Forum Debian Users Gang

bryn1u · 2014-01-09 17:31:07

Witam,

Zaczalem sie bawic troszke hardeningiem debiana, ale nie bardzo mi to wychodzi.

Dociagnalem dpkg-dev, zeby moc uzywac dpkg-buildflags. Dodalem:

Kod:

dpkg-buildflags: status: environment variable DEB_BUILD_MAINT_OPTIONS=hardening=+pie,+bindnow

Wyglada to tak:

Kod:

root@debian:/etc# dpkg-buildflags --status
dpkg-buildflags: status: environment variable DEB_BUILD_MAINT_OPTIONS=hardening=+pie,+bindnow
dpkg-buildflags: status: vendor is Debian
[b]dpkg-buildflags: status: hardening features: bindnow=yes format=yes fortify=yes pie=yes relro=yes stackprotector=yes[/b]
dpkg-buildflags: status: CFLAGS [vendor]: -g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security
dpkg-buildflags: status: CPPFLAGS [vendor]: -D_FORTIFY_SOURCE=2
dpkg-buildflags: status: CXXFLAGS [vendor]: -g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security
dpkg-buildflags: status: FFLAGS [vendor]: -g -O2
dpkg-buildflags: status: LDFLAGS [vendor]: -fPIE -pie -Wl,-z,relro -Wl,-z,now

I teraz chcialbym zbudowac paczki, albo przebudowac paczki istniejace juz w systemie z tymi opcjami co wyzej. Czy ktos moglby mi powiedziec jak mam to zrobic ? Czytalem min:
1) https://wiki.debian.org/Hardening#Using_Hardening_Options
2) https://wiki.debian.org/HardeningWalkthrough
3) http://manned.org/dpkg-buildflags/1b8cc664

Powiem, ze bicia, ze topornie mi to idzie. Jesl moglbym prosic o jakis przyklad uzycia dpkg-buildflags oraz jak przebudowac istniejace paczki z ustawionymi opcjami bylbym w 7 niebie :D

Z gory dziekuje,
Pozdrawiam,

Ostatnio edytowany przez bryn1u (2014-02-24 13:13:23)

Jacekalex · 2014-01-09 18:26:06

Co prawda narzędzia już są, ale błogosławieństwa większości developerów nie zauważyłem na razie, w Debianie z hardeningiem robią absolutne minimum.

Poza tym jest to o tyle niepraktyczne, że nawet, jak coś potraktujesz takimi flagami (a obecnie nie jest) to i tak includuje biblioteki, które z tymi flagami wiele wspólnego nie mają, jeśli zaczniesz natomiast budować cały system, to będziesz to robił po kilka razy w miesiącu, bo przecież Debian ciągnie aktualizacje co dwa-trzy dni.

Generalnie, póki Developerzy nie zrobią wspólnie spójnego systemu hardened
z prawdziwego zdarzenia, to będzie 50 razy trudniej utrzymać taki system,
niż Gentoo Hardened.

Jak na razie z gotowymi paczusiami status hardened ma OpenBSD, kompilować możesz sobie Gentoo, nieźle w takich flagach wygląda Ubuntu,
inne dystrybucję pomalutku, bo flagi hardened potrafią powodować spore kłopoty.

Więc lepiej pobaw się Gentusiem i OpenBSD.

Ostatnio edytowany przez Jacekalex (2014-01-09 18:27:08)

Yampress · 2014-01-09 18:36:21

Wróć do opena ;)

bryn1u · 2014-01-09 19:28:04

[quote=Jacekalex]Co prawda narzędzia już są, ale błogosławieństwa większości developerów nie zauważyłem na razie, w Debianie z hardeningiem robią absolutne minimum.

Poza tym jest to o tyle niepraktyczne, że nawet, jak coś potraktujesz takimi flagami (a obecnie nie jest) to i tak includuje biblioteki, które z tymi flagami wiele wspólnego nie mają, jeśli zaczniesz natomiast budować cały system, to będziesz to robił po kilka razy w miesiącu, bo przecież Debian ciągnie aktualizacje co dwa-trzy dni.

Generalnie, póki Developerzy nie zrobią wspólnie spójnego systemu hardened
z prawdziwego zdarzenia, to będzie 50 razy trudniej utrzymać taki system,
niż Gentoo Hardened.

Jak na razie z gotowymi paczusiami status hardened ma OpenBSD, kompilować możesz sobie Gentoo, nieźle w takich flagach wygląda Ubuntu,
inne dystrybucję pomalutku, bo flagi hardened potrafią powodować spore kłopoty.

Więc lepiej pobaw się Gentusiem i OpenBSD.[/quote]
@jaceklex

No to mnie "zmotywowales". Gentusiem sie bawie/bawilem caly czasy, ale co chwile natykam sie na jakas opinie, ze nie warto stawiac tego na severze produkcyjny, szkoda czasu. Osobiscie nie mam nic przeciwko kompilacji bo kompiluje sie tylko raz.Na codzien uzywam freebsd/Jail/MAC i tam wszystkie porty tez kompiluje z ProPolice. Ale chcialbym jakiegos linuxa, wlasnie interesuje mnie cos takiego jak gentoo.

