Grsecurity nin patchlenmesi

Bu yazıda geçenler tüm redhat familyasına sorunsuz şekilde uygulanabilir
Grsecurity:Kernel seviyesinde uygulanan güvenliği arttırmak için bir çok yama ve seçenekten oluşmaktadır.Sadece kernel i sağlamlaştırmakla kalmayıp olabilicek açıklara karşı sistemi korumaktadır grsecurity 3 aşamadan oluşur tanımlama bildirme ve önleme.Bu yazı genel olarak sunucular için hazırlanmıştır ev kullanıcılarının kernellerini grsecurity ile patchlemeleri çok gerekli değildir.

Grsecurity nin Genel Özellikleri Şunlardır.

* Role-Based Access Control
* User, group, and special roles
* Domain support for users and groups
* Role transition tables
* IP-based roles
* Non-root access to special roles
* Special roles that require no authentication
* Nested subjects
* Variable support in configuration
* And, or, and difference set operations on variables in configuration
* Object mode that controls the creation of setuid and setgid files
* Create and delete object modes
* Kernel interpretation of inheritance
* Real-time regular-expression resolution
* Ability to deny ptraces to specific processes
* User and group transition checking and enforcement on an inclusive or exclusive basis
* /dev/grsec entry for kernel authentication and learning logs
* Next-generation code that produces least-privilege policies for the entire system with no configuration
* Policy statistics for gradm
* Inheritance-based learning
* Learning configuration file that allows the administrator to enable inheritance-based learning or disable learning on specific paths
* Full pathnames for offending process and parent process
* RBAC status function for gradm
* /proc/<pid>/ipaddr gives the remote address of the person who started a given process
* Secure policy enforcement
* Supports read, write, append, execute, view, and read-only ptrace object permissions
* Supports hide, protect, and override subject flags
* Supports the PaX flags
* Shared memory protection feature
* Integrated local attack response on all alerts
* Subject flag that ensures a process can never execute trojaned code
* Full-featured fine-grained auditing
* Resource, socket, and capability support
* Protection against exploit bruteforcing
* /proc/pid filedescriptor/memory protection
* Rules can be placed on non-existent files/processes
* Policy regeneration on subjects and objects
* Configurable log suppression
* Configurable process accounting
* Human-readable configuration
* Not filesystem or architecture dependent
* Scales well: supports as many policies as memory can handle with the same performance hit
* No runtime memory allocation
* SMP safe
* O(1) time efficiency for most operations
* Include directive for specifying additional policies
* Enable, disable, reload capabilities
* Option to hide kernel processes

Chroot restrictions

* No attaching shared memory outside of chroot
* No kill outside of chroot
* No ptrace outside of chroot (architecture independent)
* No capget outside of chroot
* No setpgid outside of chroot
* No getpgid outside of chroot
* No getsid outside of chroot
* No sending of signals by fcntl outside of chroot
* No viewing of any process outside of chroot, even if /proc is mounted
* No mounting or remounting
* No pivot_root
* No double chroot
* No fchdir out of chroot
* Enforced chdir(”/”) upon chroot
* No (f)chmod +s
* No mknod
* No sysctl writes
* No raising of scheduler priority
* No connecting to abstract unix domain sockets outside of chroot
* Removal of harmful privileges via capabilities
* Exec logging within chroot

Address space modification protection

* PaX: Page-based implementation of non-executable user pages for i386, sparc, sparc64, alpha, parisc, amd64, ia64, and ppc; negligible performance hit on all i386 CPUs but Pentium 4
* PaX: Segmentation-based implementation of non-executable user pages for i386 with no performance hit
* PaX: Segmentation-based implementation of non-executable KERNEL pages for i386
* PaX: Mprotect restrictions prevent new code from entering a task
* PaX: Randomization of stack and mmap base for i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc, and mips
* PaX: Randomization of heap base for i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc, and mips
* PaX: Randomization of executable base for i386, sparc, sparc64, alpha, parisc, amd64, ia64, and ppc
* PaX: Randomization of kernel stack
* PaX: Automatically emulate sigreturn trampolines (for libc5, glibc 2.0, uClibc, Modula-3 compatibility)
* PaX: No ELF .text relocations
* PaX: Trampoline emulation (GCC and linux sigreturn)
* PaX: PLT emulation for non-i386 archs
* No kernel modification via /dev/mem, /dev/kmem, or /dev/port
* Option to disable use of raw I/O
* Removal of addresses from /proc/<pid>/[maps|stat]

