{"id":506,"date":"2011-02-18T08:28:13","date_gmt":"2011-02-18T14:28:13","guid":{"rendered":"http:\/\/vostorga.org\/?p=506"},"modified":"2011-02-18T08:28:13","modified_gmt":"2011-02-18T14:28:13","slug":"chroot-y-grsec","status":"publish","type":"post","link":"https:\/\/vostorga.org\/?p=506","title":{"rendered":"chroot y grsec"},"content":{"rendered":"

Tengo configurado un par de equipos con grsecurity<\/a> activado en sus kernels, que consisten en una serie de parches que mejoran considerablemente la seguridad en el kernel y en t\u00e9rminos generales, un sistema se puede configurar para que cada proceso tenga los privilegios justos (m\u00ednimos) necesarios para funcionar.<\/p>\n

Para los interesados ocupo lo que se denomina “Gentoo Hardened<\/a>” que facilita en gran medida la configuraci\u00f3n de un kernel de esa manera.<\/p>\n

Pero volviendo al tema del post, yo ocupo chroots para efectos de pruebas de software y otras hierbas, y al intentar realizar un chmod, fallaba silenciosamente y al revisar dmesg me encontr\u00e9 con el siguiente mensaje:<\/p>\n

\ufeff\ufeff\ufeffgrsec: From 192.168.xxx.yyy: denied chmod +s of \/chroots\/chroot-glibc213\/var\/tmp\/portage\/dev-libs\/libgcrypt-1.4.6\/work\/libgcrypt-1.4.6\/random by \/chroots\/chroot-glibc213\/bin\/tar[tar:24801] uid\/euid:0\/0 gid\/egid:0\/0, parent \/chroots\/chroot-glibc213\/usr\/lib\/portage\/bin\/ebuild.sh[ebuild.sh:24792] uid\/euid:0\/0 gid\/egid:0\/0<\/p><\/blockquote>\n

\ufeff\ufeff\ufeffPr\u00e1cticamente grsec est\u00e1 negando la ejecuci\u00f3n de chmod dentro de un chroot, como una de las m\u00faltiples medidas de seguridad que implementa. Como el kernel fue compilado con soporte de sysctl en grsec, se puede desactivar esta protecci\u00f3n temporalmente ejecutando:<\/p>\n

\n
sysctl kernel.grsecurity.chroot_deny_chmod=0<\/div>\n<\/blockquote>\n
<\/div>\n","protected":false},"excerpt":{"rendered":"

Tengo configurado un par de equipos con grsecurity activado en sus kernels, que consisten en una serie de parches que mejoran considerablemente la seguridad en el kernel y en t\u00e9rminos generales, un sistema se puede configurar para que cada proceso tenga los privilegios justos (m\u00ednimos) necesarios para funcionar. Para los interesados ocupo lo que se […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[48,3],"tags":[208,161,162,34,207],"class_list":["post-506","post","type-post","status-publish","format-standard","hentry","category-gentoo","category-linux","tag-gentoo","tag-grsec","tag-grsecurity","tag-kernel","tag-linux"],"_links":{"self":[{"href":"https:\/\/vostorga.org\/index.php?rest_route=\/wp\/v2\/posts\/506"}],"collection":[{"href":"https:\/\/vostorga.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vostorga.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vostorga.org\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/vostorga.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=506"}],"version-history":[{"count":3,"href":"https:\/\/vostorga.org\/index.php?rest_route=\/wp\/v2\/posts\/506\/revisions"}],"predecessor-version":[{"id":509,"href":"https:\/\/vostorga.org\/index.php?rest_route=\/wp\/v2\/posts\/506\/revisions\/509"}],"wp:attachment":[{"href":"https:\/\/vostorga.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=506"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vostorga.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=506"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vostorga.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=506"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}