Nie jesteś zalogowany na forum.

#1 2017-06-30 09:06:02

msx
Użytkownik
Data rejestracji: 2016-09-03
Liczba postów: 13

Jaki jest sens instalacji jądra linux-hardened?

Z informacji, jakie są oficjalnie publikowane w internecie wynika, że jądro linux-hardened zostało opracowane przy współudziale amerykańskich rządowych agencji zajmujących się bezpieczeństwem lub wywiadem.

Prawdopodobnie ta informacja ma być informacją mającą na celu wywoływać pozytywne drżenie serce. Możliwe, że nawet podobne do drżenia miłosnego.

Powoduje jednak drżenie przerażenia.

Jaki jest sens instalowania tego właśnie jądra jeżeli w świetle przecieków z WikiLeaks, rewelacji E. Snowden'a lub chociażby ostatnich informacji na temat programu CherryBlossom (inwigilacja modemów popularnych marek przez CIA - przyp.) dokonanie tego równałoby się z czynem - co najmniej - nieodpowiedzialnym?

Czy są jakieś przesłanki, które skłaniałyby jednak do tego, aby to zainstalować i pracować w przekonaniu, że jest dobrze a nawet lepiej niż było do tej pory?
Czy są przesłanki do tego, aby uważać, że jądro nie posiada żadnych ukrytych wejść, z których mogą korzystać przedmiotowe agencje? 

Pozdrawiam,
msx

Offline

#2 2017-06-30 11:10:54

pavbaranov
Administrator
Lokalizacja: Kraków
Data rejestracji: 2015-08-22
Liczba postów: 1,661
WWW

Odp: Jaki jest sens instalacji jądra linux-hardened?

Tutaj masz nieco więcej: https://wiki.archlinux.org/index.php/Se … _hardening, https://github.com/copperhead/linux-hardened. Sama firma, która jest autorem tej wersji kernela jest kanadyjska (zob.: https://copperhead.co/) co oczywiście nic nie mówi.
Linux-hardened wszedł do repozytorium chyba w miejsce linux-grsecurity (tego ostatniego już nie ma, a jeśli pamiętam, był).
Ze swojej strony mogę jedynie napisać tyle, że biorąc pod uwagę rozwagę naszych deweloperów to szczerze wątpię by wpuścili paczkę, o której wiedzą, że ma ona furtki. Oczywiście mogą nie wiedzieć. Kod jednakże jest otwarty i prawdopodobnie prędzej, czy później ktoś się nim pobawi. Możesz zatem poczekać na reakcję.
Szczerze wątpię, by ktokolwiek chciał wszczepić tu jakiś "zły" kod, zwłaszcza, że prawdopodobnie Copperhead Security z czegoś żyje, jakoś zarabia. Dla firmy siedzącej w branży - oczywiście o ile nie jest ona finansowana przez NSA itp. - taka wpadka byłaby ostatnią w ich istnieniu.


Hardware: AMD: A8-7410 APU with Radeon R5
Software (podaję wyłącznie odrębności): Arch testing+kde-unstable, kernel linux-pb (4.19.8 m.in. PDS, UKSM, BFQ-MQ/SQ), amdgpu (dla CIK), KDE, patche z POLAUR

Offline

#3 2017-06-30 13:27:18

Viperoo
Użytkownik
Data rejestracji: 2015-08-31
Liczba postów: 39
WWW

Odp: Jaki jest sens instalacji jądra linux-hardened?

linux-grsecurity jest płatny od jakiegoś czasu, wcześniej wersje testowe były darmowe. Wciśnięcięcie backdoora w jądro nie jest takie proste. Druga sprawa że nie wszystkie agencję rządowe to NSA i agencje wywiadowcze. SeLinux jest tworzony przez NSA a korzystają z niego wielkie korporacje takie jak Google czy RedHat.


blog.szmijewski.pl

Offline

#4 2017-06-30 13:35:11

msx
Użytkownik
Data rejestracji: 2016-09-03
Liczba postów: 13

Odp: Jaki jest sens instalacji jądra linux-hardened?

Dziękuję za odpowiedź.

