grsecurity?

HELLinG3R · Beitrag von **HELLinG3R** » 12.04.2005 10:41:28

Hallo!
Momentan nutze ich einen selberkompilierten monolithischen kernel für meinen Server. Jetzt habe ich über GRSecurity gelesen.

ich habe mal ein paar fragen über grsecurity:

- wenn ich den patch in die sourcen einspiele, bekomme ich einfach nur neue optionen beim konfigurieren, oder wie funktioniert das ganze?

- reicht es nicht aus, wenn ich stets einen einigermassen aktuellen (jetzt z.b 2.6.10) Kernel einsetze?

- was muss ich beachten / was läuft anders nach patchen des Kernels?
(ich habe keine lust, meinen server zu zerschiessen

)

Vielen Dank im Vorraus für eure Antworten!

Beitrag von **feltel** » 12.04.2005 10:47:37

HELLinG3R hat geschrieben:Hallo!
Momentan nutze ich einen selberkompilierten monolithischen kernel für meinen Server.

Das ist meistens so wenn man Linux einsetzt *g*

- wenn ich den patch in die sourcen einspiele, bekomme ich einfach nur neue optionen beim konfigurieren, oder wie funktioniert das ganze?

Ja, man hat dann im menuconfig/xconfig eine neue Untersektion im Bereich Security wo man alle grsecurity-Parameter einstellen kann.

- reicht es nicht aus, wenn ich stets einen einigermassen aktuellen (jetzt z.b 2.6.10) Kernel einsetze?

Das ist ne gute Frage. Ich hab jetzt seit gut nem Jahr auf verschiedenen Systemen grsrecurity mit drauf und keine Nachteile. Ich denke es ist ein Stückchen mehr Sicherheit.

- was muss ich beachten / was läuft anders nach patchen des Kernels?
(ich habe keine lust, meinen server zu zerschiessen )

Das ist ein ganz normaler Kernelpatch. Wenn Du die Sourcen gepatcht hast ist da nix groß weiter zu beachten. Du musst halt nur entweder ein vordefiniertes Sicherheitslevel (Low, Medium, High, Custom) auswählen oder Du stellst alles selber ein. Bin bisher mit Medium immer gut gefahren.

HELLinG3R · Beitrag von **HELLinG3R** » 12.04.2005 11:24:32

feltel hat geschrieben:Das ist ein ganz normaler Kernelpatch. Wenn Du die Sourcen gepatcht hast ist da nix groß weiter zu beachten. Du musst halt nur entweder ein vordefiniertes Sicherheitslevel (Low, Medium, High, Custom) auswählen oder Du stellst alles selber ein. Bin bisher mit Medium immer gut gefahren.

uhm, okay, den patch kann ich direkt auf der seite beziehen und muss dann nur noch die kernelversion beachten?

Eingespielt wird der patch dann mit "patch" oder muss man da was beachten?

HELLinG3R · Beitrag von **HELLinG3R** » 12.04.2005 13:06:42

naja, wo bekomme ich den patch für 2.6.10 her?
oder gibts grsecurity immer nur für die neuesten kernel (kann ich mir nicht vorstellen)

oder kann man die aktuelleren patches für ältere Kernel verwenden?

lobo · Beitrag von **lobo** » 12.04.2005 19:43:31

HELLinG3R hat geschrieben:naja, wo bekomme ich den patch für 2.6.10 her?
oder gibts grsecurity immer nur für die neuesten kernel (kann ich mir nicht vorstellen)

oder kann man die aktuelleren patches für ältere Kernel verwenden?

Du solltest immer auf dem aktuellen Stand bleiben, da der GRSecurity Patch nicht auf ältere Kernel Versionen rückportiert wird. Es ist auch vor ein paar Versionen eine Sicherheitslücke in Pax bekannt geworden, alleine deswegen solltest du den neusten Patch verwenden.

Ich habe den Patch auf jeder Linux Kiste installiert, die ich zu Hause und auf der Arbeit habe (ok, ausser auf meinem wrt54g) und er läuft stabil.

Bei Servern ist GRSecurity hald recht interessant, da Features integriert sind, welche auch unter Umständen eine Ausnutzung von einer nicht öffentlich bekannten Sicherheitslücke in einem Programm verhindern können. So gewinnt man etwas Zeit mit dem Patchen und fällt vielleicht nicht gleich einem Zero-Day Exploit zum Opfer.

Gruss

Jochen

HELLinG3R · Beitrag von **HELLinG3R** » 12.04.2005 19:48:59

ok -hm benutze ich jetzt lieber debiankernel oder besser welche von kernel.org?

und noch viel wichtiger: kann ich problemlos von debiankernel auf kernel.org umsteigen?
oder muss ich da jetzt ne komplett neue config bauen?

lobo · Beitrag von **lobo** » 12.04.2005 20:07:40

HELLinG3R hat geschrieben:ok -hm benutze ich jetzt lieber debiankernel oder besser welche von kernel.org?

Ich benutze immer Kernels von kernel.org, weil sich die Debian Kernel meistens nicht sauber mit GRSecurity patchen lassen. Da ich aber mit GRSecurity sowiso immer aktuell bleibe, habe ich gar keine andere Wahl, als den von Kernel.org zu nehmen.

HELLinG3R hat geschrieben: und noch viel wichtiger: kann ich problemlos von debiankernel auf kernel.org umsteigen?
oder muss ich da jetzt ne komplett neue config bauen?

Die Konfiguration solltest du übernehmen können. Auch wenn das Quick-Start Guide von GRSecurity nicht mehr up2date ist, würde ich es dir für die Kernel konfiguration ans Herz legen.

HELLinG3R · Beitrag von **HELLinG3R** » 18.04.2005 10:51:25

ok, der kernel ist im bau

ich habe einfach mal das quickdingends durchgearbeitet, allerdings noch ein paar andere sachen aktiviert/weggelassen, dabei habe ich immer die hilfe gelsen; offengestanden bin ich aber nicht sicher, was _genau_ im einzelnen passiert und warum man gewisse dinge anschaltet / weglässt.
naja, mal ein bisschen damit spielen, dann werde ich schon sehen was sinnvoll und weniger sinnvoll ist

was hast du so für optionen aktiviert und aus welchem grund? was hältst du für wichtig?

debianforum.de

grsecurity?

grsecurity?

Re: grsecurity?

Re: grsecurity?