Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc
#1 2014-01-09 17:31:07
bryn1u - 
Użytkownik
- bryn1u
- Użytkownik
- Zarejestrowany: 2009-04-17
Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc
Witam,
Zaczalem sie bawic troszke hardeningiem debiana, ale nie bardzo mi to wychodzi.
Dociagnalem dpkg-dev, zeby moc uzywac dpkg-buildflags. Dodalem:
Kod:
dpkg-buildflags: status: environment variable DEB_BUILD_MAINT_OPTIONS=hardening=+pie,+bindnow
Wyglada to tak:
Kod:
root@debian:/etc# dpkg-buildflags --status dpkg-buildflags: status: environment variable DEB_BUILD_MAINT_OPTIONS=hardening=+pie,+bindnow dpkg-buildflags: status: vendor is Debian [b]dpkg-buildflags: status: hardening features: bindnow=yes format=yes fortify=yes pie=yes relro=yes stackprotector=yes[/b] dpkg-buildflags: status: CFLAGS [vendor]: -g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security dpkg-buildflags: status: CPPFLAGS [vendor]: -D_FORTIFY_SOURCE=2 dpkg-buildflags: status: CXXFLAGS [vendor]: -g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security dpkg-buildflags: status: FFLAGS [vendor]: -g -O2 dpkg-buildflags: status: LDFLAGS [vendor]: -fPIE -pie -Wl,-z,relro -Wl,-z,now
I teraz chcialbym zbudowac paczki, albo przebudowac paczki istniejace juz w systemie z tymi opcjami co wyzej. Czy ktos moglby mi powiedziec jak mam to zrobic ? Czytalem min:
1) https://wiki.debian.org/Hardening#Using_Hardening_Options
2) https://wiki.debian.org/HardeningWalkthrough
3) http://manned.org/dpkg-buildflags/1b8cc664
Powiem, ze bicia, ze topornie mi to idzie. Jesl moglbym prosic o jakis przyklad uzycia dpkg-buildflags oraz jak przebudowac istniejace paczki z ustawionymi opcjami bylbym w 7 niebie :D
Z gory dziekuje,
Pozdrawiam,
Ostatnio edytowany przez bryn1u (2014-02-24 13:13:23)
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]
Offline
#2 2014-01-09 18:26:06
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc
Co prawda narzędzia już są, ale błogosławieństwa większości developerów nie zauważyłem na razie, w Debianie z hardeningiem robią absolutne minimum.
Poza tym jest to o tyle niepraktyczne, że nawet, jak coś potraktujesz takimi flagami (a obecnie nie jest) to i tak includuje biblioteki, które z tymi flagami wiele wspólnego nie mają, jeśli zaczniesz natomiast budować cały system, to będziesz to robił po kilka razy w miesiącu, bo przecież Debian ciągnie aktualizacje co dwa-trzy dni.
Generalnie, póki Developerzy nie zrobią wspólnie spójnego systemu hardened
z prawdziwego zdarzenia, to będzie 50 razy trudniej utrzymać taki system,
niż Gentoo Hardened.
Jak na razie z gotowymi paczusiami status hardened ma OpenBSD, kompilować możesz sobie Gentoo, nieźle w takich flagach wygląda Ubuntu,
inne dystrybucję pomalutku, bo flagi hardened potrafią powodować spore kłopoty.
Więc lepiej pobaw się Gentusiem i OpenBSD.
Ostatnio edytowany przez Jacekalex (2014-01-09 18:27:08)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2014-01-09 18:36:21
Yampress - Imperator
- Yampress
- Imperator
- Zarejestrowany: 2007-10-18
Re: Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc
Wróć do opena ;)
Offline
#4 2014-01-09 19:28:04
bryn1u - Użytkownik
- bryn1u
- Użytkownik
- Zarejestrowany: 2009-04-17
Re: Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc
[quote=Jacekalex]Co prawda narzędzia już są, ale błogosławieństwa większości developerów nie zauważyłem na razie, w Debianie z hardeningiem robią absolutne minimum.
Poza tym jest to o tyle niepraktyczne, że nawet, jak coś potraktujesz takimi flagami (a obecnie nie jest) to i tak includuje biblioteki, które z tymi flagami wiele wspólnego nie mają, jeśli zaczniesz natomiast budować cały system, to będziesz to robił po kilka razy w miesiącu, bo przecież Debian ciągnie aktualizacje co dwa-trzy dni.
Generalnie, póki Developerzy nie zrobią wspólnie spójnego systemu hardened
z prawdziwego zdarzenia, to będzie 50 razy trudniej utrzymać taki system,
niż Gentoo Hardened.
Jak na razie z gotowymi paczusiami status hardened ma OpenBSD, kompilować możesz sobie Gentoo, nieźle w takich flagach wygląda Ubuntu,
inne dystrybucję pomalutku, bo flagi hardened potrafią powodować spore kłopoty.
Więc lepiej pobaw się Gentusiem i OpenBSD.[/quote]
@jaceklex
No to mnie "zmotywowales". Gentusiem sie bawie/bawilem caly czasy, ale co chwile natykam sie na jakas opinie, ze nie warto stawiac tego na severze produkcyjny, szkoda czasu. Osobiscie nie mam nic przeciwko kompilacji bo kompiluje sie tylko raz.Na codzien uzywam freebsd/Jail/MAC i tam wszystkie porty tez kompiluje z ProPolice. Ale chcialbym jakiegos linuxa, wlasnie interesuje mnie cos takiego jak gentoo.
