Kernel Patchen mit grsecurity unter lenny

Dieses Thema umschreibt das Thema grsecurity Patch, also Kernel Bauen mit dem grsecurity Patch unter Debian 5.0 , aLSo Lenny.

ACHTUNG DIESES HOWTO KANN DAS SYSTEM EINSCHRÄNKEN,ICH ÜBERNEHME KEINE HAFTUNG

Es baut auf dem HowTo kernel-komplitieren auf.

So ich beziehe den Akuellen Patch unter grsecurity.net in diesem Beispiel werden wir einen Kernel linux-2.6.28.7.tar.bz2 einsetzen und mit den gr Patch komplitieren.

Nun legen wir los


cd /usr/src
wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.28.7.tar.bz2


tar xjf linux-2.6.28.7.tar.bz2
ln -s linux-2.6.28.7 linux;cd linux

Das ist alles so gehabt wie wir das von dem ersten HowTo kennen.

Um sicher zu gehen das wir das ganze auch patchen können machen wir ein kurzes
apt-get update;apt-get install patch

danach laden wir unseren Patch

ich nehme für dieses HowTo diesen hier GrPatch 2.6.28.7

und los geht es


patch -Np1 grsecurity-2.1.13-2.6.28.7-200902232153.patch

normal legt man den Patch unterhalb des Dir an und ladet Ihn nicht direkt in das Kernel Dir.
Das ganze sollte nun ohne Fehler durch laufen, es dauert nur wenige Sekunden.

Wenn wir das alles haben Checken wir nochmal unsere .config , ob die auch wirklich vorhanden ist.Sollte das nicht der Fall sein sucht man sich die Aktuelle im Bereich /boot/ aus und kopiert die in unser Verzeichniss mit dem neuen Kernel.

Dann ein feines

fakeroot make-kpkg --initrd --revision=lenny-selbst1 kernel_image kernel_headers --config menuconfig

So jetzt sollte alles Fehlerfrei durchlaufen und wir kommen zu dem Config Menü, dort können wir unsere Kernel Einstellungen machen. In diesem Demo stellen wir nur den gr Patch ein. Wir gehen unter Securtiy Options – grsecurity – auf den 1 Reiter. Dort können wir zwischen Customer – LowLevel – Medium und High auswählen.
Mir ist es leider ein paar mal passiert das ich wegen Paranoider Kernel Einstellung das System abgeschossen hab, also Maximal MEDIUM auswählen und das ganze mit Save abspeichern. Nach dem Exit wird der Kernel fertig Komplitiert – das dauert einige Zeit.

Zeit um mal eine Pause zu machen, es dauert ein bissl bis alles fertig ist.

So dann machen wir mal ein ls -al /usr/src und sehen

-rw-r--r-- 1 root src 5773678 1. Mär 17:28 linux-headers-2.6.28.7-grsec_len1_amd64.deb
-rw-r--r-- 1 root src 5107168 1. Mär 17:27 linux-image-2.6.28.7-grsec_len1_amd64.deb

Super es hat ohne Fehler funktioniert , das ganze Installieren wir dann noch mit
dpkg -i linux-headers-2.6.28.7-grsec_len1_amd64.deb
dpkg -i linux-image-2.6.28.7-grsec_len1_amd64.deb

aber damit nicht genug, wir müssen jetzt noch unseren Bootloader checken.

/sbin/lilo
und unter /etc/lilo.conf die Details nachtragen, falls nicht passiert.

Es sollte dann in etwa so ausschauen

large-memory

prompt
timeout=50
default=linux
boot=/dev/sda
map=/boot/System.map-2.6.28.7-grsec
install=/boot/boot.b
lba32
append=""
#serial=0,9600n8

image=/boot/vmlinuz-2.6.28.7-grsec
label=linux
read-only
root=/dev/sda1

bei grub Bootloader macht man ein einfaches grub-update
und checkt dann nochmal die conf datei von grub /boot/grub/menu.conf
Ob auch der neue Kernel drinne steht.

Ich Persönlich mache jetzte nochmal ein:
aptitude update && aptitude dist-upgrade
Das mache ich einfach um mir sicher zu sein das der Kernel auch in das Boot Menü eingetragen wird. Zusätzlich erzeugt es ein Init-Ramdisk. Ich weiß die Option ist Doppelt, aber so ist man auf der sicheren Seite.

Nun können wir unser System Rebooten und unser system sollte nicht im KernelPanic hängen sondern sauber hochfahren.

Kernel kann man wieder löschen mit:
aptitude remove linux-headers-2.6.28.7-grsec_len1_amd64.deb linux-image-2.6.28.7-grsec_len1_amd64.deb

uname -a
Linux PLAPLAPLA.demo.com 2.6.28.7-grsec #1 SMP Sun Mar 1 17:14:56 CET 2009 x86_64 GNU/Linux

Viel Spaß mit diesem HowTo

Schreibe einen Kommentar