TCP ISN és IP ID randomizer patch grsecurity-hoz

Címkék

Készítettem egy patchet, ami "visszarakja" a grsecurity TCP ISN és IP ID randomizerét (2.1.2-ben került eltávolításra).
Egyelőre csak 2.4.29-hez és .30-hoz készült el, ha lesz időm, megcsinálom 2.6-ra is (remélhetőleg hamarosan visszakerülnek ezek a funkciók a grescurity-ba). Új kód nincs benne, csak az, ami eltávolításra került. Annyi szépséghibája van a dolognak, hogy konfiguráláskor egyik feature sem választható, azaz mindenképp befordulnak a kernelbe, továbbá sysctl-en keresztül nem állíthatóak.

Akit érdekel, használja saját felelősségére (gyors tesztet végeztem csak, mindkettő fordul és működik is, de ez nem jelenti, hogy nem lehetnek problémák - elvileg nem kellene).

A két patch letölthető innen:


http://www.azbeszt.hu/grsec-netrnd/grsec_2.1.4-2.4.29-netrnd.patch

http://www.azbeszt.hu/grsec-netrnd/grsec_2.1.5-2.4.30-netrnd.patch

Hozzászólások

na most jol valaszolok magamnak :-)

a randomgenerator kod minoseget nem tisztem megitelni (matematikai hatter hianyaban), igy errol nem nyilatkoznek.


az, hogy RFC-t breakel a kod, nyilvan igaz, mas kerdes, hogy mutasson valaki nekem olyan TCP/IP stacket, ami teljesen megfelel az RFC-knek (es arrol sem vagyok meggyozodve, hogy valoban szukseges-e lassan 30 eves "kvaziszabvanyok" minden betujehez ragaszkodni).




en ugy gondolom, hogy ez megint csak egy teljesen folosleges hiszti, mindket fel reszerol. ne rakjak mainline-ba (ha nekik ettol jobb), de grsecurity-ben maradhatna, aztan akinek kell, hasznalja, akinek nem, az meg nem.

sajnos messze nem ez a linux legfobb problemaja.

In article <42.41721@c.hup.hu>, pozsy wrote:
> **** THIS PATCH DOESN'T FREAKING WORK!!!! ****
> Olvasd vegig a levelet, inkabb nem idezem be. Nem veletlenul lett kiszedve,
> es hulyeseg visszarakni.

De ez a feature ugy tudom mar evek ota benne volt grsec-ben, nemtom hogy jon
ide barmilyen patch...

--
Bérczi Gábor
/Gabu/

nezd meg a teljes thread-et, egy lelkes user kibanyaszta az emlitett reszeket a grsec-bol es bekuldte az lkml-re, ez valtotta ki a reakciokat. az elsokent emlitett levelbol az derul ki, hogy az egesz hajciho nem sokat er, ez vonatkozik a grsec-re csakugy mint az obsd-re, kivancsi lennek, ok mit szolnak hozza (lkml vs. tech@, nagy buli lenne ;-).

Tudod, mi a pár_gépet_adminolok_de_azert szakembernek_tartom_magam szemünkkel nem igazán tudjuk reálisan felmérni ennek a szerepét. Én már sejtem, (és jópár hír jópár hozzászálásában ki lett ez vesézve rendesen), most nem megyek bele.

De ha picit komolyabban körülnéznél, láthatnád, hogy itt sem fejlesztenek bele "csak úgy" a stabil ágba...

Hogy még nincs 2.7.0, hanem az aktív fejlesztéseket egy fejlesztői kernelfán tesztelik, egyetértek, senki sem kötelez arra, hogy éles rendszeren azt használd, sőt. És tény, hogy az újdonságok így hamarabb visszakerülnek (megfelelő tesztelés esetén) az éles kernelbe. Tudod, az ipart az ilyen fejlesztések hajtják, és nem a mi 3-4 gépből álló hálózatunk.

Kiváncsi lennék, mit szólna a véleményedhez egy sokszáz (vagy sokezres) hálózatot adminisztráló rendszergazda... mert szerintem Neki ezen a területen nagyobb rálátása van.

