[Résolu + tuto] Grsecurity 3.1-4.3.4 sur Trusty Tahr, c'est parti !

Sabina75 · Le 25/01/2016, à 23:45

Tutoriel. (Récapitulatif du topic) :

http://sabina75.over-blog.com/2016/02/d … urity.html

Dernière modification par Sabina75 (Le 03/02/2016, à 10:13)

Sabina75 · Le 25/01/2016, à 23:57

Bonsoir !

Comme prévu, j'ai décidé d'essayer Grsecurity. Je suis donc allée sur https://grsecurity.net/download.php#test et j'ai récupéré :

grsecurity-3.1-4.3.4-201601231215.patch
gradm-3.1-201507191652.tar.gz

Puis je suis allée sur https://www.kernel.org/ et j'ai récupéré :

Stable 4.3.4

J'ai tout téléchargé dans mon dossier /download/ puis j'ai décompressé les fichiers .tar.gz. Ensuite, ça m'a donné un dossier /linux-4.3.4/ ainsi qu'un dossier /gradmin/ plus le patch "grsecurity-3.1-4.3.4-201601231215.patch". J'ai déplacé tout ça dans /usr/src/ et j'ai conservé les archives dans mon dossier /download/ (à détruire plus tard).

J'ai fait les commandes suivantes (comme indiqué dans la documentation de Grsecurity)

cd /usr/src/linux-4.3.4/
sudo patch -p1 < ../grsecurity-3.1-4.3.4-201601231215.patch

Ça a bien patché le kernel. J'ai donc fait la commande suivante depuis /usr/src/linux-4.3.4/ :

sudo make menuconfig

Et comme indiqué dans la documentation, je dois me baser sur les messages d'erreur pour installer les packages ou librairies manquantes soit, ce que me retourne Konsole :

sabina@sabina-PC:/usr/src/linux-4.3.4$ sudo make menuconfig
  HOSTCC  scripts/kconfig/mconf.o
In file included from scripts/kconfig/mconf.c:23:0:
scripts/kconfig/lxdialog/dialog.h:38:20: fatal error: curses.h: Aucun fichier ou dossier de ce type
 #include CURSES_LOC
                    ^
compilation terminated.
make[1]: *** [scripts/kconfig/mconf.o] Erreur 1
make: *** [menuconfig] Erreur 2
sabina@sabina-PC:/usr/src/linux-4.3.4$

Est-ce que ça vous dit quelque chose ? Merci d'avance !

-----------------------------

J'ai avancé d'un pas. J'ai fait :

sudo apt-get install libncurses5 libncurses5-dev

Puis de nouveau

cd /usr/src/linux-4.3.4/
sudo make menuconfig

Et j'ai accès au menu de configuration. Je reviendrais plus tard !

Dernière modification par Sabina75 (Le 30/01/2016, à 11:50)

Sabina75 · Le 26/01/2016, à 00:12

Je n'ai rien touché au menu de configuration du kernel, ça semblait correspondre à ma configuration. J'ai validé tel quel, "save" puis "exit". Ensuite, j'ai fait :

sudo apt-get install bison
sudo apt-get install flex

puis je me suis occupée de /gradm/ :

cd /usr/src/gradm/
sudo make
sudo make install

J'ai bien un dossier /etc/grsec/ avec 2 fichiers à l'intérieur qui se sont créés. Je peux effectivement lancer :

gradm --help

Si ça n'explose pas entre temps, je reviens !

Dernière modification par Sabina75 (Le 26/01/2016, à 00:15)

Sabina75 · Le 26/01/2016, à 01:03

Suite !

Voici où je bloque. Je vais dans le dossier /usr/src/linux-4.3.4/ pour faire :

sabina@sabina-PC:/usr/src/linux-4.3.4$ sudo make deb-pkg
scripts/kconfig/conf  --silentoldconfig Kconfig
  CHK     include/config/kernel.release
make clean
  TAR     linux-4.3.4-grsec.tar.gz
make KBUILD_SRC=
Makefile:687: *** Your gcc installation does not support plugins.  If the necessary headers for plugin support are missing, they should be installed.  On Debian, apt-get install gcc-<ver>-plugin-dev.  If you choose to ignore this error and lessen the improvements provided by this patch, re-run make with the DISABLE_PAX_PLUGINS=y argument.. Arrêt.
make[1]: *** [deb-pkg] Erreur 2
make: *** [deb-pkg] Erreur 2
sabina@sabina-PC:/usr/src/linux-4.3.4$

Et là, il me pond un fichier .tar.gz à la place d'un fichier .deb. Pourtant, j'ai bien build-essential d'installé. Si quelqu'un a une idée ?

