Articles Taggés ‘grsecurity2’

Automatiser la récupération et la compilation du kernel et de son patch GrSec

31 octobre 2009

Plop à tous…

Petit truc de geek … un script pour automatiser la récupération du dernier kernel stable depuis le site kernel.org puis le dernier patch grsecurity à appliquer sur le kernel en question (qui sort généralement un jour après la release du kernel).
Sur ubuntu, il faut tout d’abord installer le paquet kernel-package :

sudo apt-get install kernel-package

Puis récupérer le script suivant (nommé chez moi recupKernel.pl dans la commande qui suivra) :

  1. #!/usr/bin/perl
  2. require HTTP::Request;
  3. use LWP::UserAgent;
  4.  
  5. my $kernelUrl = recupKernel();
  6. my $kernelVersion = recupKernelVersion($kernelUrl);
  7. my $grsecUrl = recupGrSec($kernelVersion);
  8. my $grsecName = recupGrSecName($grsecUrl);
  9. if($kernelUrl && $grsecUrl)
  10. {
  11.  print "Url du dernier kernel stable : $kernelUrl\n";
  12.  print "Version du kernel : $kernelVersion\n";
  13.  print "Url du dernier patch GrSec stable : $grsecUrl\n";
  14.  print "Nom du Patch : $grsecName\n";
  15.  print "Recuperation du kernel : \n";
  16.  my $rK = `wget $kernelUrl`;
  17.  
  18.  print "Recuperation du patch : \n";
  19.  my $rG = `wget $grsecUrl`;
  20.  print "Extraction des données et compilation\n";
  21.  my $dT = `tar -xjf *.tar.bz2 && patch -p0 > $grsecName`;
  22. }
  23.  
  24. sub recupKernel
  25. {
  26.  my $req = HTTP::Request->new(GET => "http://kernel.org/");
  27.  my $ua = LWP::UserAgent->new;
  28.  $ua->agent("Firefox/4.0");
  29.  my $res = $ua->request($req);
  30.  if ($res->is_success) {
  31.   my $text = $res->content;
  32.   my $recherche = '<table id="brbtable([\n\t\r\W\w]*?)</table>';
  33.   $text =~ m/($recherche)/gm;
  34.   return recupHrefUrl($2);
  35.  }
  36.  return '';
  37. }
  38. sub recupHrefUrl
  39. {
  40.  my $ret=$_[0];
  41.  my $recherche = 'href="([^"]*)';
  42.  $ret =~ m/($recherche)/gm;
  43.  return $2;
  44. }
  45.  
  46. sub recupKernelVersion
  47. {
  48.  my $ret=$_[0];
  49.  my $recherche = 'linux-([0-9]+.[0-9]+.[0-9]+.[0-9]+)';
  50.  $ret =~ m/($recherche)/gm;
  51.  return $2;
  52. }
  53.  
  54. sub recupGrSecName
  55. {
  56.  my $ret=$_[0];
  57.  my $recherche = '/(grsecurity.*.patch)';
  58.  $ret =~ m/($recherche)/gm;
  59.  return $2;
  60. }
  61.  
  62. sub recupGrSec
  63. {
  64.  my $kernelV = $_[0];
  65.  my $req = HTTP::Request->new(GET => "http://www.grsecurity.net/test.php");
  66.  my $ua = LWP::UserAgent->new;
  67.  $ua->agent("Firefox/4.0");
  68.  my $res = $ua->request($req);
  69.  if ($res->is_success) {
  70.   my $text = $res->content;
  71.   my $recherche = "href=\"(test/grsecurity-[.0-9]+-$kernelV-[0-9]+.patch)\"";
  72.   $text =~ m/($recherche)/gm;
  73.   return "http://www.grsecurity.net/$2";
  74.  }
  75.  return '';
  76. }

Il suffit ensuite d’executer la commande suivante :

  1. perl recupKernel.pl && cd linux-* && make menuconfig && make-kpkg clean && make-kpkg –initrd –append-to-version "LoupZeur-grsec" kernel_image

Ce qui générera un fichier .deb qu’il faudra installer par un bon vieux dpkg -i.

PS: Lors de l’execution de la commande make menuconfig, une fenetre « bleu » apparaitra, il faudra selectionner la menu « security », puis grsecurity et choisir le niveau de sécurité « HIGH ».

PS2: Il faut aussi bien entendu selectionner ou deselectionner tout les modules inutiles (genre usb, support agp et … ).

2 commentaires »

Posté dans Administration, Sécurité, Ubuntu

Tags:

ACL avec GRSecurity2

1 mai 2009

Plopinou …

Suite à mon précédent article sur la mise en place de mon serveur Tor, je suis tombé sur cette page concernant les améliorations de la sécurité concernant la bestiole et notamment les ACL (Access Control List) que propose GRSec2 en plus du W^X et des autres sécurités embarquées dans ce patch, pour ceux qui ont installés ce superbe patch ou qui cherchent à l’installer, il suffit d’installer le paquet gradm2, suivre les instructions d’installation et modifier le fichier /etc/grsec/acl

Les gros intérêts :

On peut :

  • restreindre les accès aux dossiers/fichiers (execution, lecture, ecriture)
  • restreindre les accès au réseau (bind, connect, …).
  • logger les accès aux fichiers
  • restreindre les actions de certain logiciels sur des protocoles en particulier
  • restreindre la consommation CPU, de mémoire, de données, …

Comme une configuration en dit plus qu’un long discours :
La config fournit par le projet Tor pour … tor ;)

subject /usr/sbin/tor o {
  1.         /                               h
  2.         /var/lib/tor                    rwcdl
  3.         /lib                            rx
  4.         /usr/lib                        rx
  5.         /dev/urandom                    r
  6.         /dev/null                       rw
  7.         /etc/tor                        r
  8.         /var/log/tor                    rw
  9.         /var/run/tor                    rwcdl
  10.  
  11.         -CAP_ALL
  12.  
  13.         connect 127.0.0.1:9050 stream tcp
  14.         # Not very good, but since servers listen on different ports…
  15.         connect 0.0.0.0/0:9001-9100 stream tcp
  16.         connect 0.0.0.0/0:443 stream tcp
  17.         bind    127.0.0.1:9050 stream tcp
  18. }

Un tuto en français pas mal complet pour GrSec et GrSec2
La documentation complète pour les ACLs : http://www.grsecurity.net/gracldoc.htm

Voilà, sécurisez-vous bien ;)

1 commentaire »

Posté dans Administration, Sécurité, Système

Tags: