| 1 |
Hi!
|
| 2 |
|
| 3 |
On Thu, Nov 10, 2005 at 01:08:55PM +0300, Vladimir Solomatin wrote:
|
| 4 |
> Hardened Gentoo (http://www.gentoo.org/proj/en/hardened/index.xml) не |
| 5 |
> читал, думал сначала поставлю, а потом уже разберусь. |
| 6 |
|
| 7 |
:)
|
| 8 |
|
| 9 |
> # gcc-config -l |
| 10 |
> [1] i686-pc-linux-gnu-3.3.6 * |
| 11 |
> [2] i686-pc-linux-gnu-3.3.6-hardenednopie |
| 12 |
> [3] i686-pc-linux-gnu-3.3.6-hardenednopiessp |
| 13 |
> [4] i686-pc-linux-gnu-3.3.6-hardenednossp |
| 14 |
> [5] i686-pc-linux-gnu-3.3.6-vanilla |
| 15 |
> |
| 16 |
> Хм.. в хендбуке про hardened практически не слова. |
| 17 |
> Должно быть нужный gcc'шный профайл надо было выбрать до 'emerge |
| 18 |
> --emptytree system'. Получается что у меня hardened только ядро. |
| 19 |
> Кто-то в рассылке спрашивал чем отличается stage1-x86-2005.1 от |
| 20 |
> stage1-x86-hardened-2.X-2005.1 Я вижу всего лишь два отличия : |
| 21 |
> /etc/make.profile и hardened toolchain |
| 22 |
|
| 23 |
У вас сейчас выбран именно hardened-gcc - вариант [1]. Остальные варианты -
|
| 24 |
это gcc без части hardened-фич [2-4] или вообще без hardened - [5]. Так что
|
| 25 |
если вы пока сами gcc-config-ом ничего не переключали и он у вас так выглядит
|
| 26 |
после компиляции системы, значит при компиляции использовался hardened-gcc.
|
| 27 |
|
| 28 |
> Странно, у себя в hardened-sources я обнаружил только PaX и |
| 29 |
> GrSecurity, хотя вроде не указывал что мне нужно именно это. |
| 30 |
|
| 31 |
Я ставил именно их, так что на 100% не уверен, но по-моему для включения
|
| 32 |
SeLinux нужно выставить такой USE-флаг (и переустановить hardened-sources,
|
| 33 |
ессно).
|
| 34 |
|
| 35 |
> Получается что все эти проблемы ожидаемы на workstation, а на сервере |
| 36 |
> маловероятны? |
| 37 |
|
| 38 |
На сервере нет X, но есть Java. Впрочем, проблемами я бы это не назвал.
|
| 39 |
На самом деле в Gentoo есть специальный сервис: /etc/init.d/chpax, который
|
| 40 |
при загрузке сам всем нужных прогам делает paxctl/chpax - список этих прог
|
| 41 |
можно увидеть в /etc/conf.d/chpax.
|
| 42 |
|
| 43 |
> # emerge -vp gcc |
| 44 |
> [ebuild R ] sys-devel/gcc-3.3.6 (-altivec) -bootstrap |
| 45 |
> -boundschecking -build -fortran -gcj -gtk +hardened -ip28 -multilib |
| 46 |
> -multislot -n32 -n64 +nls -nocxx -nopie -nossp -objc -static -vanilla 0 kB |
| 47 |
> |
| 48 |
> хотя может это из-за того что gcc уже собран с поддержкой pie и ssp |
| 49 |
|
| 50 |
Нормальные флаги. У меня только одно отличие: +gtk. Не знаю, что вас здесь
|
| 51 |
удивило...
|
| 52 |
|
| 53 |
> Что есть "компиляция hardened-toolchain"? |
| 54 |
> # 'USE="hardened pie ssp" hardened pie ssp' - это? |
| 55 |
|
| 56 |
Нет. toolchain - это gcc+glibc+binutils, набор базовых пакетов от которых
|
| 57 |
сильно зависит компиляция всех остальных. Иногда к ним ещё добавляют
|
| 58 |
linux-headers. Если не ставить hardened с нуля, а пересобирать имеющуюся
|
| 59 |
систему, то нужно сначала перекомпилировать эти пакеты, а уже потом все
|
| 60 |
остальные. Вот так:
|
| 61 |
|
| 62 |
> > emerge binutils gcc glibc |
| 63 |
> > emerge -e world |
| 64 |
|
| 65 |
> Что за доки? http://www.gentoo.org/proj/en/hardened ? |
| 66 |
|
| 67 |
Это - дока Gentoo. У проектов PaX, GrSecurity, SeLinux, etc. есть свои сайты и
|
| 68 |
своя дока (которая, безусловно, частично пересекается с докой Gentoo, но доки
|
| 69 |
много не бывает :)).
|
| 70 |
|
| 71 |
--
|
| 72 |
WBR, Alex.
|
| 73 |
--
|
| 74 |
gentoo-user-ru@g.o mailing list |
Archives