Tudod, mi a pár_gépet_adminolok_de_azert szakembernek_tartom_magam szemünkkel

ez a te szemed?

nem 3-4 gepet adminolok, hanem egy 3-4 orszagban szetterulo corporate networkot. ezer bocsanat, hogy van velemenyem a dolgokrol, es mivel aktivan fejlesztek kernel kodokat (NEM kernelfejleszto vagyok, csak van 1-2 projekt, amiben fejlesztek), talan megengedhetem magamnak azt a luxust, hogy elmondjam, mit gondolok nehany dologrol. vagy pofazzak olyasmirol, amikhez kozom sincs (itt a forumban ugyis ez a divat mostansag)? eszemben sem jut osszemerni magam az igazi kernel hackerekkel (ezt csak azert irom le, mert ugyis megkapom a 'vegyel vissza az arcodbol'-dumat), de egy ido utan feltunik ez-az. stabil agnal pedig ne az legyen az elso szempont, hogy az uj dolgok minel hamarabb keruljenek be a kernelbe, hanem az, hogy megbizhato legyen, es merje az ember hasznalni production rendszereken is. ilyenkor a kokemeny STABLE-rajongok miert nem sirnak? miert akkor lehet csak fikazni a 'bleeding edge'-et, ha eppen mondjuk gentoorol van szo (es ott is full user space cuccokrol)? valoban, senki nem kenyszerit arra, hogy 2.6-ot hasznaljak (nem is hasznalok, csak nagyon keves eles gepen), de ezzel az erovel lehetne 2.0-t is nyomni...

sokszaz (sokezer) gepes halot pedig nem egy ember adminol, ez csak magyarorszagon divat.

es megis mi az a hatar, ahol mar 'lehet ralatasa' valakinek ezekre a dolgokra?

> Kiváncsi lennék, mit szólna a véleményedhez egy sokszáz (vagy sokezres)
> hálózatot adminisztráló rendszergazda... mert szerintem Neki ezen a
> területen nagyobb rálátása van.

Attól tartok, még inkább egyetértene vele. Egy rendszergazdának a
biztonsági javítások miatt akkor is el kell végezni a kernel
frissítését, ha nem akar újabb funkciót. Viszont ha egy frissített
programban csak biztonsági javítások vannak, akkor azt viszonylag rövid
tesztelés után (amit ugye tesztkörnyezetben el lehet végezni) teríteni
lehet sok száz gépre. Viszont ha a rövid tesztelés nem mutatja ki, de a
sokgépes környezetben kiderül, hogy a funkciók megváltozása egyéb
működési kérdésekre is kihat, akkor a rendszergazda nagyon sokat fog
szopni. És nincs választása, hogy felteszi az új funkcionalitású
kernelt, mert csak abban van meg a javítás.

--
--- Friczy ---
'Death is not a bug, it's a feature'

In article <42.41778@c.hup.hu>, nevergone wrote:
> Hogy még nincs 2.7.0, hanem az aktív fejlesztéseket egy fejleszt?i
> kernelfán tesztelik, egyetértek, senki sem kötelez arra, hogy éles
> rendszeren azt használd, s?t.

Cunci, az egyetlen gond az, hogy az egesz 2.6 tree egy bazi nagy development
ize, a 2.4 viszont unsupported es discontinued, es Linus szerint senki hozza
se erjen mert ki lesz baszva devnullba. Pl ezert van a linux/vax projectbe
is 2.6.

Ugyhogy a vegeredmeny akarhogy is csuri-csavarja a lamerhadsereg: linuxnyasgem.

--
Bérczi Gábor
/Gabu/

nem fog visszakerulni: http://marc.theaimsgroup.com/?l=linux-kernel&m=110736493105706&w=2

> Es miert lett kiherelve?

Nezd meg a fenti linket. Egy kis idezet (nem pontos):

************************************************

************************************************

**** THIS PATCH DOESN'T FREAKING WORK!!!! ****

************************************************

************************************************

Olvasd vegig a levelet, inkabb nem idezem be. Nem veletlenul lett kiszedve, es hulyeseg visszarakni.

gondolom brad besertodott, mert leszidtak az lkml-en (ha jol remlik, szo volt rola, hogy esetleg mainline-ba lehetne rakni), ezert vette ki a grsecuritybol.

en nem gondolom, hogy hulyeseg lenne visszarakni (nekem legalabbis szuksegem van ra, azert is csinaltam a patchet).