Настройка Grsecurity

Hyvaa Paivaa!

Пытаюсь обучить gradm:

Выдержка из оффдоки:

Using the learning mode is very simple. All you have to do is add “l” to the subject mode of the process, you want to enable learning for. Enable the ACL system with gradm –E. Run the application(s) you enabled learning mode for several times. This is important, since the learning mode uses a threshold–based system to determine when access should be given to a file or whether it should be given to a directory. If 4 or more similar accesses are made in a single directory (such as writing to several files in /tmp), access is granted to that directory instead of the individual files. This reduces the amount of rules you have and ensures that the application will work correctly after the final ACLs are compiled.
Once you feel you’ve given the application the normal usage it would see in real life, disable the ACL system with gradm -D (or alternatively, go into admin mode with gradm -a), and use This will place the new learned ACLs at the end of your ruleset. Simply remove the old ACLs and you’re ready to go.

Делаю все как написано - добавляю в /etc/grsec/policy:

subject /usr/sbin/metalog lo
/ h

# gradm -E
# /usr/sbin/metalog
# gradm -D
# gradm -L -O /etc/grsec/acl
# cat /etc/grsec/acl
а там пусто...


Заранее спасибо!



Доброго времени суток!
Есть почтовый сервер: exim+dovecot+mysql+openssl
На нем живут несколько доменов(на одной машине).
ssl-сертификат только один, в конфиге dovecot'a это выглядит так:

ssl_cert_file = /etc/ssl/certs/dovecot.pem
ssl_key_file = /etc/ssl/private/dovecot.pem

В нем естественно описан только один домен.
Остальные домены, при попытке обратиться к ним через imaps/pop3s выдают ошибку: Domain Name mismatch.

Собственно вопрос в том, можно ли настроить dovecot на работу с несколькими сертификатами, так чтобы для каждого домена он был свой.

Заранее спасибо.


nForce2 Ultra400

Купил мамку на сабжном чипсете(Soltek SL-75FRN3-GR).
Теперь сижу вот и не знаю, какой ей PCI IDE Chipset в ядро вкрутить, чтоб DMA включить, непонятно, как заставить работать SATA винт и набортную сетевуху в выводе lspci даже не видно, хотя в оффтопике работает....
Поможите кто чем может... %(
Заранее спасибо.


мускуль сдох...

mysql-4.0.22 внезапно перестал отбивать запросы....
Ну, думаю, подвисло че-нить, с кем не бывает?..

#/etc/init.d/mysql restart
* Stopping mysqld ...
No process in pidfile `/var/run/mysqld/' found running; none k [ !! ]

#ps ax|grep mysql
9206 ? Ss 0:00 /bin/sh /usr/bin/mysqld_safe
9241 ? S 0:00 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysqld/ --skip-locking --port=3306 --socket=/var/run/mysqld/mysqld.sock

#ls /var/run/mysql

никакого намека на pid-файл....

#cat /var/log/mysql/mysql.err
041103 13:29:18 mysqld started

#cat /var/log/mysql/mysqld.err
041103 13:29:18 bdb: /var/lib/mysql/log.0000000001: Permission denied
041103 13:29:18 bdb: PANIC: Permission denied
* glibc detected * double free or corruption: 0x08303b88 *
mysqld got signal 6;
This could be because you hit a bug. It is also possible that this binary
or one of the libraries it was linked against is corrupt, improperly built,
or misconfigured. This error can also be caused by malfunctioning hardware.
We will try our best to scrape up some info that will hopefully help diagnose
the problem, but since we have already crashed, something is definitely wrong
and this may fail.

It is possible that mysqld could use up to
key_buffer_size + (read_buffer_size + sort_buffer_size)*max_connections = 233983 K
bytes of memory
Hope that's ok; if not, decrease some variables in the equation.

Attempting backtrace. You can use the following information to find out
where mysqld died. If you see no messages after this, something went
terribly wrong...
Bogus stack limit or frame pointer, fp=0xbfffeaf8, stack_bottom=0x56555453, thread_stack=131072, aborting backtrace.
Trying to get some variables.
Some pointers may be invalid and cause the dump to abort...
thd->query at 0x5251504f is invalid pointer

Cовершенно непонятно, в общем, к чему ему пермишен денайд, и чего вообще случилось - вчера еще работало все....

