Hardened Gentoo/ko

보안 강화 젠투(Gentoo Hardened)는 잘 알려진 젠투 리눅스 설치 결과 위에 여러가지 추가 보안 서비스를 제공하는 프로젝트입니다. 각각의 서비스를 따로 선택할 수 있지만, 강화 젠투에서는 PaX, grSecurity, SELinux, TPE 등을 지원하는 툴체인에서 위험성을 덜어주는 여러가지 옵션을 활성화 합니다.

인터넷망에 직접 연결된 서버를 쓰든 유연한 워크스테이션을 쓰든, 여러가지 위험성을 다룰때 최신 보안 패치를 자동으로 단순히 적용하기보단 시스템을 더욱 견고하게 하고 싶어할 것입니다. 시스템의 견고화는 공격이나 기타 위험에 대해 추가적인 대항조치를 취할 뿐만 아니라, 시스템에 취하는 여러 행동을 일반적으로 조합함을 의미합니다.

Within Gentoo Hardened, several projects are active that help further harden a Gentoo system through:


 * Enabling specific options in the toolchain (compiler, linker ...) such as forcing position-independent executables (PIE), stack smashing protection and compile-time buffer checks.
 * Enabling PaX extensions in the Linux kernel, which offer additional protection measures like address space layout randomization and non-executable memory.
 * Enabling grSecurity extensions in the Linux kernel, including additional chroot restrictions, additional auditing, process restrictions, etc..
 * Enabling SELinux extensions in the Linux kernel, which offers a Mandatory Access Control system enhancing the standard Linux permission restrictions.
 * Enabling Integrity related technologies, such as Integrity Measurement Architecture, for making systems resilient against tampering

물론 이들 확장을 관리하는데 필요한 사용자 영역 유틸리티도 포함됩니다.

강화 프로파일로 전환
강화(hardened) profile을 선택해서 꾸러미 관리자가 강화 시스템으로 시스템을 빌드하도록 하십시오.

강화 프로파일을 선택하면 각각의 꾸러미 관리 설정(마스크, USE 플래그 등)이 시스템의 기본이 됩니다. 이를 통해 툴체인을 비롯한 많은 패키지에 적용됩니다. 툴체인은 프로그램을 빌드하고 컴파일하는데 사용하며 GNU 컴파일러 모음(GCC), binutils(linker 등), 그리고 GNU C라이브러리(glibc)를 포함합니다. 툴 체인을 다시 이머지하면 새 기본 설정을 툴체인에 적용하게 되며, 이 동작은 앞으로 꾸러미 컴파일을 강화 방식으로 허용합니다.

GCC를 다시 빌드하는 위 명령을 통해, 컴파일러는 강화된 프로그램을 컴파일하는데 사용할 수 있습니다. GCC에 대해 강화 옵션을 선택했는지 확인하십시오.

위의 출력 예시에서와 같이, 강화 GCC 프로파일은 접미어가 없습니다. PIE나 SSP를 비활성화 하려면, 관련있는 hardenedno(pie|ssp) 또는 둘 다 적용하는 경우 hardenednopiessp를 선택하십시오. vanilla 프로파일은 물론 강화 방식을 비활성화 합니다. 따라서 새 프로파일 설정의 소스는 다음과 같습니다:

"미리 연결한" 패키지를 사용한다면 강화 프로파일과 호환되지 않으므로 제거하십시오:

이제 새로 강화한 툴체인으로 모든 패키지를 다시 설치할 수 있습니다:

강화 커널 소스를 설치하여, 커널이 강화된 방식(특히 PaX를 사용하여)으로 *실행중인 시스템을 관리*하도록 할 수 있습니다:

이제 이제 소스를 설정하고 컴파일 한 다음 부트 관리자(예: GRUB)에 새 커널을 추가하십시오.

보안 강화 젠투/Grsecurity chroot
If you want to chroot to a copied environment where the CONFIG_GRKERNSEC_CHROOT is enabled you must use the cd grub and change the root(cd) kernel(cd) initrd(cd) setting to from (cd) to (hdx,y).

이제 grub 환경을 설치할 수 있습니다.

Per package hardening settings
각 패키지당 GCC 프로파일을 바꾸면 문제가 될 수 있습니다. 이런 문제를 막기 위해 package.env를 사용하여 패키지당 C(XX)FLAGS를 설정합니다. 파일을 만들고 다음을 추가합니다:

PIE를 비활성화 하려면, 를 만들고 여기에 내용을 추가하십시오:

마지막으로 와 관련된 에 비활성화 하려는 PIE나 SSP를 추가하십시오. 예를 들어 는 다음처럼 작성합니다:

추가 참조
For more information, check out the following resources:


 * Gentoo Hardened SELinux Project
 * Project:Hardened/Grsecurity2_Quickstart
 * Project:Hardened/PaX_Quickstart

외부 자료

 * http://www.rockfloat.com/howto/gentoo-hardened.html#kernel