Journal Utiliser un noyau grsecurity sous Debian

Posté par . Licence CC by-sa
13
12
sept.
2016

Bonjour tout l'monde.
Un journal pas très détaillé pour dire que malgré les annonces sur la fin prématurée de grecurity, cet ensemble de patchs est toujours vivant, et s'installe (vachement) bien avec Debian.

apt install linux-image-grsec-amd64
reboot

Évidemment des choses vont péter, notamment les programmes qui font du Just-In-Time (pypy, php7, rspamd, etc). Il faut donc utiliser paxctl pour les régler afin de pouvoir continuer à s'exécuter. Ça affaiblit le niveau de sécurité, mais bon, faut bien que ça marche.

Dernière précision : du fait de la politique de grsecurity de ne pas fournir gratuitement des patches pour la version stable du noyau, ce paquet Debian n'est installable que via l'archive unstable ou backports.
Étant sous testing, et ayant un peu galéré pour éviter de me retrouver pourri par les paquets unstable, je vous colle un peu en vrac ma configuration :

/etc/apt/preferences.d/unstable_priority
Package: *
Pin: release a=unstable
Pin-Priority: -10

/etc/apt/preferences.d/grsec_priority
Package: /^linux-.*-grsec-.*/
Pin: release a=unstable
Pin-Priority: 500

/etc/apt/apt.conf.d/90default_release
Apt::Default-Release "testing";

/etc/apt/sources.list.d/unstable.list
deb http://ftp.fr.debian.org/debian/ unstable main non-free contrib

Conclusion

C'est cool, ça marche. Je me sens en sécurité. Je sais pas si ça marche vraiment, mais bon, hein, je vais faire confiance :)

  • # grsecurity

    Posté par . Évalué à 10. Dernière modification le 12/09/16 à 14:52.

    Pour ceux qui se demandent ce qu'est grsecurity: https://fr.wikipedia.org/wiki/Grsecurity

    TL;DR:

    grsecurity est une modification augmentant la sécurité pour le noyau Linux distribué sous la licence publique générale GNU. Il inclut différents éléments, dont PaX, un système de contrôle d'accès à base de rôles et différents moyen de renforcer la sécurité générale du noyau.

  • # précision

    Posté par . Évalué à 2.

    Si je me souviens bien, il n'y a finalement pas de JIT dans php7.

    • [^] # Re: précision

      Posté par . Évalué à 2.

      Ah ? C'est vrai ? En tout cas, ça génère des messages d'erreurs de la part de grsec. Mais c'est vrai que les requêtes sont effectuées correctement quand même. Je n'ai pas testé s'il y avait une régression du coup.

  • # Confiance

    Posté par . Évalué à 5.

    Pourquoi je devrais faire confiance à un projet qui ajoute plein de code au kernel, en me disant que c'est plus sécurisé ? Ça a moins d'utilisateurs, donc c'est moins testé, et ça m'étonnerait qu'aucun des ajouts ne soit bugué. Est-ce que ça ne donne pas une fausse impression de sécurité ?

    • [^] # Re: Confiance

      Posté par . Évalué à 9.

      C'est vrai.
      Mais bon, l'ANSSI le recommande dans plusieurs cas d'utilisations. Et oui, j'ai confiance dans l'ANSSI :)

      • [^] # Re: Confiance

        Posté par (page perso) . Évalué à 0.

        Et oui, j'ai confiance dans l'ANSSI :)

        Moi pas toujours. J'ai déjà vu un document qui datait un peu…

      • [^] # Re: Confiance

        Posté par . Évalué à 1.

        Moi aussi, ça me rassure ça. Ça devrait être obligatoire, ce genre de référence, quand on mentionne des outils censés améliorer la sécurité. Sans ça, aucune raison de faire confiance.

    • [^] # Re: Confiance

      Posté par . Évalué à 2.

      J'aimerais bien que ceux qui downvotent laissent un commentaire disant pourquoi ils le font. Demander des raisons de faire confiance à un programme qui se dit sécurisé, c'est le minimum des précautions. Si on n'exige même pas que ces programmes aient été revus par des gens qui s'y connaissent, pas besoin d'utiliser un noyau renforcé, on se fera de toute façon avoir par un exécutable en pièce jointe.

      • [^] # Re: Confiance

        Posté par . Évalué à -2.

        J'aimerais bien que ceux qui downvotent laissent un commentaire disant pourquoi ils le font.

        je t'ai "downvoté" pour l'example.

      • [^] # Re: Confiance

        Posté par . Évalué à 5.

        Je ne t'ai pas downvoté mais si je devais m'aventurer à deviner pourquoi je dirais que c'est parce que tu demandes des références pour un programme (un patch kernel plutôt…) qui est en fait la référence niveau sécurité sous Linux et qui est très connu.

  • # Unstbale ou backports

    Posté par . Évalué à 2.

    Bonjour,

    Question surement stupide mais une raison particulière pour avoir choisi une installation depuis unstable plutôt que depuis backports ?

    • [^] # Re: Unstbale ou backports

      Posté par (page perso) . Évalué à 1.

      Par facilité pour les dépendances ou pour avoir la dernière version.

      Webmaster amateur et programmeur amateur

    • [^] # Re: Unstbale ou backports

      Posté par . Évalué à 6.

      Parce qu'il est en testing et que les dépots backports sont pour stable.

      • [^] # Re: Unstbale ou backports

        Posté par . Évalué à 2.

        Exactement. Je préfère installer des paquets prévu pour une distribution en avance que en retard.
        Attention, backports est très bien, mais son utilisation est prévue pour la stable (actuellement Jessie).

  • # Annonces sur la fin prématurée de grecurity ?

    Posté par (page perso) . Évalué à 3.

    L'aurais-je manqué sur DLFP ?

    Un petit lien peut-être ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.