如何在没有 Grsecurity 补丁的情况下在运行时灵活地启用和禁用新 USB 设备的插入(运行负责这些设备的驱动程序代码)? 是否有其他方法或替代内核补丁具有此功能? 重新开放:关于拟议的重复问题的分歧和评论如何安全地将 U 盘/设备插入 Linux 计算机? 链接的问题询问始终选择性地接受某些设备,此问题询问在选定的时间点接受所有设备(并在其他时刻拒绝任何设备)。 主要答案(USBGuard) 是一个用户态解决方案。它似乎只能阻止 udev 操作。它不太可能阻止扫描块设备的分区、创建网络接口并查询其元数据或注册某些/dev/input/ev...
如何检测我的内核是否/具有/启用 grsecurity?我使用的是官方 Ubuntu Bionic图像,我正在尝试确定是否另一个问答与我相关。 ...
我有一个在嵌入式 Linux 上运行的自定义应用程序(使用 Buildroot 生成)。使用 grsec 修补内核,然后在 linux-menuconfig 中启用 GRsecurity。我没有启用任何更多与 Grsec 相关的选项(除了防止代码重用)。 一切工作正常,除了一个应用程序因核心转储而崩溃并导致内核恐慌。 我尝试过相同的应用程序,但没有在内核中启用 Grsecurity(但仍在修补内核),并且它工作正常。 该应用程序需要通过特殊设备(例如 /dev/mydev)和 /etc/rc 文件中启动时加载的模块进行硬件访问。 我的想法是,也许 g...
关于最新的 Intel x86 漏洞有很多争议。我看过关于 PostgreSQL、Linux 列表、Intel、AMD 的帖子——所有这些都含糊地提到了正在发生的事情。 我也看到过一些关于这个问题的非常好的和令人信服的文章。看来是典型的什特夫问题。我想知道是否有签署禁运的用户列表?这个“禁运”是对开发商有约束力的正式事情吗?或者说,创造一个建设性的工作环境是一件非正式的事情吗? 我想象所有内核开发人员都接受了与英特尔的正式合同,并受合同保密约束。 ...
是否有一个 Linux MAC 可以SIGSTOP对策略违规进行处理(或者不从所涉及的系统调用返回控制权),以便我可以使用更新的策略来恢复它以重试系统调用?如果运行交互式不受信任的软件需要花费大量时间来更改其状态并表现出新的行为,这将非常方便。还可以用于剖析正在运行的进程状态(例如使用 gdb)来定位需要修复或报告的错误/恶意代码。 ...
我的 Arch Linux 带有最新的 grsec-hardened 4.9.x Linux 内核,并安装了 paxd。但正因为如此,当我尝试运行 Java 时,出现以下错误: Java HotSpot(TM) 64-Bit Server VM warning: INFO: os::commit_memory(0x0000035ea1000000, 2555904, 1) failed; error='Operation not permitted' (errno=1) # # There is insufficient memory for the Ja...
因此,当尝试在启用 Pax 的情况下使用 Grsecurity 来打开 Tor 浏览器捆绑包时,它会返回以下错误: ./start-tor-browser: line 368: 1848 Segmentation fault (core dumped) TOR_CONTROL_PASSWD=${TOR_CONTROL_PASSWD} ./firefox --class "Tor Browser" -profile TorBrowser/Data/Browser/profile.default "${@}" < /dev/null 当我...
我想使用 git 存储库编译带有两个补丁(Grsecurity 和 SELinux)的 Linux 内核,如果这些源,我的问题是补丁文件生成,因为我不知道如何将 Grsecurity 和 SELinux 的补丁文件制作到主 Linux 内核。 我曾尝试使用 grsecurity github 存储库的分支 4.9 中的命令生成 grsecurity 补丁: git format-patch -1 --abbrev=12 -o <OUTPUT_DIR> <The last commit named with "Linux 4.9.9"&g...
我正在使用 grsecurity 内核,它不允许自动加载内核,因此多个 systemd 服务无法工作。手动加载模块modprobe并重新启动模块后,一切正常,但这是一个相当肮脏的解决方案。我想在启动过程中“正确”地做到这一点。 操作系统是带有 grsec 内核的 Arch linux。 ...
然而,我想用 Grsecurity 来保护我的内核;我对此进行了研究并找到了一些教程,但不太确定。我读到您需要用 Vanilla 内核替换当前的内核。这是一个未更改的默认 Linux 内核,但是用 Vanilla 内核替换 Debian 包含的当前内核是否好呢?这会不会导致更新问题、无法获得所有更新、无法对 Debian 进行最佳优化……? 如果我用 Vanilla 替换它,更新是否容易,或者我需要每次检查 Vanilla 网站是否有更新,然后手动编译? 那么,简而言之,用 Grsecurity 保护我的内核并解决香草问题是个好主意吗? 这个 Debia...
我正在考虑在我的笔记本电脑(一台 2012 年 Retina MacBook Pro,运行 Arch )上使用 Grsecurity 内核。到目前为止,我已经获得了使用 SELinux 的一些经验,但那是在非常不同的硬件上,所以我从未遇到过导致我的笔记本电脑出现问题的情况。 我的笔记本电脑使用可在 2.4 和 5 GHz 频段上工作的 Wi-Fi 硬件,有两个可用的驱动程序:一个是完全开源的,仅允许使用 2.4 GHz ( b43-firmware),而另一个则主要具有专有 blob,并且允许同时使用2.4 GHz 和 5 GHz 频段。 2.4 和 5 ...
我已经linux-grsec通过在我的机器上安装了内核pacman。虽然我可以grub在引导时通过点击引导加载程序菜单中的“ ”来编辑设置e,但我所做的指定要使用哪个内核和 ramdisk 的更新是短暂的,并且在重新启动后不会持续存在。 我怎样才能使这些变化持久? ...
我已经弄清楚了 PaX 的工作原理。但我不能让“scrot”保存屏幕截图,因为giblib error: Saving to file * failed 如何更改库的标志?令人兴奋。 ...
我目前正在尝试关注使用 Grsecurity 强化 Debian 桌面版指南,以便在我的 Kali Linux 桌面上安装带有 Grsecurity 的 4.5.7 内核。 我正在遵循该说明列表逐字,除了我尝试使用 Grsecurity 的 4.5.7 内核测试补丁,并且我运行的是 Kali Linux 而不是直接的 Debian。 然而,每次我尝试编译内核时,我都会在“CC certs/system_keyring.o”行后面收到此错误: CC certs/system_keyring.o make[2]: *** No rule to...
我在hardened/linux/amd64/selinuxGentoo amd64 最近的第 3 阶段的个人资料上。 我正在尝试安装 SystemD,并且看到以下内容: > emerge -aq sys-apps/ The following mask changes are necessary to proceed: ( see "package.unmask" in the portage(5) man page for more details) # required by sys-apps/systemd (argument) # /u...