Product SiteDocumentation Site

4.14. Includere le patch nel kernel

Debian GNU/Linux fornisce molte patch per il Kernel Linux al fine di migliorarne la sicurezza. Queste includono:
  • Linux Intrusion Detection provided in the kernel-patch-2.4-lids package. This kernel patch makes the process of hardening your Linux system easier by allowing you to restrict, hide and protect processes, even from root. It implements mandatory access control capabilities.
  • Linux Trustees, provided in package trustees. This patch adds a decent advanced permissions management system to your Linux kernel. Special objects (called trustees) are bound to every file or directory, and are stored in kernel memory, which allows fast lookup of all permissions.
  • NSA Enhanced Linux (in package selinux). Backports of the SElinux-enabled packages are available at https://salsa.debian.org/selinux-team. More information available at SElinux in Debian Wiki page, at Manoj Srivastava's and Russell Cookers's SElinux websites.
  • The kernel patch http://people.redhat.com/mingo/exec-shield provided in the kernel-patch-exec-shield package. This patch provides protection against some buffer overflows (stack smashing attacks).
  • The Grsecurity patch, provided by the kernel-patch-2.4-grsecurity and kernel-patch-grsecurity2 packages [28] implements Mandatory Access Control through RBAC, provides buffer overflow protection through PaX, ACLs, network randomness (to make OS fingerprinting more difficult) and many more features.
  • The kernel-patch-adamantix provides the patches developed for Adamantix, a Debian-based distribution. This kernel patch for the 2.4.x kernel releases introduces some security features such as a non-executable stack through the use of http://pageexec.virtualave.net/ and mandatory access control based on http://www.rsbac.org/. Other features include: http://www.vanheusden.com/Linux/sp/, AES encrypted loop device, MPPE support and an IPSEC v2.6 backport.
  • cryptoloop-source. Questa patch consente di usare funzionalità crypto API del kernel per creare dei filesystem cifrati usando il dispositivo di loopback.
  • Supporto ad IPSEC nel kernel (nel pacchetto linux-patch-openswan). Se volete usare il protocollo IPsec con Linux, occorre questa patch, con la quale potrete creare delle VPN, anche per macchine Windows, in modo molto semplice, dal momento che IPsec è uno standard affermato. Le funzionalità IPSec sono state aggiunte al kernel di sviluppo 2.5 e queste caratteristiche verranno incluse in modo predefinito nel futuro kernel 2.6. La pagina web di riferimento: http://www.openswan.org. FIXME: Gli ultimi kernel 2.4 forniti in Debian includono un backport del codice IPSEC dal 2.5. Commenti su questo.
Le seguenti deprecate patch per il kernel, dedicate alla sicurezza, sono disponibili solamente per le vecchie versioni dei kernel di woody:
  • http://acl.bestbits.at/ (ACLs) per Linux, fornita dal pacchetto kernel-patch-acl. Questa patch per il kernel aggiunge elenchi di controllo degli accessi ed un metodo avanzato per limitare l'accesso ai file. Consente di controllare in modo granulare l'accesso a file e directory.
  • La patch per il kernel linux http://www.openwall.com/linux/ della Solar Designer, fornita nel pacchetto kernel-patch-2.2.18-openwall contiene un utile insieme di restrizioni per il kernel, come link limitati, FIFO in /tmp, un filesystem /proc limitato, la gestione di descrittori speciali di file, area di stack utente non eseguibile ed altre funzionalità. Notate: questo pacchetto si applica alla versione 2.2, mentre non sono disponibili pacchetti per le patch alla versione 2.4 fornite da Solar.
  • kernel-patch-int. Questa patch estende le funzioni di criptazione del kernel e può essere usata dalle versioni Debian fino a Potato. Non funziona con Woody e se usate Sarge o una versione successiva dovreste semplicemente usare un kernel più recente visto che include già questa funzionalità.
Comunque in Debian alcune patch ancora non sono state fornite. Se ritenete che alcune di queste dovrebbero essere incluse siete pregati di chiedere di loro mediante il http://www.debian.org/devel/wnpp/.


[28] Notice that this patch conflicts with patches already included in Debian's 2.4 kernel source package. You will need to use the stock vanilla kernel. You can do this with the following steps:
# apt-get install kernel-source-2.4.22 kernel-patch-debian-2.4.22
# tar xjf /usr/src/kernel-source-2.4.22.tar.bz2
# cd kernel-source-2.4.22
# /usr/src/kernel-patches/all/2.4.22/unpatch/debian
For more information see http://bugs.debian.org/194225, http://bugs.debian.org/199519, http://bugs.debian.org/206458, http://bugs.debian.org/203759, http://bugs.debian.org/204424, http://bugs.debian.org/210762, http://bugs.debian.org/211213, and the http://lists.debian.org/debian-devel/2003/09/msg01133.html