Why Hardened Gentoo ?

bookstack

打算把在台式机上装gentoo作服务器,想试试harden

主要用来作文件服务器，
sftp, ——和朋友交换文件。
svn server
LAMP ——随便玩的，没打算开放给别人用。
下载服务器， mldonkey, freenet.


harden肯定更加安全，但是安全的开销有多大？
——损失性能，反应变慢，很多软件装不了？看了半天文档，没有什么头绪阿。

不知哪位兄台玩过harden, 说说经验阿。

Twig

性能损失不大，兼容性差，用的东西比较常见可以考虑（指服务器方面的常见）。

fei

我内核用hardened的--发现并不比gentoo-source好--安全性就不多说了--相对的。

bookstack

多谢回复。

fei,好像除了kernel以外，最重要的应该是glibc吧？应该是更加安全，可以防止缓冲区溢出。

freeobject

As a quickstart you can do:

Code Listing 7.1: Using the hardened toolchain

# cd /etc
# rm make.profile
# ln -s ../usr/portage/profiles/hardened/x86 make.profile
# emerge -e world


PaX作为第一级保护，改变内存住址模式，防止内存被攻击，代码被执行
有些包，比如xine不能在paX模式下通过编译，需要用paxctl禁用

emerge paxctl

http://www.gentoo.org/proj/en/hardened/pax-quickstart.xml
http://www.gentoo.org/proj/en/hardened/grsecurity.xml

亞利艾爾

我是Hardened Gentoo。系统上启用了luks grsecurity pax，也玩过selinux。不过gentoo的selinux默认策略不怎么样，还是用grsecurity省心。
　　性能无差别。当然，你不能在一个grsecurity启用的系统中chroot安装另外一个gentoo系统，主要是安装glibc的时候要chmod +s，这个是被禁止的。
　　我是用的Gcc 4.3，手动打开了ssp的，pie默认打开的。不过如果是编译glibc，目前不能打开ssp。编译无大碍。你如果还想用3.4也行。相传现在Hardened Gentoo工作组正在忙于做Hardened GCC-4。说是4.4就做成可以用的。这样很好。

freeobject

Hardened Gentoo has added support for transparent PIE/SSP building via GCC's specfile. This means that any users upgrading an older Hardened install should remove any LDFLAGS or CFLAGS used to trigger PIE/SSP. Also, the hardened-gcc package is now deprecated and should be unmerged (version 5.0 is a dummy package). To get the current GCC, add USE="hardened pic" to /etc/make.conf if not using the hardened profile.

PaX提供的是运行时保护。看文档gcc编译默认支持这个

亞利艾爾

Gcc-4目前不支持SSP，因为改动和GCC-3比太大了，目前还在测试和修正。

前面说兼容性差，这个我没有看出来。我现在用KDE 4.3，一次paxctl都没有用。

zhllg

hardened我很早以前碰过一次
那个时候据hardened team的人说，搞hardened最好从hardeded stage起步

freeobject

我还没开始装，准备从stage3开始试一下