[Resolu] Patcher un noyau avec grsecurity pour debian

Simple, j’ai pris le répertoire debian du 2.6.18-2, remplacer les occurrences de 2.6.18 par 2.6.19 dans le control et (mal fait mais j’étais pressé) le changelog et crée un fichier version.Debian contenant ton 2.6.19-2. Voilà la magie, comme tous les trucs, c’est décevant.

Mais pkoi tu ne prends pas direct un 2.6.20 et tu lui appliques grsec ?
Il semble qu’il y ait des versions qui fonctionnent:
forums.grsecurity.net/viewtopic. … c&start=30

Il veut un 2.6.19, je ne sais pas pourquoi mais bon, il a le droit…

[quote=“fran.b”]Il veut un 2.6.19, je ne sais pas pourquoi mais bon, il a le droit…[/quote]La raison, me semble t il etait que le patch grsec n’etait dispo que jusqu’au 2.6.19.2 .
Donc si c’est dispo pour le 2.6.20, pkoi se priver.

Merci à vous … Aie, pas sûr que dans les deux jours à venir je pourrai tester vos solutions … Mais je vais commencer un peu déjà, par :
Ce qui est le plus simple MattOTop, c’est effectivement de patcher un 2.6.20.6, mais j’ai déjà essayé, le patch grsecurity 2.1.10 ne s’appliquais pas correctement chez moi sur un 2.6.20.6 !
Je vais donc réésayer vite fait de :

  • patcher un 2.6.20 debian (problème, c’est un 2.6.20.3, mais je tente)
  • patcher un 2.6.20.6 pristine
    Et je vous tiens au courrant de ces deux trucs, si ça foire, je reviens aux solutions de fran.b …

ps: moi d’aprés ce que j’ai compris, le patch grsec dernière release (2.1.10) ne pouvais s’appliquer qu’à un 2.6.19.2, d’où mon idée fixe.

Bon je viens de tenter ceci :

debian:/usr/src/workspace2.6.20$ wget http://www.grsecurity.net/grsecurity-2.1.10-2.6.19.2-200701222307.patch.gz debian:/usr/src/workspace2.6.20# gunzip grsecurity-2.1.10-2.6.19.2-200701222307.patch.gz debian:/usr/src/workspace2.6.20# tar jxf linux-source-2.6.20.tar.bz2 debian:/usr/src/workspace2.6.20# sed -i 's/linux-2.6.19.2/linux-source-2.6.20/g' grsecurity-2.1.10-2.6.19.2-200701222307.patch debian:/usr/src/workspace2.6.20# mv grsecurity-2.1.10-2.6.19.2-200701222307.patch grsecurity-2.1.10-2.6.20-200701222307.patch debian:/usr/src/workspace2.6.20# patch -p0 < grsecurity-2.1.10-2.6.20-200701222307.patch (...) debian:/usr/src/workspace2.6.20# find linux-source-2.6.20 -name "*.rej" linux-source-2.6.20/arch/i386/boot/compressed/head.S.rej linux-source-2.6.20/arch/i386/kernel/cpu/common.c.rej linux-source-2.6.20/arch/i386/kernel/alternative.c.rej linux-source-2.6.20/arch/i386/kernel/entry.S.rej linux-source-2.6.20/arch/i386/kernel/head.S.rej linux-source-2.6.20/arch/i386/kernel/ldt.c.rej linux-source-2.6.20/arch/i386/kernel/module.c.rej linux-source-2.6.20/arch/i386/kernel/process.c.rej linux-source-2.6.20/arch/i386/kernel/signal.c.rej linux-source-2.6.20/arch/i386/kernel/sysenter.c.rej linux-source-2.6.20/arch/i386/kernel/traps.c.rej linux-source-2.6.20/arch/i386/kernel/vmlinux.lds.S.rej linux-source-2.6.20/arch/i386/mm/boot_ioremap.c.rej linux-source-2.6.20/arch/i386/mm/fault.c.rej linux-source-2.6.20/arch/powerpc/kernel/vdso.c.rej linux-source-2.6.20/arch/x86_64/ia32/syscall32.c.rej linux-source-2.6.20/arch/x86_64/mm/fault.c.rej linux-source-2.6.20/drivers/ieee1394/video1394.c.rej linux-source-2.6.20/fs/ext4/extents.c.rej linux-source-2.6.20/fs/proc/base.c.rej linux-source-2.6.20/fs/proc/proc_misc.c.rej linux-source-2.6.20/fs/exec.c.rej linux-source-2.6.20/include/asm-i386/bug.h.rej linux-source-2.6.20/include/asm-i386/checksum.h.rej linux-source-2.6.20/include/asm-i386/desc.h.rej linux-source-2.6.20/include/asm-i386/mmu_context.h.rej linux-source-2.6.20/include/asm-i386/module.h.rej linux-source-2.6.20/include/asm-i386/page.h.rej linux-source-2.6.20/include/asm-i386/pgtable.h.rej linux-source-2.6.20/include/asm-i386/unwind.h.rej linux-source-2.6.20/include/linux/elf.h.rej linux-source-2.6.20/include/linux/mm.h.rej linux-source-2.6.20/include/linux/uaccess.h.rej linux-source-2.6.20/ipc/shm.c.rej linux-source-2.6.20/kernel/pid.c.rej linux-source-2.6.20/kernel/signal.c.rej linux-source-2.6.20/mm/mlock.c.rej linux-source-2.6.20/mm/mmap.c.rej linux-source-2.6.20/mm/slab.c.rej linux-source-2.6.20/net/ipv4/udp.c.rej linux-source-2.6.20/net/ipv6/raw.c.rej
Si de nombreux fichiers ont pu être patchés, ça fait un peu beaucoup de rejet, non ?

Idem (voir un peu plus de rejets) avec un 2.6.21 (sid). :confused:

[quote=“mattotop”]Mais pkoi tu ne prends pas direct un 2.6.20 et tu lui appliques grsec ?
Il semble qu’il y ait des versions qui fonctionnent:
forums.grsecurity.net/viewtopic. … c&start=30[/quote]
Il a surement eu de tels rejets, mais apparemment ne s’en est pas trop préoccupé(et puis: est-il sous debian ?) … à voir s’il faut que je fasse de même … (et est-ce que ça va compiler surtout ??).

http://www.grsecurity.net/test/grsecurity-2.1.10-2.6.20.7-200704241759.patch s’applique sans souci au noyau 2.6.20.

:stuck_out_tongue: parfait, j’ai donc un 2.6.20.7 (pristine) patché grsecurity … (le patch n’a pas fonctionné sur un linux-source-2.6.20[.3 (debian)].
Bon, là je dois arrêter … je relirais tout ça à tête reposés, et verrai bien les options qui s’offrent à moi pour obtenir un noyau debian et compiler iptables dans la foulée … A+ merci.

Bon c’est ok 8)
j’ai un linux-2.6.20.7-grsec avec patch-o-matic TARPIT et geoip à priori debianisé qui pèse 1.3 Mo.
Merci de vos interventions à tous (particulièrement fran.b :wink: ).
Je tiens dispo les .deb à tous ceux que ça intéresse via la messagerie privée ici.

ps: grsecurity m’a l’air pas mal du tout.