Несколько вопросов про Hardened Gentoo

пробовал selinux натянуть- epic fail. Ни скрипты не адаптированы ни профилей нет, глючило оно...

grsecurity, думаю, без проблем заработает. Как и всякие stack smashing protector итп.

Меня напрягает что ядро там старое.

увы-увы, тогда нет пути.

Кто-нибудь из ЛОРовцев использует Hardened Gentoo?

Я эксперементировал... Оно на сервере смотрящем в мир очень даже полезно а вот для дома в качестве десктопа оно ни к чему.

Можно ли использовать только hardened-userspace?

Можно но в этом нет смысла. Т.е. там защита комплексная причем все начинается еще именно с ядра.

Оно вообще живо?

Хз

И главный вопрос: а есть ли смысл?

На стабильной ветке для полной глобально-надежности смысл возможно и есть. На общественных такчках (там где за день много людей проходит) в каких нибудь компьютерных клубах или на важном серваке смотрящем в интернет с большим посещением предполагаемых хацкеров - смысл полюбому есть.

То что ядро там старое это естественно.
Там afair какие-то проблемы с наложением патчей на новые ядра.

По вопросам:
1. Не пользовал, ибо не умею готовить это.
2. afaik - нет, ставить с hardened stage3 надо.
3. живо-живо, можешь посмотреть когда последний stage3 для hardened был собран.
4. Умеешь это всё готовить - смысл есть, но сомнительный, имхо.

увы-увы, тогда нет пути.

А как насчёт вопросов из первого поста?

По поводу ядра уточню вопрос: в случае, если в стабильном ядре hardened-sources обнаружится уязвимость, то туда мейнтейнеры добавят патчи? И насколько быстро (относительно gentoo-sources)? А то оно просто выглядит заброшенным, судя по changelog'у. Либо с мая прошлого года там просто не находили никаких проблем =). Сама по себе версия ядра в принципе не имеет значения - лишь бы работало.

Судя по всему оно было мертво ещё года два назад когда я это смотрел. Может быть и дыры и латают, но я бы рекомендовал поставить в таком случае дистр нативной поддержкой selinux, сэкономишь время и нервы.

Оно и на десктопе полезно, например, для браузеров в которых дырки чуть ли не ежедневно находят.

Получается, Hardened Gentoo R.I.P.?

Оно и на десктопе полезно, например, для браузеров в которых дырки чуть ли не ежедневно находят.

Ну оно конечно так. Однако с харденед прописан исключительно стабильный софт и если у меня сейчас gnome-2.29.90 то с харденедом был бы дай бог чтобы 2.26.3

Хм... В документации написано, что -fstack-protector к CFLAGS добавлять не нужно, т.к. оно включено по умолчанию. Но по факту - нифига не включено. Простейший пример переполнения стека вываливается с обычным segmentation fault пока к CFLAGS явно не добавишь -fstack-protector. Как минимум документация Gentoo Hardened устарела.

> что -fstack-protector к CFLAGS добавлять не нужно

год тому (может и больше) с этой инструкцией не собиралась половина пакетов. не помню уже в чем там дело, возможно с допилинностью hardened-версии gcc....
емнип защита стека идет же через PaX ?

емнип защита стека идет же через PaX ?

GCC тоже умеет добавлять защиту от переполнения стека.

> GCC тоже умеет добавлять защиту от переполнения стека.

это я понимаю. да и про PaX я че-та не в тему ляпнул, так как он защищает от выполнения в стеке...

просто hardened-gcc реализует же свою защиту (SSP) и оно вроде как всегда включено, то есть в -fstack-protector нет надобности..

просто hardened-gcc реализует же свою защиту (SSP) и оно вроде как всегда включено, то есть в -fstack-protector нет надобности..

В том то и дело, что не включено. Ради интереса скачай hardened-стейдж и любой исходник с демонстрацией переполнения стека (например этот). Без явного указания -fstack-protector программа просто вываливается, с явным указанием выдаёт сообщение об атаке.

Разобрался. Оказывается, в GCC 4.3 SSP по умолчанию выключили, из-за того, что возникали какие-то проблемы.

nlike Hardened GCC 3.4.6, this version lacks default SSP building. However, FORTIFY_SOURCE=2 and -fno-strict-overflow are now enabled by default. Other Hardened compiler features (ex. default relro, bind now & pic/pie building) remain enabled - no change from 3.4.6.

It is regretable this must be done before GCC4 is SSP-by-default enabled. However, more and more packages require the newer GCC. The stable GCC on Hardened has been GCC 3.4.6 for a long time, but this has become an untenable situation. GCC4 SSP-by-default works and will be added in a later revision - some GCC4+SSP bugs in grub and glibc also remain to be fixed.

угу... печально в общем. я тоже тестил год или больше тому и тоже не все помниться работало (или собиралось) с ним. по ходу так и не пофиксили что ли....
ну если там действительно только glibc и grub не пашут то не все так плохо вроде бы..
кстати, по ходу выходит что все в этом стейдже собрано без -fstack-protector, то есть тот еще гиммор будет его пересобирать и ловить что отвалится.
короче нужно идти читать багзиллу что ли...

ну если там действительно только glibc и grub не пашут то не все так плохо вроде бы..

Проблема только в том, что если не «пашет» glibc, то не будет пахать и почти вся остальная система =).

короче нужно идти читать багзиллу что ли...

Я так и не нагуглил никаких подробностей по поводу проблем с GCC4 + SSP. На джентушной багзилле тоже никаких упоминаний.

не, ты не понял))
можно же собрать glibc без ssp, а все остальное с ним, имхо
в общем нужно пробовать. буду копать...

можно же собрать glibc без ssp, а все остальное с ним, имхо

Тоже верно.

нашел эту ветку и впал в уныние (особенно порадовал опрос) - http://forums.gentoo.org/viewtopic-t-668885-postdays-0-postorder-asc-start-0....

однако потом надыбал эту - http://forums.gentoo.org/viewtopic-t-705939-postdays-0-postorder-asc-start-0.... - и вроде как повеселел)))

со -fstack-protector-all собралось все (stage3), кроме glibc. его собрал с просто -fstack-protector
ну и на всякий случай grub собрал вообще без fstack-protector, так как есть вероятность что не загрузится
гуглил... говорят не собирается ООО (вообще) но оно мне там и нафик не нужно.
вроде в чруте все работает, а собирать ядро сегодня что-то влом.
в общем жить можно, правда на десктопе танцы с бубнами еще те - самое оно для красноглазия))

> в общем жить можно, правда на десктопе танцы с бубнами еще те - самое оно для красноглазия))

То есть можно оставить зарытым?)
Человеку как раз для использования на сервере нужно, предполагаю.

почему это зарытым? для сервера очень даже актуально, во всяком случае у меня собралось все что мне нужно (LNAMP) и работает...
новые ядра есть в оверлее hardened-development. там же есть и glibc/gcc но я пока не разбирался, потому как и без них все ровно...

Человеку как раз для использования на сервере нужно, предполагаю.

Да, я тут сервер устанавливаю, хотел попробовать на Hardened Gentoo. По итогам этой темы - решил пока отказаться. Всё равно в локалке там будет около 15 компов, а из интернета доступен только ssh - врагам лезть практически не откуда =). Потом как-нибудь поставлю Hardened в виртуалке и нормально разберусь что там и как.