Hardened Gentoo на основе GCC 4.3 (делимся опытом)

[taaroa]

Сегодня на hardened-профиле компилятора gcc и включенным PaX, - без проблем собрались:
app-office/openoffice-3.2.0
app-emulation/wine-1.1.38
(ранее мне удавалось собрать их лишь на gcc-vanilla и только с отключенным PaX).

Спасибо что сообщили, а то уже давно (по привычке) ставлю только openoffice-infra-bin (:
Кстати, www-client/chromium с некоторых пор собирается без шаманства, правда требуется >=sys-devel/gcc-4.4.3.

[taaroa]

Код: Выделить всё

$ qlist -ICv sys-devel/gcc
sys-devel/gcc-4.4.3-r3
sys-devel/gcc-config-1.4.1
$ qlist -ICv app-admin/paxtest
app-admin/paxtest-0.9.9

Поехали

Код: Выделить всё

# paxtest blackhat
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Writing output to paxtest.log
It may take a while for the tests to complete
Test results:
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Mode: blackhat
Linux taaroa 2.6.32-hardened-r4 #1 SMP Tue Feb 23 19:14:35 KRAT 2010 x86_64 AMD Athlon(tm) 64 X2 Dual Core Processor 5000+ AuthenticAMD GNU/Linux

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable shared library bss            : Killed
Executable shared library data           : Killed
Executable anonymous mapping (mprotect)  : Killed
Executable bss (mprotect)                : Killed
Executable data (mprotect)               : Killed
Executable heap (mprotect)               : Killed
Executable stack (mprotect)              : Killed
Executable shared library bss (mprotect) : Killed
Executable shared library data (mprotect): Killed
Writable text segments                   : Killed
Anonymous mapping randomisation test     : 33 bits (guessed)
Heap randomisation test (ET_EXEC)        : 40 bits (guessed)
Heap randomisation test (PIE)            : 40 bits (guessed)
Main executable randomisation (ET_EXEC)  : 32 bits (guessed)
Main executable randomisation (PIE)      : 32 bits (guessed)
Shared library randomisation test        : 33 bits (guessed)
Stack randomisation test (SEGMEXEC)      : 40 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 40 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Vulnerable
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy, PIE)         : Vulnerable

P.S. перед написанием ebuild к новому paxtest отметил вот что

Код: Выделить всё

#  grep -A4 'Compiling' paxtest-0.9.9/README
Compiling paxtest:
-----------------
Compiling paxtest should be quite straightforward. First unpack paxtest. Then
cd into the directory. And then run one of the following:

make linux              (to create Linux binaries)
make openbsd           (to create OpenBSD binaries)

Хех, OBSD (:

[taaroa]

Ну и поскольку выше упоминалась OpenBSD, то вот сравнительный тест

Код: Выделить всё

% ./paxtest blackhat
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Writing output to paxtest.log
It may take a while for the tests to complete
Test results:
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Mode: blackhat
OpenBSD hostname.removed 4.6 BOTCH#0 amd64

Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
Executable anonymous mapping (mprotect)  : Vulnerable
Executable bss (mprotect)                : Vulnerable
Executable data (mprotect)               : Vulnerable
Executable heap (mprotect)               : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Executable stack (mprotect)              : Vulnerable
Anonymous mapping randomisation test     : 17 bits (guessed)
Heap randomisation test (ET_EXEC)        : 21 bits (guessed)
Main executable randomisation (ET_EXEC)  : No randomisation
Shared library randomisation test        : 17 bits (guessed)
Stack randomisation test (SEGMEXEC)      : 15 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 15 bits (guessed)
Return to function (strcpy)              : paxtest: return address contains a NULL byte.
Return to function (strcpy, PIE)         : paxtest: return address contains a NULL byte.
Return to function (memcpy)              : Vulnerable
Return to function (memcpy, PIE)         : Vulnerable
Executable shared library bss            : Killed
Executable shared library data           : Killed
Writable text segments                   : Vulnerable

% uname -a
OpenBSD hostname.removed 4.6 BOTCH#0 amd64
% gcc -v
Reading specs from /usr/lib/gcc-lib/amd64-unknown-openbsd4.6/3.3.5/specs
Configured with:
Thread model: single
gcc version 3.3.5 (propolice)

Не все у нас так плохо, правда? (;

[sspphheerraa]

Все относительно. Конечно известные потенциальные уязвимости лучше устранять. Но ведь взломщики всегда на шаг впереди и по определению тот способ которым тебя будут ломать заранее не известен.
Смысл сабжа (да и всего топика) в том, чтобы донести до общественности факт того, что можно значительно повысить надежность системы не затрачивая на это много сил.

Положительные моменты в том, что сейчас уже жертвовать приходится всего лишь парой тройкой программ, в отличие от половины всего ПО ...буквально вот год назад


ps Вот для меня лично проблемным остается только мплеер. Пока он собирается только на 'gcc-nopie'
Проприетарные видео-драйвера тоже можно сюда отнести, но я ими не пользуюсь даже на ноуте где стоит дефолтный гента.

[taaroa]

ps Вот для меня лично проблемным остается только мплеер. Пока он собирается только на 'gcc-nopie'

У меня нормально собирается mplayer, раньше (предыдущие версии gcc) да, были проблемы с {chromium,mplayer,openoffice}.

Код: Выделить всё

# emerge --info|head -1
Portage 2.2_rc67 (hardened/linux/amd64/10.0/no-multilib, gcc-4.4.3, glibc-2.11-r1, 2.6.32-hardened-r4 x86_64)
# eix -e gcc | grep Inst
     Installed versions:  4.4.3-r3(4.4)!s{tbz2}[1](17:23:25 16.04.2010)(fortran graphite hardened mudflap multislot nls nptl openmp -altivec -bootstrap -build -doc -fixed-point -gcj -gtk -libffi -multilib -n32 -n64 -nocxx -objc -objc++ -objc-gc -test -vanilla)

Проприетарные видео-драйвера тоже можно сюда отнести, но я ими не пользуюсь даже на ноуте где стоит дефолтный гента.

