Hardening Debian Server dengan Grsecurity

Tuesday, September 20, 2016

Halooo.. kali ini kita akan membahas salah satu tips hardening server Debian dengan Grsecurity. Keamanan meliputi tiga karakteristik: pencegahan, perlindungan dan deteksi. Grsecurity adalah patch untuk kernel Linux yang memungkinkan kalian untuk meningkatkan masing-masing poin.


Fitur :
  • protects kernel. Regular Debian kernels, even with SE Linux are open to many forms of kernel bugs until given bug is patched. While grsecurity uses various hardening strategies to stop even unknown yet (0 day) bugs - additional checks, randomization of layout (more then regular kernel does), protecting memory from write access.
  • provides RBAC protection similar to SE Linux (TODO: comparison) This needs to be configured in user-space to have effect.
  • protects applications from unknown bugs by changing their memory to RO (read-or-execute), randomizing their layout and providing other help from kernel side to them
  • fixes security of chroot turning it into real, unescapable chroot-jail
  • various misc security upgrades

Ada banyak cara untuk mendapakan kernel debian versi patch grsec ini. Antara lain mendownload compiled kernel nya atau melakukan compile dan patch sendiri.
Yang kita bahas pertama adalah melakukan compile dan patching grsecurity secara manual.
Ada baiknya sebelum melakukan patch kernel dengan grsec kita lakukan update sistem terlebih dahulu.
sudo apt-get update
sudo apt-get dist-upgrade
Sekarang masuk ke proses compile grsecurity kernel.
Saya pernah memposting cara compile kernel di Debian serta Ubuntu sebelumnya, dan caranya hampir sama.

sudo apt-get install libncurses5-dev build-essential fakeroot kernel-package gcc-5 gcc-5-plugin-dev make patch
Selanjutnya download kernel versi stabil di kernel.org .
Download juga patch grsec di grsecurity.net . Download yang versi test karena versi stabil hanya untuk customer / tidak gratis. Download file .patch dan .sig nya juga kalau ingin dilakukan verifikasi.
Disini saya mendownload versi stabl kernel 4.7.4
wget https://cdn.kernel.org/pub/linux/kernel/v4.x/linux-4.7.4.tar.xz
tar xvfJ linux-4.7.4.tar.xz
cd linux-4.7.4
Lalu download patch grsecurity nya. Pisoso kita berada di direktori linux-4.7.4
wget https://grsecurity.net/test/grsecurity-3.1-4.7.4-201609152234.patch
patch -p1 < grsecurity-3.1-4.7.4-201609152234.patch
Tunggu proses patching nya. Agak lama. Lalu kita copy config dari kernel yang sudah terinstall .
cp /boot/config-$(uname -r) .config
make menuconfig
 Pada bagian Security, pastikan opsi Grsecurity dipilih / enabled. Dan Method pilih saja Automatic, Priority pilih Security.
Setelah di save, sekarang saatnya compile.
fakeroot make-kpkg --initrd kernel_image
Butuh waktu agak lama. Sekitar 1  jam . Tinggal makan atau nonton anime aja dulu. Jangan nonton bokep aja sih penting.
Setelah proses selesai, sekarang kita compile dengan perintah dibawah :
cd ..
sudo dpkg -i linux-image-4.7.4-*.deb
sudo reboot
Sekarang kernel grsec sudah terinstall.
uname -r
4.7.4-grsec-amd64
Yang kedua adalah menginstall paket .deb Grsecurity kernel dari Corsac repository. Corsac sendiri telah bekerjasama dengan Debian untuk menyediakan patch grsecurity pada kernel debian.
Hal ini sudah dijelaskan pada halaman wiki grsecurity Debian.
Kalian bisa mendownload paketnya disini :
Debian grsecurity kernel
Lalu install paket .deb nya seperti biasa.
Oke sekian artikel kali ini, semoga bermanfaat, silahkan bertanya jika error atau gagal.

Artikel Terkait Debian ,Linux ,Security ,Server

1 comment: