[Kernel] + grsecurity : disponibles

11 oct. 2016, 23:30

Relativement à mon post à-propos de grsecurity, dans le topic "Sécuriser un système Linux" ...
Suite à la lecture de la documentation "Noyaux Linux durcis" d'Yves-Alexis Perez ...

----

Le mode opératoire de création est celui du fichier README des nouveaux outils pour faciliter la prise-en-charge de grsecurity, à un détail près !
C'est la raison pour laquelle je redétaille le processus ici :

Code : Tout sélectionner

  mkdir linux-grsec && cd linux-grsec
  
  git clone git://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git
  git clone git://anonscm.debian.org/users/corsac/grsec/debian-grsec-config.git
  
  mkdir build
  cp /boot/config-$(uname -r) build/.config
  
  cd linux-stable
  ../debian-grsec-config/bin/get-grsec.sh test
  ../debian-grsec-config/bin/kconfig.py ../build/.config ../debian-grsec-config/configs/config-4.4.0-1-amd64 ../debian-grsec-config/configs/hardening ../debian-grsec-config/configs/grsec
  
  make KBUILD_OUTPUT=../build -j4 oldconfig
  make KBUILD_OUTPUT=../build -j4 deb-pkg

La première phase de clone de git est longue car elle récupère le dernier kernel stable ...

----

Les fichiers sont :

- Les deux fichiers principaux sont : le fichier linux-header, et le fichier linux-image ... ne pas confondre ce dernier avec le fichier linux-image-4.7.7-dbg_4.7.7-1_amd64.deb !
- les fichiers linux-firmware-image et linux-libc-dev - je me doute à quoi ils servent, mais n'en suis pas pleinement sûr - si d'autres pouvaient m'affirmer de leurs usages, faites-le svp !
- les fichiers .dsc et .changes fournissent les sommes de contrôle sha1, sha256, md5 de tous ces fichiers - '.dsc' pour les .tar.gz, '.changes' pour les .deb
- le fichier grsec.conf créé lors du processus, que je mets à disposition - à mettre dans le répertoire /etc/sysctl.d/ !

----

Version 4.4.7 (stable) + grsecurity - Jessie amd64
J'ai compilé ce soir le dernier noyau 4.4.7 - stable - pour Jessie, architecture amd64, avec le patch grsecurity !

Code : Tout sélectionner

# dpkg -i linux-headers-*4.7.7-1_amd64.deb linux-image-*4.7.7-1_amd64.deb
# chmod 0400 /boot/System.map*
# reboot
# uname -a
Linux ptb-dm1330 4.7.7 #1 SMP Tue Oct 11 19:24:03 CEST 2016 x86_64 GNU/Linux

Il est ainsi possible de surfer, lire ces mails, utiliser ces clés USB, un CD-ROM audio ...

Certains détails de configuration peuvent être modifiés dans le fichier /etc/sysctl.d/grsec.conf.

----

PS : Je suis preneur de toutes remarques constructives et de toutes réponses aux questions que je me lève et écrites dans ce post ...

12 oct. 2016, 16:14

Bon, après discussion par mails, avec Yves-Alexis Perez, qui m'a entres autres parlé de la responsabilité à porter du fait de diffuser soi-même des binaires Debian, je mets en exergue le post suivant !

De fait, je n'ira pas plus loin dans cette "aventure" même si c'est sympa de pouvoir le faire si aisément ... d'autant que les paquets pour Jessie Backports et Sid sont mis-à-disposition de manière officielle - même si ce n'est pas l'ultime stable kernel !

----
@lol: tu veux bien verrouiller ce sujet, stp ... ou un des modos. Merci d'avance

12 oct. 2016, 18:21

PengouinPdt a écrit :@lol: tu veux bien verrouiller ce sujet, stp ... ou un des modos. Merci d'avance

On est dans PC et à moins de supprimer purement et simplement, le verrouillage n'apportera rien à mon avis. Je n'ai pas vu de discussion débridées ici, laissons couler...

12 oct. 2016, 18:42

@lol, ce n'est pas le problème, loin s'en faut ... c'était simplement pour éviter de nouvelles discussions sur ce propos ... vu que je ne serais - peut-être (?!) - pas amener à créer d'autres versions ...

Peut-être ?!
Parce que ma création de kernel "grsec" est fonctionnelle - alors que la version officielle plante sur ma machine - avec ce dernier : pas de connexions, et certains firmwares sont en erreur ... (cf, .org )

12 oct. 2016, 19:32

Hello,

PengouinPdt a écrit : ... c'était simplement pour éviter de nouvelles discussions sur ce propos ...

J'ai bien compris. Et comme je te le disais, à part nous... y'a pas beaucoup de clients sur ce fil...

Et je ne peux quand même pas empêcher les gens de voir et/ou poser une question... Même si tu n'es pas dans le coin.
Un forum c'est quand même, par définition, un espace de discussion publique!

12 oct. 2016, 19:54

JE ne suis même pas sûr, après coup, que le kernel que j'ai créé hier soir, avec les outils "grsec-config" soient vraiment patchés ...

Je m'explique - selon Yves-Alexis, grsec n'est pas capable de gérer les modules externes - ce qui explique :
1/ que je n'ai plus d'affichage par 'nouveau', plus de wifi, avec le kernel grsec officiel ... et tout plein de message 'grsec' dans dmesg.
2/ quand je lis 'dmesg' avec le kernel "grsec" que j'ai créé ... et bien, je n'ai aucun message "grsec" ... ce qui est le cas, en fonctionnant sur le kernel grsec officiel.

Bref, j'arrête là, pour l'instant ... "Back to the future " : dans 10 ans ?!