# [SOLVED] Wine i Kernel Hardened z Grsecurity.

## SlashBeast

Witam! Od paru dni bawie się w kernel z grsecurity. Mam ustawione "Security Level (Hardened [Gentoo])". Mam swojego usera w grupie z gid 1001 (grupa proc), tak też do proc mam wjazd. Za to cokolwiek z wine wywala się na starcie:

```
slashbeast@betrayed ~ % winecfg

wine: creating configuration directory '/home/slashbeast/.wine'...

err:heap:HEAP_GetPtr Invalid heap (nil)!

err:heap:HEAP_GetPtr Invalid heap (nil)!

err:heap:HEAP_GetPtr Invalid heap (nil)!

err:task:TASK_CreateMainTask could not create task for main process

wine: wineprefixcreate failed while creating '/home/slashbeast/.wine'.

slashbeast@betrayed ~ % wineserver: could not save registry branch to /home/slashbeast/.wine-NrfLf5/system.reg : No such file or directory

wineserver: could not save registry branch to /home/slashbeast/.wine-NrfLf5/user.reg : No such file or directory

```

Zapewne powinienem wybrać custom i odhaczyć jakiś ficzer grsec ale jaki? Google nie jest specjalnie pomocne.

Arfrever: "cokolwiek" pisze się łącznie.

SlashBeast: Dziękuję.Last edited by SlashBeast on Wed Oct 03, 2007 1:05 pm; edited 1 time in total

----------

## Eeeyeore

Jeśli masz w jajku

CONFIG_GRKERNSEC_PAX_NOEXEC=y

to jest najprościej rzecz mowiąc zabezpieczenie przed wykonywaniem kodu jak w wine , jre , skype i jeszcze jest parę programików co nie będa chodzić

Moim zdaniem grsec nie mają sensu na desktopie jedynie może z opcją network protection

----------

## SlashBeast

SOLVED.

Mimo wszystko grsec przydaje mi się, czasem znajomym udostępniam shelle i nie widzi mi się, by mogli przeglądać jakie są uruchomione procesy itp.

----------

## bartmarian

solved ? a gdzie rozwiązanie ?  :Wink: 

(sys-apps/chpax ?)

----------

## SlashBeast

Pozbyłem się 

```
CONFIG_GRKERNSEC_PAX_NOEXEC
```

----------

## bartmarian

moim zdaniem, usunięcie tej opcji z jajka to nie jest rozwiązanie  :Wink: 

chpax nakłada flagi na wymienione przez nas binarki aby mogly ten dodatkowy

kod wykonać, cała reszta będzie na uwięzi, czy ma to sens na desktopie ? zazwyczaj

pewnie nie, ale kilka wyjątków jak sądzę by było, używałem tego (na serwerku) do momentu

problemów hardened+imq z siecią (2.6.20-2.6.21 - jak sądzę wina łatki, ale wrócę do tego),

binarek było dopisanych kilka i działało bdb, wg mnie jest to przydatne

gdy jednak chcemy "coś postawić" na desktopie, często włączonym 24h  :Wink: 

----------

## SlashBeast

Ponoć teraz paxctl się uzywa zamiast chpax, obacze potem.

----------

## Jacekalex

Witam

Przepraszam za taką straszną archeologię (czy może nekrofilię   :Very Happy:   ), ale mam pytanie:

Ja w tej chwili wprowadziłem się na grsecurity/pax - w celach naukowo-poznawczych.

Do odpalania kilku programów (głownie skype i kb2kskype) instalowanych z binarek też musiałem wyłączyć opcję 

```
CONFIG_GRKERNSEC_PAX_NOEXEC
```

Zauważyłem przy tym, że bez problemu przy włączeniu tej opcji działało wszystko, co było kompilowane na miejscu, nawet ręcznie.

Ale mam kilka programów, które mam z obcych binarek, i w związku z tym pytanie  - jak podpisać przez chpax/paxctl binarkę, wypakowaną jedynie (np firefox - binarka ze strony mozilli, czy jakiś stary program, który nie zamierza się kompilować), aby pax pozwolił na jej wykonanie, przy włączonym noexec?

Po za tym nie działa glxgears i compiz - segfault, ale to na razie nie problem, ster nvidii działa, mplayer na vdpau też, właśnie pograłem w Quake2 - także można wytrzymać  :Wink:  .

Pozdrawiam

 :Cool: 

Wszystkie programy już działają, wystarczyło wyłączyć  tpe_restrict_all (sprawcę kłopotów z kilkoma programami) i dopisać użyszkodnika do odpowiedniej grupy..

```
grep tpe /etc/sysctl.conf 

kernel.grsecurity.tpe_invert=1

kernel.grsecurity.tpe_restrict_all=0

kernel.grsecurity.tpe_gid=100

kernel.grsecurity.tpe=1

```

Jednak dalej szukam sposobu, żeby uruchomić cały bajzel na Pax-noexec.

Pozdrawiam

 :Cool: 

----------