Думаю, что если откроют код драйвера|спецификации (ха-ха, помечтаем), то проблем не будет. nouveau пока что не конкурент проприетарному драйверу, увы.
Для меня (на данный момент) основная проблема это драйвер nvidia.

[sspphheerraa]

ps Вот для меня лично проблемным остается только мплеер. Пока он собирается только на 'gcc-nopie'

У меня нормально собирается mplayer, раньше (предыдущие версии gcc) да, были проблемы с {chromium,mplayer,openoffice}.

А какой у вас профиль компилятора? (покажите 'gcc-config -l')
И он у вас из портежей или из какого-н оверлея?

Проприетарные видео-драйвера тоже можно сюда отнести, но я ими не пользуюсь даже на ноуте где стоит дефолтный гента.

Думаю, что если откроют код драйвера|спецификации (ха-ха, помечтаем), то проблем не будет. nouveau пока что не конкурент проприетарному драйверу, увы.
Для меня (на данный момент) основная проблема это драйвер nvidia.

Немного удалимся в оффтоп. На самом деле, не все так печально. Если говорить об nVidia, то в 2D nouveau вполне конкурирует, т.е. базовую систему уже можно держать. Кроме того один драйвер на консоль и на Х - ОЧЕНЬ большое преимущество, я считаю. Проприетарных драйверов для консоли никогда не будет. Что касается 3D и vdpau, то тут действительно туго и реальных перспектив пока не видно.
На ATI открытых драйверах, ситуация намного лучше. А на Intel вон, vdpau работает уже сейчас (по отзывам с форума phoronix.com).

[taaroa]

А какой у вас профиль компилятора? (покажите 'gcc-config -l')
И он у вас из портежей или из какого-н оверлея?

Код: Выделить всё

(root@taaroa)┌(879/pts/1)┌(11:20:04/29/10)┌-
└┌(#:~)┌- gcc-config -l
 [1] x86_64-pc-linux-gnu-4.4.3 *
 [2] x86_64-pc-linux-gnu-4.4.3-hardenednopie
 [3] x86_64-pc-linux-gnu-4.4.3-hardenednossp
 [4] x86_64-pc-linux-gnu-4.4.3-vanilla
┌(root@taaroa)┌(881/pts/1)┌(11:28:04/29/10)┌-
└┌(#:~)┌- eix -e gcc|egrep 'Inst|^\[1'
     Installed versions:  4.4.3-r3(4.4)!s{tbz2}[1](17:23:25 16.04.2010)(fortran graphite hardened mudflap multislot nls nptl openmp -altivec -bootstrap -build -doc -fixed-point -gcj -gtk -libffi -multilib -n32 -n64 -nocxx -objc -objc++ -objc-gc -test -vanilla)
[1] "hardened-dev" /var/lib/layman/hardened-development

Немного удалимся в оффтоп. На самом деле, не все так печально. Если говорить об nVidia, то в 2D nouveau вполне конкурирует, т.е. базовую систему уже можно держать. Кроме того один драйвер на консоль и на Х - ОЧЕНЬ большое преимущество, я считаю. Проприетарных драйверов для консоли никогда не будет. Что касается 3D и vdpau, то тут действительно туго и реальных перспектив пока не видно.
На ATI открытых драйверах, ситуация намного лучше. А на Intel вон, vdpau работает уже сейчас (по отзывам с форума phoronix.com).

В общем то да, 2D имеется, да и, как Вы отметили выше, "один драйвер на консоль и на Х - ОЧЕНЬ большое преимущество", согласен.

[taaroa]

А какой у вас профиль компилятора? (покажите 'gcc-config -l')
И он у вас из портежей или из какого-н оверлея?

UPD:

Код: Выделить всё

┌(root@taaroa)┌(1533/pts/1)┌(10:06:05/02/10)┌-
└┌(#:~)┌- gcc-config -l
 [1] x86_64-pc-linux-gnu-4.4.3 *
 [2] x86_64-pc-linux-gnu-4.4.3-hardenednopie
 [3] x86_64-pc-linux-gnu-4.4.3-hardenednopiessp
 [4] x86_64-pc-linux-gnu-4.4.3-hardenednossp
 [5] x86_64-pc-linux-gnu-4.4.3-vanilla
 [6] x86_64-pc-linux-gnu-4.5.0
 [7] x86_64-pc-linux-gnu-4.5.0-hardenednopie
 [8] x86_64-pc-linux-gnu-4.5.0-hardenednopiessp
 [9] x86_64-pc-linux-gnu-4.5.0-hardenednossp
 [10] x86_64-pc-linux-gnu-4.5.0-vanilla
┌(root@taaroa)┌(1534/pts/1)┌(10:10:05/02/10)┌-
└┌(#:~)┌- eix -e gcc|egrep 'Inst|^\[1'
     Installed versions:  4.4.3-r4(4.4)!s{tbz2}[1](20:11:32 02.05.2010)(fortran graphite hardened mudflap multislot nls nptl openmp -altivec -bootstrap -build -doc -fixed-point -gcj -gtk -libffi -multilib -n32 -n64 -nocxx -nopie -nossp -objc -objc++ -objc-gc -test -vanilla) 4.5.0-r1(4.5)!s{tbz2}[1](21:21:26 02.05.2010)(fortran graphite hardened lto mudflap multislot nls nptl openmp -altivec -bootstrap -build -doc -fixed-point -gcj -gtk -libffi -multilib -n32 -n64 -nocxx -nopie -nossp -objc -objc++ -objc-gc -test -vanilla)
[1] "hardened-dev" /var/lib/layman/hardened-development

P.S. небольшой offtop касательно nouveau и nvidia: для этого дела нужно ядро >=2.6.33, у меня вот до сих пор 2.6.32-r4, пока что все устраивает.
P.P.S. надо автору топика подправить заголовок, "на основе 4.x.x"

[taaroa]

ps Вот для меня лично проблемным остается только мплеер. Пока он собирается только на 'gcc-nopie'

Код: Выделить всё

(ra@taaroa)┌(557/pts/2)┌(12:07:05/03/10)┌-
└┌(%:~)┌- scripts/checksec-new.sh --file /usr/bin/mplayer
RELRO           STACK CANARY      NX/PaX        PIE                     FILE
Full RELRO      Canary found      NX enabled    PIE enabled             /usr/bin/mplayer

PIE enabled (;
Сам скрипт.

