# Desktop System nach Hardened

## frank9999

Hallo,

ich bin am überlegen meine Gentoo Rechner auf ein Hardened Profil zu switchen.

Nach ich nun so einiges gelesen habe unter anderem:

http://wiki.gentoo.org/wiki/Hardened/Introduction_to_Hardened_Gentoo

http://resources.infosecinstitute.com/gentoo-hardening-part-1-introduction-hardened-profile-2/

http://resources.infosecinstitute.com/gentoo-hardening-part-2-introduction-pax-grsecurity/

http://resources.infosecinstitute.com/gentoo-hardening-part-3-using-checksec-2/

http://resources.infosecinstitute.com/gentoo-hardening-part-4-pax-rbac-clamav/

usw.

Mein System: etwa ~1.500 packages installiert, davon ca. 1.000 Stable packages

Portage 2.2.8-r1 (default/linux/amd64/13.0/desktop/kde/systemd, gcc-4.7.3, glibc-2.17, 3.14.6-gentoo x86_64)

NVIDIA Binary Treiber, KDE 4.13.1, Libreoffice, Thunderbird, Google Chrome, Firefox, VLC, Amarok, XBMC, VirtualBox, Wine, Digikam, Dropbox, etc..

Bleiben noch ein paar Fragen:

1) Macht es überhaupt Sinn für ein Desktop System?

2) Gibt es packages die nicht mit Hardened laufen?

3) Nach einem Rebuild von World, funktioniert das System dann noch mit einem Kernel aus gentoo-sources?

4) Mit genlop -i foo erhält man ja eine einzelne "Average merge time" für das package foo.

    Gibt es ein Möglichkeit/Script was die ungefähre Zeitdauer eines World Rebuild  ermittelt anhand dieser "Average merge time"?

5) Besteht nach einem erfolgreichen Umstieg ein höherer Pflegeaufwand?

----------

## frank9999

Niemand?

----------

## schmidicom

 *frank9999 wrote:*   

> 1) Macht es überhaupt Sinn für ein Desktop System?

 

Was Sinn macht und was nicht ist Ansichtssache und demnach von Mensch zu Mensch unterschiedlich, ich persönlich finde das verschlüsseln der root Partition für wesentlich sinnvoller als SELinux.

 *frank9999 wrote:*   

> 2) Gibt es packages die nicht mit Hardened laufen?

 

Solange für ein Softwarepaket eine passende SELinux-Policy verfügbar ist sollte es auch funktionieren aber mich persönlich würde es wundern wenn unter Gentoo wirklich für jedes Paket eine solche vorliegt.

 *frank9999 wrote:*   

> 3) Nach einem Rebuild von World, funktioniert das System dann noch mit einem Kernel aus gentoo-sources?

 

Wenn ich mich richtig an diesen SELinux-Kram erinnere muss der Kernel den Support für SELinux einfach mit drin haben dann ist der Rest vom Kernel ziemlich egal.

 *frank9999 wrote:*   

> 5) Besteht nach einem erfolgreichen Umstieg ein höherer Pflegeaufwand?

 

In Erinnerung an meine SELinux-Debakel-Erfahrungen unter Fedora und anderen Distributionen kann ich hier nur eines sagen: Ja definitiv, SELinux kann sich sehr schnell zu einer Lebensaufgabe entwickeln.

----------

## boris64

Also ich hab das auch mal probiert. Nach meinen Erfahrungen mit den

hardened-Sources kann ich davon nur eher abraten, weil alles gefühlt

langsamer und oft auch nur fehlerhaft läuft (3D-Beschleunigung unter KDE,

ach, und so weiter...) selbst mit ausgewähltem Desktop-Profil. Auf dem

Server ist das echt top, aber mit X und den ganzen anderen Programmen,

die du da laufen lassen willst, wird das echt zu 'ner Lebensaufgabe.

----------

## boospy

Man kann ja einzelne Pakete mit Hardened kompilieren, macht glaub ich mehr Sinn. Serversysteme haben wir alle auf Hardened nomultilib. Nomultilib täte mich schon eher auf nen Desktop interessieren, aber dann geht ganz sicher einiges nicht mehr.... hmm, ich könnts ja mal testen. 

lg

boospy

----------

## kernelOfTruth

ich hab hier alles mit den freigeschalteten "hardened" use-flags und transparenter "hardened" toolchain kompiliert (momentan dabei mit gcc 4.9.0 zu aktualisieren)

soweit lies sich alles mit 4.7.3 kompilieren, 4.9.0 hat bis jetzt für die paar Pakete auch keine Probleme gemacht

grsecurity oder PaX nutze ich momentan nicht, weil diverse Sachen (wine, mono - tomboy, etc.) damit nicht so recht liefen und der Aufwand für das Erste zu groß war (patche den Kernel oft auch 1-2 Versionen hinauf in einzelnen

Sub-Systemen so funktioniert das ganze nicht bzw. wird zu komplex)

das einzige, das nicht so recht laufen will war memtest86 und memtest86+ (geht jetzt seit dem Rechner Upgrade mit UEFI sowieso nicht im uefi Modus), dann muss auf das vanilla-Profil umgeschaltet werden

 *Quote:*   

> gcc-config -l
> 
>  [1] x86_64-pc-linux-gnu-4.6.3
> 
>  [2] x86_64-pc-linux-gnu-4.6.3-hardenednopie
> ...