@Yampress
Opena mam zamiar dalej praktykowac, ale narazie na serverze jest FreeBSD 9.2 a z tego co czytam to w 10 wchodza dodatkowe mechanizmy zabezpieczen wl/wy by sysctl np: sandbox :) wiec robi sie ciekawie coraz bardziej. Po drugie Opena nie maja :D
Ostatnio edytowany przez bryn1u (2014-01-09 19:42:09)
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]
Offline
#5 2014-01-09 22:02:05
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc
No to mnie "zmotywowales". Gentusiem sie bawie/bawilem caly czasy, ale co chwile natykam sie na jakas opinie, ze nie warto stawiac tego na severze produkcyjny, szkoda czasu. Osobiscie nie mam nic przeciwko kompilacji bo kompiluje sie tylko raz.Na codzien uzywam freebsd/Jail/MAC i tam wszystkie porty tez kompiluje z ProPolice. Ale chcialbym jakiegos linuxa, wlasnie interesuje mnie cos takiego jak gentoo.[/quote]
Spróbuj u kogoś, kto się reklamuje jako pro administrator zamówić serwer na Gentoo z grsec/pax, to zobaczysz na własne oczy, skąd są takie opinie.
Dominjąca opinia brzmi DEBIAN WYSTARCZY!!!!!!, po co jakieś Grseci, ACLe i podobne bzdury.
Co dziesiąty taki administrator wie o istnieniu Selinuxa, ale jak kiedyś robiłem w firmie, gdzie szef chciał takiego znajomego hiper-pro-admina zatrudnić, i taki na hasło Gentoo Hardened zaczął pieprzyć mnie o zaletach Debiana Squeeze, to zapytałem, jaki system bezpieczeństwa MAC ACL proponuje, bo słyszałem, ze na serwerach jest coś takiego.
Powiedział dupek, że Debian ma Selinuxa, i to wystarczy, na co dostał zamówienie na Debiana zabezpieczonego Selinuxem w trybie strict.
To było w 2010 roku, dupek do dzisiaj "konfiguruje" ten serwer.
Pecha miał, bo stanęło na tym, ze on jest mega pro -to postawi, a ja sprawdzę, czy dobrze postawione.
W rezultacie po kilku miechach czekając na sprawdzenie, sklep wylądował chwilowo na home, a serwera dalej brak.
Pamiętaj, że dla 99% adminów tylko taki system się nadaje na serwer,
jaki postawisz w ciągu 20 minut, bez żadnej specjalnej wiedzy tajemnej ani ekstra doświadczenia, z piwkiem w ręku.
Debian hardened? tu piłka jest po stronie developerów, takiego systemu bez rewolucji w konfiguracji nawet normalnie nie zaktualizujesz, jeśli stoi samoistnie.
Musisz wtedy na bieżąco budować paczki w domu, i wrzucać na maszyny produkcyjne.
W takiej sytuacji Gentoo jest po prostu łatwiejsze, bo ma solidne wsparcie ze strony Devów, zarówno Teamu Hardened z Gentoo, jak i na forum Grsec, gdzie każdy problem jest załatwiany w ciągu 48 godzin.
A jakby jakaś wersja jakiegoś ważnego programu się rypnął, to w Gentoo zawsze jest kilka wersji pod ręką, w Debianie to takie banalne nie jest.
Pozdro
;-)Ostatnio edytowany przez Jacekalex (2014-01-09 22:03:39)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#6 2014-01-09 22:21:20
bryn1u - Użytkownik
- bryn1u
- Użytkownik
- Zarejestrowany: 2009-04-17
Re: Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc
Leci instalacja gentoo-hardened :)
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]
Offline
#7 2014-02-24 13:13:09
bryn1u - Użytkownik
- bryn1u
- Użytkownik
- Zarejestrowany: 2009-04-17
Re: Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc
Jednak chcialbym uzyc do tego celu debiana i sprobowac to przekompilowac tymi flagami, tylko za bardzo nie wiem jak sie do tego zabrac, ktos moze pomoc ? Tak zawiasem pytajac co to jest debian/rules ? Probuje sie "wczytac", ale nic konkretnego mi na mysl nie przychodzi.
Pzdr,
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]
Offline
#8 2014-02-24 13:20:22
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc
[quote=bryn1u]Jednak chcialbym uzyc do tego celu debiana i sprobowac to przekompilowac tymi flagami, tylko za bardzo nie wiem jak sie do tego zabrac, ktos moze pomoc ? [b]Tak zawiasem pytajac co to jest debian/rules ? Probuje sie "wczytac", ale nic konkretnego mi na mysl nie przychodzi.[/b]
Pzdr,[/quote]
To zestaw reguł, dzięki którym dpkg wie, jak zbudować paczki deb programu.
Zajrzyj z łaski swojej do podręcznika developerów Debiana, tam masz wszystko wyjaśnione.
Sznurek:
http://www.debian.org/doc/devel-manuals.pl.html
Pozdro
;-)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#9 2014-02-24 14:00:51
Yampress - Imperator
- Yampress
- Imperator
- Zarejestrowany: 2007-10-18
Re: Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc
Debian Developers Reference https://www.debian.org/doc/manuals/developers-reference/
Ostatnio edytowany przez Yampress (2014-02-24 14:01:07)
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00015 | SET CHARSET latin2 |
| 0.00006 | SET NAMES latin2 |
| 0.00115 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.149.234.50' WHERE u.id=1 |
| 0.00104 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.149.234.50', 1732848604) |
| 0.00071 | SELECT * FROM punbb_online WHERE logged<1732848304 |
| 0.00119 | SELECT topic_id FROM punbb_posts WHERE id=251123 |
| 0.00007 | SELECT id FROM punbb_posts WHERE topic_id=24964 ORDER BY posted |
| 0.00098 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24964 AND t.moved_to IS NULL |
| 0.00007 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00248 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24964 ORDER BY p.id LIMIT 0,25 |
| 0.00192 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24964 |
| Total query time: 0.00982 s | |