已屏蔽 原因:{{ notice.reason }}已屏蔽
{{notice.noticeContent}}
~~空空如也
引用 ekenchan:
能不能说一下编译过程?在grsecurity的官网上下载不能grsec的补丁

抱歉,一开始以为没人会关心这一部分于是就没有说明。

关于不能grsec官网上不能下载稳定版补丁的问题,由于长期以来发生了令人恶心的事情,因此如今grsec团队放出的稳定版补丁都仅向赞助商开放下载,详情见:XXXXXXXXXXXXXXXXXXXXXt/XXXXXXXXXXXp (全英文)

在下所得到的补丁是上个月的时候放出的针对Linux-4.6.4版内核的测试版补丁,由于RAP等等强大的防护性能另在下亢奋异常,因此一头扎进测试版补丁里不回头了。根据朋友的描述,grsec能保5年平安,也劝告我不必紧跟Linux内核的最新进展。而许多Linux新版本提供的功能和驱动我又必须使用,因此目前暂停留在4.6.4这个版本上。

至于编译的过程,实际上没什么特殊的,和公开的方法几乎没有区别,我只是在打grsec补丁之前先把CVE-2016-5696的两个主流补丁给打上(令我感到奇怪的是,ubuntu 16.04.1的新内核针对CVE-2016-5696的补丁只打了一个,无法理解)然后再打grsec的补丁。接着使用menuconfig根据自己的需要配置内核配置文件。最后编译打包。具体流程如下:

1.全新安装Linux Mint 18 Mate发行版(由于日常需要,在下直接做EFI引导并且LVM over luks磁盘加密);
2.编译前准备工作:
//首先是系统更新:
sudo apt-get update && sudo apt-get upgrade
//接着是安装编译所需的必要的东西:
sudo apt-get install build-essential libncurses5-dev gcc-4.8-plugin-dev libssl-dev

3.下载所需的东西(包括内核本身及其签名、对应的grsec补丁文件及其签名、在内核主流寻找一些必要的补丁,比如在下为了找CVE-2016-5696的补丁深挖了好些天!)
4.编译:
//验证内核源代码的签名:
gpg2 --verify linux-4.6.4.tar.sign linux-4.6.4.tar
//验证通过后解压内核源代码tar包
tar xvf linux-4.6.4.tar
//进入内核源代码包文件夹:
cd linux-4.6.4
//打CVE-2016-5696补丁:
patch -p1 < ../CVE-2016-5696-patch
//打grsec补丁:
patch -p1 < ../grsec-4.6.4.patch
//配置内核并生成配置文件:
make menuconfig
//将内核配置文件保存为.config之后,开始编译,多线程编译,并且输出为deb包。为了避免眼花,关键的警告内容用日志工具记录下来:
make -j4 deb-pkg > log 2>../compile-log.txt

5.后续工作:
编译内核是一个漫长的过程。中间需要打发时间而且安全起见在做编译的准备的时候开始就一直断网了,因此能做的恐怕只有拿出手机连上WiFi看视频教程、电影、电视剧、动画或者逛逛科创论坛、新闻网站等等等等。

5.1. 安装编译好的内核:
苦等很久很久很久,待编译器工作结束之后,打开日志看看有没有严重警告或者错误提示,没有的话将../路径下的deb文件打包并且签名存一边之后在自己的机器上安装内核开始体验:
sudo dpkg -i *.deb


5.2. 安装pax相关的工具:
请自行前往XXXXXXXXXXXXXXXXXXXXXX/~blueness/elfix/ 下载安装最新版本的elfix并编译安装。

由于特殊原因,在我自己的机器上需要自行配制grub2引导,在此略过不讲

5.3.尝试重启机器引导到新安装的内核并开始进行适配试用工作:
使用paxctl-ng配置一些奇怪的软件,如Google Chrome浏览器、Firefox浏览器、JRE等,的PaX flags,而后再安装这些软件。当然也可以先安装后配置PaX flags。一般Google Chrome浏览器等只需要用paxctl-ng设置m flag就好。接着尝试在命令行界面运行这些软件,假如可以成功运行的话证明您和我一样没有遇到奇怪的问题。

