Re: GRSecurity в Debian

To: debian-russian@lists.debian.org
Subject: Re: GRSecurity в Debian
From: "Артём Н." <artiom14@yandex.ru>
Date: Tue, 12 Mar 2013 23:59:51 +0400
Message-id: <[🔎] 513F8937.7070801@yandex.ru>
In-reply-to: <[🔎] 513C7438.7030209@yandex.ru>
References: <[🔎] 513C7438.7030209@yandex.ru>

Пришлось отказаться от Pax. Причины тому: с PAX_MPROTECT не загружается KDE
(дальше "первого значка").
Это сильно уменьшает полезность PAX.
PAX_UDEREF и PAX_KERNEXEC также пришлось отключить, чтобы работали ВМ.
Не все программы корректно работают с рандомизацией АП и неисполняемыми
страницами по умолчанию работают, поэтому приходится часто применять paxctl.
Он изменяет ELF заголовок, потому все изменения будут потеряны при обновлении, а
ещё будет ругаться антируткит.
Драйвер видеокарты пришлось пропатчить и пересобрать вручную.
Из всех гипервизоров заработал только KVM+QEMU. VirtualBox пересобрал модуль
нормально, после издевательств запустился, но, при попытке что-то загрузить,
вывалился в "медитацию".
VmWare отказался пересобирать драйвера. Нашёл патч в интернетах, от которого
толку ноль (просто обход const, добавленного Pax для структур ядра).
Пропатчил модули VmWare вручную добавив pax_kernel_open(), по примеру драйвера
видеокарты.
Получилось нечто вроде такого
(/usr/lib/vmware/modules/nwsr/vmci-only/linux/driver.c):
   pax_open_kernel();
   *(void **)&vmuser_fops.owner = THIS_MODULE;
   *(void **)&vmuser_fops.poll = LinuxDriverPoll;
#ifdef HAVE_UNLOCKED_IOCTL
   *(void **)&vmuser_fops.unlocked_ioctl = LinuxDriver_UnlockedIoctl;
#else
   *(void **)&vmuser_fops.ioctl = LinuxDriver_Ioctl;
#endif
#ifdef HAVE_COMPAT_IOCTL
   *(void **)&vmuser_fops.compat_ioctl = LinuxDriver_UnlockedIoctl;
#endif
   *(void **)&vmuser_fops.open = LinuxDriver_Open;
   *(void **)&vmuser_fops.release = LinuxDriver_Close;
   pax_close_kernel();


VmWare скомпилировал модули, загрузил их и запустился, но, при попытке загрузки
ОС, просто перезагружал хост-систему. :-(
К тому же, чтобы запустить его от пользователя, надо было править запускающий
скрипт.
Слишком много телодвижений.

Skype запускался, но так и оставался "в вечном поиске".


Короче, остался только GrSecurity с ограничениями на песочницу и ещё некоторыми.
Эксперимент показал отрицательный результат. :-|
Установить у меня получилось только наполовину.
С другой стороны, при отсутствии X-ов, KDE, нескольких ВМ, проприетарного
"скайпа", кучи браузеров (которые пришлось отдельно настраивать) и прочего
софта, установить и пользовать возможно.
Но со всем этим у меня получилось это сделать только наполовину.
Для того, чтобы полноценно было возможно использовать патч, нужна его поддержка
на уровне дистрибьютива, как в Gentoo...

Reply to:

Follow-Ups:
- Re: GRSecurity в Debian
  - From: "Артём Н." <artiom14@yandex.ru>

References:
- GRSecurity в Debian
  - From: "Артём Н." <artiom14@yandex.ru>

Prev by Date: Re: Виртуализация
Next by Date: Re: GRSecurity в Debian
Previous by thread: GRSecurity в Debian
Next by thread: Re: GRSecurity в Debian
Index(es):
- Date
- Thread