WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Linux, UNIX, Open Source (http://www.wcm.at/forum/forumdisplay.php?f=13)
-   -   grsecurity (http://www.wcm.at/forum/showthread.php?t=89613)

K@sperl 28.02.2003 15:37
grsecurity
 
Kennt jemand von euch grsecurity?
Ich möchte die Option nutzen, daß der Kernel die IP-IDs zufällig vergibt. Ich habe leider keine Doku gefunden und irgendwie weiß ich nicht so wirklich wie ich grsecurity installieren soll ...

citizen428 01.03.2003 11:55
In den von Gentoo Linux verwendeten Kernelsourcen (gentoo-sources) ist der grsecurity Patch inkludiert.

Eventuell sind die diversen Gentoo Mailinglisten oder das Forum ein guter Ort um nach diesbezüglichen Informationen zu suchen.

HTH
citizen428

SNo0py 01.03.2003 14:13
Re: grsecurity
 
Zitat:
Original geschrieben von Flanders
Kennt jemand von euch grsecurity?
Ich möchte die Option nutzen, daß der Kernel die IP-IDs zufällig vergibt. Ich habe leider keine Doku gefunden und irgendwie weiß ich nicht so wirklich wie ich grsecurity installieren soll ...
:D Hast du auch auf derstandard.at/web bzw. im c't den Bericht gelesen und mehrere Rechner in Betrieb??

Ich verwende (wie Citizen) Gentoo und da ist der Patch schon dabei...

mfg

K@sperl 01.03.2003 14:18
Ja, genau, das hab ich vom Standard ;)

Hab grade gesehen, daß bei Debian auch das grsecurity Packet dabei ist, allerdings ist das nicht im /usr/src/kernel Verzeichnis, sondern in /usr/src/kernel-patches aber ich denke wenn ich den Kernel kompilieren will, wird er das Packet nicht finden ... von dem abgesehen daß ich kein "make menuconfig" machen kann, weil da anscheinend "Ncurses" fehlt, obwohl libncurses installiert ist.

valo 01.03.2003 14:32
du musst noch ncurses-dev installieren, das hat a zeitl braucht bis ich da draufgekommen bin :D

dann kannst make menuconfig machen

K@sperl 01.03.2003 14:48
OK, danke valo, "make menuconfig" funktioniert
Aber ich weiß nicht wie ich den grsecurity patch einbinden kann ...

K@sperl 01.03.2003 17:58
Ich hab da noch was gefunden:
Code:
10.4 Vertragen sich die üblichen Kernel-Patches mit dem Debian-Kernel-Source?
Prinzipiell kann es immer zu Problemen kommen, die gängigen Patches funktionieren aber eigentlich alle. Eine Suche mit Google nach 'patchname debian' hilft dir eventuell weiter.
Ausserdem sind einige patches als Debian-Paket verfügbar und können mittels make-kpkg eingespielt werden. z.b. der freeswan patch:

    apt-get install kernel-patch-freeswan
    cd /usr/src/kernel-source-<version>
    make-kpkg clean
    export PATCH_THE_KERNEL=YES
    make-kpkg --added-patches=freeswan --revision=revision.1 kernel_image
Kann ich also zu einem bestehenden Image diesen grsecurity Patch einfach mit den vorher genannten Befehlen hinzufügen?

K@sperl 02.03.2003 00:10
Ich hab jetzt mal den Kernel mit
Code:
make-kpkg clean
export PATCH_THE_KERNEL=YES
make-kpkg --added-patches=grsecurity --revision=revision.1 kernel_image
neu kompiliert und es sollte bei /proc/sys/ ein Verzeichnis grsecurity aufscheinen, es ist aber nicht da. Warum hat das Patchen nicht funktioniert?

K@sperl 02.03.2003 00:40
So, nun das letzte Posting für heute :D
Lotussteve hat mich grad auf einen Artikel im Webstandard aufmerksam gemacht, da schreibt einer, das bei Linux ab Kernel 2.4
die IP-IDs sowieso zufällig generiert werden :rolleyes:

Lotussteve 02.03.2003 03:01
Zitat:
Original geschrieben von Flanders
Lotussteve hat mich grad auf einen Artikel im Webstandard aufmerksam gemacht, da schreibt einer, das bei Linux ab Kernel 2.4
die IP-IDs sowieso zufällig generiert werden :rolleyes:
Hallo!

...ich weiss nicht ob es nicht zu verstehen ist daß es nicht automatisch ist, das Posting lautet:

http://derstandard.at/?id=1220674

ipid ...
gluecklicherweise gehoert auch linux - zumindest ab dem 2.4er kernel - zu den betriebsystemen mit nicht mehr so trivial vorhersehbarer ipid's verwenden ...

(wen's genauer interessiert look @ net/ipv4/inetpeer.c in deinem linux-kernel source :)

mehr dazu & zu weiteren ipid-problemen etwa unter http://www.insecure.org/nmap/idlescan.html

just my 0.02¤


Ich habe keine Möglichkeit das zu testen, vielleicht kann ja wer Licht in die Sache bringen,danke!


Ciao,

Steve

K@sperl 02.03.2003 13:19
Anscheinend generiert Linux die IP-IDs doch nicht zufällig:
http://www.insecure.org/nmap/nmap-fi...g-article.html

Zitat:
IPID sampling -- Most operating systems increment a system-wide IPID
value for each packet they send. Others, such as OpenBSD, use a
random IPID and some systems (like Linux) use an IPID of 0 in
many cases where the "Don't Fragment" bit is not set. Windows
does not put the IPID in network byte order, so it increments by
256 for each packet. Nmap also has categories for constant,
random positive integral, and unknown sequence classes.
Predictable IPID sequences have important security consequences
beyond OS detection.


Alle Zeitangaben in WEZ +2. Es ist jetzt 16:41 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag