Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2015-09-02 14:46:26

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Instalacja Grsecurity wraz z Selinux'em

Hej,

Postawilem Centos 7.1. Skompilowalem jajko z grsec, zaznaczyalem opcje SeLinux w configu, ale

Kod:

[root@proton ~]# getenforce
Disabled
[root@proton ~]# setenforce 1
setenforce: SELinux is disabled

Kod:

[root@proton ~]# cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Kod:

[root@proton ~]# uname -a
Linux proton.edu.pl 4.1.6-grsec-xxxx-std-ipv6-64-hz1000 #1 SMP Wed Sep 2 11:51:23 CEST 2015 x86_64 x86_64 x86_64 GNU/Linux

[url=https://imageshack.com/i/ip4MioSPj][img]http://imagizer.imageshack.us/v2/xq90/673/4MioSP.jpg[/img][/url]

Tego tez nie rozumiem

Kod:

[root@proton linux]# cat .config | grep SELinux
[root@proton linux]# cat .config | grep Linux
# Linux/x86 4.1.6 Kernel Configuration
[root@proton linux]# cat .config | grep NSA
[root@proton linux]#

Ktos wie jak to pogodzic.

Pzdr,


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#2  2015-09-02 14:57:28

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Instalacja Grsecurity wraz z Selinux'em

2180

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:23:02)

Offline

 

#3  2015-09-02 15:53:04

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Instalacja Grsecurity wraz z Selinux'em

Kod:

[root@proton linux]# cat .config | grep -i selinux
CONFIG_SECURITY_SELINUX=y
CONFIG_SECURITY_SELINUX_BOOTPARAM=y
CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=1
# CONFIG_SECURITY_SELINUX_DISABLE is not set
CONFIG_SECURITY_SELINUX_DEVELOP=y
CONFIG_SECURITY_SELINUX_AVC_STATS=y
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1
CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX=y
CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX_VALUE=19
# CONFIG_DEFAULT_SECURITY_SELINUX is not set

Niby wszystko jest, ale nie ma.


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#4  2015-09-02 16:14:11

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Instalacja Grsecurity wraz z Selinux'em

2181

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:23:03)

Offline

 

#5  2015-09-02 17:27:23

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Instalacja Grsecurity wraz z Selinux'em

Kod:

# CONFIG_DEFAULT_SECURITY_SELINUX is not set

[/quote]
Pokaż wynik:

Kod:

cat /proc/cmdline

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2015-09-02 17:44:08

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Instalacja Grsecurity wraz z Selinux'em

Kod:

cat /proc/cmdline
BOOT_IMAGE=/boot/vmlinuz-4.1.6-grsec-xxxx-std-ipv6-64-hz1000 root=/dev/sda1 ro net.ifnames=0 LANG=en_US.UTF-8

Jakbym pogodzil grsec i selinuxa to juz bym byl chyba w 7 niebie !

Ostatnio edytowany przez bryn1u (2015-09-02 17:48:45)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#7  2015-09-02 18:31:54

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Instalacja Grsecurity wraz z Selinux'em

Dodaj do cmdline:

Kod:

security=selinux  selinux=1

Powinno radykalnie pomóc.

PS.
W 7 niebie to będziesz, jak się SELinux nie skicha z powodu Grsec/Paxa,
a system ruszy na PAX_MPROTECT.

Ostatnio edytowany przez Jacekalex (2015-09-02 18:34:34)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2015-09-02 22:41:45

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Instalacja Grsecurity wraz z Selinux'em

i juz nie wstal :(


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#9  2015-09-02 23:00:32

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Instalacja Grsecurity wraz z Selinux'em

To samo, co w Debianie Squeeze, włączenie SELinuxa, dwukrotne markowanie wszystkich plików, reboot, i czarna konsola, bo SELinux w trybie targeted ubił proces /sbin/init, na dystrybucyjnym jaju bez Grseca.

Ale zdawało mi się, że CentOS ma Selinuxa włączonego i skonfigurowanego domyślnie. :D

To teraz  zabawa z logami AVC i czary z debugerem, jak SELinux czegoś nie zaloguje.

Jak dotąd, Grsec, Pax  i Selinux udało mi się ożenić tylko na Gentusiu,
a było z tym ze 2 tygodnie gimnastyki za pierwszym razem. ;P

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-09-03 03:09:29)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#10  2015-09-04 18:12:35

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Instalacja Grsecurity wraz z Selinux'em

selinux z PAX może działać
selinux z grsecurity zajmują się tym samym, a więc kolidują ze sobą.

Offline

 

#11  2015-09-04 18:21:58

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Instalacja Grsecurity wraz z Selinux'em

selinux z grsecurity zajmują się tym samym, a więc kolidują ze sobą.[/quote]
Niezupełnie tym samym, Grsecurity to kilka różnych technik, w których RBAC (ACL) to jeden z modułów używanych opcjonalnie.
Selinux to praktycznie wyłącznie ACL, chociaż rozbudowany do granic korpoabsurdu.

Jak pierwszy raz zobaczyłem oznaczanie pakietów sieciowych przez firewall w tablicy SECURITY, żeby miały prawidłowe konteksty selinuxa,
to myślałem, że ktoś spadł na głowę z diabelnie wysokiego budynku.
RBAC w Grsec po prostu pozwala albo nie pozwala wisieć demonowi na określonym porcie, i gotowe.
W standardowym Linuxie jest od tego mechanizm CAPABILITIES albo Cgroup.

System, który nie wstaje po włączeniu selinuxa przez cmdline, na 99,9 % ma problem z jakąś binarką, która się pogryzła wlaśnie z paxem, albo zablokowany dostęp do /dev/mem, /dev/kmem lub /dev/port, albo jakaś z innych technik może bruździć, np HARDEN_IPC

W każdym razie, póki nie włączysz w Grsecu RBAC, to nie powinno być kłopotu z Selinuxe.

[b]@bryn1u[/b]
Odpal SELinuxa w trybie Permisive, i dopiero po starcie włącz przez setenforce, a potem zobacz w logach Grsec i Selinuxa, co się dokładnie dzieje.

Ostatnio edytowany przez Jacekalex (2015-09-04 18:28:25)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.009 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00015 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00115 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.117.94.77' WHERE u.id=1
0.00062 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.117.94.77', 1732461510)
0.00047 SELECT * FROM punbb_online WHERE logged<1732461210
0.00062 SELECT topic_id FROM punbb_posts WHERE id=290257
0.00007 SELECT id FROM punbb_posts WHERE topic_id=27683 ORDER BY posted
0.00083 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27683 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00164 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27683 ORDER BY p.id LIMIT 0,25
0.00083 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27683
Total query time: 0.00648 s