grsec + XFree86

 ( suti | 2005. március 11., péntek - 14:58 )

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

sziasztok!

volna egy kis problémám a grsec -kel! tegnap felraktam a linux kernel 2.6.11 -t megpeccselve természetesen a grsec 2.1.3 -mal majd kernel konfig és max security-re állítottam be a menuconfigban. reinstall reboot és minden rendben, de mikor az xfree86-ot indítanám akkor a kern.log -ban ilyen lesz:
============================================
Mar 11 13:37:52 dl kernel: PAX: execution attempt in: <anonymous mapping>, 081f3000-08256000 081f3000
Mar 11 13:37:52 dl kernel: PAX: terminating task: /usr/X11R6/bin/XFree86(XFree86):3108, uid/euid: 0/0, PC: 082526d8, SP: 5c69697c
Mar 11 13:37:52 dl kernel: PAX: bytes at PC: 55 89 e5 83 ec 08 c7 04 24 d0 29 25 08 8b 45 08 a3 d8 29 25
Mar 11 13:37:52 dl kernel: PAX: bytes at SP: 080a3ea2 08229430 00000000 5c6969f4 5c6969f8 5c6969f8 5c6969b8 5c6969a8 080e52cd 00000000 081c8480 08229430 082527f0 08237220 0821bac8 00000000 08228fe0 00000000 081c22ac 5c696a08
============================================

nomost ránéztem erre az oldalra:
http://portal.fsn.hu/wiki/index.php/Grsecurity

itt azt írja, hogy a chpax -sp /usr/X11R6/bin/XFree86 paranccsal le lehet szedni ezt az ellenőrzést, hogy el is induljon!

nomost hiába adom ki ezt a parancsot ugyanúgy nem indul el az X és ugyanezen hiba jelenik meg a kern.log -ban.
debian sid alatt használom a dolgot, nemtudom hogy tud-e valaki valami megoldás erre a problémára!

furcsa, nalam debian sid, xfree86 4.3.0.dfsg.1-12.0.1, grsecurity-2.1.3-2.6.11-200503091157.patch, high es megy az x;
talan 'chpax -spm foo' problad ki;
milyen video driver?

[quote:4e5643f6c1="fellow"]furcsa, nalam debian sid, xfree86 4.3.0.dfsg.1-12.0.1, grsecurity-2.1.3-2.6.11-200503091157.patch, high es megy az x;
talan 'chpax -spm foo' problad ki;
milyen video driver?[/quote:4e5643f6c1]

ez egy ócska laptop, lspci ezt mondja:
VGA compatible controller: ATI Technologies Inc 3D Rage LT Pro AGP-133 (rev dc)
szal ati a driver.
egyébként már megpróbáltam úgyis, hogy az összes cuccot kikapcsoltam benne és úgy sem ment!
de ha jóltudom itt már nem chpax kellesz, hanem paxctl lévén a leírása a dselectben: "Please note chpax is DEPRECATED upstream, and only works with PaX patches released between 2003.02.03 and 2004.02.04. Users are encouraged switching to paxctl."

mivel ez a pax patch ami be van illesztve a grsecbe jóval 2004 utáni, ezért már csak a paxctl megy!

amelyik paranccsal szintén nem ment: paxctl -pemrxs /usr/X11R6/bin/XFree86 , nyílván ez az összes ellenőrzést kiszedi (ha jól láttam a doksiban!)

[quote:ebab758bc5="suti"]de ha jóltudom itt már nem chpax kellesz, hanem paxctl lévén a leírása a dselectben: "Please note chpax is DEPRECATED upstream, and only works with PaX patches released between 2003.02.03 and 2004.02.04. Users are encouraged switching to paxctl."

mivel ez a pax patch ami be van illesztve a grsecbe jóval 2004 utáni, ezért már csak a paxctl megy!

amelyik paranccsal szintén nem ment: paxctl -pemrxs /usr/X11R6/bin/XFree86 , nyílván ez az összes ellenőrzést kiszedi (ha jól láttam a doksiban!)[/quote:ebab758bc5]hu, ne kavarjuk a dolgokat ennyire ;-). a chpax/paxctl kozott az a kulonbseg, hogy az ELF file-okban mashol taroljak a PaX specifikus flag-eket. paxctl-t akkor tudsz hasznalni, ha az adott ELF file-ban (/usr/X11R6/bin/XFree86) van PT_PAX_FLAGS program header, ezt a paxctl -v vagy a readelf -l is megmondja. ha nincs, akkor csakis a chpax mukodhet. mind a chpax mind a paxctl fugg tovabba attol is, hogy mit konfiguraltal be a kerneledbe, ha pl. kihagytad az EI_PAX tamogatast, akkor hiaba chpaxolgatsz, annak nem lesz hatasa. amugy meg a legjobb megoldas X ugyben az, hogy ha nem az elfoadert hanem a dlloadert hasznalod, az max. PaX vedelemmel megy. nem tudom, hogy a te disztrod tud-e ilyet produkalni, de gentoo alatt siman megy.

[quote:b14f1b112e="PaXTeam"][quote:b14f1b112e="suti"]de ha jóltudom itt már nem chpax kellesz, hanem paxctl lévén a leírása a dselectben: "Please note chpax is DEPRECATED upstream, and only works with PaX patches released between 2003.02.03 and 2004.02.04. Users are encouraged switching to paxctl."

mivel ez a pax patch ami be van illesztve a grsecbe jóval 2004 utáni, ezért már csak a paxctl megy!

amelyik paranccsal szintén nem ment: paxctl -pemrxs /usr/X11R6/bin/XFree86 , nyílván ez az összes ellenőrzést kiszedi (ha jól láttam a doksiban!)[/quote:b14f1b112e]hu, ne kavarjuk a dolgokat ennyire ;-). a chpax/paxctl kozott az a kulonbseg, hogy az ELF file-okban mashol taroljak a PaX specifikus flag-eket. paxctl-t akkor tudsz hasznalni, ha az adott ELF file-ban (/usr/X11R6/bin/XFree86) van PT_PAX_FLAGS program header, ezt a paxctl -v vagy a readelf -l is megmondja. ha nincs, akkor csakis a chpax mukodhet. mind a chpax mind a paxctl fugg tovabba attol is, hogy mit konfiguraltal be a kerneledbe, ha pl. kihagytad az EI_PAX tamogatast, akkor hiaba chpaxolgatsz, annak nem lesz hatasa. amugy meg a legjobb megoldas X ugyben az, hogy ha nem az elfoadert hanem a dlloadert hasznalod, az max. PaX vedelemmel megy. nem tudom, hogy a te disztrod tud-e ilyet produkalni, de gentoo alatt siman megy.[/quote:b14f1b112e]

Pont most próbálom belőni a grsecurity-t az asztali gépemen is (serveren nagyon megbízhatóan működik PaX és Grsec RBAC). ATI Radeon kártya, Hardened Gentoo-val, Xorg alatt megy.
Melyik driver a javasolt: a gyári ATI, vagy a kernel?

Ja, és PaX rulez, pipacs rulez, hajrá PaXTeam.

Üdv,
Dw.

[quote:8481e350e8="PaXTeam"][quote:8481e350e8="suti"]de ha jóltudom itt már nem chpax kellesz, hanem paxctl lévén a leírása a dselectben: "Please note chpax is DEPRECATED upstream, and only works with PaX patches released between 2003.02.03 and 2004.02.04. Users are encouraged switching to paxctl."

mivel ez a pax patch ami be van illesztve a grsecbe jóval 2004 utáni, ezért már csak a paxctl megy!

amelyik paranccsal szintén nem ment: paxctl -pemrxs /usr/X11R6/bin/XFree86 , nyílván ez az összes ellenőrzést kiszedi (ha jól láttam a doksiban!)[/quote:8481e350e8]hu, ne kavarjuk a dolgokat ennyire ;-). a chpax/paxctl kozott az a kulonbseg, hogy az ELF file-okban mashol taroljak a PaX specifikus flag-eket. paxctl-t akkor tudsz hasznalni, ha az adott ELF file-ban (/usr/X11R6/bin/XFree86) van PT_PAX_FLAGS program header, ezt a paxctl -v vagy a readelf -l is megmondja. ha nincs, akkor csakis a chpax mukodhet. mind a chpax mind a paxctl fugg tovabba attol is, hogy mit konfiguraltal be a kerneledbe, ha pl. kihagytad az EI_PAX tamogatast, akkor hiaba chpaxolgatsz, annak nem lesz hatasa. amugy meg a legjobb megoldas X ugyben az, hogy ha nem az elfoadert hanem a dlloadert hasznalod, az max. PaX vedelemmel megy. nem tudom, hogy a te disztrod tud-e ilyet produkalni, de gentoo alatt siman megy.[/quote:8481e350e8]

b@szki tényleg chpax olni kellett :))

azaz chpax -sp /usr/X11R6/bin/XFree86 -vel már indul is az X !! kúúúúúúúúúúúúlllllll

kezdem megszeretni ezt a grseces dolgot!

thanx for all help !

[quote:bfd74f6326="suti"]b@szki tényleg chpax olni kellett :))[/quote:bfd74f6326]
Es az elso postban nem ezt csinaltad? Mert a hozzaszolasban az all, probaltad. Ha ez igaz, akkor valami mast is modositottal kozben.[/quote]

[quote:d15b9ea05e="LiRul"][quote:d15b9ea05e="suti"]b@szki tényleg chpax olni kellett :))[/quote:d15b9ea05e]
Es az elso postban nem ezt csinaltad? Mert a hozzaszolasban az all, probaltad. Ha ez igaz, akkor valami mast is modositottal kozben.[/quote:d15b9ea05e]

nem nem, azt csak a hupos wikiből kopiztam be, de mivel nekem debian van és ott dselectből installálom fel a cuccost láttam, hogy a chpax deprecated és használj inkább paxctl -t vagy mit. szal azt raktam fel és azzal futtattam.

de valszeg vmit nagyon elnézhettem :))) mindegy most már jó, és ez a lényeg!

[quote:de18d16029="suti"]nem nem, azt csak a hupos wikiből kopiztam be, de mivel nekem debian van és ott dselectből installálom fel a cuccost láttam, hogy a chpax deprecated és használj inkább paxctl -t vagy mit. szal azt raktam fel és azzal futtattam.[/quote:de18d16029]
[quote:de18d16029]nomost hiába adom ki ezt a parancsot ugyanúgy nem indul el az X[/quote:de18d16029]
Jah azt nem irtad, hogy azert nem mukodott utana sem, mert command not foundot kaptal vissza a shelltol. :wink: de nem kotozkodok tovabb, lenyeg, hogy mukodik. 8)