Tutoriel | Sécurisez votre Kernel avec grsecurity
Article publiée le 12 Juin 2014
Je viens de découvrir récemment grâce à un collègue, un projet open-source du nom de GRSEC (GRSecurity) qui est un patch kernel permettant d'apporter une grosse couche de sécurité à votre noyau Linux.
En plus de sécuriser votre kernel, GRSec vous apporte de nouvelles fonctionnalités.
La marche à suivre pour installer GRSEC a été testé sur une Debian 7 mais est applicable sur la plupart des distributions Linux connues.
Dans la foulée cette procédure explique également comment compiler un noyau Linux.
Vous pouvez télécharger la dernière version de GRSEC via ce lien:
http://grsecurity.net/download.php
Une fois le fichier téléchargé sur votre serveur procédons au patch du kernel, pour cela nous allons devoir compiler un nouveau noyau en y intégrant le module Kernel GRSec.
- Installez les prérequis:
- TéléchargeZ les sources du kernel Linux sur le site officiel de la fondation Linux:
Lien du site : https://www.kernel.org/
- Installez les prérequis:
apt-get install patch bin86 kernel-package build-essential libncurses5-dev
- Telechargez la dernière version du patch grsec
Lien du site : http://grsecurity.net/download.php
- Décompressez l'archive contenant le Kernel Linux:
tar -xvf <nom de l'archive>
- Déplacez le fichier .patch dans le répertoire contenant les sources du Kernel avec la commande mv
- Placez vous dans le répertoire contenant les sources du kernel ainsi que votre fichier .patch et lancez la commande suivante pour patcher le noyau:
patch -p1 < fichier grsec>.patch
- Si tout ce passe bien vous devriez avoir le résultat suivant:
- Tapez la commande make menuconfig afin de définir les paramètres de compilations.
- Rendez vous dans security option puis cocher avec la barre d'espace grsecurity:
- Sélectionnez "Automatic" à "Configuration method"
J'ai choisis la méthode automatique afin de faciliter la compréhension de ce tutoriel, mais rien ne vous empêche de bidouiller un peu afin de découvrir plus en détail les fonctionnalités incroyables de GRSec!
- Sélectionnez Exit une fois le module GRSec activé et enregistrez le modifications lorsque l'assistant vous le demandera.
- Compilons le kernel:
Pour les distributions autre que Debian:
make clean
make
make modules_install
mkinitramfs
make install
La procédure est terminée il ne reste plus qu'à rebooter votre machine!
Pour Debian/Ubuntu Server:
- Installez le prérequis suivant:
apt-get install gcc-<version>-plugin-dev
- Compilons:
make-kpkg clean
make-kpkg --initrd --append-to-version "grsec" kernel_image
- Installons le nouveau noyau:
A la fin de la compilation un fichier .deb sera généré.
Revenez un cran en arrière avec la commande "cd .." puis installez le package en faisant un "dpkg -i <nom du fichier>.deb"
Vérification :
Une fois l'installation terminée redémarrez avec la commande "reboot"
Premier signe positif, le GRUB doit vous indiquer le nom de votre noyau fraîchement compilé avec le module GRSec
Une fois votre machine démarrée faites un petit uname -a pour checker le noyau chargé.
La capture d'écran ci-dessous indique que tout c'est passé à merveille!
Enjoy!!