Jessie kernel grsec échec

Support Debian
#1

Bonsoir,

Bien qu’il soit possible que je sois “seul” à m’intéresser à ce propos … si quelques uns pouvaient m’aider à ouvrir les pistes pour trouver des réponses ce serait bien.

Après avoir testé sur ma Jessie l’installation officielle du paquet “linux-image-grsec” pour mon architecture, je me retrouve avec les problèmes suivants :

1/ impossibilité de me connecter car l’écran de connexion gdm ne s’affiche pas … pour le tty7, j’ai pour affichage le curseur blanc ‘_’ sur fond noir, sans clignotement de celui-ci, et c’est tout !

2/ Lors de la phase d’installation, j’ai eu les messages d’erreurs suivants :

/etc/kernel/postinst.d/dkms:
Error! Bad return status for module build on kernel: 4.7.0-1-grsec-amd64 (x86_64)
Consult /var/lib/dkms/tp-smapi/0.41/build/make.log for more information.
Error! Bad return status for module build on kernel: 4.7.0-1-grsec-amd64 (x86_64)
Consult /var/lib/dkms/broadcom-sta/6.30.223.248/build/make.log for more information.
  • Le premier fichier ‘/var/lib/dkms/tp-smapi/0.41/build/make.log’ me retourne cela :

DKMS make.log for tp-smapi-0.41 for kernel 4.7.0-1-grsec-amd64 (x86_64)
mercredi 12 octobre 2016, 17:53:59 (UTC+0200)
make: Entering directory ‘/usr/src/linux-headers-4.7.0-1-grsec-amd64’
/usr/src/linux-headers-4.7.0-1-common-grsec/Makefile:640: scripts/Makefile.gcc-plugins: Aucun fichier ou dossier de ce type
make[2]: *** No rule to make target ‘scripts/Makefile.gcc-plugins’. Arrêt.
Makefile:150: recipe for target ‘sub-make’ failed
make[1]: *** [sub-make] Error 2
Makefile:8: recipe for target ‘all’ failed
make: *** [all] Error 2
make: Leaving directory ‘/usr/src/linux-headers-4.7.0-1-grsec-amd64’

  • le second fichier ‘/var/lib/dkms/broadcom-sta/6.30.223.248/build/make.log’ me restitue les messages suivants :

DKMS make.log for broadcom-sta-6.30.223.248 for kernel 4.7.0-1-grsec-amd64 (x86_64)
mercredi 12 octobre 2016, 17:54:00 (UTC+0200)
/bin/sh: 1: [: Illegal number:
/bin/sh: 1: [: Illegal number:
Wireless Extension is the only possible API for this kernel version
Using Wireless Extension API
KBUILD_NOPEDANTIC=1 make -C /lib/modules/4.7.0-1-grsec-amd64/build M=pwd
make[1]: Entering directory ‘/usr/src/linux-headers-4.7.0-1-grsec-amd64’
/usr/src/linux-headers-4.7.0-1-common-grsec/Makefile:640: scripts/Makefile.gcc-plugins: Aucun fichier ou dossier de ce type
make[3]: *** No rule to make target ‘scripts/Makefile.gcc-plugins’. Arrêt.
Makefile:150: recipe for target ‘sub-make’ failed
make[2]: *** [sub-make] Error 2
Makefile:8: recipe for target ‘all’ failed
make[1]: *** [all] Error 2
make[1]: Leaving directory '/usr/src/linux-headers-4.7.0-1-grsec-amd64’
Makefile:158: recipe for target ‘all’ failed
make: *** [all] Error 2

Voili, voilou … quelques idées ?!

#2

Concernant le premier point - du fait de ne pas avoir d’affichage de session, le journal Xorg restitue cela :

# egrep "EE" /var/log/Xorg.0.log
         (WW) warning, (EE) error, (NI) not implemented, (??) unknown.
(EE) failed to load module "nv" (module does not exists, 0)
(EE) NOUVEAU(0): [COPY] failed to allocate class.
# egrep "WW" /var/log/Xorg.0.log
	(WW) warning, (EE) error, (NI) not implemented, (??) unknown.
[    23.629] (WW) The directory "/usr/share/fonts/X11/cyrillic" does not exist.
[    23.943] (WW) Warning, couldn't open module nv
[    23.976] (WW) Falling back to old probe method for modesetting
[    23.976] (WW) Falling back to old probe method for fbdev
[    24.124] (WW) Falling back to old probe method for vesa
[    24.222] (WW) NOUVEAU(0): Output LVDS-1: Strange aspect ratio (286/17900), consider adding a quirk

La plaie !

D’une dernière discussion avec Yves-Alexis, grsec n’est pas capable de gérer … les modules externes !!!
(ce qui explique les problèmes avec le module ‘tp-smapi’ et ‘broadcom-sta’ … )
Je suppose qu’il en est de même pour le module ‘nouveau’ … car il semble ne pas être capable de le charger …

Bref … tssss …
Pour le fonctionnement en mode station, ce n’est pas encore prêt !
Bon, beh, rendez-vous dans … X … années - où ‘X’ est le nombre d’années à attendre, au choix … à votre bon coeur … comme il vous plaira - je craque :stuck_out_tongue:

#3

Pour durcir une Debian il n’est nul besoin de passer par un kernel comme celui-ci (au passage je ne l’ai utilisé qu’une ou deux fois sur des serveurs headless).

Le principe de durcissement est de limité la zone d’attaque et de limité la modification des fichiers au strict minimum, en somme le passsage en lecture seule de tous ce qui est possible et la limitation des droits (comme tu le fais avec ton article sur su et sudo).

Un article traitant du durcissement d’une FreeBSD, il y a des idées à piquer ainsi que sur l’autre lien (attention c’est un véritable manuel Debian ^^ :


https://wiki.debian.org/Hardening

De façon personnelle je me suis amusé à durcir un VPS à l’aide de docker pour isoler les rôles mais il doit être possible de le faire avec du chroot classique (c’est juste plus tordu et compliqué à mettre en place).
Maintenant sur une station de travail j’aurai tendance à penser comme le projet Qubes et regroupé les applications/activités par pourcentage et type de risque et à les isoler par ensemble.
Mais je doit avouer ne plus trop avoir le temps de jouer avec la console et je me satisfait de la plupart des réglages de bases de Debian couplé avec un bureau propre ET un cerveau alerte ^^

1 J'aime
#4

Je souris parce que le document en question termine avec … des mentions à-propos de grsec :stuck_out_tongue: