Aplicando o patch do grsecurity no kernel 2.4

cvs

O grsec é um patch que quando aplicado ao kernel adiciona opções de segurança ao sistema operacional. Neste artigo aprenderemos como fazer para aplicar este patch e tornar seu Linux mais seguro.

[ Hits: 13.368 ]

Por: Thiago Alves em 28/02/2004 | Blog: http://www.seeufosseopresidente.com.br


Introdução



Esse é um simples artigo que nos ensinará como aplicar o patch grsec no kernel de sua máquina, para que possam ser configuradas certas regras de segurança a nível de kernel.

O grsec tem muito mais recursos dos que serão abordados aqui, como suporte à ACLs por exemplo, portanto se você se interessar por esse patch, recomendo que se aprofunde no assunto.

Onde pegar os sources


Primeiro baixe a última versão do kernel da família 2.4, no caso o 2.4.25 que vem com uma série de bugs corrigidos de acordo com o Marcelo Tosatti:
Baixe também o patch do grsecurity:

Aplicando o patch e compilando


Após baixar os sources que precisamos, vamos descompactar e aplicar o patch:

# cd /usr/src
# tar jxvf linux-2.4.25.tar.bz2
# ln -s linux-2.4.25 linux
# cd linux
# patch -p1 < ../grsecurity-1.9.14-2.4.25.patch


Pronto, o patch foi aplicado.

Vamos à compilação. Ao abrir o "make menuconfig" vai aparecer uma opção a mais no kernel, "Grsecurity --->". Até aí tudo certo, agora faça sua configuração normal no resto do kernel. Quando chegar a parte do Grsecurity, entre nele para configurá-lo. A tela será algo como:

[*] Grsecurity
(Medium) Security level

Aqui é onde se escolhe o nível de segurança, Low, Medium, High e Customized, como podemos dizer, somos usuários leigos e o que nos cabe é escolher um nível médio (Medium). Agora, se você optar por criar sua própria configuração, escolha a opção Customized.

PaX Control --->
Address Space Protection --->
ACL options --->
Filesystem Protections --->
Kernel Auditing --->
Executable Protections --->
Network Protections --->
Sysctl support --->
Logging options --->

Salve a configuração do kernel, saia e compile-o de acordo com os procedimentos padrões, que não serão tratados neste artigo.

Ao reiniciar a máquina e entrar no novo kernel, já teremos habilitado o grsec com algumas restrições para usuários comuns, como não poder ver nenhum processo que não seja você que tenha inicializado (ps), restrições no /proc e no dmesg.

Para mais informações, acesse: Assim podemos dizer que sua máquina já está um pouco mais segura :-)

Está feito!

   

Páginas do artigo
   1. Introdução
Outros artigos deste autor

ProFTPD + MySQL - Servidor FTP com usuários em banco de dados

Servidor FTP com NetBSD (PureFTPD + MySQL)

Gaim + Gaim Encryption - Bate-papo com segurança

Servidor web com CentOS + Apache

Compilação distribuída usando o distcc

Leitura recomendada

Instalando automounter e configurando o autofs no Debian Sarge

KernelCheck - Instalando o kernel mais recente em distros Debian-like e outras

Que tal criar uma mini-distro em 1 disquete?

NPTL, Exec-Shield e outros palavrões que fazem seus programas crasharem

Instalação e configuração do Squid com TProxy no Debian

  
Comentários
[1] Comentário enviado por y2h4ck em 01/03/2004 - 08:45h

Ola amigo ... bom vc ter lembrado desta ferramenta para patchear a kernel porem eu ja tive algumas experiencias com o a grsecurity e nao tive uma sensação muito boa de segurança.

Alem de nao proteger meu buffer contra possiveis overflows no sistema verifiquei que tive problemas com o problemas com buffer devido ao proprio Grsecurity...

Creio que vale ate a pena eu publicar aqui um estudo que fiz sobre ele ... o unico que deu uma melhorada foi o PaX ele protegeu os buffers contra tecnicas de trampolim feitas com GCC ... mas tambem foi soh.

Bom No geral foi uma boa lembrada ;)
[]´s Spawn

[2] Comentário enviado por y2h4ck em 01/03/2004 - 16:42h

Ah proposito veja o artigo que eu irei publicar irei demonstrar uma exploracao bem sucedida !!

[3] Comentário enviado por y2h4ck em 08/03/2004 - 09:25h

cvs ... vc ta usando grsecurity com o PaX habilitado ? vc teve algum problema para executar o XFree86 ? pq coloquei o pax e to tendo problemas ele nao inicia.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts