GRSecurity в Debian
6 views
Skip to first unread message
"Артём Н."
Mar 10, 2013, 7:53:28 AM3/10/13
to debian-...@lists.debian.org
Использует ли кто-либо?
Попробовал установить. Потребовалось обновить ядро до 3.2.4 (на 3.2.35 нормально
не вставал, замучался исправлять).
Затем, пропатчить Nvidia драйвера.
Вроде, после пары дней плясок с бубном, удалось загрузить X и даже кое-что
работает, за некоторым исключением.
Есть проблемы:
1. KDM не хочет запускаться автоматически. И я не могу его перезапустить, не
переключившись предварительно на 7-й терминал.
2. Skype запускается, но не отображает контакты (значёк обновления постоянно
серый и крутится).
3. Флэш плагин снова стал искажать цвета, со включенным аппаратным ускорением
(причём, в chromium всё работает).
4. Пришлось выключить опцию PAX_MPROTECT (restrict mprotect()), потому что с ней
не запускается даже KDE (видимо из-за пункта "this option will prevent programs
from creating executable pages from anonymous memory").
Очень неприятно, поскольку paxtest показывает:
Executable anonymous mapping (mprotect) : Vulnerable
Executable bss (mprotect) : Vulnerable
Executable data (mprotect) : Vulnerable
Executable heap (mprotect) : Vulnerable
Executable stack (mprotect) : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Writable text segments : Vulnerable
5. Пришлось выключить ограничение на sysfs, поскольку с ним kmix не находит микшер.
Надоел уже этот Grsecurity...
Может, кто знает, как решить хотя бы что-то из этого?
Уживаются ли вместе Grsecurity и уже настроенный AppArmor с профилями?
Что лучше: оригинальный RBAC или AppArmor?
И есть ли готовые конвертеры правил AppArmor<->Grsecurity?
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/513C7438...@yandex.ru
Попробовал установить. Потребовалось обновить ядро до 3.2.4 (на 3.2.35 нормально
не вставал, замучался исправлять).
Затем, пропатчить Nvidia драйвера.
Вроде, после пары дней плясок с бубном, удалось загрузить X и даже кое-что
работает, за некоторым исключением.
Есть проблемы:
1. KDM не хочет запускаться автоматически. И я не могу его перезапустить, не
переключившись предварительно на 7-й терминал.
2. Skype запускается, но не отображает контакты (значёк обновления постоянно
серый и крутится).
3. Флэш плагин снова стал искажать цвета, со включенным аппаратным ускорением
(причём, в chromium всё работает).
4. Пришлось выключить опцию PAX_MPROTECT (restrict mprotect()), потому что с ней
не запускается даже KDE (видимо из-за пункта "this option will prevent programs
from creating executable pages from anonymous memory").
Очень неприятно, поскольку paxtest показывает:
Executable anonymous mapping (mprotect) : Vulnerable
Executable bss (mprotect) : Vulnerable
Executable data (mprotect) : Vulnerable
Executable heap (mprotect) : Vulnerable
Executable stack (mprotect) : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Writable text segments : Vulnerable
5. Пришлось выключить ограничение на sysfs, поскольку с ним kmix не находит микшер.
Надоел уже этот Grsecurity...
Может, кто знает, как решить хотя бы что-то из этого?
Уживаются ли вместе Grsecurity и уже настроенный AppArmor с профилями?
Что лучше: оригинальный RBAC или AppArmor?
И есть ли готовые конвертеры правил AppArmor<->Grsecurity?
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/513C7438...@yandex.ru
"Артём Н."
Mar 12, 2013, 3:59:51 PM3/12/13
to debian-...@lists.debian.org
Пришлось отказаться от Pax. Причины тому: с PAX_MPROTECT не загружается KDE
(дальше "первого значка").
Это сильно уменьшает полезность PAX.
PAX_UDEREF и PAX_KERNEXEC также пришлось отключить, чтобы работали ВМ.
Не все программы корректно работают с рандомизацией АП и неисполняемыми
страницами по умолчанию работают, поэтому приходится часто применять paxctl.
Он изменяет ELF заголовок, потому все изменения будут потеряны при обновлении, а
ещё будет ругаться антируткит.
Драйвер видеокарты пришлось пропатчить и пересобрать вручную.
Из всех гипервизоров заработал только KVM+QEMU. VirtualBox пересобрал модуль
нормально, после издевательств запустился, но, при попытке что-то загрузить,
вывалился в "медитацию".
VmWare отказался пересобирать драйвера. Нашёл патч в интернетах, от которого
толку ноль (просто обход const, добавленного Pax для структур ядра).
Пропатчил модули VmWare вручную добавив pax_kernel_open(), по примеру драйвера
видеокарты.
