Esse é um simples artigo que nos ensinará como aplicar o patch grsec no kernel de sua máquina, para que possam ser configuradas certas regras de segurança a nível de kernel.

O grsec tem muito mais recursos dos que serão abordados aqui, como suporte à ACLs por exemplo, portanto se você se interessar por esse patch, recomendo que se aprofunde no assunto.

Onde pegar os sources

Primeiro baixe a última versão do kernel da família 2.4, no caso o 2.4.25 que vem com uma série de bugs corrigidos de acordo com o Marcelo Tosatti:

• http://www.kernel.org/pub/.../linux-2.4.25.tar.bz2

Baixe também o patch do grsecurity:

• http://www.grsecurity.net/grsecurity-1.9.14-2.4.25.patch

Aplicando o patch e compilando

Após baixar os sources que precisamos, vamos descompactar e aplicar o patch:

# cd /usr/src
# tar jxvf linux-2.4.25.tar.bz2
# ln -s linux-2.4.25 linux
# cd linux
# patch -p1 < ../grsecurity-1.9.14-2.4.25.patch

Pronto, o patch foi aplicado.

Vamos à compilação. Ao abrir o "make menuconfig" vai aparecer uma opção a mais no kernel, "Grsecurity --->". Até aí tudo certo, agora faça sua configuração normal no resto do kernel. Quando chegar a parte do Grsecurity, entre nele para configurá-lo. A tela será algo como:

[*] Grsecurity
(Medium) Security level

Aqui é onde se escolhe o nível de segurança, Low, Medium, High e Customized, como podemos dizer, somos usuários leigos e o que nos cabe é escolher um nível médio (Medium). Agora, se você optar por criar sua própria configuração, escolha a opção Customized.

PaX Control --->
Address Space Protection --->
ACL options --->
Filesystem Protections --->
Kernel Auditing --->
Executable Protections --->
Network Protections --->
Sysctl support --->
Logging options --->

Salve a configuração do kernel, saia e compile-o de acordo com os procedimentos padrões, que não serão tratados neste artigo.

Ao reiniciar a máquina e entrar no novo kernel, já teremos habilitado o grsec com algumas restrições para usuários comuns, como não poder ver nenhum processo que não seja você que tenha inicializado (ps), restrições no /proc e no dmesg.

Para mais informações, acesse:

• http://www.grsecurity.net/features.php

Assim podemos dizer que sua máquina já está um pouco mais segura :-)

Está feito!