Grsecurity로 데비안 커널 보호

Grsecurity로 데비안 커널 보호

그러나 내 커널을 보호하기 위해 Grsecurity를 ​​사용하고 싶습니다. 이에 대해 조사하고 몇 가지 튜토리얼을 찾았지만 확실하지 않습니다. 현재 커널을 바닐라 커널로 교체해야 한다는 내용을 읽었습니다. 이는 변함없는 기본 리눅스 커널인데, 데비안에 포함된 현재 커널을 바닐라 커널로 교체하는 것이 좋지 않을까요? 이로 인해 업데이트 문제가 발생하여 모든 업데이트를 받지 못하거나 데비안을 최적으로 최적화할 수 없게 됩니까...?

바닐라로 교체하면 업데이트가 쉽나요, 아니면 업데이트를 위해 매번 바닐라 웹사이트를 확인한 후 수동으로 컴파일해야 합니까?

즉, Grsecurity로 커널을 보호하고 바닐라 문제를 해결하는 것이 좋은 생각일까요? 이 데비안 페이지성능 저하가 그다지 심각하지 않고 쉽게 업데이트할 수 있는 저장소가 있다고 했는데 그게 오늘날에도 사실인가요?

이런 일을 경험했거나 직접 해본 사람이 있나요?

감사해요!

답변1

스티븐은 나보다 빠르다. linux-image-grsec-amd6커널을 포함하지 않고 컴파일하고 사용 하려는 경우 make-kpkg.

그러나 사용 시 몇 가지 문제가 발생할 수 있습니다 grsecurity.

  • 최대 절전 모드가 중단될 수 있습니다( CONFIG_GRKERNSEC_KMEM, 및 와 CONFIG_PAX_MEMORY_SANITIZE충돌 CONFIG_RANDOMIZE_BASE).
  • Xen과 virtualbox가 충돌할 수 있습니다( CONFIG_PAX_KERNEXEC및 충돌 CONFIG_PAX_MEMORY_UDEREF).
  • 활성화된 코드 재사용 공격 보호(RAP)를 사용하면 드라이버와 같은 바이너리 blob이 CONFIG_PAX_RAP손상될 수 있습니다 .nvidia
  • broadcom-sta-dkms불법적인 메모리 접근으로 인해 컴파일이 실패할 수 있습니다.

이들 모두는 Arch Linux에 나열되어 있습니다.Grsecurity 위키 페이지. 집에서는 grsecurity를 ​​사용하기로 결정했고 nvidia 독점 드라이버를 사용하지 않았습니다(그러나 해당 브랜드의 카드를 설치했습니다). 배포판이 grsec에서 어떤 매개변수를 활성화했는지 확인하고 그것이 요구 사항을 충족하는지(또는 특정 기능을 절충할 수 있는지) 확인해야 합니다.

linux-image자신만의 기본 커널을 패키징/패치하기로 선택했다면 커널을 계속 업데이트하고 , kernel-source및 에 대한 데비안 자체 도구를 사용해야 합니다 kernel-headers.

관련 정보:

답변2

위키 페이지에는 안정 패키지에 포함된 grsec 커널이 언급되어 있으며 이제 Debian 8(Jessie)에서 사용할 수 있습니다.통과하다 백포트. 설치하려면 적절한 저장소를 추가하세요.

echo deb http://http.debian.net/debian jessie-backports main > /etc/apt/sources.list.d/jessie-backports.list

(예 root: ), 그런 다음

apt-get update

마지막으로 커널과 적절한 도구를 설치합니다.

apt-get -t jessie-backports linux-image-grsec-amd64 gradm2

(실행 중이라고 가정 amd64). 이렇게 하면최근 grsec 커널, 업데이트를 유지하세요.

grsec 시스템을 제대로 실행하기 전에 일부 설정을 조정해야 할 수도 있으므로 grsec이 아닌 커널을 유지하십시오.

관련 정보