chroot y grsec
Posted by vostorga - 18/02/11 at 08:02:13 amTengo configurado un par de equipos con grsecurity activado en sus kernels, que consisten en una serie de parches que mejoran considerablemente la seguridad en el kernel y en términos generales, un sistema se puede configurar para que cada proceso tenga los privilegios justos (mínimos) necesarios para funcionar.
Para los interesados ocupo lo que se denomina “Gentoo Hardened” que facilita en gran medida la configuración de un kernel de esa manera.
Pero volviendo al tema del post, yo ocupo chroots para efectos de pruebas de software y otras hierbas, y al intentar realizar un chmod, fallaba silenciosamente y al revisar dmesg me encontré con el siguiente mensaje:
grsec: From 192.168.xxx.yyy: denied chmod +s of /chroots/chroot-glibc213/var/tmp/portage/dev-libs/libgcrypt-1.4.6/work/libgcrypt-1.4.6/random by /chroots/chroot-glibc213/bin/tar[tar:24801] uid/euid:0/0 gid/egid:0/0, parent /chroots/chroot-glibc213/usr/lib/portage/bin/ebuild.sh[ebuild.sh:24792] uid/euid:0/0 gid/egid:0/0
Prácticamente grsec está negando la ejecución de chmod dentro de un chroot, como una de las múltiples medidas de seguridad que implementa. Como el kernel fue compilado con soporte de sysctl en grsec, se puede desactivar esta protección temporalmente ejecutando:
sysctl kernel.grsecurity.chroot_deny_chmod=0
No Comments yet »
RSS feed for comments on this post. TrackBack URI
Leave a comment
Powered by WordPress with GimpStyle Theme design by Horacio Bella.
Entries and comments feeds.
Valid XHTML and CSS.