Odnalazłem również takie strony:
https://wiki.archlinux.org/index.php/Ke … _patchsets
https://wiki.archlinux.org/index.php/SELinux
https://www.nsa.gov/what-we-do/research/selinux/

Masz rację z Copperhead Security.
Zadaję sobie jednak pytanie: Jeżeli linux to opensource, to kto finansuje Copperhead, aby pracowała nad jądrem i jak takie jądro później trafia do użytkownika jako przedmiotowe opensource?
Za darmo.
Pieniądze muszą skądś płynąć na takie projekty...

Wierzę, że - tak jak napisałeś - z czasem może pojawi się coś więcej, może będzie jakiś odzew środowiska.

Warto zwrócić uwagę na (na powyższych stronach):

"SELinux is not officially supported (see [1][2]). The status of unofficial support is:
SELinux enabled kernel, Implemented for linux-hardened, but not linux, Removed since the 3.14 official linux kernel." -- dostępny w AUR.

"Linux-hardened -- SELinux support enabled, but audit support is disabled by default and needs to be enabled with audit=1 on the kernel line."

...oraz na fakt, że Linus był nagabywany przez NSA ws. furtek. Najpierw pojawiła się informacja opublikowana przez jego ojca, a następnie informacja dementująca poprzednią. To mogłoby świadczyć, że pewne wydarzenia miały miejsce.

To urywki, cienie, strzępy informacji, ale również i fakty, z których można złożyć obraz...

Offline

#5 2017-06-30 14:13:40

pavbaranov
Administrator
Lokalizacja: Kraków
Data rejestracji: 2015-08-22
Liczba postów: 1,661
WWW

Odp: Jaki jest sens instalacji jądra linux-hardened?

Nie wątpię, że skoro najwięksi gracze byli nagabywani o otwarcie różnych furtek, to i twórcy linuksa również (tak, linux jest sporym graczem, ale na rynku serwerowym - to łakomy kąsek dla wszelkich NSA).
O ile wiem, przyczynami usunięcia/niewprowadzenia SELinux bezpośrednio do kodu jądra było z jednej strony uznanie, że obecny kernel i tak jest wystarczająco zabezpieczony, a jeśli ktoś chce (z dowolnych przyczyn) to zawsze kompilując może użyć różnych (wszak SELinux nie jest jedynym, jest grsecurity, PAX, apparmor /bodaj/) patchy by owe bezpieczeństwo zwiększyć. Z drugiej zaś strony zauważono, że owe patche zmniejszają wydajność kernela. Pozostawiono zatem możliwość wyboru tym, którzy oferują już gotowe (skompilowane) do pracy kernele. Z mojego doświadczenia z różnym kodem zawartym w programach (kernelu) wynika, że zdecydowanie łatwiej jest nałożyć patch niż pozbyć się z kodu wszystkich naleciałości czegoś. Rozwiązanie wydaje mi się zatem prawidłowe.
Efektem jest to, że w niektórych dystrybucjach masz zawsze kernele z jakimś patchem bezpieczeństwa (bodaj Fedora ma zawsze SELinux), albo masz - jak w Archu - możliwość wyboru.
Nie doszukiwałbym się natomiast w braku wprowadzenia owych patchy jakichś przyczyn, które podważałyby sens ich stosowania (czyt. ktoś zauważył owe "furtki"). Myślę też, że gdyby tak było, to od lat już o tym byłoby wiadomo. Wszak patche te to nie jest wymysł ostatniej chwili, ale dostępne są już od bardzo dawna.
Zwróć też uwagę na jedno - w Archu przez dłuższy czas funkcjonował kernel-grsecurity, w którego miejsce jak sądzę, wszedł linux-hardened. Nie mieliśmy wówczas wątpliwości. Co zatem się zmieniło?
Pozostawiam już Tobie rozważenie, czy na pewno jakiś "security"-kernel jest tym, co na desktopie (jak sądzę) potrzebujesz mieć i czy używany obecnie nie jest wystarczający.
Możesz wrzucić sobie hardened obok obecnego i zobaczyć co się dzieje. Możesz komunikację na portach monitorować. Jeśli wystąpią jakieś problemy z "furtką", to bardzo szybko się o tym dowiesz.


Hardware: AMD: A8-7410 APU with Radeon R5
Software (podaję wyłącznie odrębności): Arch testing+kde-unstable, kernel linux-pb (4.19.8 m.in. PDS, UKSM, BFQ-MQ/SQ), amdgpu (dla CIK), KDE, patche z POLAUR

Offline

#6 2017-06-30 14:39:48

msx
Użytkownik
Data rejestracji: 2016-09-03
Liczba postów: 13

Odp: Jaki jest sens instalacji jądra linux-hardened?