[sspphheerraa]

Надо обновлять gcc, но я еще не созрел.
По поводу ядер, да у меня как раз 2.6.33-hardened, забрал его из одноименного оверлея, но сейчас ебилд на него почему-то удалили... Успел

[/dev/random]

Надо обновлять gcc, но я еще не созрел.
По поводу ядер, да у меня как раз 2.6.33-hardened, забрал его из одноименного оверлея, но сейчас ебилд на него почему-то удалили... Успел

On 19/04/2010 17:53, Joseph C. Lininger wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA256
>
> Hey folks,
> Has anyone else noticed that the entire hardened-sources package has
> vanished from the hardened-development overlay? I know it's a
> development overlay and all, but I figured I should mention it because
> it's just gone. All versions. It struck me as a bit odd. Any reason for
> this?

They've been moved into anarchy's personal overlay:

http://git.overlays.gentoo.org/gitweb/?p=d...5282c4601428dbe

Cheers,

--Kerin

[sspphheerraa]

спасибо

[taaroa]

Надо обновлять gcc, но я еще не созрел.

Зачем его обновлять? (;

Код: Выделить всё

[ra@host.removed ~/tmp/paxtest-0.9.7-pre5]$ gcc -v
Using built-in specs.
Target: amd64-undermydesk-freebsd
Configured with: FreeBSD/amd64 system compiler
Thread model: posix
gcc version 4.2.1 20070719  [FreeBSD]
ra@host.removed ~ % gcc -v
Reading specs from /usr/lib/gcc-lib/amd64-unknown-openbsd4.7/3.3.5/specs
Configured with:
Thread model: single
gcc version 3.3.5 (propolice)

По поводу ядер, да у меня как раз 2.6.33-hardened, забрал его из одноименного оверлея, но сейчас ебилд на него почему-то удалили... Успел

Мне удобней вести свой оверлей, например нового paxtest еще нет, а регрессии посмотреть надо, написание ebuild дело 5-30 минут (в зависимости от сложности, иногда и намного больше) (:

[VovkaV]

Что-то не проходит у меня проверка paxtest:

Код: Выделить всё

# paxtest blackhat
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Writing output to paxtest.log
It may take a while for the tests to complete
Test results:
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Mode: blackhat
Linux media 2.6.32-hardened-r6_v1 #3 SMP Mon May 10 11:37:16 EEST 2010 x86_64 Intel(R) Xeon(TM) CPU 3.00GHz GenuineIntel GNU/Linux

Executable anonymous mapping             : Vulnerable
Executable bss                           : Vulnerable
Executable data                          : Vulnerable
Executable heap                          : Vulnerable
Executable stack                         : Vulnerable
Executable anonymous mapping (mprotect)  : Vulnerable
Executable bss (mprotect)                : Vulnerable
Executable data (mprotect)               : Vulnerable
Executable heap (mprotect)               : Vulnerable
Executable stack (mprotect)              : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Writable text segments                   : Killed
Anonymous mapping randomisation test     : 33 bits (guessed)
Heap randomisation test (ET_EXEC)        : 40 bits (guessed)
Heap randomisation test (ET_DYN)         : 40 bits (guessed)
Main executable randomisation (ET_EXEC)  : 32 bits (guessed)
Main executable randomisation (ET_DYN)   : 32 bits (guessed)
Shared library randomisation test        : 33 bits (guessed)
Stack randomisation test (SEGMEXEC)      : No randomisation
Stack randomisation test (PAGEEXEC)      : 40 bits (guessed)
Return to function (strcpy)              : *** buffer overflow detected ***: rettofunc1 - terminated
rettofunc1: buffer overflow attack in function <unknown> - terminated
Report to http://bugs.gentoo.org/
Killed
Return to function (memcpy)              : *** buffer overflow detected ***: rettofunc2 - terminated
rettofunc2: buffer overflow attack in function <unknown> - terminated
Report to http://bugs.gentoo.org/
Killed
Return to function (strcpy, RANDEXEC)    : *** buffer overflow detected ***: rettofunc1x - terminated
rettofunc1x: buffer overflow attack in function <unknown> - terminated
Report to http://bugs.gentoo.org/
Killed
Return to function (memcpy, RANDEXEC)    : *** buffer overflow detected ***: rettofunc2x - terminated
rettofunc2x: buffer overflow attack in function <unknown> - terminated
Report to http://bugs.gentoo.org/
Killed
Executable shared library bss            : Vulnerable
Executable shared library data           : Vulnerable

Ебилд для ядра 2.6.32-r6 взят из оверлея anarchy.
gcc-4.3.4-r4 из hardened-dev :

Код: Выделить всё

gcc-config -l
 [1] x86_64-pc-linux-gnu-4.3.4 *
 [2] x86_64-pc-linux-gnu-4.3.4-hardenednopie
 [3] x86_64-pc-linux-gnu-4.3.4-hardenednopiessp
 [4] x86_64-pc-linux-gnu-4.3.4-hardenednossp
 [5] x86_64-pc-linux-gnu-4.3.4-vanilla

Профиль был выбран сразу после распаковки последней доступной stage3-amd64-hardened с коследующей пересборкой toolchain, system и оставшегося в мире.

