds ECN support to
the Linux kernel, as well as a sysctl (/proc/sys/net/ipv4/tcp_ecn)
which allows ECN support to be disabled at runtime.

Note that, on the Internet, there are many broken firewalls which
refuse connections from ECN-enabled machines, and it may be a while
before these firewalls are fixed. Until then, to access a site behind
such a firewall (some of which are major sites, at the time of this
writing) you will have to disable this option, either by saying N now
or by using the sysctl.
Anscheinend mögen das die Banken und andere Sites mit ihren https-Verbindungen nicht (oder die dahinter liegende Firewall).
Tsss... da muss man erstmal draufkommen.

Schönen Gruß
shh
Nach oben
Antworten

Zurück zu „Kernelfragen“