# [off] kernel hardened: projet toujours en vie?

## El_Goretto

Bonjour,

Ca fait un moment maintenant que je ne vois plus du tout d'update sur la 2.6.29 du hardened-sources. En fait, même, il n'y en a eu aucune depuis la release initiale. Le changelog n'a pas bougé depuis le 31 Mai 2009.

Je comprends bien les impératifs d'un tel projet, je voulais juste savoir si certains parmi vous avaient entendu des bruits de couloir à ce sujet.

Est-ce qu'ils ont décidé d'attendre une 2.6.32 pour repartir, ou bien est-ce que le projet est moribond?

----------

## boozo

Je crois que me rappeler que guilc suit les ML/iirc hardened donc peut-être qu'il aura plus d'infos

Le projet moribond ?!?? /me n'ose y penser - mais ralenti très probablement en effet... (l'escalade des versions des kernel-sources et sans doute aussi des contraintes en ressources sur le projet mais çà c'est un pb général   :Mr. Green: )

btw, vais suivre ton fil (je suis intéressé aussi j'en ai 3 qui ronronnent ^^)

----------

## guilc

Ouh là, que de responsabilité  :Mr. Green: 

Bah sur la ML, ce qui ressort c'est que l'équipe hardened est largement sous-staffée. En gros, c'est gengor et gengor

Du coup, il bosse surtout sur la toolchain, j'imagine bien que ça le booke en plein, et c'est au final plus délicat à gérer que le noyau..

Mais bon, le 2.6.29 hardened n'a pas de souci majeur, donc c'est pas si sramatique. Si vous tenez à mettre à jour en tous cas, grsec n'est pas mort. Les patchs du 2.6.31 (grsec + PaX) sont dispos chez spender : http://www.grsecurity.net/~spender/

----------

## El_Goretto

Bon, un petit feedback: avec le tuyau de guilc, un vanilla patché grsec fonctionne nickel, un make oldconfig passe comme une lettre à la p... euh, non, plutôt comme un ping sur 127.0.0.1.

Merci beaucoup!

----------

## man in the hill

Idem de mon côté, c'est passé nickel ... Vivement le patch pour la 2.6.32 car je n'ai trop confiance en ds la serie 2.6.31 ...

Thx .

----------

## El_Goretto

@man in the hill: 2.6.31? pourquoi?

----------

## man in the hill

 *El_Goretto wrote:*   

> @man in the hill: 2.6.31? pourquoi?

 

Sur mon desktop amd phenom, j'avais des problèmes d'accès disques usb en mode graphique ... je m'explique avec dolphin quand je voulais monter un disque usb, je cliquais dessus et cela prenais plusieurs minutes avant de rentrer dedans et ensuite il n'y avais plus de soucis pour naviguer dedans et ds les sous rep. 

Si je le montais avec mount, j'avais les mêmes symptômes en mode graphique ...

En console no-problem ... Toute la série des 2.6.31 et des que je revenais a mon 2.6.30 , plus de problème !  Comme je voulais upgrader mon kernel quand même j'ai installé le kernel vanilla-2.6.32-rc6 et tout c'est remis à fonctionner parfaitement ... Voir topic

Maintenant pour un serveur xeon que j'ai installé pour qqu'un , j'ai installé un lxde super légé au cas ou je dois faire un "neophite"  intervenir, juste lancer startx pour avoir le "cliquodrome" ...

Vu que j'utilise kvm et j'étais en hardened 2.6.29, je me suis dis qu'il serait mieux d'avoir un noyau plus récent pour un kvm plus récent  donc le grsec 2.6.31 m'intéressait ...

 Mais des que le l'ai installé, j'ai eu le même problème d'accès au disque usb avec l'explorer de lxde PCManfm ... Par contre tjrs aucun soucis pour le disque interne ... comme je ne vais pas utiliser de disque usb sur le serveur et que le mode graphique ne va être lancé quand cas de force majeur, je le garde pour l'instant en attendant le 2.6.32 ...

Voilà.

----------

## man in the hill

Le patch grsec pour le kernel-2.6.32.2 est dispo et passe sans soucis ...

----------

## El_Goretto

Ok, bon à savoir, ayant mes données sur de l'ext4, le 2.6.32 a l'air très conseillé pour la fiabilité (modifs ayant eu un fort impact négatif sur les perfs par contre).

----------

## El_Goretto

A force d'habitude et de faire soi-même son vanilla+grsec, on en oublierai presque de regarder ce que devient hardened-sources...

Et bien c'est reparti.

Concernant les contributeurs et participants, aucune idée de qui ils sont (chef guilc?  :Smile: ), mais dorénavant, on a droit à du 2.6.32 et du 2.6.34 (patchset?).

--

pour le 2.6.34, on note ceci:

```
  * Excluding Patch #4200_fbcondecor-0.9.6.patch ...                  

 * Applying 1000_linux-2.6.34.1.patch (-p0+) ...                     

 * Applying 2700_nouveau-acpi-lid-open-undefined-fix.patch (-p0+) ...

 * Applying 2720_vgarrb-add-missing-define.patch (-p0+) ...          

 * Applying 2900_xconfig-with-qt4.patch (-p0+) ...                   

 * Applying 4420_grsecurity-2.2.0-2.6.34.1-201007112149.patch (-p0+) ...

 * Applying 4421_grsec-remove-localversion-grsec.patch (-p0+) ...    

 * Applying 4422_grsec-mute-warnings.patch (-p0+) ...                

 * Applying 4423_grsec-remove-protected-paths.patch (-p0+) ...       

 * Applying 4425_grsec-pax-without-grsec.patch (-p0+) ...            

 * Applying 4430_grsec-kconfig-default-gids.patch (-p0+) ...         

 * Applying 4435_grsec-kconfig-gentoo.patch (-p0+) ...               

 * Applying 4440_selinux-avc_audit-log-curr_ip.patch (-p0+) ...      

 * Applying 4445_disable-compat_vdso.patch (-p0+) ...       
```

----------

## guilc

 *El_Goretto wrote:*   

> Concernant les contributeurs et participants, aucune idée de qui ils sont (chef guilc? )

 

Ouh là non, pas le temps  :Wink: 

 *Quote:*   

> mais dorénavant, on a droit à du 2.6.32 (patchset?) et du 2.6.34(+grsec pour le moment d'après le changelog).

 

2.6.32 qui est annoncé maintenu à long terme par Linus, et Brad Spengler/paxteam ont suivi, et vont donc maintenir le patchet à long terme

2.6.34 heu, y a tout dedans, pax aussi. Par contre, y a eu quelques ratés avec les premiers patchsets 2.6.34, du genre ça : https://bugs.gentoo.org/show_bug.cgi?id=328275 (qui a eu aussi le genre d'effet pas joli sur une de mes machines de faire un kernel panic pas beau lors de cette allocation mémoire...)

A terme, on devrait avoir 2.6.32 + noyau courant.

Et on a même un petit aperçu sur les travaux en cours là : http://archives.gentoo.org/gentoo-hardened/txtbsZGePizei.txt

----------

## El_Goretto

 *guilc wrote:*   

> Et on a même un petit aperçu sur les travaux en cours là : http://archives.gentoo.org/gentoo-hardened/txtbsZGePizei.txt

 

Merci, très intéressant!

----------

