Hardened Gentoo/es

Gentoo Hardened es un proyecto de Gentoo que ofrece características de seguridad adicionales encima de la ya conocida instalación de Gentoo Linux. Aunque pueden ser seleccionadas en forma separada, Gentoo Hardened activa múltiples herramientas para la mitigación de riesgos en la cadena de herramientas, soporta PaX, grSecurity, SELinux, TPE y otros.

Ya sea que usted maneje un servidor o una estación de trabajo, cuando lidia con múltiples amenazas, probablemente querrá fortalecer el sistema en lugar de solamente aplicar los últimos parches de seguridad. "Fortalecer" un sistema significa tomar contramedidas adicionales frente a ataques y otros riesgos, y aquello se traduce usualmente en un conjunto combinado de actividades que usted realizará en el sistema.

Dentro de Gentoo Hardened, muchos proyectos estan inmersos y nos ayudaran a fortalecer un sistema Gentoo a través de:


 * La activación de opciones específicas en la cadena de herramientas (compilador, enlazador, ...) tales como forzar ejecutables de posición independiente (PIE), protección contra el desbordamiento de pila y comprobación de búfer en tiempo de compilación.
 * Activación de la extensiones PaX del núcleo Linux, que ofrece medidas de protección adicionales como la asignación aleatoria de direcciones en memoria y memoria no ejecutable.
 * Activación de la extensiones SELinux del núcleo Linux, que ofrece un sistema con Mandatory Access Control (MAC) que mejora las restricciones estándar de permisos en Linux.
 * Activación de tecnologías relacionadas con Integrity tal como Integrity Measurement Architecture, para hacer sistemas más resistentes a la manipulación.

Por supuesto que se incluye las correspondientes utilidades en espacio de usuario para el manejo de estas extensiones.

Cambiándo a un perfil fortalecido
Seleccione un perfil fortalecido para que la administración de paquetes se realice de modo fortalecido.

Al escoger el perfil fortalecido, ciertas configuraciones del gestor de paquetes (enmascaramiento de paquetes, ajustes USE, etc) se tornan por defecto en el sistema. Esto se aplica a muchos paquetes, incluida la cadena de herramientas. La cadena de herramientas es usada para compilar tus programas, e incluye: la GNU Compiler Collection (GCC), binutils (enlazador, etc), y la GNU C library (glibc). Al reinstalar la cadena de herramientas, aquellas nuevos ajustes por defecto se aplicaran a la cadena de herramientas, lo que permitirá que toda compilación de paquetes posterior se haga de modo fortalecido.

Los comandos anteriores recompilarán GCC, que puede ser ahora utilizado para compilar programas fortalecidos.

En la salida de ejemplo anterior, el perfil fortalecido de GCC es el que no tiene sufijo. Si usted quiere desactivar PIE o SSP, escoja el correspondiente hardenedno(pie|ssp) o en el caso de ambos, hardenednopiessp. El perfil vanilla es el que, por supuesto, que presenta fortalecimiento desactivado. Finalmente, genere la configuración de los nuevos ajustes de perfil:

Si usted usa el paquete "pree-enlazado", elimínelo, porque no es compatible con un perfil fortalecido:

Ahora, puede reinstalar todos los paquetes con su nueva cadena de herramientas fortalecida:

Instale las fuentes del nucleo fortalecidas, y entonces el núcleo *administrara el sistema en funcionamiento* de modo fortalecido (especialmente si utiliza PaX):

Ahora configure/compile las fuentes y añada el nuevo núcleo a su gestor de arranque (GRUB, por ejemplo).

Hardened Gentoo/Grsecurity chroot
Si usted desea realizar chroot a un entorno copiado donde CONFIG_GRKERNSEC_CHROOT está activado, deberá usar cd grub y cambiar la configuraciones de root(cd) kernel(cd) initrd(cd) de (cd) a (hdx,y).

Ahora ya puede instalar el entorno grub.

Ajustes de fortalecimiento para cada paquete
Cambiar el perfil de GCC para lidiar con paquetes específicos puede ser muy complicado. Una forma de evitar esto es configurar C(XX)FLAGS para cada paquete, usando package.env. Cree el archivo y agregue:

Para permitir la desactivación de PIE, cree y agregue:

Finalmente, agregue el paquete que en el que quiera desactivar PIE o SSP a y el correspondiente, el siguiente ejemplo es para :

Vea también
Para más información,revise los siguientes recursos:


 * Gentoo Hardened SELinux Project
 * Project:Hardened/Grsecurity2_Quickstart
 * Project:Hardened/PaX_Quickstart

Recursos externos

 * http://www.rockfloat.com/howto/gentoo-hardened.html#kernel