Заранее спасибо всем за ответы.

P.S. Система: Gentoo-2004.2
mysql-4.0.22, собран просто #emerge -u mysql


Gentoo 2004.2 и KDE

Никак не могу собрать kde на рабочей машине.
Машина: Celeron 1800Mhz/512Mb(DDR400)/32Mb(GeForce2)
USE: USE="gnome -pcmci x86 mmx sse X gtk gtk2 gtkhtml gd-external dba qt wxwindows kde cdr dga fbcon firebird ftp iconv icq imlib ldap pam php perl python apache2 cups samba sasl scanner shared snmp sockets ssl svga truetype usb libwww xml xml2 alsa avi mpeg oggvorbis flac theora xv xvid tiff png jpeg xmms zlib mozilla mysql ncurses nls opengl dvd vhosts"


При сборке kdebase-3.3.1 пишет:

>>> Unpacking source...
* Applying startkde-3.3.1-gentoo.diff...

* Failed Patch: startkde-3.3.1-gentoo.diff!
* Include in your bugreport the contents of:
* /var/tmp/portage/kdebase-3.3.1/temp/startkde-3.3.1-gentoo.diff-24953.out

!!! ERROR: kde-base/kdebase-3.3.1 failed.
!!! Function epatch, Line 402, Exitcode 0
!!! Failed Patch: startkde-3.3.1-gentoo.diff!
!!! If you need support, post the topmost build error, NOT this status message

Так же не могу собрать kdepim-3.3.0, там оно ругается на gpg(хотя оно стоит) и вылетает....

Если кто-то чем-то может помочь, буду очень признателен.
Заранее спасибо.


3.14здец подкрался незаметно...

На мою организацию наехали за нелегальные винды....
Нужно каким-то образом переводить под Linux ~300 компов....
То есть это видимо будет Mandrake/ALT + KDE/GNOME + Mozilla + OOo
Вопрос с юзерами я решаю.
1С тут нету.
Основной гемморой в организации общих шар...
В как бы это сказать, виндовом стиле.
Чтобы юзер мог сделать свой документ доступным другому юзеру в пару кликов....
Второй гемморой - программа матстатистики....

Если у кого-то есть предложения/солюшены, буду очень признателен....

Заранее спасибо.


Apache-2.0.51, mod_perl-1.99_11 и CGI

Как заставить Apache2+mod_perl выполнять CGI-скрипты c помощью mod_perl?
В Apache 1x можно было к mod_perl прикрутить модуль Apache::Registry.

Сейчас использую Apache-2.0.51+mod_perl-1.99_11

пытаюсь поставить Apache::Registry

#perl -MCPAN -e shell

cpan> install Apache::Registry
Removing previously used /etc/cpan/build/mod_perl-1.29 Going to build G/GO/GOZER/mod_perl-1.29.tar.gz
Please tell me where I can find your apache src

Говорю ему, где мои сорцы апача....
Он на них смотрит и говорит:

[../apache_x.x/src] /usr/src/httpd-2.0.51
Configure mod_perl with /usr/src/httpd-2.0.51 ? [y]
************* WARNING *************

Apache Version 1.3.0 required, aborting...

************* WARNING *************
Running make test
Make had some problems, maybe interrupted? Won't test
Running make install
Make had some problems, maybe interrupted? Won't install

Вот так вот....

Можно ли как-то поставить теперь Apache::Registry, а если нет - каким модулем надо пользоваться для выполнения скриптов CGI с помощью mod_perl?

Заранее спасибо.


Война с индейцами полным ходом....

Есть apache-2.0.51+php-5.0.1, живущие в локалке, на машине
с одним хостом все работает.
Пытаюсь сделать несколько vhost'ов....

ServerRoot /usr/lib/apache2

PidFile /var/run/
ErrorLog logs/error_log
LogLevel warn


#DocumentRoot /var/www/localhost/htdocs

DocumentRoot /var/www/linux/htdocs

DocumentRoot /var/www/php/htdocs


в файле зоны на DNS'e прописываю:

gentoo IN A
linux IN A
php IN A

В общем, работает только vhost, DocumentRoot'ом которого является "localhost"(в смысле /var/www/localhost/htdocs)

Самое странное, что если скопировать /var/www/localhost допустим в /var/www/php, то скажет

You don't have permission to access / on this server.
Apache/2.0.51 (Gentoo/Linux) PHP/5.0.1 Server at Port 80"

Зато если прописать в настройках vhost'a скажем DocumentRoot /var/www/localhost/htdocs - работает...

