grsec full w 2.6.16 i 2.6.17

[Marek Guevara Braun]

Jan Rekorajski wrote:

> I slusznie. U mnie na jednej maszynie po wlaczeniu PaX nie podniosl sie
> nawet init :/

Do poprawnego działania potrzebny jest glibc i zlib zbudowane z opcją
--with pax - bez tego rzeczywiście modprobe jest ubijany na kodzie
asemblerowym w zlib dla x86 (bodajże przy ładowaniu skompresowanych
modułów), a póżniej nie chce się ładować libgcrypt.

Za chwilę wrzucę testowe ustawienia PaX do LINUX_2_6_17 - jak na razie
mi się zbudowało. Jak tylko przetestuje nowe 2.6.17.13-3 z PaX-em to
trochę opiszę na naszym wiki/www. Jak na razie mam działający notebook
z Ac z X z binarnymi sterownikami ati (z wyłączonym MEMPROTECT dla
/usr/X11R6/bin/Xorg) oraz maszynę Ac w VMware Server (obydwa systemy to
LINUX_2_6_16 z PaX).

Teoretycznie dla Th z Xorg 7.1 powinno być możliwe aktywowanie
memprotect dla X-ów nawet z obecnymi sterownikami od NVIDII (ci
wspierają dlloader) - ale głowy nie dam ;-).

Do używania PaX-a na desktopie zapewne trzeba będzie powyłączać
poszczególne opcje ochrony dla mplayera, javy i kilku innych.

W odróżnieniu od grsecurity (czyli RBAC), PaX ma możliwość wyłączenia
przy starcie jądra (pax_softmode=1 przy starcie systemu w grub/lilo) - z
tą opcją praktycznie tak jakby nie było PaXa w systemie - grsecurity
mimo deaktywacji gdzieś tam zawsze jest.

Pozdrawiam,
Marek