Самое непонятное, что если pax разрешить программный в ядре, то

Код: Выделить всё

echo "1" > /proc/sys/kernel/pax/softmode

приводит к следующему результату:

Код: Выделить всё

# paxtest blackhat
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Writing output to paxtest.log
It may take a while for the tests to complete
Test results:
PaXtest - Copyright(c) 2003,2004 by Peter Busser <peter@adamantix.org>
Released under the GNU Public Licence version 2 or later

Mode: blackhat
Linux media 2.6.32-hardened-r6_v1 #3 SMP Mon May 10 11:37:16 EEST 2010 x86_64 Intel(R) Xeon(TM) CPU 3.00GHz GenuineIntel GNU/Linux

Executable anonymous mapping             : Vulnerable
Executable bss                           : Vulnerable
Executable data                          : Vulnerable
Executable heap                          : Vulnerable
Executable stack                         : Vulnerable
Executable anonymous mapping (mprotect)  : Vulnerable
Executable bss (mprotect)                : Vulnerable
Executable data (mprotect)               : Vulnerable
Executable heap (mprotect)               : Vulnerable
Executable stack (mprotect)              : Vulnerable
Executable shared library bss (mprotect) : Vulnerable
Executable shared library data (mprotect): Vulnerable
Writable text segments                   : Vulnerable
Anonymous mapping randomisation test     : 28 bits (guessed)
Heap randomisation test (ET_EXEC)        : 28 bits (guessed)
Heap randomisation test (ET_DYN)         : 28 bits (guessed)
Main executable randomisation (ET_EXEC)  : 32 bits (guessed)
Main executable randomisation (ET_DYN)   : 28 bits (guessed)
Shared library randomisation test        : 28 bits (guessed)
Stack randomisation test (SEGMEXEC)      : 40 bits (guessed)
Stack randomisation test (PAGEEXEC)      : 40 bits (guessed)
Return to function (strcpy)              : *** buffer overflow detected ***: rettofunc1 - terminated
rettofunc1: buffer overflow attack in function <unknown> - terminated
Report to http://bugs.gentoo.org/
Killed
Return to function (memcpy)              : *** buffer overflow detected ***: rettofunc2 - terminated
rettofunc2: buffer overflow attack in function <unknown> - terminated
Report to http://bugs.gentoo.org/
Killed
Return to function (strcpy, RANDEXEC)    : *** buffer overflow detected ***: rettofunc1x - terminated
rettofunc1x: buffer overflow attack in function <unknown> - terminated
Report to http://bugs.gentoo.org/
Killed
Return to function (memcpy, RANDEXEC)    : *** buffer overflow detected ***: rettofunc2x - terminated
rettofunc2x: buffer overflow attack in function <unknown> - terminated
Report to http://bugs.gentoo.org/
Killed
Executable shared library bss            : Vulnerable
Executable shared library data           : Vulnerable

Кусок конфига ядра:

Код: Выделить всё

#
# Grsecurity
#
CONFIG_GRKERNSEC=y
# CONFIG_GRKERNSEC_LOW is not set
# CONFIG_GRKERNSEC_MEDIUM is not set
# CONFIG_GRKERNSEC_HIGH is not set
CONFIG_GRKERNSEC_HARDENED_SERVER=y
# CONFIG_GRKERNSEC_HARDENED_SERVER_NO_RBAC is not set
# CONFIG_GRKERNSEC_HARDENED_WORKSTATION is not set
# CONFIG_GRKERNSEC_HARDENED_WORKSTATION_NO_RBAC is not set
# CONFIG_GRKERNSEC_CUSTOM is not set

#
# Address Space Protection
#
CONFIG_GRKERNSEC_KMEM=y
CONFIG_GRKERNSEC_IO=y
CONFIG_GRKERNSEC_PROC_MEMMAP=y
CONFIG_GRKERNSEC_BRUTE=y
CONFIG_GRKERNSEC_MODHARDEN=y
CONFIG_GRKERNSEC_HIDESYM=y

#
# Role Based Access Control Options
#
# CONFIG_GRKERNSEC_NO_RBAC is not set
CONFIG_GRKERNSEC_ACL_HIDEKERN=y
CONFIG_GRKERNSEC_ACL_MAXTRIES=3
CONFIG_GRKERNSEC_ACL_TIMEOUT=30

#
# Filesystem Protections
#
CONFIG_GRKERNSEC_PROC=y
CONFIG_GRKERNSEC_PROC_USER=y
CONFIG_GRKERNSEC_PROC_USERGROUP=y
CONFIG_GRKERNSEC_PROC_GID=10
CONFIG_GRKERNSEC_PROC_ADD=y
CONFIG_GRKERNSEC_LINK=y
CONFIG_GRKERNSEC_FIFO=y
# CONFIG_GRKERNSEC_ROFS is not set
CONFIG_GRKERNSEC_CHROOT=y
CONFIG_GRKERNSEC_CHROOT_MOUNT=y
CONFIG_GRKERNSEC_CHROOT_DOUBLE=y
CONFIG_GRKERNSEC_CHROOT_PIVOT=y
CONFIG_GRKERNSEC_CHROOT_CHDIR=y
CONFIG_GRKERNSEC_CHROOT_CHMOD=y
CONFIG_GRKERNSEC_CHROOT_FCHDIR=y
CONFIG_GRKERNSEC_CHROOT_MKNOD=y
CONFIG_GRKERNSEC_CHROOT_SHMAT=y
CONFIG_GRKERNSEC_CHROOT_UNIX=y
CONFIG_GRKERNSEC_CHROOT_FINDTASK=y
CONFIG_GRKERNSEC_CHROOT_NICE=y
CONFIG_GRKERNSEC_CHROOT_SYSCTL=y
CONFIG_GRKERNSEC_CHROOT_CAPS=y

#
# Kernel Auditing
#
# CONFIG_GRKERNSEC_AUDIT_GROUP is not set
# CONFIG_GRKERNSEC_EXECLOG is not set
CONFIG_GRKERNSEC_RESLOG=y
# CONFIG_GRKERNSEC_CHROOT_EXECLOG is not set
# CONFIG_GRKERNSEC_AUDIT_PTRACE is not set
# CONFIG_GRKERNSEC_AUDIT_CHDIR is not set
CONFIG_GRKERNSEC_AUDIT_MOUNT=y
CONFIG_GRKERNSEC_SIGNAL=y
CONFIG_GRKERNSEC_FORKFAIL=y
CONFIG_GRKERNSEC_TIME=y
CONFIG_GRKERNSEC_PROC_IPADDR=y
# CONFIG_GRKERNSEC_AUDIT_TEXTREL is not set

