grsecurity demo előforgatott kernel

Ha kiváncsi vagy rá mit ér a grsec a gyakorlatban, hogyan működik - , de nem akarsz a kernel fordítással szívni - , feltöltöttem egy házi tákolmányt 2.6.27 kernel alapon, ha már úgyis megvolt. mivel házi és tákolmány csak tanulási célra ajánlott (gradm RBAC próbálgatásra pl.)

Részletek:

A hw beállításokat úgy lőttem be hogy csak kvm (qemu) ból fut.: / persze ha más virtuális bigyó tudja ezeket a hw-ket emulálni, akkor fut abban is : /

cirrusfb / xorg "cirrus" driver /, realtek 8139, generic ide intel support , ensoniq sound hw support, ps2 egér, amd k6 processor type. usb support nincs.

Mivel a kernel 2.6.27 alapú a legutóbbi exploit alapból nem menne rajta, de grsec el már a futás legelején összedől, még mielőtt egyáltalán a priv. emelést (->uid:0) megkísérelné. De lehet próbálgatni, azért van.

A kernel image letölthető innen:

A gradm al is lehet játszani (RBAC része), de 2.1.14 kell hozzá :

Rövid leírás üzembe helyezés előtt:
- A kernel image deb formátumú, de pl. alien-nel szerintem simán rpm é is át lehet alakítani.
- chpax-t és paxctl-t egyarán támogat a segmexec, és az mprotect ki/be kapcsolásához a bináris fájlokon szükség esetén. Mindkettő innen letölthető, ha a disztribúció nem tartalmazná (aptitude install paxctl chpax pl.)
paxctl nél szükség lehet a bináris fájl átkonvertálására -c, vagy -C.
- pageexec support nincs, mivel a host gépem pae mentes, így nem adja át amúgy sem az nx cap ot a virtuális cuccnak, amúgy sem futna le. (ezért is amd k6 a processzor típus).
- speciális gid csoportok:
1010: nem értintik a grsec_proc korlátozások (pl.asszem dosemu futásához kell)
1011: grsec_audit. grsec logolja a csoport tagjainak különféle tevékenységét:
1013: tpe: trusted path execution: a csoport tagjai megbízhatatlan felhasználók, nem futtathatják a saját tulajdonú binárisaikat.
1015: socket_all: a csoport tagjai sem server, sem kliens kapcsolatot nem nyithatnak.
1017: socket_client: lásd fentebb, csak kliensre
1016: socket_server: lásd fentebb, csak serverre.
- a proc/sys/kernel/grsecurity könyvtárban levő opciók ki be kapcsolhatóak menet közben echo 1 , echo 0 átadásával, ill. a gid értékek is felülbírálhatóak tetszés szerint.. kivéve talán a grsec_lock ot, amit csak bekapcsolni lehet :-)
- a kernel teljes configja megtalálható telepítés után a boot/config-2.6.27-grdemo fájlban.
- initramfst használ. mert csak. a vmlinuz : boot/vmlinuz-2.6.27-grdemo néven érhető el.
- lilo esetén a large_memory opció kell a lilo.conf ban.
- azért 2.6.27 mert csak.
- gradm lefordítása (make;make install) után gradm -P vel és gradm -P admin nal létre kell hozni a jelszavakat. gradm -E a bekapcsolás, gradm -D a kikapcsolás. (-D jelszót kér). Ha az rbac configod félresikerült (etc/grsec/policy), akkor a gradm ot lehet nem tudod kikapcsolni :-)
- default charset iso8859-2. mert csak. utf modulban van.
- acpi támogatás nincs benne, apm viszont van (modprobe apm).
- az említett "korlátozásos" csoportokba bárki bepakolható. akár a root is :-), egész jól mutat socket_all al. :-)

Ismert különleges hibajelenség:

- debian linux alatt signal 11 el összedől a program miután levetted róla paxctl -el az mprotectet, és a segmexecet is:
Hiba bővebb azonosítása:
Ha strace vel megénzed akkor shmat() -EPERM (permission denied) eket találsz, ettől dől össze a program.

Hibaelhárítás: / 3 különböző megoldást ismerek/

A.) chpax ot használod, ha már mindenáron sok annak a retkes programnak a restrict_mprotect(). ez a leggyorsabb.
B.) pax al patchelt binutils 2.18at teszel fel, és újrafordítod a programot, hogy a "paxctl support" alapból bekerüljön, ne kelljen konvertálni és akkor jó lesz. ez a legidőigényesebb, de úm. a "legjobb" megoldás.
C.) proc/sys/grsecurity ben kikapcsolod a tpe-t. "ez a leggányabb" :-)

Hiba oka: ismeretlen (számomra), talán libc, vagy gcc bug (?).

Megjegyzés: anno hivatalos 2.6.27.10 es grsec el is sikerült reprodukálni, viszont 2.6.27.10 hez csak a pax-al nem jelentkezett / abban nincs TPE ugye /. :-), ha a sig11 hez nem párosul shmat() -EPERM, akkor más a probléma.

A kernellel kapcsolatos bármilyen jellegű probléma megoldása nem várható :-). Nemhivatalos grsec patchel készült a kernel. (összetákolt, backportolt részekkel (2.1.14 RBAC , pax_usercopy, grsecurity_blackhole a backportok).

csak tanulásra, próbálgatásra ajánlom, már akit érdekel.

-------------

Most pedig további kellemeseket mára... nazdarovje mindenkinek. ;-)

( Oscon | 2009. 07. 18., szo – 18:35 )

szerk: a 2.6.27 alap 2.6.27.26ot jelent.

szerk 2: akinél a cat proc/cpuinfo 0 Mhz t ír, az természetesen nem igaz, viszont szerintem vicces :). A jó clocksource hiánya, az amd k6 proc. típus (pentium pro az nx hiánya / fentebb említve hogy ez miért / miatt sok volt, tehát lejjebb kellett menni, ezt választottam). A bogomips már a "valós teljesítmény"-nek megfelelő értéket mutat.

Ajánlott kvm(qemu) opciók:

-m 512
-soundhw es1370

kvm indítás előtt : 


export QEMU_AUDIO_DRV=sdl
export SDL_AUDIODRV=alsa
export SDL_VIDEO_X11_DGAMOUSE=0

szintén ajánlott, de ez már szvsz környezetfüggő.

smp nincs, és nohighmem, a kernel tehát <1Gbyte ramot kezel.

-----------

r=1 vagyok, de ugatok...