grsec kérdések

Linux-security

grsec kérdések

  • 1375 megtekintés

( Mik v | 2006. 05. 10., sze – 15:40 )

Üdv,
Hogy áll jelenleg a debian-grsec dolog? Konkrétan: egy 2.6.14.6+grsec2.1.8 pároshoz szeretnék egy testing debiant. A 2.3.2 -es utáni libc6-okkal volt valami brobléma, ez megoldódott?

Mik

( insight | 2005. 11. 18., p – 12:41 )

Sziasztok

Lenne pár kérdésem a grsec-el kapcsolatban.

1. Ha elinditom a learning funkciot akkor le tudom allitani egy idore, majd ujra elinditani, hogy folytassa?
2. A generalt acl file-ba utolag kezzel is bele lehet nyulni ugye? Azt szeretnem hogy az /etc ne is latszodjon, tehat hidden-re tennem. Baj lehet ebbol?
3. Miutan megvan az acl is es reboot-ot nyomok, utanna is ervenyben marad vagy kezzel kell mindig inditani ?
4. Meddig celszeru futtatni a learning-et? Mit szabad es mit nem kozben?
5. Ha kernelbe forditottam pl a hide kernel process-t akkor ideiglenesen fel tudom oldani valahogy?

Nah, remelem nem hagytam ki semmit :D
Elore is koszonom a segitseget.

Udv.

( Dwokfur v | 2005. 11. 18., p – 13:03 )

[quote:ec269fc90a="insight"]Sziasztok

Lenne pár kérdésem a grsec-el kapcsolatban.

1. Ha elinditom a learning funkciot akkor le tudom allitani egy idore, majd ujra elinditani, hogy folytassa?
2. A generalt acl file-ba utolag kezzel is bele lehet nyulni ugye? Azt szeretnem hogy az /etc ne is latszodjon, tehat hidden-re tennem. Baj lehet ebbol?
3. Miutan megvan az acl is es reboot-ot nyomok, utanna is ervenyben marad vagy kezzel kell mindig inditani ?
4. Meddig celszeru futtatni a learning-et? Mit szabad es mit nem kozben?
5. Ha kernelbe forditottam pl a hide kernel process-t akkor ideiglenesen fel tudom oldani valahogy?

Nah, remelem nem hagytam ki semmit :D
Elore is koszonom a segitseget.

Udv.

1. Igen. Persze utána a learn logjából újra kell a learn policy-t generálni, hogy benne legyenek az újdonságok is. Ne ijedj meg, ha több 100 megás lesz a learn log, át fogja magát gyúrni rajta, csak hoszabb ideig fog tartani.
2. Nemhogy bele lehet, bele is kell. Sosem tökéletes. Például egy program a tanulás során rendben működött, de késöbb, amikor aktív a rendszer valami hiba történik, és logolni akar. Akkor látni fogod, hogy nem tud írni a /dev/log-ba. Szépen kinyitod a policy-t, és kiegészíted. A tanulós policy elég szigorú. Én sokkal szabadabbat használok, ami általánosítva sokmindent megenged. A lényeg, hogy kerüld a futtatás és írás kombinációját. Bár néhány helyen sajnos mégis kell.
3. Kézzel kell. Nem tudom milyen disztrót használsz, de valahova az init folyamatba érdemes beilleszteni. A kész policy-nak a /etc/grsec/policy-ban kell lennie.
Gondot okozhat, hogy a tanulás ált. nem a rendszer felállása közben történik. Ezt kiküszöbölheted, ha az aktiváló későbbi helyére a beilleszted a tanulást elindító parancsot.
4. Szerintem sokáig célszerű, és közben mindent szabad, amit úgy gondolod, hogy a rendszernek tudnia kell majd, ha már élni fog a policy. Root-ként lehetőleg minél kevesebbet csinálj. De azért jelentkezz be root-ként is (pl. indíts el egy screen-t). De semilyen adminisztrációt ne végezz és ne lépj ki a root home-jábol. Felhasználóként minden lehetséges későbbi programot indíts el, és használd őket egy kicsit.
5. Ezt most nem tudom. Házi feladat.