В чем может быть дело?..
Заранее спасибо...


Не собирается PHP-5.0.1 на Gentoo 2004.2

При попытке поставить php-5.0.1
#emerge -u php
вылазит следующее:
checking for db4 minor version and patch level... ok
checking for Berkeley DB4 support... yes
checking for Berkeley DB3 support... no
checking for Berkeley DB2 support... no
checking for dbminit in -ldbm... no
checking for dbminit in -lc... no
checking for dbminit in -lgdbm... no
configure: error: DBA: Could not find necessary library.

!!! ERROR: dev-php/php-5.0.1 failed.
!!! Function econf, Line 441, Exitcode 1
!!! econf failed
!!! If you need support, post the topmost build error, NOT this status message.



CFLAGS="-O3 -march=pentium2 -pipe -fomit-frame-pointer"




USE="-pcmci gnome x86 X acl alsa apache2 apm audiofile avi berkdb bzlib cdb cdr cpdflib cups curl dba dbase dbm dga directfb dvd dvdr emacs encode esd fbcon firebird flac foomaticdb ftp gd gdbm gif gmp gtk gtk2 gtkhtml iconv icq imlib jack java jpeg kde ldap libgda libwww mad mikmod mmx mozilla mpeg mysql ncurses nls oggvorbis opengl pam perl php png qt samba sasl scanner sdl snmp sockets spell sse ssl svga tcltk tetex theora tiff truetype usb wxwindows xml xml2 xmms xv xvid zlib"


Как поставить пхп?!!!!......

Заранее спасибо.


Cижу, ковыряюсь отверткой в ухе, бах! Звук пропал...

Примерно так все и было. Слушаю xmms, тут вдруг захрипело все как-то нездорово, а после смены песни вылезло сообщение на тему "проверьте звуковую карту, etc, etc....".

#mplayer 01.mp3

$mplayer 01.mp3
Can't access device /dev/sound/dsp

#chmod 666 /dev/sound/*
#chmod 666 /dev/snd/*
ситуация не изменилась.....

Что это может быть?....

Заранее спасибо.

P.S. Gentoo 2004.2,, alsa-1.0.6a


Фигня с автомаунтом

При загрузке как-то неправильно монтируются фс из /etc/fstab
Вот пример записи:

/dev/hda5 /mnt/win_d vfat users,iocharset=koi8-r 0 0

при такой записи искомая фс монтируется, но:
$cd /mnt/win_d
Permission denied

#cd /mnt/win_d

$umount /mnt/win_d
$mount /mnt/win_d
$cd /mnt/win_d

В чем может быть дело???

Заранее спасибо.

P.S. Gentoo 2004.1,


SAMBA 3.0.5 и публичные шары

При попытке зайти на самбу с виндовозного сетевого окружения, самба просит логин/пароль, хотя присутствуют ресурсы, доступные для всех...
Что делать?
Конфиг прилагается....

Заранее спасибо.


idmap gid = 10000-20000
admin users = root
delete user from group script = /usr/bin/gpasswd -d '%u' '%g'
winbind uid = 10000-20000
dns proxy = no
netbios name = gentoo
idmap uid = 10000-20000
dos charset = 866
local master = yes
workgroup = SAMBA
os level = 255
security = user
delete user script = /usr/sbin/userdel '%s'
max log size = 50
winbind separator = +
log file = /var/log/samba3/log.%m
smb passwd file = /etc/samba/private/smbpasswd
add group script = /usr/sbin/groupadd %g && getent group '%g'|awk -F: '{print $3}'
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
delete group script = /usr/sbin/groupdel '%g'
add user to group script = /usr/bin/gpasswd -a '%u' '%g'
domain master = yes
encrypt passwords = yes
public = yes
logon home = \\%L\%U\.profile
wins support = yes
server string = Samba Server %v
winbind gid = 10000-20000
logon path = \\%L\Profiles\%U
add user script = /usr/sbin/useradd -s /bin/false '%u'
set primary group script = /usr/sbin/usermod -g '%g' '%u'
unix charset = KOI8-R
preferred master = yes
domain logons = yes

comment = Home Directories
browseable = no
writable = yes

# Un-comment the following and create the netlogon directory for Domain Logons
comment = Network Logon Service
path = /var/lib/samba/netlogon
guest ok = yes
writable = no

path = /var/lib/samba/profiles
browseable = no
guest ok = yes
read only = no
root preexec = PROFILE=/var/lib/samba/profiles/%u; if [ ! -e $PROFILE ]; then mkdir -pm700 $PROFILE; chown %u:%g $PROFILE;fi
; guest ok = yes

comment = Public Stuff
path = /var/lib/samba/share
public = yes
writable = yes
guest ok = yes