Merci d'avance !

smokeh · Le 26/01/2016, à 01:09

même ce paquet ?: gcc-4.6-plugin-dev

apt-cache search gcc

te donne une liste des paquets dispo pour ta distribution...

Sabina75 · Le 26/01/2016, à 11:11

Merci ! J'ai essayé d'installer le plugin, mais ça n'a pas changé le problème. Du coup, j'ai installé tout ça :

sudo apt-get install fakeroot build-essential
asudo pt-get install crash kexec-tools makedumpfile kernel-wedge
sudo apt-get build-dep linux-image-$(uname -r)
sudo apt-get install git libncurses5 libncurses5-dev libnewt-dev

Et je vais voir ce que ça donne.

Sabina75 · Le 27/01/2016, à 13:48

Bon là, je bloque, donc je bascule sur la manière de compiler un kernel classique de kernel.org (puisque c'est le cas) :

https://doc.ubuntu-fr.org/tutoriel/comm … kernel.org

Quand ça marchera, je ferais un tuto, probablement ici en éditant le message de départ, pour ne garder que les étapes nécessaires, pas les tâtonnements.

Compte anonymisé · Le 28/01/2016, à 09:29

Yep!
Dans ce monde idyllique, un marasme prégnant cohabite, comme d'habitude : http://www.numerama.com/magazine/34029- … rture.html

Grsecurity est sensé rendre les failles du Kernel inexploitables, c'est bien cela...?

bruno · Le 29/01/2016, à 09:55

Oui, c'est pas gagné, vu que la version stable n'est plus disponible publiquement…
Après grsecurity sur une machine de bureau, je ne vois vraiment pas l'intérêt, surtout au vu la complexité que cela ajoute…

Sabina75 · Le 29/01/2016, à 13:48

L'intérêt, c'est de tester. Déjà, rien qu'avec le peu que j'ai fait (je ne suis pas encore arrivée à l'installer), j'ai appris un paquet de truc. Du coup, j'ai installé le kernel 4.3.4 quand même, bon c'était facile ça, par contre, mais ça me permet de découvrir des trucs.

J'ai ma petite idée sur ce qui déconne, mais je verrais plus tard. Ça ne va pas s'envoler.

Et puis, peut-être qu'un jour, j'aurais à installer Grsecurity sur un parc complet ? Comme ça, je pourrais dire que je sais faire. Et pas seulement en regardant un tuto qui marche pas, mais bel et bien parce que j'ai compris de quoi il s'agissait et que je suis capable de m'adapter.

robindesbois · Le 29/01/2016, à 17:36

Sabina75 a écrit :

L'intérêt, c'est de tester. Déjà, rien qu'avec le peu que j'ai fait (je ne suis pas encore arrivée à l'installer), j'ai appris un paquet de truc. Du coup, j'ai installé le kernel 4.3.4 quand même, bon c'était facile ça, par contre, mais ça me permet de découvrir des trucs.
J'ai ma petite idée sur ce qui déconne, mais je verrais plus tard. Ça ne va pas s'envoler.
Et puis, peut-être qu'un jour, j'aurais à installer Grsecurity sur un parc complet ? Comme ça, je pourrais dire que je sais faire. Et pas seulement en regardant un tuto qui marche pas, mais bel et bien parce que j'ai compris de quoi il s'agissait et que je suis capable de m'adapter.

Plutôt rare les personnes chi cherchent "à comprendre", des trucs, complexes, je t'encourage, et si tu peux commencer à créer dans un fichier, les étapes exactes de ce que tu as dû faire sur ton SI pour mettre en place Grsecurity, ça pourrait en intéresser plus d'un.

Bref, continue. Pour toi, pour nous.

