Re: [debian-fr]appliquer un patch grsecurity
Frédéric BOITEUX (mercredi 18 Août 2004 08:45) dixit :
> Si tu utilise la commande make-kpkg (ce que je te conseille), regarde
> sa page de manuel, elle t'indiquera ce qu'il faut faire pour 'activer'
Je me méfie de make-kpkg pour appliquer un patch, j'ai déjà été brûlé.
Surtout que dans le cas de grsec, des options de compilation sont
ajoutées ; make-kpkg appelle tout seul menuconfig paraît-il mais j'ai eu
aussi des pb avec ça...
Bref, j'ai un script qui fait tout étape par étape, avec le menuconfig
au milieu. J'applique les patchs debianlogo (un gadget) et grsecurity,
et je compile aussi le module nvidia, le tout sans initrd (je hais).
C'est ici :
http://www.courtois.cc/echange/compile_kernel_stepbystep
Au passage je signale : pour le kernel 2.4, il faut partir du kernel
original de kernel.org. Pour le 2.6, ça passerait avec celui de Debian.
Avant de se mettre aux noyaux patchés, je conseillerais de bien
comprendre comment make-kpkg fonctionne avec un kernel 'pur' (issu des
paquets Debian ou pas) puis avec un patch tout simple comme debianlogo.
Pour les débutants : ne jamais oublier lilo (ou update-grub) et bien
vérifier qu'on sait toujours repartir sur un noyau utilisable ;-)
Pour revenir à Grsec : j'ai été converti par un autre lugueur, et mes
deux machines l'utilisent, sans problème. Il faut juste BIEN lire les
options et ne pas activer celles qui peuvent casser X ou java. Je
n'utilise pas les ACLs. Un problème est que les patchs grsec mettent
toujours un temps à être créés après la sortie d'un nouveau kernel, puis
encore à apparaître en paquet Debian.
--
Christophe Courtois
http://www.courtois.cc/
----------------------------------------------------------------------
I've been close to several Siebel installs.. Every one was
an astoundingly-expensive catastophe - sort of like outsourcing to India,
but it costs a lot more and the salesweasels wear nicer clothes.
-- occamboy, Slashdot, 18/04/2004
Reply to: