Hallo,

ich versuche hier vergeblich "PAX" ( http://pax.grsecurity.net/ ) zum laufen zu bekommen.

Leider funktionieren alle Programme nicht die die libcrypto.so benutzen (sshd samba....) und auch X nicht (obwohl das nicht das schlimmste wäre).

Ich hab zwar gelesen das man mit "paxctl" die einzelnen Rechte zu PAX einstellen kann - leider reagiert bei mir paxctl nicht (zeigt mir keine flags an und kann sie auch nicht ändern).

Hab's auch schon mit dem Kernel Parameter "pax_softmode=1" versucht - keine änderung.

Kernel: 2.6.2
pax patch: 2004.02.07
paxctl: 0.2

also, da man im kernel die pax options einstellen kann, würde ich alles aktivieren, ausser elf relocation. dann funzt sshd z.b. nicht mehr.

wenn du allerdings programme zum laufen bringen willst die den pax nicht nutzen können/wollen nimm chpax (auch auf der pax site).

faq lesen wie man es benutzt.

sehr geil ist allerdings adamantix. diese distro ist mit pax inkl. und sachen wie
x windows laufen dann auch, da die entwickler dementsprechende anpassungen
an den problem programmen vorgenommen haben.

gruss,
deadbeef

zu chpax:


obsolete version, use it for PaX patches released
after 2003.02.03 or if you want to use the EI_PAX
marking in PaX patches released after 2004.02.04.
supports alpha, i386, ia64, mips, mips64, parisc,
ppc, sparc, sparc64 and x86_64.

deshalb hab ich gleich "paxctl" benutzt.


ausser elf relocation. dann funzt sshd z.b. nicht mehr.

das ne gute info - werd ich gleich mal ausprobieren.

zur Distri: ich wollte das eigentlich in Gentoo integrieren.

Ok, man sollte den Text zu chpax natürlich ganz lesen :D

Also, der Tipp mit "elf relocation" (Heißt im Menü "Disallow ELF Text relocations") hat wunderbar funktioniert.

Noch ein kleiner Hinweiß:

die aktuelle 4.3.0 Version von XFree86 startet nur wenn man mit "chpax" folgende Werte ändert (bei der nächsten Version ist es korregiert):

-p do not enforce paging based non-executable pages
-s do not enforce segmentation based non-executable pages

Insgesammt sieht's bei mir dann so aus:


----[ chpax 0.6 : Current flags for /usr/X11R6/bin/XFree86 (pEMRXs) ]----

* Paging based PAGE_EXEC : disabled
* Trampolines : emulated
* mprotect() : restricted
* mmap() base : randomized
* ET_EXEC base : randomized
* Segmentation based PAGE_EXEC : disabled

Nach dem Dateinamen werden nochmal die Flags in kurzform angezeigt.

Außerdem müssen die "binutils" gepatcht werden.

Gruss,
Basti

wenn du gentoo nimmst, nimm doch direkt die hardened gentoo version.

gruss,
deadbeef

naja, ich wills lieber selber machen - da weiß ich was gemacht wird ;)

vorallem, der Vorteil ist doch das ich nun genau weiß wie es geht und auf was ich achten muss damit alles funktioniert. :)