Получилось нечто вроде такого
(/usr/lib/vmware/modules/nwsr/vmci-only/linux/driver.c):
pax_open_kernel();
*(void **)&vmuser_fops.owner = THIS_MODULE;
*(void **)&vmuser_fops.poll = LinuxDriverPoll;
#ifdef HAVE_UNLOCKED_IOCTL
*(void **)&vmuser_fops.unlocked_ioctl = LinuxDriver_UnlockedIoctl;
#else
*(void **)&vmuser_fops.ioctl = LinuxDriver_Ioctl;
#endif
#ifdef HAVE_COMPAT_IOCTL
*(void **)&vmuser_fops.compat_ioctl = LinuxDriver_UnlockedIoctl;
#endif
*(void **)&vmuser_fops.open = LinuxDriver_Open;
*(void **)&vmuser_fops.release = LinuxDriver_Close;
pax_close_kernel();
VmWare скомпилировал модули, загрузил их и запустился, но, при попытке загрузки
ОС, просто перезагружал хост-систему. :-(
К тому же, чтобы запустить его от пользователя, надо было править запускающий
скрипт.
Слишком много телодвижений.
Skype запускался, но так и оставался "в вечном поиске".
Короче, остался только GrSecurity с ограничениями на песочницу и ещё некоторыми.
Эксперимент показал отрицательный результат. :-|
Установить у меня получилось только наполовину.
С другой стороны, при отсутствии X-ов, KDE, нескольких ВМ, проприетарного
"скайпа", кучи браузеров (которые пришлось отдельно настраивать) и прочего
софта, установить и пользовать возможно.
Но со всем этим у меня получилось это сделать только наполовину.
Для того, чтобы полноценно было возможно использовать патч, нужна его поддержка
на уровне дистрибьютива, как в Gentoo...
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/513F8937...@yandex.ru
(дальше "первого значка").
Это сильно уменьшает полезность PAX.
PAX_UDEREF и PAX_KERNEXEC также пришлось отключить, чтобы работали ВМ.
Не все программы корректно работают с рандомизацией АП и неисполняемыми
страницами по умолчанию работают, поэтому приходится часто применять paxctl.
Он изменяет ELF заголовок, потому все изменения будут потеряны при обновлении, а
ещё будет ругаться антируткит.
Драйвер видеокарты пришлось пропатчить и пересобрать вручную.
Из всех гипервизоров заработал только KVM+QEMU. VirtualBox пересобрал модуль
нормально, после издевательств запустился, но, при попытке что-то загрузить,
вывалился в "медитацию".
VmWare отказался пересобирать драйвера. Нашёл патч в интернетах, от которого
толку ноль (просто обход const, добавленного Pax для структур ядра).
Пропатчил модули VmWare вручную добавив pax_kernel_open(), по примеру драйвера
видеокарты.
Получилось нечто вроде такого
(/usr/lib/vmware/modules/nwsr/vmci-only/linux/driver.c):
pax_open_kernel();
*(void **)&vmuser_fops.owner = THIS_MODULE;
*(void **)&vmuser_fops.poll = LinuxDriverPoll;
#ifdef HAVE_UNLOCKED_IOCTL
*(void **)&vmuser_fops.unlocked_ioctl = LinuxDriver_UnlockedIoctl;
#else
*(void **)&vmuser_fops.ioctl = LinuxDriver_Ioctl;
#endif
#ifdef HAVE_COMPAT_IOCTL
*(void **)&vmuser_fops.compat_ioctl = LinuxDriver_UnlockedIoctl;
#endif
*(void **)&vmuser_fops.open = LinuxDriver_Open;
*(void **)&vmuser_fops.release = LinuxDriver_Close;
pax_close_kernel();
VmWare скомпилировал модули, загрузил их и запустился, но, при попытке загрузки
ОС, просто перезагружал хост-систему. :-(
К тому же, чтобы запустить его от пользователя, надо было править запускающий
скрипт.
Слишком много телодвижений.
Skype запускался, но так и оставался "в вечном поиске".
Короче, остался только GrSecurity с ограничениями на песочницу и ещё некоторыми.
Эксперимент показал отрицательный результат. :-|
Установить у меня получилось только наполовину.
С другой стороны, при отсутствии X-ов, KDE, нескольких ВМ, проприетарного
"скайпа", кучи браузеров (которые пришлось отдельно настраивать) и прочего
софта, установить и пользовать возможно.
Но со всем этим у меня получилось это сделать только наполовину.
Для того, чтобы полноценно было возможно использовать патч, нужна его поддержка
на уровне дистрибьютива, как в Gentoo...
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
"Артём Н."
Mar 12, 2013, 4:01:37 PM3/12/13
to debian-...@lists.debian.org
12.03.2013 23:59, "Артём Н." пишет:
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/513F89A1...@yandex.ru
> Пришлось отказаться от Pax. Причины тому: с PAX_MPROTECT не загружается KDE
> (дальше "первого значка").
> Это сильно уменьшает полезность PAX.
В смысле, убранный MPROTECT, а не KDE. :-)
> (дальше "первого значка").
> Это сильно уменьшает полезность PAX.
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Reply all
Reply to author
Forward
0 new messages