@Viperoo, @pavbaranov - Dziękuję.

To racjonalne argumenty.

@pavbaranov - zastosuję się do Twoich propozycji. Tym bardziej, że linux-hardened przykuł moją uwagę.

Poprosiłbym jednak jeszcze o opinię:
Czy osobiście zastosowałbyś/zastosowalibyście te jądro na swoim desktopie (@pavbaranov zgadza się, piszę z perspektywy użytkownika domowego) oraz czy zrobiłbyś/zrobilibyście to na serwerze?

Offline

#7 2017-06-30 15:10:35

Viperoo
Użytkownik
Data rejestracji: 2015-08-31
Liczba postów: 39
WWW

Odp: Jaki jest sens instalacji jądra linux-hardened?

Ja osobiście korzystałem na desktopie z AppArmor ale i tak głównie dla jakiś zamkniętych aplikacji typu Skype czy Slack albo podejrzane takie jak PopcornTime. Teraz nie korzystam ale było to w miarę wygodne rozwiązanie.

Na serwerach (nie wszystkich) korzystam z selinuxa ale prawdę mówiąc jest trochę upierdliwe. Ale tutaj również zależy co hostujesz na serwerze.


blog.szmijewski.pl

Offline

#8 2017-06-30 16:25:07

pavbaranov
Administrator
Lokalizacja: Kraków
Data rejestracji: 2015-08-22
Liczba postów: 1,661
WWW

Odp: Jaki jest sens instalacji jądra linux-hardened?

@msx - Ja używam swojego (czyt. przeze mnie kompilowanego) kernela. Nie nakładam - jak na razie - nań tego typu "security" patchy. Alternatywny kernel (zawsze twierdzę, że 2 w systemie to minimum, zwłaszcza, gdy jedno jest kompilowane ze źródeł) to linux-zen.
Kiedyś korzystałem z SELinux i z AppArmor.
Aha - używam kerneli wyłącznie na desktopie. Gdybym miał serwer - pewnie bym się zdecydował na hardened.


Hardware: AMD: A8-7410 APU with Radeon R5
Software (podaję wyłącznie odrębności): Arch testing+kde-unstable, kernel linux-pb (4.19.8 m.in. PDS, UKSM, BFQ-MQ/SQ), amdgpu (dla CIK), KDE, patche z POLAUR

Offline

#9 2017-07-05 08:51:56

barthalion
Developer
Lokalizacja: Poznań
Data rejestracji: 2015-08-20
Liczba postów: 219
WWW

Odp: Jaki jest sens instalacji jądra linux-hardened?

@msx: Teorie spiskowe niczym z książek Clancyego. :)

Grsecurity pewien czas temu wypięło się na udostępnianie swoich zmian. Jakkolwiek rewolucyjne by one nie były, na tym miejscu masz jedną główną inicjatywę o nazwie Kernel Self Protection Project, która stara się pociąć gigantyczny patch grsecurity i go zupstreamować, czyli włączyć do głównego kodu Linuksa. linux-hardened korzysta z tych zmian, a za jego rozwojem stoi jeden z Zaufanych Użytkowników Archa, który jest także współzałożycielem Copperhead. Jego firma zarabia na sprzedawaniu bezpieczniejszych obrazów z Androidem oraz telefonów z już zainstalowanym ROM-em od nich. Daniel ma potężną wiedzę na temat bezpieczeństwa Linuksa (zarówno kernala i userspace), do tego stopnia, że często nie mam pojęcia co próbuje mi wytłumaczyć, bo znam tylko małe fragmenty tego, o czym mówi. I w końcu, linux-hardened korzysta ze zmian KSPP oraz Daniela, który także portuje część zmian grsecurity – ten sam kernel, który jest w Archu, jest potem używany na wcześniej wspomnianych telefonach.

Używam na serwerach (chociażby na tym, na którym stoi to forum, i także na serwerach archlinux.org). Na desktopie kompletnie nie widzę sensu – już mądrzej jest uruchamiać programy przy pomocy bwrap albo całkiem przejść na takie z flatpaka.

Offline

Stopka

Napędzają nas PacmanVPS i MegiTeam

Forum oparte na FluxBB