Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 28-08-2016 10:03:58

anguille_sous_roche
Membre
Lieu : Paris
Distrib. : Stretch
Noyau : Linux 4.6.0-1-amd64
(G)UI : Xfce 4.12
Inscription : 16-02-2013

[Résolu]paxctld n'applique pas les flags.

Bonjour,

cat /etc/paxctld.conf


# grub

/usr/bin/grub-script-check  E
/usr/bin/grub-bios-setup  E
/usr/sbin/grub-mkdevicemap  E
/usr/sbin/grub-probe    E
...
 



service paxctld start
service paxctld status


paxctld.service - PaX flags maintenance daemon
   Loaded: loaded (/lib/systemd/system/paxctld.service; enabled; vendor preset: enabled)
   Active: active (running) since dim. 2016-08-28 09:56:09 CEST; 2s ago
 Main PID: 3957 (paxctld)
    Tasks: 1 (limit: 4915)
   CGroup: /system.slice/paxctld.service
           └─3957 /sbin/paxctld
 



Pourtant :

paxctl -v /usr/sbin/grub-probe


 
PaX control v0.9
Copyright 2004,2005,2006,2007,2009,2010,2011,2012,2014 PaX Team <pageexec@freemail.hu>

file /usr/sbin/grub-probe does not have a PT_PAX_FLAGS program header, try conversion
 



Même chose pour tous les binaires spécifiés dans paxctld.conf .

Dernière modification par anguille_sous_roche (29-08-2016 07:50:02)

Hors ligne

#2 28-08-2016 10:25:53

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : [Résolu]paxctld n'applique pas les flags.

Bonjour,

Je ne pratique pas pax qui n'est pas installé en standard sous debian, mais une petite recherche sur les termes du message d'erreur "does not have a PT_PAX_FLAGS program header, try conversion" semble indiquer (https://en.wikibooks.org/wiki/Grsecurit … _Utilities) que la solution passe par le lancement d'une commande

paxctl -c /usr/sbin/grub-probe



Si ça peut aider...

Hors ligne

#3 28-08-2016 11:26:18

anguille_sous_roche
Membre
Lieu : Paris
Distrib. : Stretch
Noyau : Linux 4.6.0-1-amd64
(G)UI : Xfce 4.12
Inscription : 16-02-2013

Re : [Résolu]paxctld n'applique pas les flags.

Salut,
merci d'avoir répondu,
paxctl permet de faire "a la main" ce que paxctld fera en suivant /etc/paxctld.conf ce qui est beaucoup plus pratique.
Par exemple après un aptitude upgrade si l'un des paquets upgradé remplace un binaire il me faudra systématiquement lancé :

paxctl -c /usr/bin/mon_binaire


paxctld le fera automatiquement

paxctld  is  a daemon that automatically applies PaX flags to binaries on the system.  These flags are applied via user extended attributes and are refreshed on any update
       to the binaries specified in its configuration file.


Mon problème c'est que les flags PAX spécifié dans paxctld.conf ne sont pas appliqués aux binaires( l'en-tête n'est même pas crée d'ou le "does not have a PT_PAX_FLAGS").


De plus le man de paxctld n'indique pas la manière dont  l'en-tête est censé être crée ( avec l'option -c ou -C de paxctl ?)

man paxctl :

-c     create the PT_PAX_FLAGS program header if it does not exist by converting the PT_GNU_STACK program header if it exists
-C     create the PT_PAX_FLAGS program header if it does not exist by adding a new program header, if it is possible



J'ai cherché de la Doc mais https://packages.debian.org/stretch/paxctld indique comme External Resources https://grsecurity.net/ qui me renvoi vers https://en.wikibooks.org/wiki/Grsecurity ou il n'est nulle part fait mention de paxctld.

Dernière modification par anguille_sous_roche (28-08-2016 11:30:30)

Hors ligne

#4 29-08-2016 07:49:29

anguille_sous_roche
Membre
Lieu : Paris
Distrib. : Stretch
Noyau : Linux 4.6.0-1-amd64
(G)UI : Xfce 4.12
Inscription : 16-02-2013

Re : [Résolu]paxctld n'applique pas les flags.

Résolu
Le problème était dû a une mauvaise compréhension de paxctld de ma part.
paxctld ne crée pas de header PT_PAX_FLAGS dans le binaire mais utilise a place les attributs étendus .

Ayant activé a la fois les options kernel :
Use ELF program header marking
PAX_PT_PAX_FLAGS
et
Use filesystem extended attributes marking
PAX_XATTR_PAX_FLAGS
pax nécessitait l'application pour chaque binaire du header PT_PAX_FLAGS avec paxctl et de l'attribut étendu user.pax.flags aux mêmes valeurs pour fonctionner correctement.

If you enable both PT_PAX_FLAGS and XATTR_PAX_FLAGS support then you
must make sure that the marks are the same if a binary has both marks.

Hors ligne

#5 29-08-2016 17:17:19

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : [Résolu]paxctld n'applique pas les flags.

Ah, ben content pour toi, et merci du retour, ça pourra peut-être servir à quelqu'un. :-)

Hors ligne

Pied de page des forums