Kernel + grsecurity dans les dépôts !

Le patch grsecurity apporte des améliorations de sécurité dans le noyau Linux. Cela permet de durcir le noyau, contre des attaques différentes.

À ce jour, il existe une initiative menée par Yves-Alexis Perez pour simplifier son installation, et son intégration au sein de Debian. Lors du SSTIC, il a écrit un document “Noyaux Linux durcis” montrant l’implication au sein du projet Debian … entres autres …

Hormis le fait de proposer une “preuve de concept” grâce à son outil ‘grsec-config’, il maintient l’intégration de grsecurity par la proposition des kernels “patchés” dans les dépôts Sid et Jessie Backports.

Il est possible de suivre son actualité Debian


Pour Sid :

  • 64 bits : apt install linux-image-grsec-amd64
  • 32 bits : apt install linux-image-grsec-i686-pae

Pour Jessie, il faut activer les dépôts backports :

  • 64 bits : apt install -t jessie-backports linux-headers-grsec-amd64 linux-image-grsec-amd64
  • 32 bits : apt install -t jessie-backports linux-headers-grsec-686-pae linux-image-grsec-686-pae

En effet, pour Jessie, il est nécessaire, à ce jour, de mettre-à-jour le paquet linux-base en version 3.5 pour Jessie, et en version 4.3 dans les backports … autrement les paquets linux-*-grsec* ne peuvent s’installer


Pensez à redémarrer …

Il est possible de modifier certains paramètres au-travers du fichier /etc/sysctl.d/grsec.conf - mais renseignez-vous avant !


Des erreurs possibles :

Si lors de l’installation, vous avez ces messages :

  • Bad return status for module :

/etc/kernel/postinst.d/dkms:
Error! Bad return status for module build on kernel: 4.7.0-1-grsec-amd64 (x86_64)
Consult /var/lib/dkms/tp-smapi/0.41/build/make.log for more information.
Error! Bad return status for module build on kernel: 4.7.0-1-grsec-amd64 (x86_64)
Consult /var/lib/dkms/broadcom-sta/6.30.223.248/build/make.log for more information.

Dommage grsecurity ne gèrent pas ces modules … En fait, il gère très peu de module - tel que ceux d’Intel.


  • kernel headers not found:
/etc/kernel/postinst.d/dkms:
Error! Error! Your kernel headers for kernel 4.7.0-1-grsec-amd64 cannot be found.
Please install the linux-headers-4.7.0-1-grsec-amd64 package,
or use the --kernelsourcedir option to tell DKMS where it's located
Your kernel headers for kernel 4.7.0-1-grsec-amd64 cannot be found.
Please install the linux-headers-4.7.0-1-grsec-amd64 package,
or use the --kernelsourcedir option to tell DKMS where it's located

Comme il est annoncé, pensez à installer le paquet “linux-headers-grsec” correspondant à votre architecture !

3 J'aime

Bonjour,

Ça restera valable dans stretch qui a la version 4.9 du noyau mais au-delà, mystère, étant donné l’annonce faite récemment par Brad Spengler & The PaX Team.

grsecurity - Passing the Baton

Cela dit, debian fait peut-être partie des abonnés.

/dev/null < cette histoire ni +, ni - !