chroot y grsec

Tengo configurado un par de equipos con grsecurity activado en sus kernels, que consisten en una serie de parches que mejoran considerablemente la seguridad en el kernel y en términos generales, un sistema se puede configurar para que cada proceso tenga los privilegios justos (mínimos) necesarios para funcionar.

Para los interesados ocupo lo que se denomina “Gentoo Hardened” que facilita en gran medida la configuración de un kernel de esa manera.

Pero volviendo al tema del post, yo ocupo chroots para efectos de pruebas de software y otras hierbas, y al intentar realizar un chmod, fallaba silenciosamente y al revisar dmesg me encontré con el siguiente mensaje:

grsec: From 192.168.xxx.yyy: denied chmod +s of /chroots/chroot-glibc213/var/tmp/portage/dev-libs/libgcrypt-1.4.6/work/libgcrypt-1.4.6/random by /chroots/chroot-glibc213/bin/tar[tar:24801] uid/euid:0/0 gid/egid:0/0, parent /chroots/chroot-glibc213/usr/lib/portage/bin/ebuild.sh[ebuild.sh:24792] uid/euid:0/0 gid/egid:0/0

Prácticamente grsec está negando la ejecución de chmod dentro de un chroot, como una de las múltiples medidas de seguridad que implementa. Como el kernel fue compilado con soporte de sysctl en grsec, se puede desactivar esta protección temporalmente ejecutando:

sysctl kernel.grsecurity.chroot_deny_chmod=0

Kernel 2.6.25 con driver NVidia

Para los que poseemos hardware relativamente nuevo, o dispositivos que han sido agregados en este nuevo Kernel, nos es de cierta manera necesario actualizarnos a la última versión estable del kernel (2.6.25), para el caso de los que poseemos tarjeta de video NVidia tendremos problemas al intentar instalar los drivers para la tarjeta de video.

La gente de NVidia ha puesto a disposición el driver 173.08 el cual es beta, pero da soporte oficial a esta nueva versión del kernel, dicho driver se puede descargar desde aquí, al mismo tiempo da soporte oficial a nuevas GPUs de las series 8000 (8400M GS entre ellas 🙂 ) y 9000.

La instalación es siempre la misma, a través del comando
# sh NVIDIA-Linux-x86_64-173.08-pkg2.run

Debemos de tener los fuentes del kernel que estemos ocupando para que la instalación del driver sea exitosa.

Powered by WordPress with GimpStyle Theme design by Horacio Bella.
Entries and comments feeds. Valid XHTML and CSS.