#
# Executable Protections
#
CONFIG_GRKERNSEC_EXECVE=y
CONFIG_GRKERNSEC_DMESG=y
# CONFIG_GRKERNSEC_HARDEN_PTRACE is not set
# CONFIG_GRKERNSEC_TPE is not set

#
# Network Protections
#
CONFIG_GRKERNSEC_RANDNET=y
# CONFIG_GRKERNSEC_BLACKHOLE is not set
# CONFIG_GRKERNSEC_SOCKET is not set

#
# Sysctl support
#
CONFIG_GRKERNSEC_SYSCTL=y
CONFIG_GRKERNSEC_SYSCTL_ON=y

#
# Logging Options
#
CONFIG_GRKERNSEC_FLOODTIME=10
CONFIG_GRKERNSEC_FLOODBURST=4

#
# PaX
#
CONFIG_PAX=y

#
# PaX Control
#
CONFIG_PAX_SOFTMODE=y
CONFIG_PAX_EI_PAX=y
CONFIG_PAX_PT_PAX_FLAGS=y
CONFIG_PAX_NO_ACL_FLAGS=y
# CONFIG_PAX_HAVE_ACL_FLAGS is not set
# CONFIG_PAX_HOOK_ACL_FLAGS is not set

#
# Non-executable pages
#
CONFIG_PAX_NOEXEC=y
CONFIG_PAX_PAGEEXEC=y
# CONFIG_PAX_EMUTRAMP is not set
CONFIG_PAX_MPROTECT=y
CONFIG_PAX_NOELFRELOCS=y
CONFIG_PAX_KERNEXEC=y

#
# Address Space Layout Randomization
#
CONFIG_PAX_ASLR=y
CONFIG_PAX_RANDUSTACK=y
CONFIG_PAX_RANDMMAP=y

#
# Miscellaneous hardening features
#
CONFIG_PAX_MEMORY_SANITIZE=y
CONFIG_PAX_REFCOUNT=y
CONFIG_PAX_USERCOPY=y
# CONFIG_KEYS is not set
CONFIG_SECURITY=y
# CONFIG_SECURITYFS is not set
CONFIG_SECURITY_NETWORK=y
# CONFIG_SECURITY_NETWORK_XFRM is not set
# CONFIG_SECURITY_PATH is not set
CONFIG_SECURITY_FILE_CAPABILITIES=y
# CONFIG_SECURITY_ROOTPLUG is not set
# CONFIG_INTEL_TXT is not set
# CONFIG_SECURITY_SMACK is not set
# CONFIG_SECURITY_TOMOYO is not set
# CONFIG_IMA is not set
CONFIG_XOR_BLOCKS=m
CONFIG_ASYNC_CORE=m
CONFIG_ASYNC_MEMCPY=m
CONFIG_ASYNC_XOR=m
CONFIG_ASYNC_PQ=m
CONFIG_ASYNC_RAID6_RECOV=m
CONFIG_ASYNC_TX_DISABLE_PQ_VAL_DMA=y
CONFIG_ASYNC_TX_DISABLE_XOR_VAL_DMA=y
CONFIG_CRYPTO=y

Кто-нибудь может подсказать в чем может быть дело?

[taaroa]

Профиль был выбран сразу после распаковки последней доступной stage3-amd64-hardened с коследующей пересборкой toolchain, system и оставшегося в мире.

Кусок конфига ядра:

Код: Выделить всё

CONFIG_GRKERNSEC_HARDENED_SERVER=y

Кто-нибудь может подсказать в чем может быть дело?

Дэфолтные (пред)установки, вероятно.
Есть сервер с Debian, в силу специфики дистрибутива hardening там выполнен преимущественно на базе RBAC и PaX-тест он то же полностью не проходит. (:

[VovkaV]

Дэфолтные (пред)установки, вероятно.
Есть сервер с Debian, в силу специфики дистрибутива hardening там выполнен преимущественно на базе RBAC и PaX-тест он то же полностью не проходит. (:

Хорошо, переключаюсь на custom, перепроверю конфиг и пересоберу ядро. Что-то еще?

P.S. Можете показать ту часть конфига вашего ядра, которая имеет отношение к Pax ?

[taaroa]

Хорошо, переключаюсь на custom, перепроверю конфиг и пересоберу ядро. Что-то еще?

Можно еще RBAC настроить, но сразу скажу, дело это далеко не простое, но оно того стоит.

Ниже привожу мнение solar@openwall.com по поводу PaX (:

PaX - хорошая штука, и автор реально хороший специалист. Но есть причины PaX в Owl не интегрировать. Насколько я знаю, PaX не разрабатывается и не поддерживается для RHEL'овых ядер - т.е. портирование и поддержка были бы на нас (а это время и риск привнести баг или даже уязвимость - а PaX реально сложная штука, которую кроме его автора никто "до конца" не понимает - я слегка читал код, там есть очень много важных, но не комментированных деталей реализации, которые без знания "внешних обстоятельств", только из кода самого PaX, с уверенностью не понять - можно только предполагать что это так-то, вероятно, потому-то), либо же нам надо было бы на каких-то условиях договариваться с его автором.

PaX несет две основные функции - (1) предотвращение использования некоторых классов уязвимостей в user-space программах и (2) то же самое для в чем-то схожих классов уязвимостей в ядре. Что касается #1, то в RHEL-ядрах есть exec-shield. Он "слабее", но намного проще (меньше кода, нет замедления), и он уже есть. На процессорах с битом NX при сборке ядра с PAE, а также при 64-битном ядре, его эффективность схожа с PaX. (Правда, в моем списке есть и небольшая доработка exec-shield тоже.) Что касается #2, то пока мы ограничились vm.mmap_min_addr, что опять же "слабее", но гораздо "дешевле" PaX'а. (Кстати, эффект подобный PaX'овому UDEREF, с точки зрения безопасности, достигается "enterprise" сборкой RHEL-ядра с 4G/4G address space split, без всяких дополнительных патчей, но это слишком "дорого" с точки зрения производительности, поэтому это я отношу скорее к юмору. А еще можно просто использовать ядро Linux 2.0, с тем же эффектом (да, там было лучше), но это тоже юмор.)