@Yampress

Opena mam zamiar dalej praktykowac, ale narazie na serverze jest FreeBSD 9.2 a z tego co czytam to w 10 wchodza dodatkowe mechanizmy zabezpieczen wl/wy by sysctl np: sandbox :) wiec robi sie ciekawie coraz bardziej. Po drugie Opena nie maja :D

Ostatnio edytowany przez bryn1u (2014-01-09 19:42:09)

Jacekalex · 2014-01-09 22:02:05

No to mnie "zmotywowales". Gentusiem sie bawie/bawilem caly czasy, ale co chwile natykam sie na jakas opinie, ze nie warto stawiac tego na severze produkcyjny, szkoda czasu. Osobiscie nie mam nic przeciwko kompilacji bo kompiluje sie tylko raz.Na codzien uzywam freebsd/Jail/MAC i tam wszystkie porty tez kompiluje z ProPolice. Ale chcialbym jakiegos linuxa, wlasnie interesuje mnie cos takiego jak gentoo.[/quote]
Spróbuj u kogoś, kto się reklamuje jako pro administrator zamówić serwer na Gentoo z grsec/pax, to zobaczysz na własne oczy, skąd są takie opinie.
Dominjąca opinia brzmi DEBIAN WYSTARCZY!!!!!!, po co jakieś Grseci, ACLe i podobne bzdury.
Co dziesiąty taki administrator wie o istnieniu Selinuxa, ale jak kiedyś robiłem w firmie, gdzie szef chciał takiego znajomego hiper-pro-admina zatrudnić, i taki na hasło Gentoo Hardened zaczął pieprzyć mnie o zaletach Debiana Squeeze, to zapytałem, jaki system bezpieczeństwa MAC ACL proponuje, bo słyszałem, ze na serwerach jest coś takiego.
Powiedział dupek, że Debian ma Selinuxa, i to wystarczy, na co dostał zamówienie na Debiana zabezpieczonego Selinuxem w trybie strict.
To było w 2010 roku, dupek do dzisiaj "konfiguruje" ten serwer.

Pecha miał, bo stanęło na tym, ze on jest mega pro -to postawi, a ja sprawdzę, czy dobrze postawione.
W rezultacie po kilku miechach czekając na sprawdzenie, sklep wylądował chwilowo na home, a serwera dalej brak.

Pamiętaj, że dla 99% adminów tylko taki system się nadaje na serwer,
jaki postawisz w ciągu 20 minut, bez żadnej specjalnej wiedzy tajemnej ani ekstra doświadczenia, z piwkiem w ręku.

Debian hardened? tu piłka jest po stronie developerów, takiego systemu bez rewolucji w konfiguracji nawet normalnie nie zaktualizujesz, jeśli stoi samoistnie.
Musisz wtedy na bieżąco budować paczki w domu, i wrzucać na maszyny produkcyjne.

W takiej sytuacji Gentoo jest po prostu łatwiejsze, bo ma solidne wsparcie ze strony Devów, zarówno Teamu Hardened z Gentoo, jak i na forum Grsec, gdzie każdy problem jest załatwiany w ciągu 48 godzin.

A jakby jakaś wersja jakiegoś ważnego programu się rypnął, to w Gentoo zawsze jest kilka wersji pod ręką, w Debianie to takie banalne nie jest.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2014-01-09 22:03:39)

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)

Time (s)	Query
0.00015	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00127	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.16.82.208' WHERE u.id=1
0.00081	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.16.82.208', 1732848937)
0.00043	SELECT * FROM punbb_online WHERE logged<1732848637
0.00098	DELETE FROM punbb_online WHERE ident='52.15.170.196'
0.00083	SELECT topic_id FROM punbb_posts WHERE id=258283
0.00012	SELECT id FROM punbb_posts WHERE topic_id=24964 ORDER BY posted
0.00061	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24964 AND t.moved_to IS NULL
0.00021	SELECT search_for, replace_with FROM punbb_censoring
0.00251	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24964 ORDER BY p.id LIMIT 0,25
0.00195	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24964
Total query time: 0.00991 s

Forum Debian Users Gang

Ogłoszenie

#1 2014-01-09 17:31:07

bryn1u - Użytkownik

Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc

Kod:

Kod:

#2 2014-01-09 18:26:06

Jacekalex - Podobno człowiek...;)

Re: Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc

#3 2014-01-09 18:36:21

Yampress - Imperator

Re: Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc

#4 2014-01-09 19:28:04

bryn1u - Użytkownik

Re: Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc

#5 2014-01-09 22:02:05

Jacekalex - Podobno człowiek...;)

Re: Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc

#6 2014-01-09 22:21:20

bryn1u - Użytkownik

Re: Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc

#7 2014-02-24 13:13:09

bryn1u - Użytkownik

Re: Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc

#8 2014-02-24 13:20:22

Jacekalex - Podobno człowiek...;)

Re: Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc

#9 2014-02-24 14:00:51

Yampress - Imperator

Re: Hardening Debian 7 dpkg-buildflags - pie, stackprotector, etc

Stopka forum

Informacje debugowania