kernel-secure hiba(?) - grsec üzenetei

Linux-kezdő

kernel-secure hiba(?) - grsec üzenetei

  • 976 megtekintés

( insight | 2006. 07. 13., cs – 09:38 )

Hi!

Van egy Debian, kernel 2.6.17.4-grsec. Ha gradm-nal szeretnék tanítani akkor jön egy Error while parsing /etc/protocols hibaüzenet.

gradm forrásában találtam ilyet:

proto = getprotobyname("udp");
if (proto == NULL) {
fprintf(stderr, "Error while parsing /etc/protocols.\n");
exit(EXIT_FAILURE);
}

Nekem pont ez a gondom. Hogy tudnám rábírni, hogy működjön?

( PaXTeam | 2004. 07. 24., szo – 20:26 )

[quote:d44a68dc6b="Pingvin"]A dolog akkor kezdődött, amikor a kb 14 napja telepített (Mandrake Linux 9.2 disztr, "kernel-secure" kernel) szerverem "messages" logfájljának mérete gyanúsan megnőtt.

azt lehet tudni, hogy ez a mandrake milyen kernel ill. grsec verziot hasznal?

Jul 18 04:03:49 trinity kernel: grsec: attempted resource overstep by requesting 3315490604 for RLIMIT_FSIZE against limit 10240000 by (cleanup:1629) uid/euid:72/72 gid/egid:72/72, parent (master:3557) uid/euid:0/0 gid/egid:0/0

ez csak annyit jelent, hogy a cleanup nevu processz vmi 3GB-os file-t akart csinalni, amire nem volt joga es nem sikerult neki, ezt nem a grsec okozza, csak riportalja. ha ezt legalisan megteheti, akkor neked kell rendesen beallitani a resource limit-eket, ha meg nem, akkor erdemes megnezni, ki/mi okozza ezt a file meretet.

( Sea-you | 2005. 10. 19., sze – 11:48 )

[quote:e6c21e9e16="jaci"]Nekem is ilyesmi problémám van:

kernel: grsec: From 212.xxx.xxx.xxx: denied resource overstep by requesting 10240000 for RLIMIT_FSIZE against limit 10240000 for /usr/lib/postfix/cleanup[cleanup:10711] uid/euid:104/104 gid/egid:105/105

A rendszer debian, 2.4.29-es kernel+grsec.

Valahogy lehet emelni ezt a limitet?

man ulimit

( PaXTeam | 2005. 10. 19., sze – 11:57 )

[quote:2cfe9c2b12="jaci"]Nekem is ilyesmi problémám van:

kernel: grsec: From 212.xxx.xxx.xxx: denied resource overstep by requesting 10240000 for RLIMIT_FSIZE against limit 10240000 for /usr/lib/postfix/cleanup[cleanup:10711] uid/euid:104/104 gid/egid:105/105

A rendszer debian, 2.4.29-es kernel+grsec.

Valahogy lehet emelni ezt a limitet?

lehetni lehet, de szerintem az nem fog segiteni, ui. volt a grsec-ben egy limit ellenorzesi bug (>= a > helyett, vagy valami hasonlo), es a postfix pont belefutott az = esetbe, a limit erteketol fuggetlenul. szoval frissiteni kene a grsec-et (meg persze kernelt).

( jaci | 2005. 10. 19., sze – 11:59 )

Ok, köszi. Valószínű frissíteni fogok, de előtte tennék egy próbát a limit emelésre. Azt hogyan lehet?

( PaXTeam | 2005. 10. 19., sze – 12:15 )

[quote:afb215b55e="jaci"]Ok, köszi. Valószínű frissíteni fogok, de előtte tennék egy próbát a limit emelésre. Azt hogyan lehet?

Sea-you pont elottem irta le, elolvastad?

( jaci | 2005. 10. 19., sze – 12:24 )

[quote:508161a95a="PaXTeam"][quote:508161a95a="jaci"]Ok, köszi. Valószínű frissíteni fogok, de előtte tennék egy próbát a limit emelésre. Azt hogyan lehet?

Sea-you pont elottem irta le, elolvastad?

Ááááá, vakvagyok:)

( jaci | 2005. 10. 19., sze – 20:01 )

[quote:7a96cdbf08="Sea-you"][quote:7a96cdbf08="jaci"]Nekem is ilyesmi problémám van:

kernel: grsec: From 212.xxx.xxx.xxx: denied resource overstep by requesting 10240000 for RLIMIT_FSIZE against limit 10240000 for /usr/lib/postfix/cleanup[cleanup:10711] uid/euid:104/104 gid/egid:105/105

A rendszer debian, 2.4.29-es kernel+grsec.

Valahogy lehet emelni ezt a limitet?

man ulimit

Utánanéztem rendesen az ulimitnek, de végülis meglepő módon nem ez volt a gond, hanem a postfixbe emeltem a message_size_limit -et. Most müxik. Thx.

( jaci | 2005. 10. 19., sze – 09:28 )

Nekem is ilyesmi problémám van:

kernel: grsec: From 212.xxx.xxx.xxx: denied resource overstep by requesting 10240000 for RLIMIT_FSIZE against limit 10240000 for /usr/lib/postfix/cleanup[cleanup:10711] uid/euid:104/104 gid/egid:105/105

A rendszer debian, 2.4.29-es kernel+grsec.

