Aplicando o patch do grsecurity no kernel 2.4

cvs

O grsec é um patch que quando aplicado ao kernel adiciona opções de segurança ao sistema operacional. Neste artigo aprenderemos como fazer para aplicar este patch e tornar seu Linux mais seguro.

[ Hits: 11.876 ]

Por: Thiago Alves em 28/02/2004 | Blog: http://www.seeufosseopresidente.com.br


Introdução



Esse é um simples artigo que nos ensinará como aplicar o patch grsec no kernel de sua máquina, para que possam ser configuradas certas regras de segurança a nível de kernel.

O grsec tem muito mais recursos dos que serão abordados aqui, como suporte à ACLs por exemplo, portanto se você se interessar por esse patch, recomendo que se aprofunde no assunto.

Onde pegar os sources


Primeiro baixe a última versão do kernel da família 2.4, no caso o 2.4.25 que vem com uma série de bugs corrigidos de acordo com o Marcelo Tosatti:
Baixe também o patch do grsecurity:

Aplicando o patch e compilando


Após baixar os sources que precisamos, vamos descompactar e aplicar o patch:

# cd /usr/src
# tar jxvf linux-2.4.25.tar.bz2
# ln -s linux-2.4.25 linux
# cd linux
# patch -p1 < ../grsecurity-1.9.14-2.4.25.patch


Pronto, o patch foi aplicado.

Vamos à compilação. Ao abrir o "make menuconfig" vai aparecer uma opção a mais no kernel, "Grsecurity --->". Até aí tudo certo, agora faça sua configuração normal no resto do kernel. Quando chegar a parte do Grsecurity, entre nele para configurá-lo. A tela será algo como:

[*] Grsecurity
(Medium) Security level

Aqui é onde se escolhe o nível de segurança, Low, Medium, High e Customized, como podemos dizer, somos usuários leigos e o que nos cabe é escolher um nível médio (Medium). Agora, se você optar por criar sua própria configuração, escolha a opção Customized.

PaX Control --->
Address Space Protection --->
ACL options --->
Filesystem Protections --->
Kernel Auditing --->
Executable Protections --->
Network Protections --->
Sysctl support --->
Logging options --->

Salve a configuração do kernel, saia e compile-o de acordo com os procedimentos padrões, que não serão tratados neste artigo.

Ao reiniciar a máquina e entrar no novo kernel, já teremos habilitado o grsec com algumas restrições para usuários comuns, como não poder ver nenhum processo que não seja você que tenha inicializado (ps), restrições no /proc e no dmesg.

Para mais informações, acesse: Assim podemos dizer que sua máquina já está um pouco mais segura :-)

Está feito!

   

Páginas do artigo
   1. Introdução
Outros artigos deste autor

Tornando o OpenBSD stable

OpenBSD IDS - Solução Snort e BASE

Incremente o iptables com patch-o-matic

Gcombust, um frontend para cdrecord

Servidor Web com NetBSD (Apache + PHP + MySQL + *)

Leitura recomendada

Mitigando Erro de Kernel: Neighbour Table Overflow

Instalando o Slackware com suporte HT - SMP

Slackware 10.2 com dois kernels na mesma instalação

Kernel 2.6.7 compilado e configurado para nVIDIA

Kernel 2.6 hacks

  
Comentários
[1] Comentário enviado por y2h4ck em 01/03/2004 - 08:45h

Ola amigo ... bom vc ter lembrado desta ferramenta para patchear a kernel porem eu ja tive algumas experiencias com o a grsecurity e nao tive uma sensação muito boa de segurança.

Alem de nao proteger meu buffer contra possiveis overflows no sistema verifiquei que tive problemas com o problemas com buffer devido ao proprio Grsecurity...

Creio que vale ate a pena eu publicar aqui um estudo que fiz sobre ele ... o unico que deu uma melhorada foi o PaX ele protegeu os buffers contra tecnicas de trampolim feitas com GCC ... mas tambem foi soh.

Bom No geral foi uma boa lembrada ;)
[]´s Spawn

[2] Comentário enviado por y2h4ck em 01/03/2004 - 16:42h

Ah proposito veja o artigo que eu irei publicar irei demonstrar uma exploracao bem sucedida !!

[3] Comentário enviado por y2h4ck em 08/03/2004 - 09:25h

cvs ... vc ta usando grsecurity com o PaX habilitado ? vc teve algum problema para executar o XFree86 ? pq coloquei o pax e to tendo problemas ele nao inicia.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts