Hardened Gentoo/nl

Gentoo Hardened (nl: Verhard) is een Gentoo project dat meerdere additionele beveiligingsservices aanbiedt boven op de welbekende Gentoo Linux installatie. Terwijl elke service individueel geselecteerd kan worden, stelt Gentoo Hardened meerdere risicobeperkende opties in de toolchain, ondersteunen van PaX, grSecurity, SELinux, TPE en meer...

Of dat je nu een server op het internet of een flexibel werkstation draait, wanneer je voor verschillende bedreigingen staat wil je jouw systeem meer verharden door automatisch de laatste beveiligingsverbeteringen toe te passen. Een systeem verharden betekent dat je extra tegenmaatregelen toepast tegen aanvallen en andere risico's en dat is gewoonlijk een gecombineerde verzamelingen van activiteiten die je op jouw systeem uitvoert.

In Gentoo Hardened zijn er verschillende projecten die actief zijn met het verder helpen van jouw Gentoo systeem te verharden door
 * specifieke opties in de toolchain (compiler, linker ...) aan te zetten zoals het forceren van positie-onafhankelijke toepassingen (en: position-independent executables aka PIE), stack smashing protectie en buffer controles tijdens het compileren.
 * PaX extensies aan te zetten in de Linux kernel, dewelke additionele beveiligingsmaatregelen bieden zoals het randomiseren van van de adresruimte lay-out (ASLR) en niet-uitvoerbaar geheugen (NX).
 * grSecurity extensies aan te zetten in de Linux kernel, inclusief extra chroot restricties, extra auditing, process restricties, enzovoort...
 * SELinux extensies aan te zetten in de Linux kernel, dewelke het Mandatory Access Control systeem aanbieden die de standaard Linux permissie restricties verbeteren.
 * Integrity gerelateerde technologieën, zoals het Integrity Measurement Architecture, voor systemen beter te beveiligen tegen ongewenste veranderingen.

Natuurlijk bevat dit de nodige userspace programma's om deze extensies te beheren.

Wisselen naar een Hardened Profiel
Selecteer een Hardened Profiel, zodanig dat "pakket management" op een verharde manier gedaan word.

Door het Hardened Profiel te kiezen, zullen enkele instellingen van het pakket management (masks, USE flags, enzovoort...) als standaard worden ingesteld voor jouw systeem. Dit geldt voor veel pakketten, inclusief de toolchain. De toolchain is in gebruik voor het bouwen / compileren van jouw programma's, inclusief: De GNU Compiler Collection (GCC), binutils (linker, enzovoort...), en de GNU C bibliotheek (glibc). Door de toolchain opnieuw te emergen, zullen deze nieuwe instellingen standaard gelden voor de toolchain, dit staat toe toekomstige pakket compilaties op een verharde manier te doen.

De bovenstaande commando bouwt GCC opnieuw, zodanig dat deze kan gebruikt worden om verharde software te compileren. Wees er zeker van dat de hardened optie is geselecteerd voor GCC.

In het bovenstaande voorbeeld is het hardened GCC profiel een zonder suffix. Als je PIE of SSP wilt uitzetten, kies dan de relevante optie hardenedno(pie|ssp) of allebei, bijvoorbeeld hardenednopiessp. Het vanilla profiel is natuurlijk die waar het verharden uitstaat. Uiteindelijk zal je de nieuwe profiel instellingen moeten inladen:

Als je het "prelink" pakket gebruikt, verwijder het dan, want het is niet compatibel met het Hardened Profiel:

Nu kan je alle pakketten opnieuw installeren met jouw nieuw verharde toolchain:

Installeer verharde kernel broncode, zodanig dat de kernel jouw *systeem beheerd* op een verharde manier (zeker als je PaX gebruikt):

Nu configureer en compileer je de nieuwe kernel broncode en voeg je de kernel toe aan jouw boot beheerder (bvb. GRUB).

Hardened Gentoo/Grsecurity chroot
Als je wilt chrooten naar een gekopieerde omgeving waar de CONFIG_GRKERNSEC_CHROOT is aangezet dan zal je in grub (cd) dienen te veranderen in (hdx,y).

Vervolgens installeer je de grub omgeving opnieuw.

Hardened Instellingen per Pakket
Het GCC profiel veranderen om met specifieke pakketten om te gaan is pijnlijk. Een manier om dat niet te hoeven doen is om per pakket C(XX)FLAGS in te stellen door package.env te gebruiken. Maak het bestand en voeg daar aan toe:

To allow for disabling PIE, create and add to :

Finally add the package you want to disable either PIE or SSP for to /etc/portage/package.env and the relevant /etc/portage/env/, for this example is used here:

External resources

 * http://www.rockfloat.com/howto/gentoo-hardened.html#kernel