 

 *Quote:*   

> [I] sys-libs/glibc
> 
>      Available versions:  (2.2) 2.3.6-r5^s[1] 2.4-r4^s[1] **2.5.1^s[1] 2.6.1^s[1] (~)2.7-r2^s[1] 2.8_p20080602-r1^s[1] (~)2.9_p20081201-r3^s (~)2.9_p20081201-r3^s[4] 2.10.1-r1^s 2.10.1-r1^s[4] 2.11.3^s 2.11.3^s[4] (~)2.12.1-r3^s (~)2.12.1-r3^s[4] 2.12.2^s 2.12.2^s[4] (~)2.13-r2^s (~)2.13-r2^s[4] 2.13-r4^s 2.13-r4^s[4] (~)2.14^s (~)2.14^s[4] (~)2.14.1-r2^s (~)2.14.1-r2^s[4] 2.14.1-r3^s 2.14.1-r3^s[4] (~)2.15-r1^s (~)2.15-r1^s[4] 2.15-r2^s 2.15-r2^s[4] 2.15-r3^s 2.15-r3^s[4] 2.16.0^s{tbz2} 2.16.0^s{tbz2}[4] 2.17^s{tbz2} 2.17^s{tbz2}[2] 2.17^s{tbz2}[3] 2.17^s{tbz2}[4] (~)2.18-r1^s{tbz2} (~)2.18-r1^s{tbz2}[3] (~)2.18-r1^s{tbz2}[4] (~)2.19^s{tbz2} (~)2.19^s{tbz2}[3] (**)2.19^s{tbz2}[4] **9999^s **9999^s[4]
> 
>        {build debug erandom gd glibc-compat20 glibc-omitfp hardened multilib nptl nptlonly nscd profile selinux suid systemtap vanilla CROSSCOMPILE_OPTS="headers-only"}
> ...

 

 */etc/portage/profile/package.use.mask wrote:*   

> sys-devel/gcc -hardened
> 
> sys-libs/glibc -hardened
> 
> 

 

 */etc/portage/make.conf wrote:*   

>  USE="multislot hardened mode-paranoid pic pie" 

 

 *eselect profile list wrote:*   

> 
> 
> Available profile symlink targets:
> 
>   [1]   default/linux/amd64/13.0
> ...

 

----------

## frank9999

Zunächst einmal Danke an alle die geantwortet haben  :Smile: 

Ich war inzwischen fleißig und habe das Profil umgestellt, die dadurch entstandenen Abhängigkeits Konflikte gelöst (man ist portage in diesem Bereich langsam geworden) und anschließend emerge –1e system && emerge –1e world hinter mir…

Für 1.500 Packages in World und 600 davon in System, haben die 2.100 emerge Operationen knapp 30 Stunden gedauert…

Das ging dann doch schneller als Befürchtet.

Es gab ein paar Problem, weil die aktuelle „stabile“ Version von icedtea-bin nicht wirklich funktioniert, was zu einer Vielzahl an Sandbox Violation Errors in diversen Sachen geführt hat. 

Das wäre dann dieser Bug: https://bugs.gentoo.org/show_bug.cgi?id=502280

Ich habe dann einfach mal mit dem alten Kernel gebootet und KDE lief mit allen Effekten  :Smile: 

Nach einem schnellen Test gingen: 

Chrome, Dropbox, Wine(!), Libreoffice, krusader, yakuake etc.

Was nicht ging war:

Steam (Schade, da es jetzt Civ 5 gibt! ), Firefox, Thunderbird

Den Rest habe ich noch nicht getestet. 

Insbesondere virtualbox wird spannend, da es sich bisher auch nicht mit dem hardened gcc übersetzen lies. Könnte aber auch an diesem Java Bug liegen.

Wobei Firefox und Thunderbird mit einem neuen Useflag gebaut wurden was vielleicht wirklich einen hardened Kernel voraussetzt.

Ich werde am Wochenende mal einen neuen "echten" hardened Kernel bauen. SELinux und einiges andere bleiben erstmal dann ausgeschaltet.

Da ich auf diesem Rechner mit der dortigen Grafikkarte (680 GTX) eh immer Probleme mit dem NVIDIA Treiber habe,

werde ich auch noch einmal mit nouveau testen und meine Resultate hier berichten. 

Es fehlt also eigentlich gar nicht mehr viel …

Daumendrücken Leute!  :Wink: 

----------

## boospy

Nicht schlecht...

----------