Valahogy lehet emelni ezt a limitet?

( Pingvin | 2004. 07. 24., szo – 17:06 )

Sziasztok! :)

A dolog akkor kezdődött, amikor a kb 14 napja telepített (Mandrake Linux 9.2 disztr, "kernel-secure" kernel) szerverem "messages" logfájljának mérete gyanúsan megnőtt. Egyetlen (tömörítetlen) messages fájl jelenleg kb 105.2 mega. Amikor belenéztem a fájl tartalmába, már egyértemű volt, hogy miért. A logfájl ehhez hasonló üzenetekkel van tele:

Jul 18 04:03:49 trinity kernel: grsec: attempted resource overstep by requesting 3315490604 for RLIMIT_FSIZE against limit 10240000 by (clean
up:1629) uid/euid:72/72 gid/egid:72/72, parent (master:3557) uid/euid:0/0 gid/egid:0/0

Ezekből van úgy, hogy egy másodperc alatt 2-3 is érkezik, máskor pedig félórákra is "csend" van...

Annyit tudok a grsec-ről, hogy a Mandrake alapból belefordította a Secure Kernelébe, és hogy ez kernel-patchek sorozata, ami egyfajta behatolás védelmi megoldást céloz meg. A működéséről sajnos szinte semmit nem tudok, de azt hiszem, hogy többek közt figyeli és megpróbálja kordában tartani valamelyest a folyamatokat.

Ha a szerverre belépek konzolon keresztül, akkor a monitort időnként olvashatatlánná tehetik a riasztások, ssh-val természetesen nincs ilyen jelenség (ezért nem jöttem rá hamarabb).

Az üzenetek gyakorisága mostanra már akkora, hogy az egyébként viszonylag nagy forgalmú szerver tűzfalának bejegyzései pl. mindössze 30-40 soronként láthatóak. Ami további furcsaság, hogy a load értékeken egyáltalán nem érződik ez az abnormálisnak tűnő dolog (ugyanannyi, mint amikor még 7-es mandrake-em volt).

Mivel a rendszert "out of the box" telepítettem és semmilyen régi binaryt vagy configot nem vettem át a 7-es disztróra belőtt rendszeremből, gyanítom, hogy ez alapból így van...

Nem húzom tovább; Az volna a kérdésem, hogy:

1) Volt-e már ilyen tapasztalatotok?
2) Hogyan lehetne ezt "lelőni" - hogy egyszerűen fogalmazzak? Mit konfigolhattam rosszul?
3) Bónuszkérdés: mit olvassak el, hogy képbe kerüljek a témában? ;)

Minden segítőkész hozzászólást előre is nagyon szépen megköszönök!! :)

( trey | 2004. 07. 24., szo – 17:19 )

[quote:8b8263b9c6="Pingvin"]
1) Volt-e már ilyen tapasztalatotok?
2) Hogyan lehetne ezt "lelőni" - hogy egyszerűen fogalmazzak? Mit konfigolhattam rosszul?
3) Bónuszkérdés: mit olvassak el, hogy képbe kerüljek a témában? ;)

Minden segítőkész hozzászólást előre is nagyon szépen megköszönök!! :)

1.) nem mert nem hasznalok grsec-et
2.) loglevel-t kene visszavenni
3.) http://www.grsecurity.net/papers.php

( lacipac | 2004. 07. 24., szo – 18:25 )

én a helyedben megnézném az 1629-es és 3557-es processzeket, majd a /etc/passwd -ben és a /etc/group-ban a 72-es csoportnak a nevét, ebből kikövetkezetnék valamit, ha nem sikerült semmit akkor ide bemásolnám a megfelelő sorokat ( ps auwex | grep 1629; ps auwex | grep 3557; cat /etc/group /etc/passwd | grep 72 ).

Egyébként a grsec mondja hogy a 1629 piddel rendelkező folyamat át akarta lépni a 10 kilobyte-os/megabyte-os (?) erőforráslimitet (RLIMIT_FSIZE).

Egyébként gőzöm sincs mi ez, nem vágom a grsec-et :D

Szerintem lehet hogy felnyomták a gépedet vagy egy bug van valamelyik programban ami itt jött ki.
BTW IMHO az csak egy workaround amit trey leírt, a probléma megoldása a fentebb leírtak összessége szerintem. Ha a ps aux nem írja ki a processzet, és a [code:1:99a5d54e14]ls -d /proc/* | egrep [0-9] | wc -l; ps ax | wc -l [/code:1:99a5d54e14]parancsok nem ugyanazt az eredményt adják ki, akkor erősen ajánlott kihúzni a falból a gépet :D

( Névtelen (nem ellenőrzött) | 2004. 07. 24., szo – 18:32 )

[quote:9ce0949f08="lacipac"]Egyébként a grsec mondja hogy a 1629 piddel rendelkező folyamat át akarta lépni a 10 kilobyte-os/megabyte-os (?) erőforráslimitet (RLIMIT_FSIZE).

IMHO Postfix fut a gépen, és valaki 10 MB-nál nagyobb mailt próbál küldeni, legalábbis az én grsec-es kerneleimen ez így jelentkezik.