NOTES :

  • Les noyaux patchés Grsecurity sont fournis sans garantie, et sont compilés avec les options proposées par defaut dans le guide grsecurity.
  • Les noyaux en version 2.4 patchés Grsecurity sont disponibles sur http://update.sivit.org/kernel/v2.4/
  • Des problèmes ont été constatés avec qmail pour les noyaux patchés Grsecurity, les options PAX tuant les processus de qmail. L'installation de ces noyaux est donc fortement déconseillé si vous utilisez qmail.

INSTALLATION :

1° - Vérifiez la place libre sur /boot

Ligne de commande :

df -h /boot

Exemple de résultat :

Filesystem            Size  Used Avail Use% Mounted on
/dev/hda1              38M  9.1M   26M  26% /boot

Il faut compter 4 Mo pour que l'installation se fasse correctement

2° - Installation du noyau

Ligne de commande :

dpkg -i kernel-image-version-telechargee.deb
  • Attention a bien utiliser un paquet amd pour les amd, un intel pour les intel
  • A la question "Do you want me to create a link from /boot/vmlinuz-2.4.30-grsec to vmlinuz?", répondez Y
  • A la question "Would you like to create a boot floppy now?" répondez no
  • A la question "Install a boot block using the existing /etc/lilo.conf?" répondez yes
  • Bien faire attention à ce qu'il n'y ai pas d'erreurs générées !

3° - Fixez les liens

Il est courant que la création des liens vers les noyaux ne soit pas bonne (ils sont fait a la méthode debian). Il est donc necessaire de les refaire à la main.

Lignes de commande :

rm /vmlinuz.old
ln -s /boot/vmlinuz-2.4.30intel /vmlinuz.old
rm /vmlinuz
ln -s /boot/vmlinuz-2.4.30-grsec-intel /vmlinuz
  • Adapter le intel en amd sur les machines amd !
  • Adapter le nom de votre lien pour vmlinuz.old en fonction du noyau actuel de votre serveur

4° - Executez lilo

Ligne de commande :

lilo -v
  • Bien faire attention à ce qu'il n'y ai pas d'erreurs générées !

5° - Rebootez

Faites de préférence cette manoeuvre pendant les heures de bureau, afin qu'un technicien SIVIT puisse intervenir rapidement en cas de problème.

6° - Vérifier le kernel

Lignes de commande :

uname -a
su nobody
ps auxw

Exemple de résultats :

 Linux 2.4.30-grsec-intel #1 SMP Mon Feb 28 18:55:24 CET 2005 i686 unknown
 USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
 nobody    1757  0.5  0.4  4220 2172 pts/0    S    19:46   0:00 sh
 nobody   19032  0.0  0.4  4996 2348 pts/0    R    19:46   0:00 ps auxw
  • Le nom de noyau doit comporter un -grsec
  • Si l'utilisateur nobody n'existe pas, en utiliser un autre, tant qu'il n'est pas root
  • La liste des processus d'un utilisateur autre que root ne doit montrer que les processus dont il est propriétaire. Attention, il existe un groupe spécifique (par defaut le groupe de gid 1001) qui peut afficher tout les processus.