Bocs, ha túl szájbarágós voltam, de túl sokat próbáltam segíteni a fórumban pp-nek, aki az utóbbi napokban egy szimpla kábelnetet próbálna beállítani egy Debian alatt, és durván lámázik.

Üdv,
Dw.

( zsirfeka | 2005. 11. 18., p – 13:16 )

a teljes /etc rejtese folosleges es elegge egeszsegtelen is, keruld. a hide kernel processes opcio tudtommal nem kontrollalhato sysctl-el.

( insight | 2005. 11. 18., p – 13:17 )

[quote:151e4c83c2="Dwokfur"][quote:151e4c83c2="insight"]Sziasztok

Lenne pár kérdésem a grsec-el kapcsolatban.

1. Ha elinditom a learning funkciot akkor le tudom allitani egy idore, majd ujra elinditani, hogy folytassa?
2. A generalt acl file-ba utolag kezzel is bele lehet nyulni ugye? Azt szeretnem hogy az /etc ne is latszodjon, tehat hidden-re tennem. Baj lehet ebbol?
3. Miutan megvan az acl is es reboot-ot nyomok, utanna is ervenyben marad vagy kezzel kell mindig inditani ?
4. Meddig celszeru futtatni a learning-et? Mit szabad es mit nem kozben?
5. Ha kernelbe forditottam pl a hide kernel process-t akkor ideiglenesen fel tudom oldani valahogy?

Nah, remelem nem hagytam ki semmit :D
Elore is koszonom a segitseget.

Udv.

1. Igen. Persze utána a learn logjából újra kell a learn policy-t generálni, hogy benne legyenek az újdonságok is. Ne ijedj meg, ha több 100 megás lesz a learn log, át fogja magát gyúrni rajta, csak hoszabb ideig fog tartani.
2. Nemhogy bele lehet, bele is kell. Sosem tökéletes. Például egy program a tanulás során rendben működött, de késöbb, amikor aktív a rendszer valami hiba történik, és logolni akar. Akkor látni fogod, hogy nem tud írni a /dev/log-ba. Szépen kinyitod a policy-t, és kiegészíted. A tanulós policy elég szigorú. Én sokkal szabadabbat használok, ami általánosítva sokmindent megenged. A lényeg, hogy kerüld a futtatás és írás kombinációját. Bár néhány helyen sajnos mégis kell.
3. Kézzel kell. Nem tudom milyen disztrót használsz, de valahova az init folyamatba érdemes beilleszteni. A kész policy-nak a /etc/grsec/policy-ban kell lennie.
Gondot okozhat, hogy a tanulás ált. nem a rendszer felállása közben történik. Ezt kiküszöbölheted, ha az aktiváló későbbi helyére a beilleszted a tanulást elindító parancsot.
4. Szerintem sokáig célszerű, és közben mindent szabad, amit úgy gondolod, hogy a rendszernek tudnia kell majd, ha már élni fog a policy. Root-ként lehetőleg minél kevesebbet csinálj. De azért jelentkezz be root-ként is (pl. indíts el egy screen-t). De semilyen adminisztrációt ne végezz és ne lépj ki a root home-jábol. Felhasználóként minden lehetséges későbbi programot indíts el, és használd őket egy kicsit.
5. Ezt most nem tudom. Házi feladat.

Bocs, ha túl szájbarágós voltam, de túl sokat próbáltam segíteni a fórumban pp-nek, aki az utóbbi napokban egy szimpla kábelnetet próbálna beállítani egy Debian alatt, és durván lámázik.

Üdv,
Dw.

Nem baj, igy pont jo volt megtudtam amit szerettem volna, koszonom.

Eszembe jutott meg 1 kerdes. Ha az egesz eddig gyartott policyt ki akarom
dobni mert nem lett jo, vagy mert nem kell, akkor csak a learning.log -ot meg az acl fajl-t toroljem le es kezdjem elorol a mar ismert modon?