# Que opções do grsecurity vcs usam?

## To

Já uso o grsecurity à algum tempo. Mas honestamente na minha gateway em casa, tendo como ISP a netcabo, raramente activo alguma das opções. De qualquer modo, que é que vcs usam? Só costumo activar as protecções da /proc.

Tó

----------

## RoadRunner

Eu uso Randomized Pids, Dmesg restriction, randomized IP ID's, Randomized TCP source Ports, Altered Pings e as normais restrições à /proc.

----------

## darktux

 *RoadRunner wrote:*   

> Eu uso Randomized Pids, Dmesg restriction, randomized IP ID's, Randomized TCP source Ports, Altered Pings e as normais restrições à /proc.

 

Great minds think a like   :Wink: 

----------

## humpback

```
kernel.grsecurity.dmesg = 1

kernel.grsecurity.audit_ipc = 0

kernel.grsecurity.audit_mount = 1

kernel.grsecurity.altered_pings = 1

kernel.grsecurity.rand_isns = 1

kernel.grsecurity.rand_tcp_src_ports = 1

kernel.grsecurity.rand_ip_ids = 1

kernel.grsecurity.rand_pids = 1

kernel.grsecurity.forkfail_logging = 1

kernel.grsecurity.signal_logging = 1

kernel.grsecurity.execve_limiting = 1

kernel.grsecurity.fifo_restrictions = 1

kernel.grsecurity.linking_restrictions = 1

kernel.grsecurity.socket_client = 1

kernel.grsecurity.socket_client_gid = 1005

```

E ando a ver se dou uma ajuda ao solarx do Gentoo-Hardened para ver se o numero de serviços com acl feita vai aumentando..... Ja tentei correr a FW com acl's activadas e tinha bastantes problemas (N serviços que deixavam de workar).

Ja agora a titulo de curiosidade... dem uma saltada a http://selinux.dev.gentoo.org

----------

## jbssm

Eu desde q compilei o kernel a ultima vez estou a utilizar o seting "normal" ou "médio" ... não me lembro bem do nome q dão aquilo.

Mas pela primeira vez estou a ter um problema com o Gaim (quer dizer problemas com o Gaim não faltam mas este é um grande), sempre q o começo ele dá cabo da minha ligação à net.

Por isso assim que tiver tempo (leia-se paciência) vou compilar de novo o kernel e utilizar opções nmenos agrassivas para o grsecurity.

----------

## lmpinto

```
CONFIG_GRKERNSEC=y

CONFIG_GRKERNSEC_CUSTOM=y

CONFIG_GRKERNSEC_PAX_ASLR=y

CONFIG_GRKERNSEC_PAX_RANDKSTACK=y

CONFIG_GRKERNSEC_PAX_RANDUSTACK=y

CONFIG_GRKERNSEC_PAX_RANDMMAP=y

CONFIG_GRKERNSEC_HIDESYM=y

CONFIG_GRKERNSEC_PROC=y

CONFIG_GRKERNSEC_PROC_USER=y

CONFIG_GRKERNSEC_PROC_ADD=y

CONFIG_GRKERNSEC_LINK=y

CONFIG_GRKERNSEC_FIFO=y

CONFIG_GRKERNSEC_CHROOT=y

CONFIG_GRKERNSEC_CHROOT_MOUNT=y

CONFIG_GRKERNSEC_CHROOT_DOUBLE=y

CONFIG_GRKERNSEC_CHROOT_PIVOT=y

CONFIG_GRKERNSEC_CHROOT_CHDIR=y

CONFIG_GRKERNSEC_CHROOT_CHMOD=y

CONFIG_GRKERNSEC_CHROOT_FCHDIR=y

CONFIG_GRKERNSEC_CHROOT_MKNOD=y

CONFIG_GRKERNSEC_CHROOT_SHMAT=y

CONFIG_GRKERNSEC_CHROOT_UNIX=y

CONFIG_GRKERNSEC_CHROOT_FINDTASK=y

CONFIG_GRKERNSEC_CHROOT_NICE=y

CONFIG_GRKERNSEC_CHROOT_SYSCTL=y

CONFIG_GRKERNSEC_CHROOT_CAPS=y

CONFIG_GRKERNSEC_EXECLOG=y

CONFIG_GRKERNSEC_RESLOG=y

CONFIG_GRKERNSEC_FORKFAIL=y

CONFIG_GRKERNSEC_EXECVE=y

CONFIG_GRKERNSEC_DMESG=y

CONFIG_GRKERNSEC_RANDPID=y

CONFIG_GRKERNSEC_RANDNET=y

CONFIG_GRKERNSEC_RANDISN=y

CONFIG_GRKERNSEC_RANDID=y

CONFIG_GRKERNSEC_RANDSRC=y

CONFIG_GRKERNSEC_RANDRPC=y

CONFIG_GRKERNSEC_RANDPING=y
```

Bom, com esta tralha parece que funciona tudo bem. O único problema é a info de rede do gkrellm e do ksysguard terem ido à vida. Seja como for, a ver se tento fechar mais isto... Os logs é que crescem como o raio - mas isto mete o pseudo process accounting a um cantinho...

----------

## RoadRunner

Tens um "workaround" simples para o gkrellm, em vez de o executares como utilizador normal, inicia o gkrellmd e depois usa o comando gkrellm2 -s localhost. Assim como o deamon corre como root tens acesso às infos todas.

----------

## lmpinto

 *RoadRunner wrote:*   

> Tens um "workaround" simples para o gkrellm, em vez de o executares como utilizador normal, inicia o gkrellmd e depois usa o comando gkrellm2 -s localhost. Assim como o deamon corre como root tens acesso às infos todas.

 

Sweet! Também ja reparei que o klaptopdaemon se passa como utilizador normal - corre e morre, enquanto como root não (isto só depois da activação do grsec).

----------

## m3thos

alguem quer uma acl para o bind a correr chrooted?

tb tenho pro postfix...

acl para o distcc seria apreciada.. nao tenho tempo para mexer nisto agora...

----------

