Esse é um simples artigo que nos ensinará como aplicar o patch
grsec no kernel de sua máquina, para que possam ser
configuradas certas regras de segurança a nível de kernel.
O grsec tem muito mais recursos dos que serão abordados aqui,
como suporte à ACLs por exemplo, portanto se você se interessar
por esse patch, recomendo que se aprofunde no assunto.
Onde pegar os sources
Primeiro baixe a última versão do kernel da família 2.4, no caso o
2.4.25 que vem com uma série de bugs corrigidos de acordo com o
Marcelo Tosatti:
Baixe também o patch do
grsecurity:
Aplicando o patch e compilando
Após baixar os sources que precisamos, vamos descompactar e
aplicar o patch:
# cd /usr/src
# tar jxvf linux-2.4.25.tar.bz2
# ln -s linux-2.4.25 linux
# cd linux
# patch -p1 < ../grsecurity-1.9.14-2.4.25.patch
Pronto, o patch foi aplicado.
Vamos à compilação. Ao abrir o "make menuconfig" vai aparecer uma
opção a mais no kernel, "Grsecurity --->". Até aí tudo certo, agora
faça sua configuração normal no resto do kernel. Quando chegar a
parte do
Grsecurity, entre nele para configurá-lo. A tela será
algo como:
[*] Grsecurity
(Medium) Security level
Aqui é onde se escolhe o nível de segurança, Low, Medium, High e
Customized, como podemos dizer, somos usuários leigos e o que nos
cabe é escolher um nível médio (Medium). Agora, se você optar por
criar sua própria configuração, escolha a opção Customized.
PaX Control --->
Address Space Protection --->
ACL options --->
Filesystem Protections --->
Kernel Auditing --->
Executable Protections --->
Network Protections --->
Sysctl support --->
Logging options --->
Salve a configuração do kernel, saia e compile-o de acordo com os
procedimentos padrões, que não serão tratados neste artigo.
Ao reiniciar a máquina e entrar no novo kernel, já teremos habilitado
o grsec com algumas restrições para usuários comuns, como não poder
ver nenhum processo que não seja você que tenha inicializado (ps),
restrições no
/proc e no
dmesg.
Para mais informações, acesse:
Assim podemos dizer que sua máquina já está um pouco mais segura :-)
Está feito!