5.4.最后安装沙箱工具,好把软件装在套子里:
sudo apt-get install firejail

5.4.1.尝试在firejail里运行Firefox和Google chrome等软件:
firejail firefox
//firefox正常后退出再试试下一个软件:
firejail chrome


上面的内容说得有点多了,firejail是一个最近频繁上新闻的沙箱,别人的评价是做得不错。在grsec加固的内核里再把每一个应用软件套上firejail的话,一般的奇怪的东西都没那么容易打得进来了。

需要注意的是,不要随便给不明来历、奇怪的软件设置Pax flag,具体情况需要具体分析。假如您遇到了不能在grsec加固的内核里运行的软件,可以使用dmesg并过滤关键字grsec查看发生了什么。

谢谢您的观看,本帖子所发出的内核可放心安装使用,在下期待您的反馈。
文号 / 825618

百炼成钢
名片发私信
学术分 1
总主题 22 帖总回复 287 楼拥有证书:进士 学者 笔友
注册于 2014-05-16 13:08最后登录 2020-12-10 01:19
主体类型:个人
所属领域:无
认证方式:邮箱
IP归属地:未同步

个人简介

A0D3 19DD 49E3 0220 B4EE 1BD3 7037 4C2D 2A07 EDE1

文件下载
加载中...
{{errorInfo}}
{{downloadWarning}}
你在 {{downloadTime}} 下载过当前文件。
文件名称:{{resource.defaultFile.name}}
下载次数:{{resource.hits}}
上传用户:{{uploader.username}}
所需积分:{{costScores}},{{holdScores}}下载当前附件免费{{description}}
积分不足,去充值
文件已丢失

当前账号的附件下载数量限制如下:
时段 个数
{{f.startingTime}}点 - {{f.endTime}}点 {{f.fileCount}}
视频暂不能访问,请登录试试
仅供内部学术交流或培训使用,请先保存到本地。本内容不代表科创观点,未经原作者同意,请勿转载。
音频暂不能访问,请登录试试
投诉或举报
加载中...
{{tip}}
请选择违规类型:
{{reason.type}}

空空如也

插入资源
全部
图片
视频
音频
附件
全部
未使用
已使用
正在上传
空空如也~
上传中..{{f.progress}}%
处理中..
上传失败,点击重试
等待中...
{{f.name}}
空空如也~
(视频){{r.oname}}
{{selectedResourcesId.indexOf(r.rid) + 1}}
处理中..
处理失败
插入表情
我的表情
共享表情
Emoji
上传
注意事项
最大尺寸100px,超过会被压缩。为保证效果,建议上传前自行处理。
建议上传自己DIY的表情,严禁上传侵权内容。
点击重试等待上传{{s.progress}}%处理中...已上传,正在处理中
空空如也~
处理中...
处理失败
加载中...
草稿箱
加载中...
此处只插入正文,如果要使用草稿中的其余内容,请点击继续创作。
{{fromNow(d.toc)}}
{{getDraftInfo(d)}}
标题:{{d.t}}
内容:{{d.c}}
继续创作
删除插入插入
插入公式
评论控制
加载中...
文号:{{pid}}
加载中...
详情
详情
推送到专栏从专栏移除
设为匿名取消匿名
查看作者
回复
只看作者
加入收藏取消收藏
收藏
取消收藏
折叠回复
置顶取消置顶
评学术分
鼓励
设为精选取消精选
管理提醒
编辑
通过审核
评论控制
退修或删除
历史版本
违规记录
投诉或举报
加入黑名单移除黑名单
查看IP
{{format('YYYY/MM/DD HH:mm:ss', toc)}}
ID: {{user.uid}}