[gentoo-user-de] gentoo-hardened: pax: Verständnisfrage zur Einrichtung

public inbox for gentoo-user-de@lists.gentoo.org
 help / color / mirror / Atom feed

* [gentoo-user-de] gentoo-hardened: pax: Verständnisfrage zur Einrichtung
@ 2008-02-05 21:11 Andreas Baier
  0 siblings, 0 replies; only message in thread
From: Andreas Baier @ 2008-02-05 21:11 UTC (permalink / raw
  To: gentoo-user-de

Hallo,

ich lese mich gerade in Selinux ein und habe deshalb unseren Server auf das 
selinux/hardened-Profil umgestellt.

Als Basis habe ich zunächst einmal die Toolchain auf gcc 3.4.6 downgegraded, 
hardened-kernel installiert, sowie das ganze System neu kompiliert und von 
Altlasten bereinigt.

Leider scheint das quickstart-Tutorial auf der hardened-Projekt-Seite aber 
nicht mehr ganz auf dem Neuesten Stand zu sein, denn Optionen und Ausgaben 
entsprechen nicht den dort abgebildeten.

Daher kann mir jemand sagen, ob aus den unten abgebildeten Ausgaben 
ersichtlich ist, ob pax global im System aktiviert ist, oder nicht?
Mir scheint es so als wären Pax-Fähigkeiten vorhanden aber nicht in der 
installierten Software aktiviert.
Muss man dies nun manuell tun?
Wenn ich mich richtig erinnere hatte das früher einmal ein chpax-init-script 
getan, dass auch schon Standard-Ausnahmen (Xorg, wine) eingerichtet hat.

Zunächst das Essentielle:

# gzip -d < /proc/config.gz | grep -E 'PAX|_GR|_SELINUX'
# CONFIG_GRKERNSEC is not set
CONFIG_PAX=y
# CONFIG_PAX_SOFTMODE is not set
CONFIG_PAX_EI_PAX=y
CONFIG_PAX_PT_PAX_FLAGS=y
CONFIG_PAX_NO_ACL_FLAGS=y
# CONFIG_PAX_HAVE_ACL_FLAGS is not set
# CONFIG_PAX_HOOK_ACL_FLAGS is not set
CONFIG_PAX_NOEXEC=y
CONFIG_PAX_PAGEEXEC=y
CONFIG_PAX_SEGMEXEC=y
CONFIG_PAX_EMUTRAMP=y
CONFIG_PAX_MPROTECT=y
# CONFIG_PAX_NOELFRELOCS is not set
CONFIG_PAX_ASLR=y
CONFIG_PAX_RANDKSTACK=y
CONFIG_PAX_RANDUSTACK=y
CONFIG_PAX_RANDMMAP=y
# CONFIG_PAX_MEMORY_SANITIZE is not set
# CONFIG_PAX_MEMORY_UDEREF is not set
CONFIG_SECURITY_SELINUX=y
CONFIG_SECURITY_SELINUX_BOOTPARAM=y
CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=0
# CONFIG_SECURITY_SELINUX_DISABLE is not set
CONFIG_SECURITY_SELINUX_DEVELOP=y
# CONFIG_SECURITY_SELINUX_AVC_STATS is not set
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1
# CONFIG_SECURITY_SELINUX_ENABLE_SECMARK_DEFAULT is not set
# CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX is not set

Notiz: habe CONFIG_PAX_NO_ACL_FLAGS=y statt der Auswahl Hooks gewählt, da ich 
Selinux noch nicht aktiviert habe.

# paxtest blackhat
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Writing output to paxtest.log
It may take a while for the tests to complete
Test results:
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Mode: blackhat
Linux karla 2.6.23-hardened-r4 #4 SMP Mon Feb 4 15:55:41 CET 2008 i686 
Intel(R) Xeon(R) CPU 3060 @ 2.40GHz GenuineIntel GNU/Linux

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable anonymous mapping (mprotect)  : Killed
Executable bss (mprotect)                : Killed
Executable data (mprotect)               : Killed
Executable heap (mprotect)               : Killed
Executable stack (mprotect)              : Killed
Executable shared library bss (mprotect) : Killed
Executable shared library data (mprotect): Killed
Writable text segments                   : Killed
Anonymous mapping randomisation test     : 18 bits (guessed)
Heap randomisation test (ET_EXEC)        : 13 bits (guessed)
Heap randomisation test (ET_DYN)         : 24 bits (guessed)
Main executable randomisation (ET_EXEC)  : No randomisation
Main executable randomisation (ET_DYN)   : 16 bits (guessed)
Shared library randomisation test        : 18 bits (guessed)
Stack randomisation test (SEGMEXEC)      : 23 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 24 bits (guessed)
Return to function (strcpy)              : Vulnerable
Return to function (memcpy)              : Vulnerable
Return to function (strcpy, RANDEXEC)    : Vulnerable
Return to function (memcpy, RANDEXEC)    : Vulnerable
Executable shared library bss            : Killed
Executable shared library data           : Killed


Jede Software gibt aber aus:

# paxctl -v /sbin/agetty
PaX control v0.5
Copyright 2004,2005,2006,2007 PaX Team <pageexec@freemail.hu>

- PaX flags: -------x-e-- [/sbin/agetty]
        RANDEXEC is disabled
        EMUTRAMP is disabled

Kurz: Ein Großteil der Flags scheint gar nicht aktiviert zu sein, RANDEXEC-, 
EMUTRAMP scheint überall deaktiviert zu sein

Hier noch meine Links:
http://www.gentoo.org/proj/en/hardened/pax-quickstart.xml
http://www.gentoo.org/proj/en/hardened/grsecurity.xml
http://www.gentoo.org/proj/en/hardened/hardenedfaq.xml#paxinformation
http://www.gentoo.org/proj/en/hardened/pax-utils.xml


Danke schon mal im Voraus
Gruß Andreas
--
gentoo-user-de@lists.gentoo.org mailing list



^ permalink raw reply	[flat|nested] only message in thread

only message in thread, other threads:[~2008-02-05 21:12 UTC | newest]

Thread overview: (only message) (download: mbox.gz follow: Atom feed
-- links below jump to the message on this page --
2008-02-05 21:11 [gentoo-user-de] gentoo-hardened: pax: Verständnisfrage zur Einrichtung Andreas Baier

This is a public inbox, see mirroring instructions
for how to clone and mirror all data and code used for this inbox