P.S. Можете показать ту часть конфига вашего ядра, которая имеет отношение к Pax ?

Код: Выделить всё

# uname -r
2.6.33-hardened-r2-libre-grsec0
# zegrep -B 2 'GRKERN|PAX' /proc/config.gz
# Grsecurity
#
CONFIG_GRKERNSEC=y
# CONFIG_GRKERNSEC_LOW is not set
# CONFIG_GRKERNSEC_MEDIUM is not set
# CONFIG_GRKERNSEC_HIGH is not set
CONFIG_GRKERNSEC_CUSTOM=y
--
# Address Space Protection
#
CONFIG_GRKERNSEC_KMEM=y
# CONFIG_GRKERNSEC_IO is not set
CONFIG_GRKERNSEC_PROC_MEMMAP=y
CONFIG_GRKERNSEC_BRUTE=y
CONFIG_GRKERNSEC_MODHARDEN=y
CONFIG_GRKERNSEC_HIDESYM=y
--
# Role Based Access Control Options
#
# CONFIG_GRKERNSEC_NO_RBAC is not set
CONFIG_GRKERNSEC_ACL_HIDEKERN=y
CONFIG_GRKERNSEC_ACL_MAXTRIES=3
CONFIG_GRKERNSEC_ACL_TIMEOUT=30
--
# Filesystem Protections
#
CONFIG_GRKERNSEC_PROC=y
CONFIG_GRKERNSEC_PROC_USER=y
CONFIG_GRKERNSEC_PROC_ADD=y
CONFIG_GRKERNSEC_LINK=y
CONFIG_GRKERNSEC_FIFO=y
CONFIG_GRKERNSEC_ROFS=y
CONFIG_GRKERNSEC_CHROOT=y
CONFIG_GRKERNSEC_CHROOT_MOUNT=y
CONFIG_GRKERNSEC_CHROOT_DOUBLE=y
CONFIG_GRKERNSEC_CHROOT_PIVOT=y
CONFIG_GRKERNSEC_CHROOT_CHDIR=y
CONFIG_GRKERNSEC_CHROOT_CHMOD=y
CONFIG_GRKERNSEC_CHROOT_FCHDIR=y
CONFIG_GRKERNSEC_CHROOT_MKNOD=y
CONFIG_GRKERNSEC_CHROOT_SHMAT=y
CONFIG_GRKERNSEC_CHROOT_UNIX=y
CONFIG_GRKERNSEC_CHROOT_FINDTASK=y
CONFIG_GRKERNSEC_CHROOT_NICE=y
CONFIG_GRKERNSEC_CHROOT_SYSCTL=y
CONFIG_GRKERNSEC_CHROOT_CAPS=y
--
# Kernel Auditing
#
CONFIG_GRKERNSEC_AUDIT_GROUP=y
CONFIG_GRKERNSEC_AUDIT_GID=100
# CONFIG_GRKERNSEC_EXECLOG is not set
CONFIG_GRKERNSEC_RESLOG=y
CONFIG_GRKERNSEC_CHROOT_EXECLOG=y
# CONFIG_GRKERNSEC_AUDIT_PTRACE is not set
# CONFIG_GRKERNSEC_AUDIT_CHDIR is not set
CONFIG_GRKERNSEC_AUDIT_MOUNT=y
# CONFIG_GRKERNSEC_SIGNAL is not set
CONFIG_GRKERNSEC_FORKFAIL=y
CONFIG_GRKERNSEC_TIME=y
CONFIG_GRKERNSEC_PROC_IPADDR=y
# CONFIG_GRKERNSEC_AUDIT_TEXTREL is not set
--
# Executable Protections
#
CONFIG_GRKERNSEC_EXECVE=y
CONFIG_GRKERNSEC_DMESG=y
CONFIG_GRKERNSEC_HARDEN_PTRACE=y
CONFIG_GRKERNSEC_TPE=y
CONFIG_GRKERNSEC_TPE_ALL=y
CONFIG_GRKERNSEC_TPE_INVERT=y
CONFIG_GRKERNSEC_TPE_GID=10
--
# Network Protections
#
CONFIG_GRKERNSEC_RANDNET=y
CONFIG_GRKERNSEC_BLACKHOLE=y
CONFIG_GRKERNSEC_SOCKET=y
CONFIG_GRKERNSEC_SOCKET_ALL=y
CONFIG_GRKERNSEC_SOCKET_ALL_GID=65534
CONFIG_GRKERNSEC_SOCKET_CLIENT=y
CONFIG_GRKERNSEC_SOCKET_CLIENT_GID=65534
CONFIG_GRKERNSEC_SOCKET_SERVER=y
CONFIG_GRKERNSEC_SOCKET_SERVER_GID=65534
--
# Sysctl support
#
CONFIG_GRKERNSEC_SYSCTL=y
CONFIG_GRKERNSEC_SYSCTL_ON=y
--
# Logging Options
#
CONFIG_GRKERNSEC_FLOODTIME=10
CONFIG_GRKERNSEC_FLOODBURST=4
--
# PaX
#
CONFIG_PAX_PER_CPU_PGD=y
CONFIG_TASK_SIZE_MAX_SHIFT=42
CONFIG_PAX=y
--
# PaX Control
#
CONFIG_PAX_SOFTMODE=y
CONFIG_PAX_EI_PAX=y
CONFIG_PAX_PT_PAX_FLAGS=y
# CONFIG_PAX_NO_ACL_FLAGS is not set
CONFIG_PAX_HAVE_ACL_FLAGS=y
# CONFIG_PAX_HOOK_ACL_FLAGS is not set
--
# Non-executable pages
#
CONFIG_PAX_NOEXEC=y
CONFIG_PAX_PAGEEXEC=y
CONFIG_PAX_EMUTRAMP=y
CONFIG_PAX_MPROTECT=y
CONFIG_PAX_NOELFRELOCS=y
CONFIG_PAX_KERNEXEC=y
--
# Address Space Layout Randomization
#
CONFIG_PAX_ASLR=y
CONFIG_PAX_RANDUSTACK=y
CONFIG_PAX_RANDMMAP=y
--
# Miscellaneous hardening features
#
CONFIG_PAX_MEMORY_SANITIZE=y
CONFIG_PAX_MEMORY_UDEREF=y
CONFIG_PAX_REFCOUNT=y
CONFIG_PAX_USERCOPY=y

Config с одной из домашних машин.

[VovkaV]

RBAC займусь как время появится, в любом случае.
А вот с PIE и Pax хотелось бы разобраться в ближайшее время.

Вы флаги оптимизации при сборке hardened системы используете вроде этих: -fPIE и -fstack-protector-all ?

[taaroa]

Вы флаги оптимизации при сборке hardened системы используете вроде этих: -fPIE и -fstack-protector-all ?

Shell

$ cat gcc_out.sh #!/bin/sh CFLAGS=`grep 'CFLAGS=' /etc/make.conf|awk -F\" '{print $2}'` gcc $CFLAGS -E -v - </dev/null 2>&1 | sed -n 's/.* -v - //p'

Код: Выделить всё

$ ./gcc_out.sh
-D_FORTIFY_SOURCE=2 -march=k8-sse3 -mcx16 -msahf --param l1-cache-size=64 --param l1-cache-line-size=64 --param l2-cache-size=512 -mtune=k8 -fno-strict-overflow -mmmx -msse -msse2 -msse3 -mssse3 -m3dnow -mfpmath=sse -Wno-all -fPIE -O2 -fstack-protector-all

Это с той же самой машины, откуда была взята часть приведенного выше .config ядра.
-fPIE и -fstack-protector-all только с большой натяжкой можно назвать "флагами оптимизации" (:
http://www.gentoo.org/proj/en/hardened/har...style=printable

[VovkaV]

Я понимаю их назначение, но у меня какого-то черта при явном указании этих флагов не собрался sys-libs/glibc-2.10.1-r1 и sys-libs/zlib-1.2.3-r1. Пришлось в /etc/portage/env указать для них персонально свои флаги.

[taaroa]

Еще раз:

Shell

# gcc -O2 -E -v - </dev/null 2>&1 | sed -n 's/.* -v - //p' -D_FORTIFY_SOURCE=2 -fno-strict-overflow -mtune=generic -fPIE -O2 -fstack-protector-all # gcc -march=native -O2 -E -v - </dev/null 2>&1 | sed -n 's/.* -v - //p' -D_FORTIFY_SOURCE=2 -march=k8-sse3 -mcx16 -msahf --param l1-cache-size=64 --param l1-cache-line-size=64 --param l2-cache-size=512 -mtune=k8 -fno-strict-overflow -fPIE -O2 -fstack-protector-all # gcc -E -v - </dev/null 2>&1 | sed -n 's/.* -v - //p' -D_FORTIFY_SOURCE=2 -fno-strict-overflow -mtune=generic -fPIE -fstack-protector-all

Найдите десять отличий...

[/dev/random]

Hardened планируется вновь влить в мейнстрим, вместо расположения в разрозненных оверлеях, как сейчас.

> <http://bugs.gentoo.org/show_bug.cgi?id=318171>
>
> Yikes!!
>
> Does this mean that Hardened Gentoo has reunited with mainstream Gentoo??
>
> IIUC, this is BIG!
>
> IIUC, Congratulations to the Hardened Development!
>
> ??
We are not there yet but on the way to get there.
We have alot of work to do before we are back in the saddle
Toolchain and hardened-sources is the first thing to get in to chape and we are
on the way to do that.

Thank you for the congrats and the help from users and developers making it
possible.

Hardened at Gentoo.org
Magnus Granberg (Zorry)

[taaroa]

Meeting 2010-06-16

1.0 Toolchain
We have started to move >= gcc 4.4 and SSP support to the tree.
If all goes well it will bee in the tree this weekend masked for
we still need to wait for some packages to get bumped.
GCC 4.4.3 will be the target to get stable GCC 4.5.0 will be in the
tree later on when some patchses is okey upstream.

2.0 Kernel
We have the 2.6.32 in the tree for testing and it have work fine this
far. 2.6.32-r9 will bee the stable one if nothing show up.
We will try to keep .32 as long term kernel as upstream do.
Next cutting edge kernel will bee .34 or .35 so no .33

3.0 Profiles
We haven't done anythig about it but we do have plan.
Most is that we lack the time to work with it.

4.0 Docs
Still need alot of work and we lack the time to work with it.
Hope we can work with it more when we have got the toolchain
and kernel up to date and the bug list down.

/blueness Chainsaw solar Zorry

Перемены радуют.

[sspphheerraa]

Очень хорошая новость
Может и популярность Hardened среди обычных джентушников вырастет. Если в игры не играть (довольствоваться только 2D графикой), то использовать hardened на десктопе можно уже сейчас (все собирается и работает без ошибок).
Как писал powerman (автор одной из подробных первых статей об установке Hardened), - смысл в том, что усилий по сравнению с установкой обычного gentoo не на много больше, а вот безопасность повышается в разы.
А теперь, если все будет в портеже и не надо будет доставать gcc из одного оверлея, hardened-sources из другого, а то чего не хватает (по мелочам) - из третьего, собственного, то и установка будет намного проще
Дай Бог, чтоб проект не заглох как SELinux...

[taaroa]

Очень хорошая новость
Может и популярность Hardened среди обычных джентушников вырастет. Если в игры не играть (довольствоваться только 2D графикой), то использовать hardened на десктопе можно уже сейчас (все собирается и работает без ошибок).

Nvidia-blob по прежнему работает, 3D имеется. Однако, >=x11-drivers/nvidia-drivers-256.29 не работают на hardened... 2.6.33-r2 имеет "странные" проблемы c smp...

Как писал powerman (автор одной из подробных первых статей об установке Hardened), - смысл в том, что усилий по сравнению с установкой обычного gentoo не на много больше, а вот безопасность повышается в разы.

Лучше читать официальное wiki и в случае возникновения проблем или дополнительных вопросов воспользоваться этой ссылкой.

А теперь, если все будет в портеже и не надо будет доставать gcc из одного оверлея, hardened-sources из другого, а то чего не хватает (по мелочам) - из третьего, собственного, то и установка будет намного проще

Возможно. Но для меня лучшее решение - это вести свой оверлей.

Дай Бог, чтоб проект не заглох как SELinux...

SELinux загнулся? (= AppArmor да, загнулся.
SELinux знатный костыль от АНБ, однако, SELinux доступен с коммерческой поддержкой, как часть Red Hat Enterprise Linux начиная с версии 4, also OpenSUSE c 11.1.
А в Hardened Gentoo (по секрету) есть RBAC.

[sspphheerraa]

Однако, >=x11-drivers/nvidia-drivers-256.29 не работают на hardened... 2.6.33-r2 имеет "странные" проблемы c smp...

мне это не грозит, - у меня до сих пор одноядерный проц

/
вчера проапгрейдил оперу до 10.60 - теперь pax ее киляет!

Код: Выделить всё

[118018.571362] PAX: execution attempt in: <anonymous mapping>, 701fd7ae5000-701fd7aef000 701fd7ae5000
[118018.571369] PAX: terminating task: /usr/lib64/opera/opera(opera):7727, uid/euid: 1000/1000, PC: 0000701fd7ae6180, SP: 000071568b0e21f8
[118018.571381] PAX: bytes at PC: 53 b8 01 00 00 00 0f a2 5b f7 c1 00 00 08 00 74 06 b8 01 00
[118018.571391] PAX: bytes at SP-8: 000071568b0e2278 0000000000a3a6ed 000071568b0e2250 0000000000bb2fcf 0000000500000000 00000000ffffffff 000000000000003b 0000000000000002 0000000000000001 0000000000baa76f 000000000299e210
[118018.571445] grsec: denied resource overstep by requesting 4096 for RLIMIT_CORE against limit 0 for /usr/lib64/opera/opera[opera:7727] uid/euid:1000/1000 gid/egid:1002/1002, parent /bin/bash[bash:7721] uid/euid:1000/1000 gid/egid:1002/1002

аж злость берет
сволочи!

[taaroa]

Однако, >=x11-drivers/nvidia-drivers-256.29 не работают на hardened... 2.6.33-r2 имеет "странные" проблемы c smp...

мне это не грозит, - у меня до сих пор одноядерный проц

...у меня есть 2-4-8-16 ядер

вчера проапгрейдил оп
еру до 10.60 - теперь pax ее киляет!

Код: Выделить всё

[118018.571362] PAX: execution attempt in: <anonymous mapping>, 701fd7ae5000-701fd7aef000 701fd7ae5000
[118018.571369] PAX: terminating task: /usr/lib64/opera/opera(opera):7727, uid/euid: 1000/1000, PC: 0000701fd7ae6180, SP: 000071568b0e21f8
[118018.571381] PAX: bytes at PC: 53 b8 01 00 00 00 0f a2 5b f7 c1 00 00 08 00 74 06 b8 01 00
[118018.571391] PAX: bytes at SP-8: 000071568b0e2278 0000000000a3a6ed 000071568b0e2250 0000000000bb2fcf 0000000500000000 00000000ffffffff 000000000000003b 0000000000000002 0000000000000001 0000000000baa76f 000000000299e210
[118018.571445] grsec: denied resource overstep by requesting 4096 for RLIMIT_CORE against limit 0 for /usr/lib64/opera/opera[opera:7727] uid/euid:1000/1000 gid/egid:1002/1002, parent /bin/bash[bash:7721] uid/euid:1000/1000 gid/egid:1002/1002

аж злость берет
сволочи!

...нужна было ставить wnt8max
p.s. chpax -h

[sspphheerraa]

p.s. chpax -h

дело не только в этом, в последних версиях оперы, перестала работать прокрутка по краю тачпада (причем в виндовой сборке тоже)


Сегодня у меня на Hardened профиле впервые собрался mplayer
Теперь проблем нет, спасибо разработчикам.

[taaroa]

дело не только в этом, в последних версиях оперы, перестала работать прокрутка по краю тачпада (причем в виндовой сборке тоже)

есть мнение, что последняя нормальная версия opera была в районе 9.27-9.63. для unix и unix-like, разумеется.

[taaroa]

просто оставлю это здесь...

Spoiler

Shell

% cat /etc/redhat-release Scientific Linux release 6.0 (Carbon) % paxtest blackhat PaXtest - Copyright© 2003,2004 by Peter Busser <peter@adamantix.org> Released under the GNU Public Licence version 2 or later Mode: blackhat Linux taaroa.name 2.6.32-71.29.1.el6.x86_64 #1 SMP Tue May 10 17:35:18 CDT 2011 x86_64 x86_64 x86_64 GNU/Linux Executable anonymous mapping : Killed Executable bss : Killed Executable data : Killed Executable heap : Killed Executable stack : Killed Executable shared library bss : Killed Executable shared library data : Killed Executable anonymous mapping (mprotect) : Killed Executable bss (mprotect) : Killed Executable data (mprotect) : Killed Executable heap (mprotect) : Killed Executable stack (mprotect) : Killed Executable shared library bss (mprotect) : Killed Executable shared library data (mprotect): Killed Writable text segments : Killed Anonymous mapping randomisation test : 28 bits (guessed) Heap randomisation test (ET_EXEC) : 14 bits (guessed) Heap randomisation test (PIE) : 28 bits (guessed) Main executable randomisation (ET_EXEC) : No randomisation Main executable randomisation (PIE) : 28 bits (guessed) Shared library randomisation test : 28 bits (guessed) Stack randomisation test (SEGMEXEC) : 28 bits (guessed) Stack randomisation test (PAGEEXEC) : 28 bits (guessed) Return to function (strcpy) : paxtest: return address contains a NULL byte. Return to function (memcpy) : Vulnerable Return to function (strcpy, PIE) : paxtest: return address contains a NULL byte. Return to function (memcpy, PIE) : Vulnerable