Auditing features

* Option to specify single group to audit
* Exec logging with arguments
* Denied resource logging
* Chdir logging
* Mount and unmount logging
* IPC creation/removal logging
* Signal logging
* Failed fork logging
* Time change logging

Randomization features

* Larger entropy pools
* Randomized PIDs
* Randomized TCP source ports

Other features

* /proc restrictions that don”t leak information about process owners
* Symlink/hardlink restrictions to prevent /tmp races
* FIFO restrictions
* Dmesg(8) restriction
* Enhanced implementation of Trusted Path Execution
* GID-based socket restrictions
* Nearly all options are sysctl-tunable, with a locking mechanism
* All alerts and audits support a feature that logs the IP address of the attacker with the log
* Stream connections across unix domain sockets carry the attacker”s IP address with them (on 2.4 only)
* Detection of local connections: copies attacker”s IP address to the other task
* Automatic deterrence of exploit bruteforcing
* Low, Medium, High, and Custom security levels
* Tunable flood-time and burst for logging

2.4.x kernelden 2.6.x kernele çıkıcak olanlar module-init-tools u güncellemeliler bu işlem şu şekilde yapılıcaktır.

Kod:
cd /usr/local/src/
wget http://www.kernel.org/pub/linux/kernel/people/rusty/modules/old/module-init-tools-3.0.tar.gz
tar -zxf module-init-tools-3.0.tar.gz
cd module-init-tools-3.0
./configure –prefix=”"
make moveold
make install
./generate-modprobe.conf /etc/modprobe.conf
cd ..

Gerekli Paketlerin Yüklenmesi

-Gcc ve bağımlılıklarının yüklenmesi

Fedora ve Centos için

Kod:
yum install gcc

Redhat için

Kod:
up2date gcc

-ncurses-devel ın ve bağımlılıklarının yüklenmesi menuconfig kısmı için gerekli

Fedora ve Centos için

Kod:
yum install ncurses-devel

Redhat için

Kod:
up2date ncurses-devel

-Patch paketi ve bağımlılıklarının yüklenmesi

Fedora ve Centos için

Kod:
yum install patch

Redhat için

Kod:
up2date patch

Root Olarak Başlıyalım

Kerneli ve grsecurity patch ini indiriceğimiz dizine geçelim

Kod:
cd /usr/local/src

Kerneli çekelim

Kod:
wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.14.3.tar.bz2

Grsecurity yi çekelim

Kod:
http://www.grsecurity.org/grsecurity-2.1.7-2.6.14.3-200511291802.patch.gz

Kerneli açalım

Kod:
tar xvfj linux-2.6.14.3.tar.bz2

Grsecurity yi açalım

Kod:
gzip -d grsecurity-2.1.7-2.6.14.3-200511291802.patch.gz

Kerneli patchliyelim

Kod:
patch -p0 < ./grsecurity-2.1.7-2.6.14.3-200511291802.patch

Kernel kaynak kodunun bulunduğu klasöre girelim

Kod:
cd /usr/src/linux-2.6.14.3

Eski ayarları temizleyelim

Kod:
make mrproper

Konfigurasyon menusune geçelim

Kod:
make menuconfig

burada sisteminizin ihtiyaçlarınıza göre gerekli modülleri ekleyip çıkardıktan sonra en sonra Security Options kısmına geliyoruz

burda NSA SELinux Support kısmını kapatıyoruz yani yanındaki işaretini kaldırıyoruz sonra grsecurity menusune giriyoruz