Sabina75 · Le 30/01/2016, à 01:06

J'ai installé "gcc-4.8-plugin-dev" à la place du 4.6. J'ai renouvelé l'opération et cette fois, il est en train de commpiler 4.3.4-grsec depuis une bonne dizaine de minutes. Il parait que c'est long, 2 ou 3 heures, donc je vous dirais demain si ça a fonctionné !

Sabina75 · Le 30/01/2016, à 09:02

C'est fait. Compilé et installé. Effectivement, il n'y avait que le plugin gcc-4.8 qui n'était pas installé, tout le reste était OK. Je mets au clair et je fais un mini tuto récapitulatif en tête de topic.

uname -a
Linux sabina-PC 4.3.4-grsec #1 SMP Sat Jan 30 03:10:15 CET 2016 i686 i686 i686 GNU/Linux

Sabina75 · Le 02/02/2016, à 10:35

Le noyau 4.3.5 est sorti. J'ai renouvelé l'opération en laissant la configuration par défaut : l'ordinateur n'a pas pu ouvrir de session bien qu'ayant démarré.

J'ai désinstallé puis j'ai repatché et recompilé en suivant la configuration Grsecurity et Pax de ce tuto :

http://www.insanitybit.com/2012/05/31/c … rsecurity/

Et tout fonctionne.

sabina@sabina-PC:~$ cat /proc/version
Linux version 4.3.5-grsec (root@sabina-PC) (gcc version 4.8.4 (Ubuntu 4.8.4-2ubuntu1~14.04) ) #1 SMP Tue Feb 2 04:40:45 CET 2016

Pour rebondir sur ce qui a été dit plus haut : Grsecurity conserve son patch "test" disponible pour, entre autres, des projets comme Arch Linux ou Hardened Gentoo. Donc, l'utilisateur lambda (non entreprise) peut utiliser Grsecurity et Pax comme ces projets, ce qui est plutôt pas mal. J'ai eu peur qu'il faille payer pour utiliser Grsecurity alors que ce n'est réservé qu'aux clients commerciaux et aux "correctifs de production".

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 25/01/2016, à 23:45

[Résolu + tuto] Grsecurity 3.1-4.3.4 sur Trusty Tahr, c'est parti !

#2 Le 25/01/2016, à 23:57

Re : [Résolu + tuto] Grsecurity 3.1-4.3.4 sur Trusty Tahr, c'est parti !

#3 Le 26/01/2016, à 00:12

Re : [Résolu + tuto] Grsecurity 3.1-4.3.4 sur Trusty Tahr, c'est parti !

#4 Le 26/01/2016, à 01:03

Re : [Résolu + tuto] Grsecurity 3.1-4.3.4 sur Trusty Tahr, c'est parti !

#5 Le 26/01/2016, à 01:09

Re : [Résolu + tuto] Grsecurity 3.1-4.3.4 sur Trusty Tahr, c'est parti !

#6 Le 26/01/2016, à 11:11

Re : [Résolu + tuto] Grsecurity 3.1-4.3.4 sur Trusty Tahr, c'est parti !

#7 Le 27/01/2016, à 13:48

Re : [Résolu + tuto] Grsecurity 3.1-4.3.4 sur Trusty Tahr, c'est parti !

#8 Le 28/01/2016, à 09:29

Re : [Résolu + tuto] Grsecurity 3.1-4.3.4 sur Trusty Tahr, c'est parti !

#9 Le 29/01/2016, à 09:55

Re : [Résolu + tuto] Grsecurity 3.1-4.3.4 sur Trusty Tahr, c'est parti !

#10 Le 29/01/2016, à 13:48

Re : [Résolu + tuto] Grsecurity 3.1-4.3.4 sur Trusty Tahr, c'est parti !

#11 Le 29/01/2016, à 17:36

Re : [Résolu + tuto] Grsecurity 3.1-4.3.4 sur Trusty Tahr, c'est parti !

#12 Le 30/01/2016, à 01:06

Re : [Résolu + tuto] Grsecurity 3.1-4.3.4 sur Trusty Tahr, c'est parti !

#13 Le 30/01/2016, à 09:02

Re : [Résolu + tuto] Grsecurity 3.1-4.3.4 sur Trusty Tahr, c'est parti !

#14 Le 02/02/2016, à 10:35

Re : [Résolu + tuto] Grsecurity 3.1-4.3.4 sur Trusty Tahr, c'est parti !

Pied de page des forums