Balthazar Posted November 28, 2013 Report Share Posted November 28, 2013 Здравейте на скоро ми се наложи да подсигуря машината си като прекомпелирам и пачна кернела с поддръжка на grsec намерих много статии по този въпрос, но в крайна сметка съчетах нещата и от всичко намерих най-лесния и оптимален начиЗапочваме: cd /usr/src Сваляме кернела който желаем да ползваме в моя случай wget https://www.kernel.org/pub/linux/kernel/v3.x/c.tar.xz Разархивираме: tar -xvf linux-3.2.52.tar.xz Влизаме в вече разархивираната директория на новия кернел: cd linux-3.2.52.tar.xz Следващата стъпка е да свалим пача за grsec и да пачнем новия кернел: http://grsecurity.net/stable/grsecurity-3.0-3.2.52-201311261520.patch patch -p1 < grsecurity-3.0-3.2.52-201311261520.patch След като сме пачнали новия кернел трябва да го конфигурираме с помоща на make menuconfig ако го правите за първи път ви препоръчвам да ползвате стария кернел конфиг което става по следния начин: cp /boot/config-`uname -r` .config Време е да настроим кернела като му окажем да исползва конфига ни от стария кернел и да пуснем поддръжка на grsec make menuconfig От menu-то избираме Load и натискаме OK След което е нужно да отидем в меню Security Options --> Grsecurity селектираме го и ако не сте сигурни какво точно искате да пуснете просто давате Configuration Method (Automatic) Запаметяваме новия конфиг - Save - Ok излизаме и компилираме новия кернел: make && make modules && make modules_install && make install Рестартираме и се надяваме всичко да е наред. Източник: http://blog.debian.bg/?p=217 1 Link to comment Share on other sites More sharing options...
Mihail Peltekov Posted November 29, 2013 Report Share Posted November 29, 2013 Може ли едно въпросче ? Какво правим като излезне някои security vulnerability? Пачваме текущия kernel и след това отново с grsec отново или ? Във всички съвременни enterprise Линукс операционни системи си има SELinux Добре документиран е Вярно е че grsec е по-лесен за работа. И трябва постоянно да следим дали всички сървъри са ни up to date.. Като можем да си настроим yum-cron (примерно) и всичко да става автоматично Link to comment Share on other sites More sharing options...
Balthazar Posted November 29, 2013 Author Report Share Posted November 29, 2013 И да и не за в годините които ползвам grsec до сега са излезли 2 exploit за grsec така че се губи ефекта от често следене на обновяване Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now