Обновил ядрышко до, hdparm до 5.6 перезагрузился и у меня отвалился режим UDMA...
/#=> /etc/init.d/hdparm restart 13:48 pts/0

* WARNING: you are stopping a boot service.
* Starting hdparm... [ ok ]
* Running hdparm on /dev/discs/disc0/disc...
HDIO_SET_DMA failed: Operation not permitted
* Running hdparm on /dev/cdroms/cdrom0...
HDIO_SET_DMA failed: Operation not permitted

Вот так вот....
Что бы это могло быть?..

Заранее спасибо.


Mozilla обвалилась!!!

Причем вся и сразу....

No running windows found
/usr/bin/firefox: line 87: 9466 Segmentation fault $mozbin "$@"

No running windows found
enigmail.js: Registering components
enigmail.js: Registered components
Registering Enigmail account manager extension.
Enigmail account manager extension registered.
/usr/bin/thunderbird: line 87: 9495 Segmentation fault $mozbin "$@"

No running windows found
/usr/bin/mozilla: line 87: 9534 Segmentation fault $mozbin "$@"



P.S. Еще час назад все работало....

P.P.S. Под рутом все работает

P.P.P.S. Заранее спасибо.


Gentoo и domainname

Что нужно сделать, чтобы появился, как бы это сказать, localdomain?
Суть проблемы в том, что после загрузки системы, несмотря на то, что в файле /etc/dnsdomainname написано localdomain(ну или все что угодно еще), над
gentoo login:_
(hostname - gentoo)
находится строчка: This is gentoo.(none) (Linux i686 etc.....)
И апач при старте говорит:
apache2: Could not determine the server's fully qualified domain name, using for ServerName
Можно ли это как-то исправить?
Чтобы было что-то вроде This is то_что_в_/etc/hostname@то_что_в_/etc/dnsdomainname (Linux etc....)?

Заранее спасибо.


Проблемы с MPlayer+ALSA

Gentoo 2004.1(естественно после emerge sync)
MPlayer 1.05
ALSA 1.05

Нормальное воспроизведение звука через alsa в gmplayere



$mplayer -ao alsa -vo xv -af volume
Запускается mplayer, все работает, все прекрасно...

$gmplayer -ao alsa -vo xv -af volume
Запускается gmplayer, пытается начаться воспроизведение, что у него получается с огромным трудом, и постоянно появляется и пропадает окошко, повествующее о том, что alsa-плугин, бедолажка, никак не может достучаться до /dev/sound/mixer.
Меж тем права на миксер стоят 0666...
В чем может быть дело?

Заранее спасибо.


Еще про portage

1. Как руками прописать, что какой-то пакет установлен?
2. Что происходит после emerge sync? Когда появляется сообщение, гласящее что-то вроде "updating portage tree" или вроде того?
3. Можно ли сделать emerge sync в одном месте, а потом эти обновленные /usr/portage прикрутить на другой машине(дома-то по дайлапу сливать западло, а на работе выделенка)?
4. Почему некоторые пакеты не ставятся, несмотря на то, что .ebuild'ы для них приутствуют(говорит что-то о замаскированных зависимостях или вроде того)?

Заранее спасибо.


Gentoo: побороть checksumm'ы

Есть кучка нужных пакетов, которые можно было бы скормить emerge'у, но у них не совпадает checksumm...
Как это обойти?

Как объяснить системе портежей, что этот пакет в системе уже есть(при условии что он будет собран руками и установлен)?

Заранее спасибо!



Скажите, а сабж вообще обновляется?...
А то я как его поставил из rpm'a еще с версией 0.90, так он и стоит....



AMD Duron Morgan 1200 MHz
Gentoo Linux 2004.1



Заранее спасибо.


