Aplicando o patch do grsecurity no kernel 2.4

cvs

O grsec é um patch que quando aplicado ao kernel adiciona opções de segurança ao sistema operacional. Neste artigo aprenderemos como fazer para aplicar este patch e tornar seu Linux mais seguro.

[ Hits: 12.442 ]

Por: Thiago Alves em 28/02/2004 | Blog: http://www.seeufosseopresidente.com.br

0 0

Denuncie Favoritos Indicar Impressora

Introdução

Esse é um simples artigo que nos ensinará como aplicar o patch grsec no kernel de sua máquina, para que possam ser configuradas certas regras de segurança a nível de kernel.

O grsec tem muito mais recursos dos que serão abordados aqui, como suporte à ACLs por exemplo, portanto se você se interessar por esse patch, recomendo que se aprofunde no assunto.

Onde pegar os sources

Primeiro baixe a última versão do kernel da família 2.4, no caso o 2.4.25 que vem com uma série de bugs corrigidos de acordo com o Marcelo Tosatti:

http://www.kernel.org/pub/.../linux-2.4.25.tar.bz2

Baixe também o patch do grsecurity:

http://www.grsecurity.net/grsecurity-1.9.14-2.4.25.patch

Aplicando o patch e compilando

Após baixar os sources que precisamos, vamos descompactar e aplicar o patch:

# cd /usr/src
# tar jxvf linux-2.4.25.tar.bz2
# ln -s linux-2.4.25 linux
# cd linux
# patch -p1 < ../grsecurity-1.9.14-2.4.25.patch

Pronto, o patch foi aplicado.

Vamos à compilação. Ao abrir o "make menuconfig" vai aparecer uma opção a mais no kernel, "Grsecurity --->". Até aí tudo certo, agora faça sua configuração normal no resto do kernel. Quando chegar a parte do Grsecurity, entre nele para configurá-lo. A tela será algo como:

[*] Grsecurity
(Medium) Security level

Aqui é onde se escolhe o nível de segurança, Low, Medium, High e Customized, como podemos dizer, somos usuários leigos e o que nos cabe é escolher um nível médio (Medium). Agora, se você optar por criar sua própria configuração, escolha a opção Customized.

PaX Control --->
Address Space Protection --->
ACL options --->
Filesystem Protections --->
Kernel Auditing --->
Executable Protections --->
Network Protections --->
Sysctl support --->
Logging options --->

Salve a configuração do kernel, saia e compile-o de acordo com os procedimentos padrões, que não serão tratados neste artigo.

Ao reiniciar a máquina e entrar no novo kernel, já teremos habilitado o grsec com algumas restrições para usuários comuns, como não poder ver nenhum processo que não seja você que tenha inicializado (ps), restrições no /proc e no dmesg.

Para mais informações, acesse:

http://www.grsecurity.net/features.php

Assim podemos dizer que sua máquina já está um pouco mais segura :-)

Está feito!

Páginas do artigo

1. Introdução

Outros artigos deste autor

Apache2 + PHP + PostgreSQL + phpPgAdmin

Compilação distribuída usando o distcc

Criando uma ISO bootável do OpenBSD

Compilando Apache 2 com PHP, MySQL, mod_perl e mod_ssl

Gaim + Gaim Encryption - Bate-papo com segurança

Leitura recomendada

Máquinas velhas a todo vapor

Compilando kernel no Debian Squeeze

Kernel 2.6: a instalação mais fácil

Como compilar o Kernel em qualquer distribuição GNU/Linux

Recompilando o Kernel

Comentários

[1] Comentário enviado por y2h4ck em 01/03/2004 - 08:45h

Ola amigo ... bom vc ter lembrado desta ferramenta para patchear a kernel porem eu ja tive algumas experiencias com o a grsecurity e nao tive uma sensação muito boa de segurança.

Alem de nao proteger meu buffer contra possiveis overflows no sistema verifiquei que tive problemas com o problemas com buffer devido ao proprio Grsecurity...

Creio que vale ate a pena eu publicar aqui um estudo que fiz sobre ele ... o unico que deu uma melhorada foi o PaX ele protegeu os buffers contra tecnicas de trampolim feitas com GCC ... mas tambem foi soh.

Bom No geral foi uma boa lembrada ;)
[]´s Spawn

0 0

[2] Comentário enviado por y2h4ck em 01/03/2004 - 16:42h

Ah proposito veja o artigo que eu irei publicar irei demonstrar uma exploracao bem sucedida !!

0 0

[3] Comentário enviado por y2h4ck em 08/03/2004 - 09:25h

cvs ... vc ta usando grsecurity com o PaX habilitado ? vc teve algum problema para executar o XFree86 ? pq coloquei o pax e to tendo problemas ele nao inicia.

0 0