OVH Community, your new community space.

grsec-Kernel: Kein Zugriff auf /proc


strex
07.06.12, 23:05
Oder einfach per Netboot den Kernel ohne grsec auswählen.

sgehlich
07.06.12, 22:31
Falls es jemand durch Google findet, hier die "Lösung":

Die OVH Kernel wurden mit grsecurity kompiliert und ohne die Option, einer bestimmten Benutzergruppe Zugriff auf /proc zu geben. Daher ist der einzige Ausweg, den Kernel von grs (grsecurity) auf std (standard) umzustellen.

Dazu hier die passende bzImage und System.map Datei raussuchen, nach /boot downloaden, via update-grub den Bootloader aktualisieren und rebooten.

sgehlich
07.06.12, 21:41
Hallo,

ich habe folgenden Kernel auf meiner Debian Squeeze-Maschine installiert: 3.2.13-grsec-xxxx-grs-ipv6-64 (Ist scheinbar default bei einer neuen Debian Squeeze Installation)

Das Problem ist, dass normale User durch grsec keinen Zugriff mehr auf /proc haben. Es gibt wohl beim Kompilieren des Kernels die Möglichkeit, eine bestimmte Gruppen-ID anzugeben, die Zugriff auf genau diesen Symlink hat.

Ist diese Option bei den default-Kernels hier bei OVH freigeschaltet? Kann ich also einem normalen User Zugriffsrechte auf /proc geben oder muss ich, der Sicherheit zuliebe natürlich, ab sofort alles als root laufen lassen?

Gruß,
sgehlich