# [Solved] Hardened Gentoo

## vitae

Hallo ihr,

nachdem ich schon seit zwei jahren bei gentoo bin und damit eigentlich auch sehr, abgesehen von manchen kleinen problemchen, sehr zufrieden bin, hatte ich mal versucht etwas über den suppenteller zu blicken und andere distris ausprobiert.

alles in allem ganz nett, aber nichts was mich von gentoo wegbringen könnte. der ganze abhängigkeitskrampf (schon mal probiert mono von opensuse zu entfernen?) ist nichts für mich.

das einzige was ich sehr toll fand bei opensuse und fedora sind die sicherheitsfunktionen. selinux und apparmour.

da ich durch einige news bzgl. bundesländer haben lauffähige trojaner für linux und windows entwickelt (heise glaub ich) und das auch einsetzen wollen und ich etwas für die sicherheit tun wollte probierte ich gentoo zu härten.

soviel zu der langen einleitung.

meine erste wahl fiel auf selinux (grsecurity hatte ich vor einiger zeit mal ausprobiert, aber da gab es finanzielle probleme und das projekt stand da kurz vor dem aus, deswegen meine wahl).

nachdem durchlesen der howtos (die mir irgendwie veraltet vorkamen, vielleicht täusche ich mich da auch) und des umstellen des profiles auf selinux kamen die ersten probleme. viele der policies ließen sich nicht herunterladen, weil sie bei der hoster (nsa wars glaub ich) durch neuere ersetzt wurden. in bugzilla las ich dann, dass selinux momentan wohl etwas vernachläßigt wird... 

deswegen informierte ich mich über den aktuellen zustand von grsecurity und probierte das auch mal.

also ebenfalls auf zum howto, was auch veraltet schien. der erste punkt war schon, dass das profil nicht auf hardened/2.6 verwies sondern nur auf hardened mit 2.4 kernel. auch viele meiner anderen fragen blieben unbeantwortet.

 *Quote:*   

> 1. warum ist der aktuelle stabile kernel 4.1.1 nicht mit hardened unterstützt. ich fand dazu keinerlei infos. stattdessen will er immer auf nen 3er gcc downgraden. analog dazu glibc
> 
> 2. kann ich auch nur das hardened useflag setzen und mein system ist dann genauso gehärtet, wie wenn ich das profil auf hardened setze?
> 
> 3. welche auswirkungen hat ein gehärtet gcc? härtet der ebenfalls meine neukompilierten programme?
> ...

 

das sind alles so fragen von jemanden, der sich etwas mit der materie beschäftigt. falls es irgendwo weitere pages gibt (blogs oder andere resourcen) wäre nett, wenn die jemand postet. ich möchte nicht darauf rumreiten, aber bin ich der erste der das problem hat?

ich weiß, dass das alles freiwillige arbeit ist, aber dass dazu kein post im wiki geschrieben wurde, finde ich schon schwach. würde ich mich etwas mehr auskennen und mir sicher sein, dass ich dort keinen totalen nonesense hinterlasse, hätte ich mich bestimmt dort auch verewigt.

ich hoffe einige meiner fragen können beantwortet werden. 

danke

vitae

p.s.: wenn andere distris per default schon gehärtet sind, sollte gentoo nicht als bleeding edge distri mitziehen?Last edited by vitae on Tue Jan 09, 2007 3:45 pm; edited 1 time in total

----------

## gimpel

Gerade darüber gestolpert:

https://forums.gentoo.org/viewtopic-t-252747.html

-->

http://www.gentoo.org/security/en/

-->

http://www.gentoo.org/doc/en/security/

----------

## vitae

 *Quote:*   

> vitae hat Folgendes geschrieben:
> 
> da ich durch einige news bzgl. bundesländer haben lauffähige trojaner für linux und windows entwickelt (heise glaub ich) und das auch einsetzen wollen und ich etwas für die sicherheit tun wollte probierte ich gentoo zu härten.
> 
> *GRÖÖÖÖHL* es gibt doch welche die darauf reingefallen sind HAHAHAHAHAA!
> ...

 

jepp, ich merks. hätte doch nicht mehr so spät posten sollen. meinte gcc 4.1 natürlich. was solls, hab ich eben für ein paar heitere minuten gesorgt. muss auch mal sein.

zu https://forums.gentoo.org/viewtopic-t-523069.html :

das diskussionsforum hatte ich übersehen. wusste gar nicht, dass da so interessante themen behandelt werden. danke jedenfalls für die aufklärung dazu slick.

danke auch für die links, obwohl ich die meisten dazu schon gelesen habe.

dazu gehörten

http://www.gentoo.org/security/en/

http://www.gentoo.org/doc/en/security/ << war interessant, um einen groben überblick zu haben.

aber meine fragen bleiben immer noch offen:

 *Quote:*   

> 1. warum ist der aktuelle stabile gcc 4.1.1 nicht mit hardened unterstützt. ich fand dazu keinerlei infos. stattdessen will er immer auf nen 3er gcc downgraden. analog dazu glibc
> 
> 2. kann ich auch nur das hardened useflag setzen und mein system ist dann genauso gehärtet, wie wenn ich das profil auf hardened setze?
> 
> 3. welche auswirkungen hat ein gehärteter gcc? härtet er ebenfalls meine neukompilierten programme?
> ...

 

----------

## C2DFreak

Das seltsame ist ja:

Warum gibt es nur ein 2005.1 Profil für SELINUX bzw. Hardened Gentoo?

Aus meiner Sicht liegt da das Problem.

Es müsste mal ein 2006.1 Profil dafür geben...

----------

## vitae

 *C2DFreak wrote:*   

> Das seltsame ist ja:
> 
> Warum gibt es nur ein 2005.1 Profil für SELINUX bzw. Hardened Gentoo?
> 
> Aus meiner Sicht liegt da das Problem.
> ...

 

das selinux howto hatte ich mir durchgelesen und auf die frage gabs auch eine antwort. 

sie meinten in etwa, dass es nicht notwendig sei das selinux profil ständig zu erneuern, da sich da eh nicht viel ändern würde. das wird schon passen.

----------

## C2DFreak

 *vitae wrote:*   

>  *C2DFreak wrote:*   Das seltsame ist ja:
> 
> Warum gibt es nur ein 2005.1 Profil für SELINUX bzw. Hardened Gentoo?
> 
> Aus meiner Sicht liegt da das Problem.
> ...

 

Trotz allem darin liegt die Antwort auf deine Frage 1.

Das 2005.1er (Hardened/SELINUX Profil) ist natürlich nicht mehr auf dem aktuellen Stand.

Und daher isn älterer GCC, glibc usw. drin weswegen du ein Downgrade machen musst.

Genau das ist das Problem.

Würde es ein aktuelles Hardened/Selinux Profil geben dann wäre auch der GCC in Version 4 drin und es wäre kein Downgrade notwendig.

Und dadurch beantworten sich indirekt auch deine weiteren Fragen.

Frag am besten mal die Entwickler, warum es kein aktuelles 2006.1 Hardened Profil gibt.

----------

## firefly

also bei mir gibt es ein 2006.1 profil für SELINUX:

```
eselect profile list

Available profile symlink targets:

  [1]   default-linux/x86/2006.1

  [2]   default-linux/x86/no-nptl

  [3]   default-linux/x86/no-nptl/2.4

  [4]   default-linux/x86/2006.1/desktop

  [5]   hardened/x86/2.6

  [6]   selinux/x86/2006.1
```

----------

## C2DFreak

@firefly THX für diese Info.

Habe gerade nachgeschaut, du hast vollkommen Recht.

@vitae

Du musst im ersten Schritt folgendes Profil nehmen:

rm -f /etc/make.profile

und danach (WICHTIG!)

ln -sf /usr/portage/profiles/selinux/x86/2006.1 /etc/make.profile

Um zu schauen ob alles okay ist machst du dann:

emerge --info

So sollte das dann in etwa aussehen:

gentoo-test x86 # emerge --info

Portage 2.1.1-r2 (selinux/x86/2006.1, gcc-4.1.1, glibc-2.4-r3, 2.6.19-gentoo-r3 i686)

=================================================================

System uname: 2.6.19-gentoo-r3 i686 Intel(R) Core(TM)2 CPU          6600  @ 2.40GHz

Habe es dir extra dick mackiert.

Da steht dann SELINUX.

Anschließend machst du direkt mit:

emerge glibc

weiter.

Und dann den Rest der Anleitung.

Sollte klappen.

Ich hoffe, dass ich dir helfen konnte. Wenn du noch Fragen hast, poste einfach.

----------

## vitae

danke für die antworten.

```
eselect profile set 6
```

erleichtert es ebenfalls. das funktioniert jedenfalls.

dachte ich mir doch, dass im handbuch einiges veraltet ist.

http://www.gentoo.org/proj/en/hardened/selinux/selinux-handbook.xml?part=2&chap=1

 *Quote:*   

> # rm -f /etc/make.profile
> 
> x86:
> 
> # ln -sf /usr/portage/profiles/selinux/2005.1/x86 /etc/make.profile
> ...

 

für hardened hab ich im hardened profiles rumschnüffeln auch einen eintrag gefunden, warum er downgraden will. anscheinend liegt es an dem 1 jahr alten bugeintrag.

https://bugs.gentoo.org/show_bug.cgi?id=104966

ob in der zwischenzeit das problem wohl gelöst wurde geht leider nicht daraus hervor...

kann man dem selinux team nen bug-eintrag schicken, oder irgendwie benachrichten wegen dem handbuch?

ansonsten haben sind alle meine fragen beantwortet.

danke nochmals  :Very Happy: 

----------

## slick

Diskussion zum Thema "Behördentrojaner" herausgelöst nach https://forums.gentoo.org/viewtopic-p-3829592.html#3829592

----------

## C2DFreak

 *vitae wrote:*   

> danke für die antworten.
> 
> ```
> eselect profile set 6
> ```
> ...

 

Wunderbar.

Dann sag mal bescheid, wenn deine SELINUX Install komplett durch ist. Würde mich dann mal sehr interessieren, ob auch mit der SELINUX-BASE-POLICY alles klappt...

----------