Grsecurity Menusu

Security Level kısmına gelip custom u seçiyoruz genelde medium seçeğide bir çok sistemde çok rahat çalışacaktır ayar yapmak istemiyorsanız direk medium u seçip derlemeye başlayabilrisiniz high ı seçerseniz bir çok panelde sorun yaşatıcaktır özellikle cpanel ve directadmin de denediğim için söylüyorum logrotate olayı düzgün çalışmayacak ve stats programlarıda düzgün şekilde işlemeyecektir

Adress Space Protectionkısmına giriyoruz
bu bölümde şu 3 seçeği seçiyoruz
Deny writing to /dev/kmem, /dev/mem, and /dev/port
Hide kernel symbols
Disable privileged I/O

Eper x masaüstünü kullanıyorsanız Disable privileged I/O kısmını seçmeyin yoksa sisteminiz açılmayacaktır.

Role Based Access Control Options kısmını olduğu gibi bırakın
Filesystem Protections kısmına gelin burada şu seçenekleri seçin
*] Proc restrictions
Restrict /proc to user only
Additional restrictions
Linking restrictions
FIFO restrictions
Chroot jail restrictions
eğer ensim yada plesk kullanıyorsanız Chroot jail restirictions seçeneğini seçmeyin yoksa ensimin kendi chroot sisitemini bozacağı gibi plesk inde düzgün çalışmamasına neden olacaktır
Kernel Auduting kısmını olduğu gibi bırakın
Executable Protections kısmına gelin
Destroy unused shared memory
Dmesg(8) restriction
Randomized PIDs
Destroy unused shared memory
seçeneklerini seçin
Network Protections kısmına gelin
Larger entropy pools
Randomized TCP source ports
seçeneklerini seçin
Sysctl support ve logging options kısımlarını geçin sysctl support kısmında kernel ayarlarının özellikle yaptığınız grsecurity ayarlarının kerneli yeniden derlemeden değiştirmenizi sağlamaktadır.

şimdi kerneli derlemeye geçelim

sırasıyla aşğıdaki komutları verin eğer monolitnic yani modül desteği olmayan bir kernel hazırladıysanız herşeyi static olarak eklediyseniz make modules ve make modules_install kısımlarını atlayın

Kod:
make bzImage

Kod:
make modules

Kod:
make modules_install

ve son olarak initial ramdisk oluşturucaz eğer bnu oluşturmazda grsecurity ile beraber derlerseniz grsecurity ile patchlenmiş kernelle başlattığınızda alıcağınız hata şu olacaktır

Kod:
Kernel panic – not syncing vfs unable to mount root filesystem on unknown block gibi

initial ram disk oluşturuyoruz

Kod:
mkinitrd /boot/initrd-2.6.14.3-grsec.img 2.6.14.3

Kerneli kullanım için hazırlıyoruz

Kod:

cp .config /boot/config-2.6.14.3-grsec
cp arch/i386/boot/bzImage /boot/vmlinuz-2.6.14.3-grsec
cp System.map /boot/System.map-2.6.14.3-grsec
ln -s /boot/System.map-2.6.14.3-grsec /boot/System.map

/dev/mapper/control ile ilgili bir hata alırsanız bunu yapın

Kod:

rm -rf /boot/initrd-2.6.14.3-grsec.img
mkinitrd –omit-lvm-modules /boot/initrd-2.6.14.3-grsec.img 2.6.14.3

Bootloaderların ayarlanması LİLO , GRUB
sıra geldi bootloader ların ayarlanmasına ilk önce grub ile başlayalım

pico /etc/grub.conf yazarak ayar dosyasını açıyoruz

Kod:

# grub.conf generated by anaconda
#
# Note that you do not have to rerun grub after making changes to this file
# NOTICE:  You do not have a /boot partition.  This means that
#          all kernel and initrd paths are relative to /, eg.
#          root (hd1,0)
#          kernel /boot/vmlinuz-version ro root=/dev/hdb1
#          initrd /boot/initrd-version.img
#boot=/dev/hda
default=0
timeout=5
splashimage=(hd1,0)/boot/grub/splash.xpm.gz
hiddenmenu
title CentOS (2.6.9-22.0.1.EL)
root (hd1,0)
kernel /boot/vmlinuz-2.6.9-22.0.1.EL ro root=LABEL=/1 rhgb quiet
initrd /boot/initrd-2.6.9-22.0.1.EL.img

altına şunu ekliyoruz

Kod:
title CentOS (2.6.14.3-grsec)
root (hd1,0)
kernel /boot/vmlinuz-2.6.14.3-grsec ro root=LABEL=/1 rhgb quiet
initrd /boot/initrd-2.6.14.3-grsec.img

Eklendiğinde tümünün görünümü şu şekilde oluyoru

Kod:
# grub.conf generated by anaconda
#
# Note that you do not have to rerun grub after making changes to this file
# NOTICE:  You do not have a /boot partition.  This means that
#          all kernel and initrd paths are relative to /, eg.
#          root (hd1,0)
#          kernel /boot/vmlinuz-version ro root=/dev/hdb1
#          initrd /boot/initrd-version.img
#boot=/dev/hda
default=0
timeout=5
splashimage=(hd1,0)/boot/grub/splash.xpm.gz
hiddenmenu
title CentOS (2.6.9-22.0.1.EL)
root (hd1,0)
kernel /boot/vmlinuz-2.6.9-22.0.1.EL ro root=LABEL=/1 rhgb quiet
initrd /boot/initrd-2.6.9-22.0.1.EL.img
title CentOS (2.6.14.3-grsec)
root (hd1,0)
kernel /boot/vmlinuz-2.6.14.3-grsec ro root=LABEL=/1 rhgb quiet
initrd /boot/initrd-2.6.14.3-grsec.img

sonra grub yazıyoruz ve yeni kernelle 1 kere başlatmak üzetre ayarlıyoruz eğer düzgün başlarsa grub.conf ta default yazan değeri 1 yapıyorsunuz

Kod:
savedefault –default=1 –once
ve reboot atın

Lilo için ayarlanlası

Kod:
pico /etc/lilo.conf yazarka lilo konfigurasyon dosyasını açıyorsunuz

Kod:

prompt
timeout=50
default=2.4.21-32.0.1.E
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
message=/boot/message
lba32

image=/boot/vmlinuz-2.4.21-32.0.1.EL
label=linux
initrd=/boot/initrd-2.4.21-32.0.1.EL.img
read-only
append=”root=LABEL=/”

şu kıısmı ekliyoruz altına

Kod:

image=/boot/vmlinuz-2.6.14.3-grsec
label=linux
initrd=/boot/initrd-2.6.14.3.-grsec.img
read-only
append=”root=LABEL=/”

görünümü şu şekilde oluyor

Kod:
prompt
timeout=50
default=2.4.21-32.0.1.E
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
message=/boot/message
lba32

image=/boot/vmlinuz-2.4.21-32.0.1.EL
label=linux
initrd=/boot/initrd-2.4.21-32.0.1.EL.img
read-only
append=”root=LABEL=/”

image=/boot/vmlinuz-2.6.14.3-grsec
label=linux
initrd=/boot/initrd-2.6.14.3.-grsec.img
read-only
append=”root=LABEL=/”

ve yeni kernelle 1 kere boot edicek şekilde ayarlıyoruz

Kod:
lilo -v -v

Kod:
lilo -R 2.6.14.3.-grsec

eğer sorunsuz bir şekilde boot ederseniz gene lilo.conf u açıp default=2.4.21-32.0.1.E yazan kısımı default=2.6.14.3-grsec şeklinde değiştirip konsolda lilo -v -v komutunu vererek mbr ye kaydedin.